AWS BẢO MẬT VÀ TUÂN THỦ HƯỚNG DẪN THAM KHẢO · PDF fileKhách...
32
BẢO MẬT VÀ TUÂN THỦ AWS HƯỚNG DẪN THAM KHẢO NHANH 2017
-
Upload
phungduong -
Category
Documents
-
view
226 -
download
1
Transcript of AWS BẢO MẬT VÀ TUÂN THỦ HƯỚNG DẪN THAM KHẢO · PDF fileKhách...
1
BẢO MẬT VÀ TUÂN THỦ AWS HƯỚNG DẪN THAM KHẢO NHANH
2017
2
© 2017, Amazon Web Services, Inc. hoặc các công ty con. Bảo lưu mọi quyền.
Thông báoTài liệu này chỉ được dùng để tham khảo thông tin. Tài liệu thể hiện các sản phẩm hiện tại cùng thực tiễn hoạt động của AWS tính tới ngày phát hành tài liệu này. Thông tin này có thể thay đổi mà không thông báo. Khách hàng chịu trách nhiệm tự đánh giá độc lập thông tin đưa ra trong tài liệu này và mọi việc sử dụng sản phẩm và dịch vụ của AWS, mọi thông tin đều được cung cấp "nguyên trạng" mà không đảm bảo dưới bất kỳ hình thức nào, dù là rõ ràng hay ngụ ý. Tài liệu này không tạo nên bất kỳ bảo hành, đại diện, cam kết theo hợp đồng, điều kiện hoặc đảm bảo nào từ AWS, các công ty con, nhà cung cấp hoặc bên cấp giấy phép. Trách nhiệm và nghĩa vụ của AWS với khách hàng được kiểm soát bởi các hợp đồng của AWS, và tài liệu này không phải là một phần, cũng như không sửa đổi, bất kỳ hợp đồng nào giữa AWS và khách hàng của công ty.
Tổng quan
Cách chúng tôi san sẻ trách nhiệm
AWS - Tính bảo mật của đám mây
Khách hàng - Tính bảo mật trong đám mây
Chương trình đảm bảo
Bảo vệ nội dung của bạn
Vị trí lưu trữ nội dung của bạn
Tính liên tục trong hoạt động kinh doanh
Tự động hóa
Tài nguyên
Đối tác và thị trường
Đào tạo
Bắt đầu nhanh
27
29
19
25
13
8
5
Chúng tôi có tư duy khác biệt về tính bảo mật và tuân thủ.
Cũng như những điều khác ở Amazon, thước đo chính cho
sự thành công của chương trình bảo mật và tuân thủ của
chúng tôi là: sự thành công của khách hàng. Khách hàng
chính là những người định hướng danh mục các báo cáo,
chứng nhận và chứng chỉ về tuân thủ của chúng tôi để hỗ
trợ họ trong công cuộc triển khai môi trường đám mây bảo
mật và phù hợp.
Bạn có thể tận dụng nỗ lực này để có khả năng tiết kiệm
và thay đổi quy mô từ sản phẩm và dịch vụ của AWS, trong
khi vẫn có thể duy trì tính bảo mật mạnh mẽ và tuân thủ
pháp lý.
5
Tổng quan
6
TỔNG QUAN
Tính bảo mật tại AWS là ưu tiên hàng đầu của chúng tôi. Với chúng tôi, không có gì quan trọng hơn việc bảo vệ dữ liệu của bạn. Là một khách hàng của AWS, bạn sẽ nhận được lợi ích từ trung tâm dữ liệu và kiến trúc mạng vốn được thiết kế để đáp ứng yêu cầu từ những tổ chức có đòi hỏi cao nhất về tính bảo mật.
"Chúng tôi có lập trường rất quyết đoán khi nhìn nhận rằng chúng tôi có thể triển khai một số khối lượng công việc sản xuất quan trọng nhất trên nền tảng AWS. Đây thực sự là bước thay đổi mạnh mẽ trên tổng thể."
- Rob Alexander CIO, Capital One
Chúng tôi cải tiến nhanh chóng trên quy mô lớn, liên tục lắng nghe phản hồi của bạn để cải thiện các dịch vụ của AWS. Điều này mang lại lợi ích cho bạn vì các giải pháp của chúng tôi đều được cải thiện theo thời gian, bao gồm việc liên tục cải thiện các dịch vụ bảo mật chính như quản lý nhận dạng và truy cập, ghi nhật ký và giám sát, quản lý mã hóa và khóa, phân khúc mạng và bảo vệ DDoS tiêu chuẩn với mức chi phí rất nhỏ hoặc hoàn toàn không mất thêm phí.
Bạn cũng nhận được các dịch vụ bảo mật tiên tiến do các kỹ sư sáng lập lên dựa trên vốn kiến thức chuyên sâu về các xu hướng bảo mật trên toàn cầu, cho phép đội ngũ của bạn chủ động giải quyết những rủi ro mới manh nha xuất hiện theo thời gian thực, trong khi đó, bạn chỉ phải thanh toán cho những gì mình sử dụng với mức chi phí thấp hơn. Điều này có nghĩa là bạn có thể chọn mức bảo mật đáp ứng theo nhu cầu trong quá trình phát triển mà không tốn chi phí trả trước, trong khi chi phí vận hành lại thấp hơn rất nhiều so với việc quản lý cơ sở hạ tầng của riêng mình.
7
TỔNG QUAN
Chúng ta chỉ đạt được một môi trường phù hợp khi môi trường đó được bảo mật một cách hợp thức. Khi bạn di chuyển khối lượng công việc được điều chỉnh lên đám mây AWS, bạn có thể đạt được mức độ bảo mật cao hơn trên quy mô lớn bằng cách dùng nhiều tính năng có khả năng quản lý của chúng tôi. Lợi ích của tính năng quản lý dựa trên đám mây đó là chi phí bắt đầu sử dụng thấp hơn, dễ thao tác hơn và tính linh hoạt cao hơn nhờ khả năng giám sát, kiểm soát bảo mật và tự động hóa trung tâm ở mức cao hơn.
"Chúng tôi đã có thể chuẩn bị cho cơ sở hạ tầng đám mây và đi vào hoạt động trong thời gian nhanh kỷ lục. Nếu bản thân chúng tôi phải tự tạo dựng thì chi phí sẽ cao hơn như thế này rất nhiều".
- Mark Field CTO, Thermo Fisher Scientific
Khi sử dụng AWS, bạn có thể tận dụng nhiều kiểm soát bảo mật mà chúng tôi vận hành, do đó giảm bớt khối lượng công việc kiểm soát bảo mật mà bạn cần phải duy trì. Điều này giúp củng cố cho các chương trình tuân thủ và chứng chỉ của riêng bạn, đồng thời giảm bớt chi phí duy trì và chạy yêu cầu bảo đảm bảo mật riêng của mình.
88
Cách chúng tôi san sẻ trách nhiệm
9
CÁCH CHÚNG TÔI SAN SẺ TRÁCH NHIỆM
Khi di chuyển cơ sở hạ tầng CNTT sang AWS, bạn sẽ tiếp nhận mô hình trách nhiệm chung như hình bên dưới. Vì chúng tôi vận hành, quản lý và kiểm soát các thành phần CNTT từ hệ thống điều hành máy chủ và lớp ảo hóa, tới tính bảo mật thực tế tại các cơ sở đang vận hành dịch vụ, nên mô hình chung này sẽ giúp giảm bớt gánh nặng vận hành cho bạn.
Mô hình trách nhiệm chung
Khi bạn chia sẻ trách nhiệm điều hành môi trường CNTT với chúng tôi, thì có nghĩa bạn cũng chia sẻ việc quản lý, vận hành và xác minh các kiểm soát CNTT. Chúng tôi sẽ trợ giúp để bạn bớt đi gánh nặng vận hành kiểm soát bằng cách quản lý những kiểm soát liên kết với cơ sở hạ tầng thực tế đã được triển khai trong môi trường AWS.
ĐIỆN TOÁN LƯU TRỮ CƠ SỞ DỮ LIỆU MẠNG LƯỚI
DỮ LIỆU KHÁCH HÀNG
KHU VỰCVỊ TRÍ BIÊN
VÙNG KHẢ DỤNG
QUẢN LÝ NỀN TẢNG, ỨNG DỤNG, NHẬN DIỆN & TRUY CẬP
ĐẶT CẤU HÌNH HỆ ĐIỀU HÀNH, MẠNG & TƯỜNG LỬA
BẢO VỆ LƯU LƯỢNG MẠNG (MÃ HÓA, TÍNH TOÀN VẸN VÀ/HOẶC NHẬN DẠNG)
MÃ HÓA PHÍA MÁY CHỦ (HỆ THỐNG TỆP TIN VÀ/HOẶC DỮ LIỆU)
MÃ HÓA DỮ LIỆU PHÍA MÁY KHÁCH & XÁC THỰC TÍNH TOÀN VẸN DỮ LIỆU
KH
ÁCH
HÀ
NG
TRÁCH NHIỆM ĐỐI VỚI TÍNH BẢO MẬT “TRONG” ĐÁM MÂY
TRÁCH NHIỆM ĐỐI VỚI TÍNH BẢO MẬT “CỦA” ĐÁM MÂY
CƠ SỞ HẠ TẦNG TOÀN CẦU AWS
10
AWS - TÍNH BẢO MẬT CỦA ĐÁM MÂY
Để giúp bạn thiết lập, vận hành và tận dụng môi trường kiểm soát bảo mật của chúng tôi, chúng tôi đã phát triển một chương trình bảo đảm bảo mật áp dụng các phương pháp thực hành tốt nhất trong việc bảo vệ dữ liệu và quyền riêng tư toàn cầu. Những quy trình kiểm soát và bảo vệ bảo mật này đều được xác minh độc lập qua nhiều đợt kiểm tra từ các bên thứ ba độc lập. Chương trình bảo đảm của chúng tôi là dựa trên việc Xác minh, Chứng minh và Giám sát.
Chúng tôi xác minh rằng các dịch vụ và cơ sở của chúng tôi trên toàn cầu đều duy trì một môi trường kiểm soát ở khắp nơi và hoạt động thực sự hiệu quả. Môi trường kiểm soát của chúng tôi bao gồm các chính sách, quy trình và các hoạt động kiểm soát tận dụng nhiều khía cạnh khác nhau trong môi trường kiểm soát tổng thể của Amazon.
Trong môi trường kiểm soát chung có yếu tố con người, các quy trình và công nghệ cần thiết để thành lập và duy trì một môi trường nhằm hỗ trợ khuôn khổ công việc kiểm soát của chúng tôi hoạt động hiệu quả. Chúng tôi đã tích hợp các kiểm soát phù hợp và cụ thể theo đám mây, mà đã được các cơ quan hàng đầu trong ngành điện toán đám mây công nhận, vào trong khuôn khổ công việc kiểm soát của chúng tôi. Chúng tôi giám sát các nhóm ngành này để xác định những phương pháp thực hiện tốt nhất, mang tính khả thi và có thể hỗ trợ khách hàng tốt hơn trong việc quản lý môi trường kiểm soát của họ.
11
Chúng tôi chứng minh tình hình tuân thủ của chúng tôi để giúp bạn xác minh tính tuân thủ theo các yêu cầu của ngành cũng như của chính phủ. Chúng tôi phối hợp với các cơ quan chứng nhận bên ngoài và các chuyên gia đánh giá độc lập để cung cấp cho bạn những thông tin quan trọng về các chính sách, quy trình và các kiểm soát do chúng tôi thành lập và vận hành. Bạn có thể tận dụng thông tin này để thực hiện các quy trình đánh giá và xác minh kiểm soát của mình, theo yêu cầu của tiêu chuẩn tuân thủ hiện hành.
Chúng tôi giám sát để thấy rằng, qua việc sử dụng từ hàng nghìn yêu cầu kiểm soát bảo mật, chúng tôi duy trì tính tuân thủ với các tiêu chuẩn toàn cầu và phương pháp thực hiện tốt nhất.
Bạn có thể sử dụng các dịch vụ như AWS Config để giám sát tính bảo mật và tuân thủ trong môi trường của mình.
AWS Config
AWS Config là một dịch vụ được quản lý đầy đủ, cung cấp cho bạn tính năng kiểm kê tài nguyên AWS, lịch sử cấu hình và thông báo thay đổi cấu hình để cho phép bảo mật và quản lý.
Với AWS Config, bạn có thể khám phá ra các tài nguyên AWS hiện có và đã xóa, xác định tính tuân thủ trên tổng thể so với quy tắc và đi sâu vào chi tiết cấu hình của một tài nguyên vào bất cứ thời điểm nào. Những chức năng này cho phép bạn kiểm tra tính tuân thủ, phân tích bảo mật, theo dõi thay đổi của tài nguyên và khắc phục sự cố.
AWS - TÍNH BẢO MẬT CỦA ĐÁM MÂY
12
KHÁCH HÀNG - TÍNH BẢO MẬT TRONG ĐÁM MÂY
Cũng như một trung tâm dữ liệu truyền thống, bạn chịu trách nhiệm quản lý hệ điều hành máy khách (bao gồm cài đặt cập nhật và bản vá bảo mật) cùng các phần mềm ứng dụng liên kết, cũng như việc đặt cấu hình cho tường lửa nhóm bảo mật do AWS cung cấp. Trách nhiệm của bạn sẽ thay đổi tùy theo dịch vụ bạn dùng, tùy theo việc tích hợp các dịch vụ đó vào môi trường CNTT của bạn, cũng như pháp luật và quy định hiện hành. Bạn cần cân nhắc tất cả những vấn đề này khi chọn dịch vụ AWS sẽ sử dụng.
Để quản lý an toàn các tài nguyên AWS, bạn cần phải biết mình đang dùng những tài nguyên nào (kiểm kê tài sản), định cấu hình bảo mật hệ điều hành khách và các ứng dụng trên các tài nguyên của bạn (thiết lập cấu hình bảo mật, bản vá và chống phần mềm độc hại) và kiểm soát các thay đổi trong các tài nguyên (quản lý thay đổi).
Bạn có thể tích hợp thông tin mà chúng tôi cung cấp về chương trình rủi ro và tuân thủ vào khuôn khổ quản lý của mình.
Danh mục dịch vụ AWS
Bạn có thể sử dụng Danh mục dịch vụ AWS để tạo và quản lý danh mục các dịch vụ CNTT mà bạn chấp thuận sử dụng trên AWS, bao gồm hình ảnh máy ảo, máy chủ, phần mềm và cơ sở dữ liệu để hoàn tất các cơ sở hạ tầng ứng dụng đa tầng. Danh mục dịch vụ AWS cho phép bạn quản lý tập trung các dịch vụ CNTT đã được triển khai thông thường và giúp đạt được yêu cầu tuân thủ và khả năng quản lý nhất quán, đồng thời cho phép người dùng nhanh chóng triển khai đúng những dịch vụ CNTT đã được phê duyệt mà họ cần.
13
CHƯƠNG TRÌNH
Chương trình đảm bảo
14
CHƯƠNG TRÌNH ĐẢM BẢO
Chúng tôi phân loại các chương trình theo Chứng chỉ/Chứng nhận, Luật pháp, Quy định, Quyền riêng tư và Điều chỉnh phù hợp/Khuôn khổ.
Chứng chỉ/Chứng nhận do chuyên viên đánh giá bên thứ ba độc lập thực hiện. Các chứng chỉ, báo cáo kiểm tra hay chứng nhận tuân thủ của chúng tôi đều dựa trên kết quả từ hoạt động kiểm tra của chuyên viên đánh giá.
Luật pháp/Quy định/Quyền riêng tư và Điều chỉnh phù hợp/Khuôn khổ đều cụ thể theo ngành hoặc chức năng của bạn. Chúng tôi hỗ trợ bạn bằng cách cung cấp chức năng (như tính năng bảo mật) và trình kích hoạt (như sách quy tắc tuân thủ, tài liệu ánh xạ và các báo cáo nghiên cứu chuyên sâu). Quá trình cấp chứng chỉ "trực tiếp" chính thức trong khuôn khổ các luật pháp, quy định và chương trình này là:
• Không khả dụng với các nhà cung cấp dịch vụ điện toán đám mây hoặc
• Đại diện cho một tập hợp con gồm các yêu cầu với số lượng nhỏ hơn, mà đã được minh chứng qua các chương trình chứng chỉ/chứng nhận chính thức hiện tại của chúng tôi.
15
CHƯƠNG TRÌNH ĐẢM BẢO
Các môi trường của chúng tôi liên tục được kiểm tra, còn các dịch vụ và cơ sở hạ tầng của chúng tôi đều được phê duyệt để hoạt động theo nhiều tiêu chuẩn tuân thủ và chứng nhận ngành xuyên suốt các khu vực địa lý và theo ngạch dọc, bao gồm các nội dung như trình bày bên dưới. Bạn có thể dùng các chứng chỉ này để xác minh việc thực hiện và tính hiệu quả của các kiểm soát bảo mật của chúng tôi. Chúng tôi liên tục bổ sung thêm chương trình. Vui lòng truy cập trang web các Chương trình đảm bảo AWS để xem danh sách mới nhất.
16
CHƯƠNG TRÌNH ĐẢM BẢO
PCI DSS – AWS, là một Nhà cung cấp Dịch vụ "Phù hợp" với PCI DSS (kể từ năm 2010), nghĩa là nếu bạn dùng sản phẩm và dịch vụ AWS để lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ, bạn có thể trông cậy vào cơ sở hạ tầng công nghệ của chúng tôi khi quản lý chứng chỉ tuân thủ PCI DSS của riêng mình.
ISO 27001 – ISO 27001 là một tiêu chuẩn bảo mật toàn cầu được chấp nhận rộng rãi, đề cập đến những yêu cầu đối với các hệ thống quản lý bảo mật thông tin. Tiêu chuẩn này cung cấp một phương pháp tiếp cận có hệ thống giúp quản lý thông tin khách hàng và công ty dựa trên các đợt đánh giá rủi ro định kỳ.
AWS Artifact
Bạn có thể xem xét và tải báo cáo cùng chi tiết về hơn 2.500 kiểm soát bảo mật sử dụng AWS Artifact - một công cụ báo cáo tuân thủ tự động hóa của chúng tôi có trong Bảng điều khiển quản lý AWS.
AWS Artifact cung cấp quyền truy cập theo yêu cầu vào các tài liệu về tính bảo mật và tuân thủ của chúng tôi, hay còn gọi là bằng chứng kiểm tra. Bạn có thể sử dụng những bằng chứng này để thể hiện cho các chuyên gia đánh giá và cơ quan quản lý thấy độ bảo mật và tính tuân thủ của các dịch vụ và cơ sở hạ tầng AWS của bạn.
Ví dụ về các bằng chứng kiểm tra: các báo cáo Service Organization Control (SOC), báo cáo Payment Card Industry (PCI).
17
CHƯƠNG TRÌNH ĐẢM BẢO
ISO 27017 – ISO 27017 đưa ra hướng dẫn về khía cạnh bảo mật thông tin của điện toán đám mây, đề xuất triển khai kiểm soát bảo mật thông tin cụ thể theo đám mây để bổ sung cho hướng dẫn về tiêu chuẩn ISO 27002 và ISO 27001. Quy định chuyên môn này cung cấp hướng dẫn triển khai các kiểm soát bảo mật thông tin cụ thể cho nhà cung cấp dịch vụ đám mây. Chứng nhận theo hướng dẫn ISO 27017 của AWS không chỉ minh chứng cho cam kết liên tục của chúng tôi trong việc điều chỉnh phù hợp với những phương pháp hoạt động tốt nhất và đã được công nhận trên toàn cầu, đồng thời xác minh rằng AWS có sẵn một hệ thống những kiểm soát với độ chính xác cao dành riêng cho các dịch vụ đám mây.
ISO 27018 – ISO 27018 là một quy định chuyên môn tập trung vào việc bảo vệ dữ liệu cá nhân trong đám mây. Quy định này là dựa trên tiêu chuẩn bảo mật thông tin ISO 27002 và cung cấp hướng dẫn thực hiện theo các kiểm soát ISO 27002 áp dụng cho Thông tin nhận diện danh tính cá nhân (PII) trên đám mây công cộng. Quá trình điều chỉnh phù hợp đã minh chứng với bạn rằng AWS có sẵn một hệ thống các kiểm soát chuyên xử lý vấn đề bảo vệ quyền riêng tư cho nội dung của bạn. Đánh giá độc lập từ bên thứ ba về quy định chuyên môn đã được công nhận trên toàn cầu và việc AWS điều chỉnh phù hợp theo những quy định này đã minh chứng cho cam kết của AWS trước quyền riêng tư và bảo vệ nội dung của bạn.
SOC – Báo cáo AWS Service Organization Control (SOC) là bản báo cáo kiểm tra độc lập của bên thứ ba thể hiện cách AWS đạt được các mục tiêu và kiểm soát tuân thủ quan trọng. Mục đích của các báo cáo này là để giúp bạn và chuyên viên đánh giá hiểu được rằng các kiểm soát của AWS được thiết lập để hỗ trợ các hoạt động và tính tuân thủ. Có ba loại Báo cáo AWS SOC:
SOC 1: Cung cấp cho bạn thông tin về môi trường kiểm soát AWS có thể liên quan tới các kiểm soát nội bộ về báo cáo tài chính, cũng như thông tin để đánh giá và quan điểm về tính hiệu quả của kiểm soát nội bộ về báo cáo tài chính. (ICOFR).
18
CHƯƠNG TRÌNH ĐẢM BẢO
SOC 2: Cung cấp cho bạn và người dùng dịch vụ có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan tới bảo mật hệ thống, tính khả dụng và sự cẩn mật.
SOC 3: Cung cấp cho bạn và người dùng dịch vụ có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan tới bảo mật hệ thống, tính khả dụng và sự cẩn mật mà không làm tiết lộ thông tin nội bộ AWS.
FedRAMP – Một chương trình của chính phủ Hoa Kỳ nhằm đảm bảo các tiêu chuẩn trong đánh giá tính bảo mật, ủy quyền và giám sát liên tục. FedRAMP tuân theo tiêu chuẩn về kiểm soát theo định nghĩa của NIST và FISMA.
AWS cung cấp các hệ thống đã được cấp phép phù hợp với chương trình FedRAMP. Đây là những hệ thống giúp giải quyết các kiểm soát bảo mật FedRAMP, sử dụng mẫu FedRAMP theo yêu cầu cho các gói bảo mật được đăng trong Kho FedRAMP, đã được đánh giá bởi một cơ quan đánh giá đã được công nhận và là một bên thứ ba độc lập (3PAO), đồng thời duy trì các yêu cầu giám sát liên tục của FedRAMP.
DoD Cloud Security Model (CSM) – Các tiêu chuẩn đối với điện toán đám mây do Cơ quan hệ thống thông tin quốc phòng (DISA) của Hoa Kỳ ban hành và được ghi lại trong Hướng dẫn về các yêu cầu bảo mật (SRG) của Bộ quốc phòng (DoD). Cung cấp quy trình ủy quyền cho người phụ trách khối lượng công việc DoD khi họ có những yêu cầu kiến trúc duy nhất tùy theo mức độ tác động.
HIPAA – Health Insurance Portability and Accountability Act (HIPAA) chứa các tiêu chuẩn nghiêm ngặt về bảo mật và tuân thủ đối với các tổ chức thực hiện xử lý và lưu trữ Thông tin sức khỏe được bảo vệ (viết tắt là PHI). AWS cho phép các tổ chức trong phạm vi cùng những bên liên đới trong công việc của họ chiểu theo HIPAA có thể tận dụng môi trường AWS bảo mật của tổ chức để xử lý, duy trì và lưu trữ PHI.
19
Bảo vệ nội dung của bạn
20
BẢO VỆ NỘI DUNG CỦA BẠN
AWS luôn chú ý cao độ đến quyền riêng tư của bạn. Bạn luôn là người sở hữu nội dung của chính mình, bao gồm khả năng mã hóa, di chuyển nội dung và quản lý những nội dung được giữ lại. Chúng tôi cung cấp các công cụ cho phép bạn dễ dàng mã hóa dữ liệu khi truyền và khi lưu trữ tại thiết bị, để chỉ những người dùng được ủy quyền mới có thể truy cập các dữ liệu đó.
AWS CloudHSM
Dịch vụ AWS CloudHSM cho phép bạn bảo vệ các khóa mã hóa trong HSM, được thiết kế và xác minh theo tiêu chuẩn chính phủ đối với việc quản lý khóa bảo mật. Bạn có thể tạo, lưu trữ và quản lý khóa mật mã được dùng cho việc mã hóa dữ liệu một cách an toàn mà chỉ có bạn mới có thể truy cập được.
Mã hóa phía máy chủ
Bạn có thể sử dụng Mã hóa phía máy chủ Amazon S3 (SSE) nếu bạn muốn để Amazon S3 giúp bạn quản lý quy trình mã hóa. Dữ liệu được mã hóa bằng một khóa do AWS tạo ra hoặc bằng một khóa do bạn cung cấp, tùy theo yêu cầu của bạn. Với Amazon S3 SSE, bạn có thể mã hóa dữ liệu khi tải lên chỉ bằng cách thêm tiêu đề yêu cầu bổ sung khi ghi đối tượng. Quá trình giải mã sẽ tự động diễn ra khi truy xuất dữ liệu.
21
Những công cụ này cũng cho bạn quyền kiểm soát cần thiết để tuân thủ với luật pháp và quy định về quyền riêng tư dữ liệu tại khu vực và địa phương. Thiết kế cơ sở hạ tầng toàn cầu của chúng tôi cho phép bạn có toàn quyền kiểm soát trên các khu vực có chứa dữ liệu thực tế của bạn, giúp bạn đạt được yêu cầu về cư trú dữ liệu.
Lưu ý: Chúng tôi không truy cập hay sử dụng nội dung của bạn vì bất cứ mục đích nào ngoài việc cung cấp cho bạn và người dùng cuối các dịch vụ AWS đã chọn. Chúng tôi không bao giờ sử dụng nội dung của bạn vì mục đích riêng, bao gồm tiếp thị và quảng cáo.
Với AWS, bạn luôn biết rõ những người truy cập nội dung của mình, những nguồn lực mà tổ chức đang sử dụng vào bất cứ thời điểm nào. Kiểm soát truy cập và nhận dạng tinh tế kết hợp cùng khả năng giám sát liên tục thông tin bảo mật gần như trực tiếp giúp đảm bảo các nguồn lực phù hợp có quyền truy cập hợp lý tại mọi thời điểm, bất kể địa điểm lưu trữ thông tin trên thế giới.
BẢO VỆ NỘI DUNG CỦA BẠN
AWS Identity Access Management
IAM là trung tâm kiểm soát truy cập an toàn vào các tài nguyên AWS. Quản trị viên có thể tạo người dùng, nhóm và các vai trò với chính sách truy cập cụ thể để kiểm soát những hành động nào người dùng và ứng dụng có thể thực hiện qua Bảng điều khiển quản lý AWS hoặc API AWS. Liên kết cho phép ánh xạ các vai trò IAM với các quyền từ dịch vụ thư mục trung tâm.
22
BẢO VỆ NỘI DUNG CỦA BẠN
Giảm bớt rủi ro và tạo đà phát triển bằng cách sử dụng các dịch vụ giám sát hoạt động của chúng tôi, những dịch vụ này giúp phát hiện những thay đổi trong cấu hình và các sự kiện bảo mật trên toàn hệ sinh thái của bạn, thậm chí bạn còn có thể tích hợp các dịch vụ của chúng tôi vào các giải pháp hiện có của bạn để đơn giản hóa hoạt động và báo cáo tuân thủ.
Tích hợp Active Directory
Dịch vụ AWS Directory giúp bạn dễ dàng thiết lập và chạy Microsoft Active Directory (AD) trong đám mây AWS, hoặc kết nối các tài nguyên AWS của bạn với một Microsoft Active Directory hiện có tại chỗ.
Quyền truy cập của người dùng liên kết
Người dùng liên kết là những người dùng (hoặc ứng dụng) không có Tài khoản AWS. Với các vai trò, bạn có thể cho họ quyền truy cập vào các tài nguyên AWS trong một khoảng thời gian hữu hạn. Điều này rất hữu ích nếu bạn có những người dùng không thuộc AWS mà bạn có thể xác thực bằng một dịch vụ bên ngoài như Microsoft Active Directory, LDAP hay Kerberos.
23
Chúng tôi không tiết lộ nội dung của bạn trừ khi bắt buộc phải làm như vậy theo yêu cầu của pháp luật hoặc theo một lệnh mang tính ràng buộc và hợp lệ từ một cơ quan pháp lý hoặc chính phủ. Trong trường hợp chúng tôi buộc phải tiết lộ nội dung của bạn, chúng tôi sẽ báo cho bạn biết trước để bạn có thể tìm kiếm cách bảo vệ thông tin trước bên tiết lộ.
Quan trọng: Nếu chúng tôi bị cấm không được thông báo cho bạn, hoặc nếu có biểu hiện rõ ràng về hành vi phi pháp liên quan đến việc sử dụng sản phẩm và dịch vụ Amazon, chúng tôi sẽ không thông báo cho bạn biết trước khi tiết lộ nội dung của bạn.
BẢO VỆ NỘI DUNG CỦA BẠN
AWS CloudTrail
AWS CloudTrail ghi lại các cuộc gọi API AWS và đưa ra tệp nhật ký có chứa danh tính người gọi, thời gian, địa chỉ IP nguồn, tham số yêu cầu và các yếu tố phản hồi. Bạn có thể dùng lịch sử và chi tiết cuộc gọi mà CloudTrail cung cấp để cho phép bạn phân tích bảo mật, theo dõi thay đổi của tài nguyên và kiểm tra tính tuân thủ.
24
VỊ TRÍ LƯU TRỮ NỘI DUNG CỦA BẠN
Các trung tâm dữ liệu AWS được xây dựng theo cụm ở nhiều quốc gia trên toàn thế giới. Chúng tôi gọi mỗi cụm trung tâm dữ liệu tại một quốc gia đã định là "Khu vực". Bạn có quyền truy cập vào nhiều Khu vực AWS trên toàn cầu và có thể chọn sử dụng một Khu vực, tất cả các Khu vực hoặc bất kỳ nhóm các Khu vực nào.
Khu vực
Bạn có toàn quyền kiểm soát và sở hữu trên toàn khu vực có chứa dữ liệu thực tế của bạn, nhờ vậy, bạn có thể dễ dàng đạt được yêu cầu về cư trú dữ liệu và tính tuân thủ tại khu vực. Bạn có thể chọn (các) Khu vực AWS mà bạn muốn lưu trữ nội dung. Điều này thực sự hữu ích trong trường hợp bạn có các yêu cầu cụ thể về khu vực địa lý. Ví dụ: nếu bạn là một khách hàng châu Âu, bạn có thể chọn triển khai các dịch vụ AWS riêng tại Khu vực châu Âu (Frankfurt). Nếu bạn quyết định triển khai tại đây, nội dung của bạn sẽ được lưu trữ ở Đức, trừ khi bạn chọn một Khu vực AWS khác.
25
Tính liên tục trong hoạt động kinh doanh
26
TÍNH LIÊN TỤC TRONG HOẠT ĐỘNG KINH DOANH
Cơ sở hạ tầng của chúng tôi có độ khả dụng cao và chúng tôi cung cấp cho bạn những tính năng cần thiết để triển khai một kiến trúc CNTT có khả năng phục hồi nhanh chóng. Các hệ thống của chúng tôi đều được thiết kế để chống chịu trước những sự cố về hệ thống hay phần cứng, với hậu quả tác động lên khách hàng ở mức tối thiểu.
Phục hồi sau thảm họa là quy trình chuẩn bị cho thảm họa và phục hồi sau khi xảy ra thảm họa. Mọi sự cố có tác động tiêu cực lên tính liên tục của hoạt động kinh doanh hay tình hình tài chính đều được gọi là thảm họa. Đám mây AWS hỗ trợ nhiều kiến trúc phục hồi sau thảm họa phổ biến, từ các môi trường "đèn điều khiển" sẵn sàng tăng quy mô vào thời điểm có thông báo nhanh, cho đến các môi trường "dự phòng nóng" cho phép chuyển đổi dự phòng nhanh chóng. Điều quan trọng cần lưu ý:
• Tất cả các trung tâm dữ liệu đều trực tuyến và phục vụ khách hàng, không có trung tâm nào ở trạng thái "đóng băng hoạt động". Trong trường hợp xảy ra sự cố, các quy trình tự động hóa sẽ chuyển lưu lượng dữ liệu của bạn ra xa khỏi khu vực bị ảnh hưởng.
• Bằng cách phân phối ứng dụng trên nhiều vùng khả dụng, bạn có thể duy trì khả năng phục hồi nhanh chóng khi đối mặt với hầu hết các loại sự cố, bao gồm thảm họa thiên nhiên hay sự cố hệ thống.
• Bạn có thể xây dựng các hệ thống có khả năng phục hồi cao trong đám mây bằng cách dùng nhiều phiên bản trong nhiều vùng khả dụng và dùng tính năng tái tạo dữ liệu để đạt được thời gian phục hồi và các mục tiêu điểm phục hồi siêu nhanh.
• Bạn chịu trách nhiệm quản lý và kiểm thử việc sao lưu và phục hồi hệ thống thông tin mà bạn đã xây dựng trên cơ sở hạ tầng AWS. Bạn có thể dùng cơ sở hạ tầng AWS để kích hoạt khả năng phục hồi sau thảm họa nhanh hơn cho các hệ thống CNTT trọng yếu mà không phát sinh chi phí cơ sở hạ tầng từ cơ sở thực tế thứ hai.
Để biết thêm thông tin, xin hãy truy cập trang aws.amazon.com/disaster-recovery.
27
Tự động hóa
28
TỰ ĐỘNG HÓA
Tự động hóa nhiệm vụ bảo mật trên AWS cho phép tăng cường tính bảo mật bằng cách giảm lỗi cấu hình do con người gây ra và giúp nhóm của bạn có thêm thời gian tập trung vào những công việc quan trọng với công ty mình. Nhóm bảo mật có thể sử dụng tự động hóa bảo mật và tích hợp API để trở nên linh hoạt và có khả năng phản ứng nhanh nhạy hơn, khiến họ có thể dễ dàng phối hợp sát sao cùng nhà phát triển và nhóm vận hành để cùng nhau tạo và triển khai mã một cách nhanh chóng và bảo mật hơn. Khi tự động hóa việc kiểm tra tính bảo mật của ứng dụng và cơ sở hạ tầng bất cứ khi nào triển khai mã mới, bạn có thể liên tục thi hành kiểm soát bảo mật và tuân thủ để giúp đảm bảo tính cẩn mật, nguyên vẹn và đảm bảo khả năng sẵn sàng sử dụng tại mọi thời điểm. Tự động hóa trong một môi trường kết hợp cùng những công cụ bảo mật và quản lý thông tin của chúng tôi để dễ dàng tích hợp AWS dưới dạng một tiện ích bổ sung liền mạch và bảo mật cho các môi trường tại chỗ và thừa tự của bạn.
Amazon Inspector
Amazon Inspector là một dịch vụ đánh giá tính bảo mật tự động hóa giúp tăng cường tính bảo mật và tuân thủ của các ứng dụng được triển khai trên AWS. Amazon Inspector tự động đánh giá các ứng dụng để tìm ra lỗ hổng hay những sai lệch so với phương pháp thực hiện tốt nhất. Sau khi đánh giá, Amazon Inspector sẽ đưa ra một danh sách chi tiết về các kết quả bảo mật, được sắp xếp theo mức độ nghiêm trọng.
Để giúp bạn bắt đầu nhanh chóng, Amazon Inspector có sẵn một cơ sở kiến thức gồm hàng trăm quy tắc được ánh xạ tới những phương pháp thực hiện tốt nhất về tính bảo mật cùng những định nghĩa về lỗ hổng chung. Một số ví dụ về các quy tắc tích hợp sẵn này đó là: kiểm tra đăng nhập gốc (root login) từ xa đã được kích hoạt hay chưa, hoặc hệ thống có cài đặt những phiên bản phần mềm dễ bị tấn công hay không. Những quy tắc này sẽ được cập nhật thường xuyên bởi các chuyên gia nghiên cứu về bảo mật của AWS.
29
Tài nguyên
30
TÀI NGUYÊN
Đối tác và thị trường
Các giải pháp đối tác APN cho phép tự động hóa và tạo khả năng linh hoạt, mở rộng quy mô theo khối lượng công việc, trong khi đó, bạn chỉ phải trả tiền cho những gì bạn cần và sử dụng. Dễ dàng tìm kiếm, mua, triển khai và quản lý các giải pháp phần mềm sẵn sàng hoạt động trên nền tảng điện toán đám mây này, bao gồm các sản phẩm phần mềm dưới dạng dịch vụ (SaaS), chỉ trong vài phút từ AWS Marketplace. Những giải pháp này phối hợp cùng nhau để giúp bảo mật dữ liệu của bạn theo những cách thức mà bạn không thể thực hiện tại chỗ, đồng thời có sẵn những giải pháp cho khối lượng công việc cùng nhiều trường hợp sử dụng khác nhau.
Để biết thêm thông tin, xin hãy truy cập trang aws.amazon.com/partners và aws.amazon.com/marketplace.
Đào tạo
Dù bạn chỉ vừa mới bắt đầu, đang tích lũy kỹ năng CNTT hiện có hay đang trau dồi thêm kiến thức về đám mây, chương trình Đào tạo AWS có thể giúp bạn và nhóm của mình nâng cao hiểu biết để bạn có thể dùng đám mây hiệu quả hơn.
Để biết thêm thông tin, xin hãy truy cập trang aws.amazon.com/training.
Bắt đầu nhanh
Với tài liệu Bắt đầu nhanh, bạn có thể làm theo các phương pháp hoạt động tốt nhất để bắt đầu thiết lập cấu hình bảo mật AWS, đặt nền tảng vững chắc để đáp ứng các yêu cầu tuân thủ trên toàn cầu.
Để biết thêm thông tin, xin hãy truy cập trang aws.amazon.com/quickstart.
31
32
