Upload
others
View
13
Download
0
Embed Size (px)
Citation preview
1
БЕЗОПАСНОСТЬИ СООТВЕТСТВИЕAWSКРАТКОЕСПРАВОЧНОЕРУКОВОДСТВО
2017
2
ОбзорПрограммыОтраслиКак мы разделяем ответственность AWS:соответствиеоблака Клиент:соответствиев облакеВаш контент Гдехранитсявашконтент
Непрерывностьбизнеса
БезопасностьРесурсы ПартнерыиMarketplace
Обучение
19
21
13
9
7
3
1
4
ОБЗОР
1
ОБЗОР
Перенося регулируемые рабочие нагрузки в облако, выполучаетевсвоераспоряжениемногиефункцииуправления,которые можно использовать для повышения общегоуровнябезопасности.Облачныесистемыуправленияимеютсниженную начальную стоимость, отличаются простотойэксплуатации и обеспечивают повышенную гибкостьработыблагодаряболееширокимвозможностямнадзора,контролябезопасностиицентрализованнойавтоматизации.Перейдя в облако, вы сможете использовать ресурсыAWS и уменьшить число обслуживаемых самостоятельноэлементовуправления.
Соответствующая требованиям среда – это результатреализации адекватных мер безопасности. Мыпредоставляемнаборнадежныхинструментов управленияинфраструктурой, эффективность которых подтвержденамногочисленнымиаттестациямиисертификациями.Каждыйсертификат свидетельствует о том, что аудитор проверилналичиеиисправноефункционированиесоответствующихсредств управления безопасностью. Подробные сведенияобо всех поддерживаемых нашей компанией аттестацияхи сертификациях доступны на странице программ AWSAssurance.
Кроме того, мы предоставляем широкий набор сервисови инструментов, с помощью которых можно обеспечитьсоответствие в облаке, включая Amazon Inspector, AWSArtifact,AWSServiceCatalog,AWSCloudTrail,AWSConfigиправилаAWSConfig.
2
ПРОГРАММЫ
3
ПРОГРАММЫ
Рисунок 1. Программы Assurance
Примечание. Ассортимент наших программ непрерывно расширяется. Актуальный список программ AWS Assurance доступен на веб-сайте.
Сертификации и аттестации проводятся стороннимнезависимымаудитором.Нашисертификации,отчетыобаудитеиаттестациисоответствиясоставляютсяпорезультатамработыаудитора.
Законы/нормы/правила конфиденциальности и регулировки/платформыподбираютсясучетомвашейотраслиивыполняемыхфункций. Мы оказываем вам поддержку, предоставляяфункциональныевозможности(например,функциибезопасности)ивспомогательныепрограммы(включаясценариисоответствия,
Наши среды проходят непрерывные проверки, а наши сервисыи инфраструктура утверждаются к эксплуатации в соответствиис несколькими стандартами соответствия и промышленнымисистемами сертификации, действующими в разных регионах иотраслях. Эти системы сертификации можно использовать дляпроверки внедрения и эффективности наших средств управлениябезопасностью.
4
ПРОГРАММЫ
сопоставительные документы и технические описания).Формальнаясертификациянасоответствиеэтимзаконам,нормами программам «напрямую» либо 1) недоступна поставщикамоблачных технологий, либо 2) представляет собоймалую частьтребований, соответствие которым подтверждено имеющимисяпрограммамиформальнойсертификациииаттестации.
К числу некоторых наших наиболее популярных программсертификациииаттестацииможноотнестиследующие:
PCI DSS – стандарты безопасности данных индустрииплатежных карт представляют собой жесткие стандартыбезопасности,препятствующиемошенничествуизащищающиеданныевладельцевкартвработесторговымиорганизациями,обрабатывающимиплатежипокредитнымкартам.
ISO 27001 – это широко распространенный международныйстандарт безопасности, описывающий требования к системамуправления информационной безопасностью. Этот стандартотражаетреализациюсистематическогоподходакуправлениюинформацией компаний и клиентов, подразумевающегорегулярнуюоценкурисков.
SOC –отчетыAWSServiceOrganizationControl(SOC)представляютсобой независимые отчеты сторонних экспертов, которыеиллюстрируют, как AWS реализует ключевые механизмыуправленияирешаетзадачисоответствия.Цельданныхотчетов–дать вам и вашим аудиторам представление о механизмахуправленияAWS,предназначенныхдляподдержкиэксплуатациии обеспечения соответствия. Существует четыре типа отчетовAWSSOC:отчетAWSSOC1,отчетAWSSOC2:безопасностьидоступность,отчетAWSSOC2:конфиденциальностьиотчетAWSSOC3:безопасностьидоступность.
FedRAMP – это программа правительства США, нацеленнаяна обеспечение соответствия стандартам в области оценкибезопасности, авторизации и непрерывного мониторинга.Программа FedRAMP соответствует стандартам контролябезопасностиNIST800-53.
5
ПРОГРАММЫ
Модель облачной безопасности (CSM) Министерства обороны США –стандартыоблачныхвычислений,составленныеАгентствомзащитыинформационныхсистемМинистерстваобороныСШАизафиксированныевРуководствепотребованиямбезопасностиМинистерства обороны США. Предоставляет процедуруавторизации для владельцев рабочих нагрузок Министерстваобороны США с уникальными требованиями к архитектуре сучетомзначимости.
HIPAA – Закон об ответственности и переносе данных остраховании здоровья граждан (HIPAA) формулирует жесткиестандарты безопасности и соответствия для организаций,занятых в обработке и хранении защищенной медицинскойинформации.
Полное описание всех программ, требования которых мысоблюдаем,доступнонавеб-страницепрограммAWSAssurance.
AWS Artifact
Портал AWS Artifact предоставляет доступ по требованию к нашим документам о безопасности и соответствии (также известным как артефакты аудита). С помощью этих артефактов можно продемонстрировать аудиторам или представителям регулирующих организаций безопасность и соответствие требованиям вашей инфраструктуры и сервисов AWS.
К числу артефактов аудита относятся отчеты Service Organization Control (SOC), отчеты Payment Card Industry (PCI) и сертификаты органов аккредитации в разных регионах и вертикалях соответствия, подтверждающие наличие и эффективность средств управления безопасностью AWS.
Портал AWS Artifact доступен непосредственно с Консоли управления AWS.
6
ОТРАСЛИ
7
ОТРАСЛИ
• Сельское хозяйство и горная промышленность
• Аналитика и большие данные
• Компьютеры и электроника
• Электронная коммерция
• Образование
• Энергетика и ЖКХ
• Финансовые услуги
• Еда и напитки
• Игры
• Государственные учреждения
• Здравоохранение и производство медико-биологической продукции
• Страхование
• Обрабатывающая промышленность
• Средства массовой информации и индустрия развлечений
• Некоммерческие организации
• Недвижимость и строительство
• Оптовая, розничная торговля и распространение• Программное обеспечение и Интернет
• Телекоммуникации
• Транспортировка и логистика
• Путешествия и гостиничный бизнес
КлиентывследующихотрасляхиспользуютAWSдляудовлетворениясвоихпотребностейвобластивыполнениянормативныхтребований:
88
КАК МЫ РАЗДЕЛЯЕМ ОТВЕТСТВЕННОСТЬ
9
КАК МЫ РАЗДЕЛЯЕМ ОТВЕТСТВЕННОСТЬ
При переносе своей ИТ-инфраструктуры в AWS выначинаете работать по модели общей ответственности,проиллюстрированной на рисунке 2. Посколькуответственностьзаэксплуатацию,контрольИТ-компонентови управление ими, начиная с серверной операционнойсистемыиуровнявиртуализацииизаканчиваяфизической
Рисунок 2. Модель общей ответственности
безопасностьюобъектов,накоторыхфункционируетсервис,лежитнанас,свасснимаетсячастьоперационнойнагрузки.Модель общей ответственности распространяется ина средства ИТ-контроля. Вы разделяете с нами нетолько ответственность за эксплуатацию ИТ-среды, нои эксплуатацию, проверку механизмов ИТ-контроля иуправление ими. Мы снимаем с вас часть операционнойнагрузки,взявнасебяуправлениемеханизмамиконтроля,связанными с физической инфраструктурой, котораяразвернутавсредеAWS.ВыможетеиспользоватьдокументациюAWSпоконтролюисоответствиюдляпроведениясамостоятельнойоценкиипроверкимеханизмовконтролясогласнотребованиямтогоилииногостандартасоответствия.
КЛИ
ЕНТ
AWS
ДАННЫЕ КЛИЕНТА
ПЛАТФОРМА, ПРИЛОЖЕНИЯ, УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ
КОНФИГУРАЦИЯ ОПЕРАЦИОННОЙ СИСТЕМЫ, СЕТИ И БРАНДМАУЭРОВ
ВЫЧИСЛЕНИЯ ХРАНЕНИЕ БАЗА ДАННЫХ СЕТЬ
ПЕРИФЕРИ-ЙНЫЕ МЕСТО-ПОЛОЖЕНИЯ
РЕГИОНЫ
ЗОНЫ ДОСТУПНОСТИ
ОТВЕЧАЕТ ЗА БЕЗОПАСНОСТЬВ ОБЛАКЕ
ОТВЕЧАЕТ ЗА БЕЗОПАСНОСТЬОБЛАКА
ШИФРОВАНИЕ ДАННЫХ НА СТОРОНЕКЛИЕНТА И АУТЕНТИФИКАЦИЯ
ЦЕЛОСТНОСТИ ДАННЫХ
ШИФРОВАНИЕ НА СТОРОНЕ СЕРВЕРА (ФАЙЛОВАЯ СИСТЕМА И (ИЛИ) ДАННЫЕ)
ЗАЩИТА СЕТЕВОГО ТРАФИКА (ШИФРОВАНИЕ/ЦЕЛОСТНОСТЬ/ИДЕНТИФИКАЦИЯ)
ГЛОБАЛЬНАЯ ИНФРАСТРУКТУРА AWS
10
AWS: СООТВЕТСТВИЕ ОБЛАКА
Мы помогаем вам в обслуживании безопасной исоответствующейтребованиямсреды.Вобщемицелом,мы:
Проверяем, что наши сервисы и объекты в разныхуголках планеты формируют единую эффективнофункционирующую среду управления. Наша средаконтролявключаетполитики,процессыиконтрольныемероприятия с применением разных компонентовсредыконтроляAmazon.
Коллективная среда контроля включаетспециалистов, процессы и технологии, необходимыедля создания и обслуживания среды, котораяобеспечивает операционную эффективностьнашей платформы контроля. Мы интегрировали всвою платформу контроля облачные механизмыконтроля, рекомендованные ведущими отраслевымиорганизациями в сфере облачных вычислений. Мыосуществляем мониторинг этих отраслевых групп впоискахрекомендаций,выполнениекоторыхпоможетвамвуправлениисредойконтроля.
Демонстрируем соответствие требованиям нашейкомпанииипродукции,чтобыпомочьвамподтвердитьсоответствие отраслевым и государственнымтребованиям. Мы взаимодействуем с независимымисертифицирующими организациями и независимымиаудиторами, чтобы предоставить вам подробнуюинформацию о политиках, процедурах и механизмахконтроля,внедренныхииспользуемыхнами.
Контролируем, что, выполняя тысячи требований вобласти контроля безопасности, мы поддерживаемсоответствие международным стандартам иотраслевымрекомендациям.
11
КЛИЕНТ: СООТВЕТСТВИЕ В ОБЛАКЕ
Какивтрадиционномцентреобработкиданных,вынесетеответственность за управление гостевой ОС (включаяобновления и исправления безопасности), связаннымиприложениями и конфигурацией предоставленного AWSбрандмауэра группы безопасности. Следует внимательноподходитьквыборусервисов,посколькувашиобязанностиварьируются в зависимости от используемых сервисов,интеграцииэтихсервисоввИТ-среду,атакжедействующихзаконовинормативныхтребований.
Чтобы эффективно управлять своими ресурсами AWS,следуетзнать,какиересурсывыиспользуете(инвентаризацияресурсов), как безопасно настроить гостевую ОС иприложения на своих ресурсах (параметры безопаснойконфигурации,исправленияизащитаотвредоносногоПО)и как контролировать изменения ресурсов (управлениеизменениями).
Вы можете интегрировать предоставляемую намиинформацию о программе по снижению рисков иобеспечениюсоответствиявсвоюструктурууправления.
12
ВАШ КОНТЕНТ
13
ВАШ КОНТЕНТ
Мы построили модель общей ответственности такимобразом, чтобы вы сохранили владение своим контентоми контроль над ним. С помощью простых, но мощныхинструментовможноопределить,гдебудетхранитьсявашконтент, обеспечить его безопасность при перемещениии хранении и управлять доступом ваших пользователей ксервисамиресурсамAWS.
Примечание. Мы используем доступ к вашему контенту исключительно в целях предоставления вам и вашим конечным пользователям определенных сервисов AWS. Мы никогда не используем ваш контент в своих целях, включая рекламу и маркетинг.
Доступ. Используя расширенный набор возможностей дляосуществления доступа, шифрования и ведения журнала(например,AWSCloudTrail),выможетеуправлятьдоступомксвоемуконтенту,сервисамAWSидругимресурсам.Мынеиспользуемдоступквашемуконтенту,кромеслучаев,когдаэтоготребуетзаконодательствоикогдаэтонеобходимодляподдержкисервисовAWSипредоставленияихвамивашимконечнымпользователям.
Хранение. Вы выбираете регионы для хранения вашегоконтента.Мынебудемперемещатьилиреплицироватьвашконтент за пределы выбранных клиентом регионов, кромеслучаев,когдаэтоготребуетзаконодательствоиликогдаэтонеобходимодляподдержкисервисовAWSипредоставленияихвамивашимконечнымпользователям.Например,клиентвЕвропеможетпринятьрешениеоразвертываниисервисовAWSтольковрегионеЕС(Германия).
14
ВАШ КОНТЕНТ
Безопасность. Вы решаете, как будет обеспечиватьсябезопасность вашего контента. Мы предлагаем вамнадежные средствашифрования контента при передаче ихранении,атакжепредоставляемвозможностьиспользоватьсобственныеключишифрования.
Разглашение контента. Мы ни при каких условиях неразглашаемвашконтент,кромеслучаев,когдаэтотребуетсязаконодательством или действительным постановлениемобязательного характера, выпущенным государственнымили иным регулирующим органом. Если мы вынужденыразгласитьвашконтент,сначаламыуведомимвасобэтом,чтобывымоглинайтиииспользоватьсредствазащитыотразглашения.
Важно! Если на уведомление о разглашении наложен запрет или присутствуют явные свидетельства нелегальной деятельности. связанной с использованием продуктов и сервисов Amazon, мы не уведомим вас перед разглашением контента.
Гарантия безопасности. Чтобы помочь вам создать средууправления безопасностью и эффективно использоватьее, мы разработали программу обеспечения безопасностинаосновемировыхрекомендацийпообеспечениюзащитыданныхиконфиденциальности.Этипроцессыобеспечениябезопасностииуправлениябылинеоднократнопроверенынезависимымистороннимиспециалистами.
Примечание. Чтобы подтвердить, что мы управляем безопасностью облака с использованием технических и физических средств контроля, созданных для защиты от несанкционированного доступа к контенту клиента или разглашения такого контента, независимый аудитор подтвердил наше заявление о соответствии отраслевым стандартам.
15
ГДЕ ХРАНИТСЯ ВАШ КОНТЕНТ
Центры обработки данных AWS создаются как кластерыв разных странах по всему миру. Каждый кластер ЦОД вконкретной стране получает статус «региона». У вас естьдоступкмногочисленнымрегионамAWSвразныхстранахмира.Можновыбратьдляработыодинрегион,всерегионыилиихпроизвольнуюкомбинацию.
Рисунок 3. Регионы
Выполностьюконтролируетерегионразмещения,вкоторомданные располагаются физически, и доступ к ним, чтопозволяетлегкообеспечиватьсоответствиерегиональнымтребованиям и требованиям к размещению данных.Можно выбрать регион или регионы AWS для хранениясвоего контента. Это полезно при наличии конкретныхгеографических требований. Например, клиент в Европеможет принять решение о развертывании сервисов AWSтолько в регионе ЕС (Германия). Если вы сделаете такойвыбор,вашконтентбудетхранитьсявГермании,покавыневыберетедругойрегионAWS.
16
НЕПРЕРЫВНОСТЬ БИЗНЕСА
Наша инфраструктура отличается высокой доступностью,и мы предоставляем вам возможности, необходимые дляразвертыванияустойчивойИТ-архитектуры.Нашисистемысозданы для обработки системных и аппаратных сбоев сминимальнымвлияниемнаклиента.
Устойчивость –этоснижениевероятностиситуации,когдаресурсыстановятсянедоступны.
Восстановление –этоуменьшениевлиянияситуации,когдаресурсыстановятсянедоступны.
Резервное копирование–этостратегия,помогающаясправитьсясослучайнымилинамереннымуничтожениемданных.
Аварийное восстановление – это процедура подготовкик аварии и восстановления после нее. Любое событие,которое негативно сказывается на непрерывности вашегобизнеса или вашем финансовом положении, можноотнести к аварии. Облако AWS поддерживает множествопопулярныхархитектурдляаварийноговосстановления,от«сигнальных»сред,готовыхкмоментальномувертикальномумасштабированию, до сред «горячего резервирования»,предназначенныхдлябыстройобработкиотказа.
Более подробные сведения об аварийном восстановлениивAWSдоступнынасайтеhttps://aws.amazon.com/disaster-recovery/.
Наши центры обработки данных объединены в кластерыв нескольких глобальных регионах. Все ЦОД работаютонлайн и обслуживают клиентов; «холодные» ЦОД непредусмотрены. В случае сбоя трафик данных клиентаавтоматическиперемещаетсяиззатронутойсбоемобласти.
17
НЕПРЕРЫВНОСТЬ БИЗНЕСА
Мы предоставляем вам возможность размещать инстансыихранитьданныевнесколькихгеографическихрегионах,атакжевнесколькихзонахдоступностивпределахкаждогоиз регионов. Распределяя приложения по несколькимзонам доступности, вы обеспечиваете отказоустойчивостьв большинстве аварийных ситуаций, включая стихийныебедствияиотказысистемы.
Вы можете создавать отказоустойчивые системы воблаке, используя множество инстансов в несколькихзонах доступности, а также реплицируя данные, чтобыдобиться невероятно высоких значений целевого временивосстановленияицелевойточкивосстановления.
Вы несете ответственность за тестирование резервногокопирования и восстановления своей информационнойсистемынабазеинфраструктурыAWS,атакжезауправлениеэтими процессами. Можно использовать инфраструктуруAWSдляускоренногоаварийноговосстановлениякритическиважныхИТ-систембезрасходовнаинфраструктурувторойфизическойсреды.ОблакоAWSподдерживаетмножествопопулярныхархитектурдляаварийноговосстановления,от«сигнальных»сред,готовыхкмоментальномувертикальномумасштабированию, до сред «горячего резервирования»,предназначенныхдлябыстройобработкиотказа.
18
БЕЗОПАСНОСТЬ
19
БЕЗОПАСНОСТЬ
Безопасность облака является главным приоритетом дляAWS. В Центре безопасности AWS доступны подробныесведенияобезопасностиисоответствииAWS.
Мы поддерживаем глобальную облачную инфраструктуру,которую вы используете для подготовки многообразиябазовых вычислительных ресурсов, таких как системыобработки и хранения. Наша глобальная инфраструктуравключает объекты, сеть, оборудование и операционноепрограммное обеспечение (например, серверную ОС,программное обеспечение виртуализации и так далее),поддерживающее подготовку и использование этихресурсов.Нашаглобальнаяинфраструктураспроектированаи управляется в соответствии с рекомендациями побезопасности и различными стандартами соответствияв области безопасности. Вы – клиент AWS – можетене сомневаться, что в основе создаваемой вамиинтернет-архитектуры лежит одна из самых безопасныхвычислительныхинфраструктурвмире.
20
РЕСУРСЫ
21
РЕСУРСЫ
Всевеб-страницыитехническиеописания,упоминаемыевэтом документе, доступны в Центре справочных ресурсовпобезопасностиисоответствиюAWSпоадресуhttps://aws.amazon.com/compliance/reference/.
ПАРТНЕРЫ И MARKETPLACE
ОБУЧЕНИЕ
AWS Partner Network (APN) – это глобальная партнерскаяпрограмма AWS. Она помогает партнерам APN в созданиипроцветающего бизнеса с AWS и разработке успешныхрешений. В рамках программы партнерам предоставляетсяподдержкаввопросахбизнеса,маркетингаиосвоениярынка,а также в решении технических вопросов. Дополнительныесведениядоступнынасайтеhttps://aws.amazon.com/partners/.
AWSMarketplace–этоканалпродаж,спомощьюкоторогопродавцы AWS могут легко и удобно предлагать своипрограммныерешениянабазеоблакаAWS.Дополнительныесведения доступны на сайте https://aws.amazon.com/marketplace/.
Учебные курсы AWS помогут вам и вашим специалистамрасширить свои знания, отточить имеющиеся навыки и,соответственно, работать в облаке более эффективно.Доступны курсы для пользователей любого уровняподготовки. Дополнительные сведения доступны на сайтеhttps://aws.amazon.com/training/.
22