Współdzielona odpowiedzialność w chmurze AWS

30 września 2020

Współdzielona odpowiedzialność w chmurze AWS

Usługi chmurowe z dnia na dzień stają się coraz bardziej popularnym rozwiązaniem dla infrastruktury serwerowej. Bez wątpienia posiadają ogromną ilość zalet takich jak:  łatwa skalowalność, globalność usług, optymalizacja kosztów czy błyskawiczna i nieograniczona dostępność zasobów.

Pomimo wszystkich zalet, które bez wątpienia możemy znaleźć u dostawców chmurowych wciąż pojawia się wątpliwość czy aby na pewno dane, które przechowujemy są bezpieczne? Czy tylko dostawca chmury jest jedynym podmiotem odpowiedzialnym za to jak przechowujemy nasze dane?

Jaką odpowiedzialność ponosimy w chmurze AWS?

Niestety użytkownicy błędnie uważają, że skorzystanie z chmury będzie wiązało się z całkowitym zwolnieniem z obowiązku zabezpieczenia przechowywanych w niej danych. Pojawia się u nich przekonanie, że skoro płacimy za gotowe już usługi/rozwiązania cała odpowiedzialność spoczywa na wybranym przez nas dostawcy. W tym przypadku na Amazon Web Services.

Aby dobrze zrozumieć to za co i w jakim zakresie jesteśmy odpowiedzialni decydując się na skorzystanie z usług AWS musimy zapoznać się z informacjami dotyczącymi AWS Shared Responsibility Model  (współdzielonej odpowiedzialności).

Amazon Web Services, w tym modelu odpowiedzialny jest za „Security of the Cloud” (bezpieczeństwo chmury), a więc za ochronę infrastruktury, która obsługuje wszystkie usługi, z których możemy korzystać w AWS. Zgodnie z tym założeniem Amazon Web Services odpowiada za fizyczną warstwę chmury (sprzęt, sieć i obiekty/fizyczne serwerownie) oraz oprogramowania i ich konfigurację. Zobowiązany jest do dostarczenia klientowi w pełni działające środowisko oraz usługi.

Klient zobowiązany jest dbać o część związaną z „Security in the Cloud” (bezpieczeństwo w chmurze). Odpowiedzialność będą określać usługi, które klient wybierze. W zależności od tego jakie usługi zostaną wybrane odpowiedzialność klienta będzie się różnić, a więc to klient poniekąd decyduje o stopniu swojej odpowiedzialności. Usługi takie jak EC2 (IaaS) będą wymagały od klienta konfiguracji instancji, która jest niezbędna, a więc będzie musiał zabezpieczyć ją w odpowiedni sposób oraz odpowiadać za zarządzaniem systemem operacyjnym. Klient będzie odpowiadał za nadanie uprawnień użytkownikom oraz tym czy dane EC2 są dostępne publicznie. W momencie uruchomienia usługi Lambda (FaaS) to AWS ponosi odpowiedzialność za jej działanie.

Dobrym przykładem podziału współdzielenia odpowiedzialności w chmurze AWS jest jedna z najbardziej popularnych usług jaką jest S3 (Amazon Simple Storage Services), w której Amazon Web Services jako dostawca odpowiada za infrastrukturę oraz system operacyjny dając dostęp do usługi klientom. Klienci natomiast korzystający z S3 odpowiedzialni są za zarządzanie i zabezpieczenie swoich danych po przez odpowiednie wybranie polityki bezpieczeństwa i nadania dostępów do swoich danych przechowywanych zgodnie z tym dla kogo i w jakim stopniu mogą być widoczne.

W ramach współdzielonej odpowiedzialności obowiązki AWS i Klienta wspólnie się uzupełniają. Amazon Web Services jako firma odpowiedzialna jest za szkolenie swoich pracowników między innymi w zakresie bezpieczeństwa. Tak samo Klient ma obowiązek przeprowadzania szkoleń dla swoich pracowników, którzy wykorzystują chmurę AWS.

Aby w prawidłowy sposób korzystać możliwości chmury obliczeniowej musimy dobrze poznać za co jesteśmy odpowiedzialni. Bez tej świadomości nasze dane nie będą zabezpieczone w prawidłowy sposób. Należy pamiętać, że każdy dostawca posiada swój model podziału odpowiedzialności.

Decydując się na rozwiązania chmurowe należy pamiętać, że przetwarzanie danych w chmurze wiąże się z podjęcie odpowiedzialności za ich bezpieczeństwo. Żaden dostawca chmurowy nie jest odpowiedzialny w całości za to jak przechowujemy dane i czy są one bezpieczne. Aby dobrze zrozumieć podział w chmurze AWS stworzył jasny podział obowiązków dzieląc je na obowiązki dostawcy – AWS oraz Klienta. Taki podział daje nam jasne informacje za co jesteśmy odpowiedzialni.

Tylko znając i rozumiejąc model współdzielonej odpowiedzialność możemy mieć pewność, że przetwarzane przez nas dane są bezpieczne.

 Shared Responsibility Model

źródło: https://aws.amazon.com/compliance/shared-responsibility-model/

 

PYTANIA? SKONTAKTUJ SIĘ Z NAMI

 

Zobacz również:

Case Studies
Referencje

Firma Hostersi pozwoliła nam osadzić ogólne zagadnienia programu Well Architected Framework w kontekście naszej firmy. Oszczędziło nam to wiele czasu i pozwoliło znaleźć lepiej dopasowane rozwiązania do specyfiki naszego biznesu. WAF był świetnym katalizatorem do wprowadzenie szeregu zmian w obszarze niezawodności, szybkości i bezpieczeństwa edrone. 

Piotr Stachowicz
CTO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.