- 责任共担模型
- 责任共担模型不只使用于安全相关的考虑,也适用于IT控制。例如,IT控制相关的管理,操作和验证的责任都是由AWS和用户共同承担的。AWS负责底层物理基础设施。
- 客户需要确保IT管理的人力物力投入,不管在on-premises或者cloud环境,这些投入都是必须的。
- AWS提供管理信息的两种途径
- Specific control definition,具体的控制定义
- General control standard compliance,通用的管理标准约定
- 控制环境包括
- People
- Processes
- Technology
- 风险和约束管理的三个领域
- Risk Management
- Control Environment
- Information Security
- AWS通过以下方式向用户沟通,注意:用户不会通知AWS,这个是单向的
- 获取工业级别的认证和第三方认证
- 通过网站,白皮书,博客等向用户发布安全相关的信息
- 在基于NDA下直接向用户提供证书,报告和其它的文档
- AWS获取的认证包括但不局限于以下
- FedRAMP
- FIPA 140-2
- FISMA and DLACAP
- HIPAA
- ISO 9001
- ISO 27001
- ITAR
- PCI DSS Level 1
- SOC 1/ISAE 3402
- SOC 2
- SOC 3
- 关于AZ
- 每个AZ包含多个数据中心(Data Centers),且都包含冗余电源,网络和连接等。
- 关于vulnerability scans
- AWS定期扫描所有公共IP地址以确保没有安全漏洞,但不会扫描用户Instance
- AWS会通知相关的组织来修复发现的安全问题
AWS Risk and Compliance
最新推荐文章于 2024-07-10 14:54:10 发布