1.介紹共同責任模型
共同責任模型(AWS shared responsibility model)是為了解決公司營運的問題「不能讓兩家不同的公司保護相同的物件」,所以AWS將客戶的應用程式分成兩個部份(如下圖),其中由AWS負100%的責任,而剩下則由使用者(客戶)100%負責。
AWS負責了實體、網路及管理程序,實體就是資料中心,當然AWS不可能會提供也不可能讓人存取,要保護使用者的個資。網路是要保護Amazon VPC可以快速且大規模運作,並且也定期通過一些第三方稽核,保護使用者的流量。另外AWS雖然有公佈使用以 Xen 為基礎的管理程序,但額外做了很多變更,讓他更安全,更能擴展給更多人使用。
而上方從作業系統(EC2)到使用者資料全部都由AWS使用者自行負責,但是要注意的是,AWS完全沒有辦法看到上方三個裡面的資料,全部的資料都受到加密方法保護,換句話說AWS的可見性為零。只要各自負好各自的責任,兩者合起來就可以獲得安全應用程式的環境。
2.考前重點大補帖
⦁ 基本上不能讓兩家不同的公司保護相同的物件。
⦁ AWS 完全無法搜尋使用者資訊的資訊。
⦁ AWS使用以 Xen 為基礎的管理程序。
⦁ 使用者與AWS共同合作共創安全的應用程式環境。
3.經典歷屆試題
單選題
在共同責任模型下,AWS客戶需為以下哪項負責?
A. 使用後清除硬碟資料
B. 確保韌體已更新
C. 確保靜態資料加密
D. 確保網路電纜為第六類會更高
正解:c
AWS的總體擁有成本(TCO)會比本地的TCO多出下列哪一項?
A. 項目管理
B. 防毒軟體
C. 數據中心安全
D. 軟體開發
正解:c
下列哪一個AWS功能可以減少客戶的TCO?
A. 共同責任安全模型
B. 單租戶技術(Single tenancy)
C. 彈性計算(Elastic computing)
D. 加密
正解:c
《詳解》
首先A選項多了「安全」兩個字,如果選項改成「共同責任模型」或許就可以選,因為共同責任模型AWS會負責數據中心的建置及維護成本。
單租戶技術是指一個雲環境只能讓一個用戶使用,明顯使本題無關。
C選項的彈性計算會是本題最好的解答,彈性計算是指可以根據需要彈性的增加或減少計算能力,避險資源閒置,可以有效降低TCO。
AWS會對以下哪個流程負全責?
A. AWS IAM策略
B. 實體的安全
C. Amazon S3政策
D. AWS CloudTrail日誌
正解:B
下列哪一個是AWS與其客戶各自可以控制的(Shared controls) ?
A. S3客戶端加密
B. EC2實例配置
C. AWS數據中心的環境控制
D. 公司意識及培訓
正解:D
《詳解》
根據AWS官方白皮書有三個Shared controls,補丁管理(patch management)、配置管理(configuration management)、意識及培訓(awareness & Training)。
在AWS共享模型下,以下哪項為客戶與AWS的共享控件(Shared controls)?
A. 實體控制
B. 補丁管理
C. 區域安全
D. 數據中心審核
正解:B
在AWS共享模型下,AWS客戶須為以下何事負責?
A. 修補基礎架構
B. 保護實體安全
C. 修補Amazon EC2實例
D. 修補基礎網路措施
正解:C
根據AWS共享模型,AWS客戶應負責下列何者?
A. 數據中心訪問控制
B. 資料加密
C. 保證儲存設備的安全
D. 環境風險管理
正解:B
下列構成AWS共享模型的要件何者是由AWS管理的?
A. 修補操作軟體
B. 加密資料
C. 實施MFA
D. 管理數據中心資產
正解:D
AWS須負責以下哪一任務?
A. 加密客戶端數據
B. AWS IAM政策
C. 確保EC2監控程序的安全
D. 設定用戶密碼政策
正解:C
《詳解》
EC2為基礎設施及服務(IaaS),換句話說EC2的基礎管理為AWS的責任,就算今天客戶編碼不正確或防火牆設置的不安全也都不會影響到在該EC2內的監控程序。
多選題
在共同責任模型下,身為AWS客戶應負責下列何事?(選擇兩項)
A. 修補AWS RDS操作系統
B. 加密客戶端數據
C. 培訓數據中心人員
D. 配置網絡訪問控制列表(ACL)
E. 控制數據中心內環境
正解:B、D
在共同責任模型下,以下哪件事為AWS用戶的任務?(選擇兩項)
A. 確保應用程式的數據在靜態時是被加密的
B. 確保AWS 的網路時間協定(NTP)是正確的
C. 確保公司相關人員有接受過AWS的安全培訓
D. 確保在連結數據中心時有受到限制
E. 確保正確的操作應體設施
正解:A、C
iThome鐵人賽
看影片追技術