Model Tanggung Jawab Bersama
Keamanan dan Kepatuhan merupakan tanggung jawab bersama antara AWS dan pelanggan. Model bersama ini dapat membantu meringankan beban operasional pelanggan karena AWS mengoperasikan, mengelola, dan mengontrol komponen dari sistem operasi host dan mulai dari lapisan virtualisasi hingga ke keamanan fisik fasilitas tempat layanan beroperasi. Pelanggan memiliki tanggung jawab dan akan mengelola sistem operasi tamu (termasuk pembaruan dan patch keamanan), perangkat lunak aplikasi terkait lainnya serta konfigurasi firewall grup keamanan yang disediakan AWS. Pelanggan harus mempertimbangkan dengan hati-hati layanan yang mereka pilih karena tanggung jawab mereka akan bervariasi tergantung pada layanan yang digunakan, integrasi layanan tersebut ke dalam lingkungan IT mereka, serta undang-undang dan peraturan yang berlaku. Sifat tanggung jawab bersama ini juga menyediakan fleksibilitas dan kontrol pelanggan yang memungkinkan penyebaran. Sebagaimana ditampilkan dalam bagan di bawah ini, perbedaan tanggung jawab ini secara umum dirujuk sebagai Keamanan "dari" Cloud versus Keamanan "di" Cloud.
Tanggung jawab AWS "Keamanan dari Cloud" – AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan semua layanan yang ditawarkan di AWS Cloud. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS Cloud.
Tanggung jawab pelanggan "Keamanan di Cloud" – Tanggung jawab pelanggan akan ditentukan oleh layanan AWS Cloud yang dipilih pelanggan. Hal ini menentukan jumlah pekerjaan konfigurasi yang harus dilakukan pelanggan sebagai bagian dari tanggung jawab keamanan mereka. Misalnya, layanan seperti Amazon Elastic Compute Cloud (Amazon EC2) dikategorikan sebagai Infrastructure as a Service (IaaS) dan, dengan demikian, mengharuskan pelanggan untuk melakukan semua tugas konfigurasi dan manajemen keamanan yang diperlukan. Pelanggan yang menerapkan instans Amazon EC2 bertanggung jawab atas manajemen sistem operasi (termasuk pembaruan dan patch keamanan), perangkat lunak aplikasi atau utilitas yang diinstal oleh pelanggan di instans, dan konfigurasi firewall yang disediakan AWS (disebut sebagai grup keamanan) di setiap instans. Untuk layanan yang diabstraksi, seperti Amazon S3 dan Amazon DynamoDB, AWS mengoperasikan lapisan infrastruktur, sistem operasi, dan platform, serta pelanggan mengakses titik akhir untuk menyimpan dan mengambil data. Pelanggan bertanggung jawab untuk mengelola data mereka (termasuk opsi enkripsi), mengklasifikasikan aset mereka, dan menggunakan alat IAM untuk menerapkan izin yang sesuai.
Model tanggung jawab bersama pelanggan/AWS ini juga diperluas ke kontrol IT. AWS dan pelanggannya sama-sama bertanggung jawab untuk mengoperasikan lingkungan IT, begitu juga manajemen, operasi, dan verifikasi kontrol IT. AWS dapat membantu meringankan beban kontrol operasi pelanggan dengan mengelola kontrol yang terkait dengan infrastruktur fisik yang disebarkan di lingkungan AWS yang sebelumnya mungkin telah dikelola pelanggan. Mengingat setiap pelanggan disebarkan secara berbeda di AWS, pelanggan dapat mengambil keuntungan dari pengalihan manajemen kontrol IT tertentu ke AWS yang menghasilkan lingkungan kontrol terdistribusi (baru). Pelanggan kemudian dapat menggunakan dokumentasi kontrol dan kepatuhan AWS yang tersedia bagi mereka untuk melakukan prosedur evaluasi dan verifikasi kontrol mereka sebagaimana diperlukan. Berikut adalah contoh kontrol yang dikelola oleh AWS, Pelanggan AWS, dan/atau keduanya.
Kontrol Warisan – Kontrol yang sepenuhnya diwarisi pelanggan dari AWS.
- Kontrol Fisik dan Lingkungan
Kontrol Bersama – Kontrol yang berlaku untuk lapisan infrastruktur dan lapisan pelanggan, namun dalam konteks atau perspektif yang benar-benar terpisah. Dalam kontrol bersama, AWS memberikan persyaratan untuk infrastruktur dan pelanggan harus menyediakan implementasi kontrol mereka sendiri dalam penggunaan layanan AWS. Contohnya meliputi:
- Manajemen Patch – AWS bertanggung jawab untuk patching dan memperbaiki kelemahan dalam infrastruktur, namun pelanggan bertanggung jawab untuk melakukan patching OS tamu dan aplikasi mereka.
- Manajemen Konfigurasi – AWS memelihara konfigurasi perangkat infrastrukturnya, namun pelanggan bertanggung jawab untuk mengonfigurasi sistem operasi tamu, database, dan aplikasi mereka.
- Kesadaran & Pelatihan – AWS melatih karyawan AWS, namun pelanggan harus melatih karyawan mereka sendiri.
Khusus Pelanggan – Kontrol yang hanya merupakan tanggung jawab pelanggan berdasarkan aplikasi yang mereka sebarkan dalam layanan AWS. Contohnya meliputi:
- Perlindungan Layanan dan Komunikasi atau Keamanan Zona yang mungkin mengharuskan pelanggan untuk merutekan atau menzonakan data dalam lingkungan keamanan khusus.
Menerapkan Model Tanggung Jawab Bersama AWS dalam Praktik
Setelah pelanggan memahami Model Tanggung Jawab Bersama AWS dan bagaimana ini umumnya berlaku untuk beroperasi di cloud, mereka harus menentukan cara menerapkannya pada kasus penggunaan mereka. Tanggung jawab pelanggan bervariasi tergantung pada banyak faktor, termasuk layanan dan Wilayah AWS yang mereka pilih, integrasi layanan tersebut ke dalam lingkungan IT, dan undang-undang serta regulasi yang berlaku untuk organisasi dan beban kerja mereka.
Latihan berikut dapat membantu pelanggan menentukan distribusi tanggung jawab berdasarkan kasus penggunaan spesifik:
Tentukan persyaratan dan tujuan keamanan eksternal dan internal serta kepatuhan terkait, dan pertimbangkan kerangka kerja industri sepertiNIST Cybersecurity Framework (CSF) dan ISO.
Pertimbangkan penggunaan AWS Cloud Adoption Framework (CAF) dan praktik terbaik Well-Architected untuk merencanakan dan menjalankan transformasi digital Anda dalam skala besar.
Tinjau opsi fungsionalitas dan konfigurasi keamanan layanan AWS individual dalam bab keamanan di dokumentasi layanan AWS.
Evaluasi Layanan AWS Security, Identity, dan Compliance untuk memahami bagaimana layanan tersebut dapat digunakan untuk membantu memenuhi tujuan keamanan dan kepatuhan Anda.
Tinjau dokumen pengesahan pihak ketiga untuk menentukan kontrol turunan dan kontrol yang diperlukan apa yang mungkin tersisa untuk Anda terapkan di lingkungan Anda.
Beri tim audit internal dan eksternal Anda dengan peluang pembelajaran khusus cloud dengan memanfaatkan program pelatihan Cloud Audit Academy.
Lakukan Tinjauan Well-Architected di beban kerja AWS Anda untuk mengevaluasi implementasi praktik terbaik untuk keamanan, keandalan, dan performa.
Jelajahi solusi yang tersedia di katalog digital AWS Marketplace dengan ribuan daftar perangkat lunak dari vendor perangkat lunak independen yang memungkinkan Anda menemukan, menguji, membeli, dan men-deploy perangkat lunak yang beroperasi di AWS.
Jelajahi Partner Kompetensi Keamanan AWS yang menawarkan keahlian dan bukti keberhasilan pelanggan dalam mengamankan tiap tahap adopsi cloud, dari migrasi awal hingga manajemen harian yang berkelanjutan.