AWS BEZPIECZEŃSTWO I ZGODNOŚĆ SKRÓCONY PODRĘCZNIK KORZYSTANIA

Transkrypt

1 AWS BEZPIECZEŃSTWO I ZGODNOŚĆ SKRÓCONY PODRĘCZNIK KORZYSTANIA

2 2

3 Wstęp Programy Branże Jak rozdzielamy odpowiedzialność AWS zgodność chmury Klient zgodność w chmurze Państwa treści Gdzie przechowywane są Państwa treści Ciągłość działalności Bezpieczeństwo Zasoby Partnerzy i Marketplace Szkolenia

4 WSTĘP 4

5 WSTĘP Migracja regulowanej pracy do chmury umożliwi Państwu dostęp do wielu naszych funkcji zarządzania, które mogą Państwo wykorzystać do podniesienia poziomu bezpieczeństwa bez względu na skalę prowadzonej działalności. Zarządzanie w chmurze pozwala obniżyć koszty wstępne i łatwiej prowadzić działania o zwiększonej elastyczności poprzez lepszy nadzór, kontrolę bezpieczeństwa oraz centralną automatyzację. Migracja do chmury umożliwia wykorzystanie usługi AWS w celu zmniejszenia liczby koniecznych kontroli bezpieczeństwa. Zgodność środowiska jest wynikiem jego właściwej ochrony. Zapewniamy niezawodny zestaw kontroli infrastruktury, które zostały zweryfikowane podczas wielu atestacji i certyfikacji. Każda certyfikacja oznacza, że właściwe wdrożenie i działanie danej kontroli bezpieczeństwa zostało zweryfikowane przez audytora. Więcej informacji na temat naszych atestacji i certyfikacji można znaleźć na stronie AWS Assurance Programs. Oferujemy również szeroką gamę usług i narzędzi, które pozwolą Państwu osiągnąć zgodność w chmurze, takich jak Amazon Inspector, AWS Artifact, AWS Service Catalog, AWS CloudTrail, AWS Config i AWS Config Rules. 1

6 PROGRAMY 2

7 PROGRAMY Nasze środowiska podlegają ciągłym audytom, a infrastruktura i usługi są dopuszczone do działania zgodnego z różnymi standardami zgodności oraz certyfikacjami branżowymi w wielu lokalizacjach. Mogą Państwo skorzystać z tych certyfikacji, aby zweryfikować wdrożenia i efektywność naszych kontroli bezpieczeństwa. Rysunek 1: Programy zapewniania jakości Uwaga: Przez cały czas dodajemy nowe programy. Aktualna lista programów AWS Assurance Programs znajduje się na stronie. Certyfikacje/atestacje są przeprowadzane przez niezależnego audytora. Nasze certyfikacje, raporty z audytów oraz atestacje zgodności opierają się na wynikach pracy audytorów. 3

8 PROGRAMY Prawa i przepisy dotyczące prywatności oraz ramy zgodności są określone w zależności od Państwa branży lub funkcji. Oferujemy Państwu różne funkcje (np. ochronne) oraz pomoce, takie jak instrukcje dotyczące zgodności, dokumenty mapujące oraz oficjalne dokumenty. Oficjalna bezpośrednia certyfikacja w zakresie tych przepisów i programów jest 1) niedostępna dla podmiotów oferujących rozwiązania chmurowe 2) stanowi mniejszy podzbiór wymogów niż te objęte naszymi oficjalnymi programami certyfikacji/atestacji. Nasze najpopularniejsze programy obejmują: PCI DSS Payment Card Industry (PCI) Data Security Standards (DSS) to zbiór rygorystycznych standardów, których celem jest zapobieganie oszustwom i ochrona danych właścicieli kart, które obowiązują podmioty obsługujące płatności kartami kredytowymi. ISO ISO to szeroko stosowany globalny standard bezpieczeństwa, który określa wymogi dotyczące systemów zarządzania bezpieczeństwem danych. Zapewnia on oparte na okresowej ocenie ryzyka systematyczne podejście do zarządzania danymi firmy i klientów. SOC AWS Service Organization Control (SOC) to sporządzane przez stronę trzecią raporty, które opisują, jak usługa AWS realizuje najważniejsze cele i spełnia wymogi kontroli w zakresie zgodności. Celem tych raportów jest zapewnienie Państwu i audytorom lepszego zrozumienia kontroli usługi AWS, które zostały wdrożone, aby usprawnić jej działanie i zwiększyć zgodność. Istnieją cztery typy raportów AWS SOC: Raport AWS SOC 1, Raport bezpieczeństwa i dostępności AWS SOC 2, Raport poufności AWS SOC 2 oraz Raport bezpieczeństwa i dostępności AWS SOC 3. FedRAMP to program rządu Stanów Zjednoczonych, którego celem jest zapewnienie standardów oceny bezpieczeństwa, autoryzacji i ciągłości monitorowania. FedRAMP opiera się na standardzie kontroli bezpieczeństwa NIST

9 PROGRAMY DoD Cloud Security Model (CSM) to standardy dotyczące obliczeń w chmurze opracowane przez amerykańską agencję Defense Information Systems Agency (DISA), zamieszczone w wytycznych dotyczących bezpieczeństwa (SRG) Departamentu Obrony Stanów Zjednoczonych. Model ten zapewnia procedury autoryzacji dla właścicieli prac na rzecz Departamentu Obrony, których dotyczą wyjątkowe wymogi w zakresie architektury w zależności od poziomu wpływu. HIPAA ustawa HIPAA (Health Insurance Portability and Accountability Act) obejmuje rygorystyczne standardy w zakresie bezpieczeństwa i zgodności obowiązujące organizacje przetwarzające lub przechowujące chronione informacje zdrowotne (PHI). Kompleksowy opis każdego programu, którego zapisów przestrzegamy, można znaleźć na stronie AWS Assurance Programs. AWS Artifact Portal AWS Artifact pozwala na dostęp na żądanie do naszych dokumentów dotyczących ochrony i zgodności, zwanych również artefaktami audytowymi. Mogą Państwo z nich skorzystać, aby zademonstrować audytorom lub organom nadzorczym zgodność i bezpieczeństwo infrastruktury oraz usług AWS. Należą do nich raporty SOC (Service Organization Control), raporty PCI (Payment Card Industry), a także certyfikaty organów nadzorczych z różnych regionów, które świadczą o wdrożeniu i efektywnym działaniu kontroli bezpieczeństwa AWS. Dostęp do portalu AWS Artifact można uzyskać bezpośrednio z poziomu konsoli zarządzania AWS. 5

10 BRANŻE 6

11 BRANŻE W celu spełnienia wymogów zgodności organów nadzorczych z usługi AWS korzystają klienci z branż, takich jak: Rolnictwo i górnictwo Analityka i dane big data Komputery i elektronika E-commerce Edukacja Energetyka i usługi komunalne Nieruchomości i budownictwo Sprzedaż detaliczna i hurtowa oraz dystrybucja Oprogramowanie i Internet Telekomunikacja Transport i logistyka Podróże i zakwaterowanie Usługi finansowe Żywność i napoje Gry Administracja rządowa Ochrona zdrowia i nauki biologiczne Ubezpieczenia Produkcja Media i rozrywka Organizacje non profit 7

12 JAK ROZDZIELAMY ODPOWIEDZIALNOŚĆ 8 8

13 JAK ROZDZIELAMY ODPOWIEDZIALNOŚĆ Przenosząc infrastrukturę IT do usługi AWS, zostaną Państwo objęci modelem rozdzielania odpowiedzialności przedstawionym na rysunku 2. Ponieważ obsługujemy i kontrolujemy elementy systemu operacyjnego hosta oraz warstwy wirtualizacji, a także zarządzamy nimi aż do poziomu fizycznego bezpieczeństwa obiektu, w którym działa usługa, model ten ułatwia Państwu prowadzenie działań. DANE KLIENTA KLIENT ODPOWIADA ZA BEZPIECZEŃSTWO W CHMURZE ZARZĄDZANIE PLATFORMĄ, APLIKACJAMI, TOŻSAMOŚCIAMI I DOSTĘPEM KONFIGURACJA SYSTEMU OPERACYJNEGO, SIECI I ZAPORY DANE PO STRONIE KLIENTA SZYFROWANIE I UWIERZYTELNIANIE INTEGRALNOŚCI DANYCH SZYFROWANIE PO STRONIE SERWERA (SYSTEMU PLIKÓW I/LUB DANYCH) OCHRONA RUCHU SIECIOWEGO (SZYFROWANIE / INTEGRALNOŚĆ / TOŻSAMOŚĆ) AWS ODPOWIADA ZA BEZPIECZEŃSTWO CHMURY OBLICZENIA GLOBALNA INFRASTRUKTURA AWS PRZECHO- WYWANIE REGIONY BAZA DANYCH STREFY DOSTĘPNOŚCI SIEĆ LOKALIZACJE SKRAJNE Rysunek 2: Model dzielenia odpowiedzialności Model dzielonej odpowiedzialności obejmuje również kontrole IT. Tak samo jak w przypadku obsługi środowiska IT dzielimy z Państwem odpowiedzialność za zarządzanie, działanie i weryfikację kontroli IT. Zmniejszamy Państwa obciążenie wynikające z prowadzania kontroli poprzez zarządzanie kontrolami powiązanymi z fizyczną infrastrukturą wdrożoną w środowisku AWS. Mogą Państwo wykorzystać dokumentację zgodności i kontroli AWS w celu oceny procedur kontrolnych i weryfikacyjnych zgodnie z obowiązującymi standardami w zakresie zgodności. 9

14 AWS ZGODNOŚĆ CHMURY Odpowiadamy za pomoc w utrzymaniu bezpiecznego i gotowego do przystosowania do wymogów dotyczących zgodności środowiska. Do naszych obowiązków należy: Zagwarantowanie, że nasze usługi i obiekty na całym świecie zapewniają globalne środowisko kontroli, które działa efektywnie. Nasze środowisko kontrolne obejmuje zasady, procesy i działania kontrolne, które wykorzystują różne aspekty ogólnego środowiska kontroli firmy Amazon. Całość środowiska kontrolnego to ludzie, procesy i technologie, których wspólny udział jest konieczny do ustanowienia oraz utrzymania środowiska, które umożliwi efektywne działanie naszego systemu kontroli. Do naszego systemu kontroli dołączyliśmy unikalne dla środowisk chmurowych kontrole, które zostały określone przez organy branży informatycznej. Monitorujemy te grupy branżowe, aby określić najlepsze do wdrożenia procedury oraz sprawniej pomagać w zarządzaniu Państwa środowiskiem kontrolnym. Demonstrowanie naszego stanowiska dotyczącego zgodności, aby pomóc Państwu zweryfikować zgodność z wymogami branżowymi i administracyjnymi. Współpracujemy z zewnętrznymi organami certyfikacyjnymi i niezależnymi audytorami, aby zapewnić Państwu wystarczające informacje dotyczące ustanowionych i wykorzystywanych przez nas zasad, procesów i kontroli. Monitorowanie, czy poprzez stosowanie tysięcy wymogów dotyczących kontroli bezpieczeństwa zapewniamy zgodność z globalnymi standardami i najlepszymi praktykami. 10

15 KLIENT ZGODNOŚĆ W CHMURZE Tak jak w przypadku tradycyjnych centrów danych odpowiadają Państwo za zwirtualizowany system operacyjny (w tym za aktualizacje i poprawki dotyczące bezpieczeństwa) oraz inne powiązane oprogramowanie, a także konfigurację dostarczonej przez AWS zapory bezpieczeństwa. Należy starannie przemyśleć wybór usług, ponieważ zależy od tego zakres Państwa odpowiedzialności, stopień integracji usług z Państwa środowiskiem IT oraz obowiązujące prawo i przepisy. Aby zagwarantować bezpieczne zarządzanie zasobami AWS, powinni Państwo wiedzieć, z jakich zasobów korzystają (spis zasobów), jak bezpiecznie skonfigurować zwirtualizowany system operacyjny i oprogramowanie zasobów (bezpieczne ustawienia konfiguracji, poprawki i ochrona przed złośliwym oprogramowaniem) oraz kontrolować zmiany dotyczące zasobów (zarządzanie zmianami). Mogą Państwo włączyć informacje na temat naszych programów dotyczących ryzyka i zgodności do swoich planów zarządzania. 11

16 PAŃSTWA TREŚCI 12

17 PAŃSTWA TREŚCI Państwo są właścicielami swoich treści i sprawują nad nimi kontrolę. Korzystając z prostych, ale skutecznych narzędzi, mogą Państwo łatwo ustalić, gdzie przechowywane będą Państwa treści, sprawdzić, czy obecnie znajdują się one w ruchu, oraz zarządzać dostępem użytkowników do usług i zasobów AWS. Uwaga: Nie przetwarzamy ani nie korzystamy z Państwa treści w celach innych niż zapewnienie Państwu i Państwa użytkownikom dostępu do wybranych usług AWS. Nigdy nie wykorzystujemy Państwa treści do własnych celów, wliczając w to działania marketingowe i reklamowe. Dostęp korzystając z naszych zestawów zaawansowanych funkcji dostępu, szyfrowania i logowania (takich jak AWS CloudTrail), mogą Państwo zarządzać dostępem do treści, usług i zasobów AWS. Nie przetwarzamy ani nie korzystamy z Państwa treści w celach innych niż wymagane prawnie oraz umożliwiające świadczenie Państwu i Państwa użytkownikom usług AWS. Przechowywanie Państwo wybierają region lub regiony, w których mają być przechowywane Państwa treści. Nie będziemy ich powielać ani przesyłać, chyba że jest to wymagane prawnie lub konieczne do świadczenia Państwu i Państwa użytkownikom usług AWS. Na przykład, jeśli są Państwo klientem z Europy, mogą Państwo zdecydować się na wdrożenie usług AWS wyłącznie w jednym z regionów Unii Europejskiej takim jak Niemcy. 13

18 PAŃSTWA TREŚCI Bezpieczeństwo to Państwo decydują, w jaki sposób mają być chronione Państwa treści. Oferujemy skuteczne szyfrowanie Państwa treści bez względu na to, czy znajdują się one w ruchu. Udostępniamy Państwu również możliwość zarządzania własnymi kluczami szyfrującymi. Ujawnienie treści nie ujawniamy Państwa treści, jeśli nie jesteśmy do tego zobowiązani przez prawo lub nakazy organów nadzorczych lub państwowych. Jeśli będziemy musieli ujawnić Państwa treści, poinformujemy o tym, aby możliwe było podjęcie stosownych kroków. Ważne: Jeśli takie powiadomienie jest zabronione lub istnieją jasne przesłanki nielegalnych działań związanych z wykorzystaniem produktów lub usług firmy Amazon, nie zostaną Państwo powiadomieni o ujawnieniu treści. Gwarancja bezpieczeństwa aby pomóc Państwu wdrażać i wykorzystywać środowisko kontroli bezpieczeństwa, opracowaliśmy program gwarancji bezpieczeństwa, który bazuje na najlepszych praktykach w zakresie globalnej prywatności i ochrony danych. Te procesy kontrolne i ochronne są niezależnie weryfikowane w toku wielu ocen przeprowadzanych przez strony trzecie. Uwaga: Niezależny audytor potwierdził, że przestrzegamy standardów branżowych w zakresie stosowania technicznych i fizycznych kontroli do zarządzania bezpieczeństwem rozwiązań chmurowych w celu zapobiegania próbom nieupoważnionego dostępu do treści klienta i ich ujawnienia. 14

19 GDZIE PRZECHOWYWANE SĄ PAŃSTWA TREŚCI Grupy centrów danych AWS znajdują się w różnych krajach na całym świecie. Grupę znajdującą się w jednym kraju nazywamy regionem. Mają Państwo dostęp do wielu regionów AWS na całym świecie, mogą się Państwo zdecydować na korzystanie z jednego, kilku lub wszystkich regionów. Rysunek 3: Regiony Mają Państwo pełną kontrolę nad regionem, w którym fizycznie przechowywane są Państwa treści, co ułatwia spełnienie lokalnych wymogów dotyczących lokalizacji danych. Mogą Państwo wybrać konkretne regiony AWS, w których przechowywane będą treści, jeśli obowiązują Państwa określone wymogi geograficzne. Na przykład, jeśli są Państwo klientem z Europy, mogą Państwo zdecydować się na wdrożenie usług AWS wyłącznie w jednym z regionów Unii Europejskiej takim jak Niemcy. Jeśli dokonają Państwo takiego wyboru, Państwa treści będą przechowywane w Niemczech, chyba że wybiorą Państwo inny region AWS. 15

20 CIĄGŁOŚĆ DZIAŁALNOŚCI Nasza infrastruktura charakteryzuje się wysoką dostępnością, a my zapewniamy funkcje, które pozwolą Państwu wdrożyć niezawodną architekturę IT. Nasze systemy zostały zaprojektowane tak, aby minimalizować wpływ awarii systemowych i sprzętowych na klientów. Niezawodność polega na zmniejszeniu prawdopodobieństwa niedostępności zasobów. Odzyskiwanie polega na zmniejszeniu negatywnego wpływu niedostępności zasobów. Kopie zapasowe pozwalają przeciwdziałać celowej lub przypadkowej utracie danych. Odzyskiwanie awaryjne to proces przygotowania do odzyskiwania danych po awarii. Awaria to wydarzenie, które ma negatywny wpływ na Państwa finanse lub ciągłość działalności. Rozwiązania chmurowe AWS obsługują wiele popularnych architektur odzyskiwania awaryjnego od środowisk, które można błyskawicznie skalować w dowolnym momencie, po takie, które umożliwiają szybkie przejście w tryb awaryjny. Więcej informacji na temat odzyskiwania awaryjnego AWS znajduje się na stronie Nasze grupy centrów danych znajdują się w różnych regionach na całym świecie. Wszystkie centra danych są w trybie online i obsługują klientów; żadne z nich nie jest bezczynne. W przypadku awarii zautomatyzowane procesy przekierują dane z dala od obszaru objętego awarią. Umożliwiamy Państwu przechowywanie danych w wielu regionach geograficznych oraz różnych strefach dostępności w obrębie każdego z nich. Rozmieszczając aplikacje w wielu obszarach dostępności, są Państwo chronieni przed efektami większości awarii, w tym katastrof naturalnych i awarii systemowych. 16

21 CIĄGŁOŚĆ DZIAŁALNOŚCI Mogą Państwo w chmurze stworzyć wyjątkowo stabilne systemy, wykorzystując wiele wystąpień w różnych obszarach dostępności oraz korzystając z powielania danych, aby osiągnąć wyjątkowo ambitne cele związane z odzyskiwaniem danych. Państwo odpowiadają za zarządzanie odzyskiwaniem danych i tworzeniem kopii zapasowych oraz testowaniem ich w systemach opartych na infrastrukturze AWS. Mogą Państwo wykorzystać infrastrukturę AWS, aby uzyskać szybsze odzyskiwanie kluczowych systemów IT po awarii bez konieczności ponoszenia wydatków na infrastrukturę drugiego obiektu. Rozwiązania chmurowe AWS obsługują wiele popularnych architektur odzyskiwania awaryjnego od środowisk, które można błyskawicznie skalować w dowolnym momencie, po takie, które umożliwiają szybkie przejście w tryb awaryjny. 17

22 BEZPIECZEŃSTWO 18

23 BEZPIECZEŃSTWO Bezpieczeństwo chmury AWS jest naszym najwyższym priorytetem. Centrum bezpieczeństwa AWS udostępnia Państwu szczegółowe informacje dotyczące bezpieczeństwa i zgodności usług AWS. Jesteśmy operatorem globalnej infrastruktury chmurowej, na której opierają się zasoby służące do przetwarzania i przechowywania danych, z których Państwo korzystają. Nasza globalna infrastruktura obejmuje elementy, takie jak obiekty, sieci, sprzęt i oprogramowanie (systemy operacyjne hostów, oprogramowanie do wirtualizacji itp.), które umożliwiają korzystanie z naszych zasobów. Nasza globalna infrastruktura została opracowana i jest zarządzana zgodnie ze standardami oraz najlepszymi praktykami w zakresie bezpieczeństwa. Będąc klientem AWS, mają Państwo pewność, że tworzą architekturę sieciową w oparciu o najbezpieczniejsze infrastruktury informatyczne na świecie. 19

24 ZASOBY 20

25 ZASOBY Do wszystkich stron internetowych i oficjalnych dokumentów wymienionych w tym podręczniku mogą Państwo uzyskać dostęp w centrum zasobów dotyczących bezpieczeństwa i zgodności AWS na stronie PARTNERZY I MARKETPLACE AWS Partner Network (APN) to globalny program partnerski AWS. Ma on pomóc partnerom AWS w opracowywaniu skutecznych rozwiązań opartych na usłudze AWS, zapewniając wsparcie biznesowe, techniczne i marketingowe. Więcej informacji znajduje się na stronie AWS Marketplace to kanał sprzedażowy, który ułatwia sprzedawcom AWS oferowanie oprogramowania działającego w chmurze AWS. Więcej informacji znajduje się na stronie SZKOLENIA Bez względu na to, czy dopiero Państwo zaczynają, czy poszerzają swoją wiedzę z zakresu IT lub rozwiązań chmurowych, szkolenia AWS pozwolą Państwu i Państwa zespołom zdobyć nowe informacje na temat tego, jak efektywniej wykorzystywać rozwiązania chmurowe. Więcej informacji znajduje się na stronie 21

26 22