责任共担

AWS 和您共同承担安全性和合规性的责任。此责任共担模式可以帮助您减轻一些操作负担，因为 AWS 会操作、管理并控制各个组件，从主机操作系统和虚拟化层到运行各种服务的设施的物理安全，均由 AWS 保障。

您负责管理来宾操作系统（包括更新和安全补丁）和应用程序软件，以及配置 AWS 提供的安全控制措施，例如安全组、网络访问控制列表以及身份和访问管理。您应慎重考虑使用哪些服务，因为您所承担的责任会因选择的服务、服务与 IT 环境的集成以及适用法律法规而异。图 2 显示了适用于基础设施服务（例如 Amazon Elastic Compute Cloud（Amazon EC2））的责任共担模式的典型表示形式。它将大部分责任分为两类：云的安全性（由 AWS 管理）和云中的安全性（由客户管理）。责任会发生变化，具体取决于使用的服务。对于抽象化服务（例如 Amazon S3 和 Amazon DynamoDB），AWS 运营基础设施层、操作系统和平台，而客户通过访问端点来存储和检索数据。客户负责管理其数据（包括加密选项），对其资产进行分类，以及使用 IAM 工具应用适当的权限。

但是，随着容器和其他服务的增加，责任共担模式发生了变化，这些服务将运营模式移交给服务提供商。随着我们向运营模式的左侧移动，从 IaaS 和数据中心转向 PaaS，服务提供商的责任也随之增加。迁移至图左侧时，客户在云中的责任更少，操作更轻松。请注意下图以及在云中操作或运行能力的差异。随着您在云中的责任共担发生变化，事件响应或取证的选项也会发生变化。作为客户，在规划事件响应时，您还需要确保围绕运营模型中的能力进行规划，并在您选择的模型中发生可能的交互之前对其进行规划。规划和了解这些权衡并将其与您的治理需求相匹配，这是事件响应的关键步骤。

图 1：责任共担模式

图 2：具有 AWS Fargate 类型责任共担模式的 Amazon Elastic Container Service（Amazon ECS）

除了您与 AWS 的直接关系之外，可能还有其他实体在您的特定责任模式中承担责任。例如，您可能有内部组织单位负责运营的某些方面。您可能还有合作伙伴或其他第三方来开发、管理或运营您的部分云技术。

创建与您的运营模式相匹配的适合事件响应和取证运行手册，这一点非常重要。您的成功取决于您对您需要为所选运营模式创建或购买的工具类型的了解。您的组织对可用工具的了解越深入，您为满足企业监管风险与合规性（GRC）模式的需求所做的准备就越充分。