共同的責任

安全和合規的責任由 AWS 和您共同承擔。這種共同模式有助減輕您的營運負擔，因為 AWS 會深入服務運作所在設施的實體安全性，操作、管理並控制主機作業系統及虛擬化層的元件。

您需負責管理訪客作業系統 (包括更新和安全修補程式) 和應用程式軟體，以及設定 AWS 提供的安全控制，如安全群組、網路存取控制清單和以及身分和存取管理。您應該仔細考慮所使用的服務，因為您的責任取決於所選擇的服務、這些服務與 IT 環境的整合，以及適用的法律和法規。圖 2 顯示套用至基礎設施服務 (如 Amazon Elastic Compute Cloud (Amazon EC2)) 的共同責任模式的典型表示。它將大部分責任分為兩類：雲端本身的安全 (由 AWS 管理) 和雲端中的安全 (由客戶管理)。責任歸屬可能會產生變化，具體取決於您使用的服務。若是 Amazon S3 和 Amazon DynamoDB 等抽象服務，AWS 運作基礎設施層、作業系統和平台，客戶則存取端點以存放及擷取資料。客戶負責管理其資料 (包括加密選項)，對其資產進行分類，以及使用 IAM 工具來套用適當的許可。

但是，共同責任模式會隨著容器和其他服務的增加而產生變化，這些變化會將操作模式移往服務提供者。當我們移往操作模式的左側，從 IaaS 和資料中心轉向 PaaS，服務提供者的責任就會增加。當遷移到圖表左側時，客戶在雲端中的責任更少，操作時間更輕鬆。請注意下圖以及在雲端中操作或運作能力的差異。隨著您在雲端中的共同責任發生變化，您的事件回應或鑑識選項也會發生變化。身為客戶，在規劃事件回應時，您還需要確保根據操作模型中的能力進行規劃，並在所選模型中發生互動之前，先規劃好可能的互動。規劃和理解這些權衡並符合您的管控需求，是事件回應的關鍵步驟。

圖 1：共同責任模式

圖 2：具有 AWS Fargate 類型共同責任模式的 Amazon Elastic Container Service (Amazon ECS)

除了您與 AWS 的直接關係之外，可能還有其他實體在您的特定責任模型中負有責任。例如，可能有內部組織單位對操作的某些方面負責。可能還有合作夥伴或其他第三方負責開發、管理或操作您的某些雲端技術。

建立符合您操作模型的適當事件回應與鑑識執行手冊，這一點極為重要。您的成功取決於針對所選取的操作模型，您對需建立的工具類型或需購買工具的理解程度。您的組織越了解可用的工具，您就越能做好妥善的準備，以符合企業管控風險和合規 (GRC) 模式的需求。