نموذج المسؤولية المشتركة

نظرة عامة

الأمان والامتثال مسؤولية مشتركة بين AWS والعملاء. ونستطيع من خلال هذا النموذج المشترك التخفيف من العبء التشغيلي للعميل، حيث تقوم AWS بتشغيل المكونات وإدارتها والتحكم فيها من نظام التشغيل المستضيف وطبقة الوضع الظاهري وصولاً إلى الأمان المادي للمرافق التي تعمل بها الخدمة. يتولى العميل مسؤولية نظام التشغيل الضيف (بما في ذلك التحديثات وتصحيحات البرامج الأمنية)، وغيره من برامج التطبيقات ذات الصلة وإدارتها، بالإضافة إلى تكوين جدار حماية المجموعة الأمنية المقدمة من AWS. يجب على العملاء النظر بعناية في الخدمات التي يختارونها حيث إن مسؤولياتهم تختلف اعتمادًا على الخدمات المستخدمة، وتكامل هذه الخدمات مع بيئة تكنولوجيا المعلومات (IT) الخاصة بهم، والقوانين واللوائح المطبقة. توفر طبيعة المسؤولية المشتركة هذه أيضًا المرونة وتحكم العميل الذي يسمح بالنشر. كما هو موضح في الجدول أدناه، هذا التمايز في المسؤولية يشار إليه بشكل شائع بـ "أمن السحابة" مقابل "الأمن داخل السحابة".

نموذج المسؤولية المشتركة من AWS

فهم نموذج المسؤولية المشتركة من AWS

تتحمل AWS المسؤولية عن حماية البنية التحتية التي تُشغِّل جميع الخدمات التي تقدمها سحابة AWS. تتألف هذه البنية الأساسية من الأجهزة والبرامج والشبكات والمرافق التي تشغل خدمات AWS السحابية.

سيتم تحديد مسؤولية العميل من خلال خدمات سحابة AWS التي يختارها العميل. وذلك يحدد مقدار أعمال التكوين التي يجب على العميل أداؤها كجزء من مسؤولياته الأمنية. على سبيل المثال، خدمة مثل Amazon Elastic Compute Cloud (Amazon EC2) مصنفة على أنها بنية أساسية كخدمة (IaaS)، ولهذا تطالب العميل بأداء كل مهام التكوين والإدارة الأمنية الضرورية. العملاء الذين ينشرون مثيل Amazon EC2 مسؤولون عن إدارة نظام التشغيل الضيف (بما في ذلك التحديثات وتصحيحات البرامج الأمنية)، وأي برنامج تطبيق أو أدوات مساعدة مثبتة على المثيلات من قِبل العميل، وتكوين جدار الحماية المقدم من AWS (يُسمى المجموعة الأمنية) على كل مثيل. بالنسبة للخدمات المجردة، مثل Amazon S3 وAmazon DynamoDB، تشغل AWS طبقة البنية الأساسية ونظام التشغيل والمنصات، ويصل العملاء إلى نقاط النهاية لتخزين البيانات واستعادتها. يتولى العملاء مسؤولية إدارة بياناتهم (بما في ذلك خيارات التشفير)، وتصنيف أصولهم، واستخدام أدوات IAM لتطبيق الأذونات المناسبة.

يمتد نموذج المسؤولية المشتركة للعميل/AWS أيضًا إلى عناصر تحكم تكنولوجيا المعلومات (IT). كما أن مسؤولية تشغيل بيئة تكنولوجيا المعلومات (IT) مشتركة بين AWS وعملائها، كذلك الإدارة والتشغيل والتحقق من عناصر تحكم تكنولوجيا المعلومات تكون مشتركة. تستطيع AWS المساعدة في تخفيف عبء تشغيل عناصر التحكم على العميل عن طريق إدارة عناصر التحكم هذه المرتبطة بالبنية الأساسية الفعلية المنشورة في بيئة AWS التي ربما كانت مُدارة سابقًا من العميل. لأن عبء كل عميل منشور بشكل مختلف في AWS، يستطيع العملاء الاستفادة من نقل إدارة بعض من عناصر تحكم تكنولوجيا المعلومات إلى AWS، وستنتج عن ذلك بيئة تحكم موزعة (جديدة). يستطيع العملاء بعد ذلك استخدام وثائق التحكم والامتثال الخاصة بـ AWS المتوفرة لتمكينهم من أداء تقييم لعناصر التحكم وإجراءات التحقق حسب الضرورة. فيما يلي أمثلة على عناصر التحكم المُدارة من AWS وعملاء AWS و/أو كليهما.

عناصر تحكم يحصل عليها العميل بالكامل من AWS.

  • عناصر التحكم الفعلية والبيئية

عناصر التحكم التي تنطبق على كل من طبقة البنية الأساسية وطبقات العميل ولكن تكون في سياقات أو منظورات منفصلة تمامًا. في وحدة التحكم المشتركة، توفر AWS المتطلبات للبنية الأساسية، ويجب على العميل الاعتماد على آليته الخاصة لتطبيق عناصر التحكم في نطاق استخدامه لخدمات AWS. تشمل الأمثلة:

  • إدارة تصحيحات البرامج – تتولى AWS مسؤولية تصحيح البرامج وإصلاح العيوب في البنية الأساسية، ولكن يتولى العملاء مسؤولية تصحيح نظام التشغيل الضيف والتطبيقات لديهم.
  • إدارة التكوين - تحافظ AWS على تكوين أجهزة البنية الأساسية الخاصة بها، ولكن يتولى العميل مسؤولية تكوين أنظمة التشغيل الضيف وقواعد البيانات والتطبيقات لديه.
  • الوعي والتدريب - تقوم AWS بتدريب موظفيها، ولكن يجب على العميل تدريب موظفيه.

عناصر تحكم يتولى العميل مسؤوليتها بالكامل استنادًا إلى التطبيق الذي ينشره ضمن خدمات AWS. تشمل الأمثلة:

  • "حماية الخدمات والاتصالات" أو "أمن المنطقة" الذي قد يتطلب من العميل إرسال البيانات أو تخصيص نطاق لها ضمن بيئات أمنية محددة.

التطبيق العملي لنموذج المسؤولية المشتركة الخاص بـ AWS

بمجرد أن يفهم العميل نموذج المسؤولية المشتركة الخاص بـ AWS وكيفية تطبيقه بشكل عام على التشغيل داخل السحابة، يجب عليه أن يحدد بنفسه كيفية تطبيقه على حالة استخدامه الخاصة. تختلف مسؤولية العميل حسب العديد من العوامل، بما في ذلك خدمات AWS والمناطق التي يختارها، وتكامل هذه الخدمات مع بيئة تكنولوجيا المعلومات الخاصة به، والقوانين واللوائح المطبقة على المنظمة وعبء العمل لديه.

يمكن أن تساعد الممارسات التالية العملاء على تحديد توزيع المسؤولية القائمة على حالة استخدام محددة:

تحديد

حدد المتطلبات والأهداف الخارجية والداخلية للأمن والامتثال ذي الصلة، وخذ في اعتبارك أطر عامة محددة حسب الصناعة، مثل: "الإطار العام للأمن السيبراني من NIST"‏ (Cybersecurity Framework, CSF) والمنظمة الدولية للمعايير (ISO).

التفكير

فكِّر في توظيف أفضل ممارسات AWS Cloud Adoption Framework (CAF) وWell-Architected للتخطيط للتحوُّل الرقمي وتنفيذه على نطاق واسع.

المراجعة

راجع الوظائف الأمنية وخيارات التكوين لخدمات AWS الفردية ضمن الفصول الأمنية لوثائق خدمة AWS.

التقييم

قيِّم خدمات الأمن والهوية والامتثال من AWS لفهم كيفية استخدامها للمساعدة على تحقيق أهداف الأمن والامتثال الخاصة بك.

المراجعة

راجع وثائق تصديق تدقيق الأطراف الثالثة لتحديد عناصر التحكم الموروثة ومعرفة عناصر التحكم المطلوبة التي ربما يتبقى لك تطبيقها بنفسك في بيئتك.

توفير

زوِّد فرق التدقيق الداخلية والخارجية الخاصة بك بفرص تعلم خاصة بالسحابة عن طريق الاستفادة من البرامج التدريبية في Cloud Audit Academy.

الأداء

قم بإجراء التقييم Well-Architected Review لأعباء عمل AWS الخاصة بك من أجل تقييم مدى تطبيق أفضل ممارسات الأمن والموثوقية والأداء.

استكشف

استكشف الحلول المتاحة في AWS Marketplace وهو عبارة عن كتالوج رقمي يضم الآلاف من قوائم البرامج من موردي برامج مستقلين، ويتيح لك إمكانية البحث عن البرامج التي تعمل على AWS واختبارها وشرائها ونشرها.

استكشف

استكشف AWS Security Competency Partners التي توفر خبرات وحلول ثبت نجاحها مع العملاء فيما يتعلق بتأمين جميع مراحل اعتماد السحابة، بداية من الترحيل الأولي وصولاً إلى الإدارة اليومية المستمرة.

هل لديك أي أسئلة؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد التعرف على قواعد الامتثال؟
التقديم اليوم »
هل ترغب في الحصول على التحديثات الخاصة بالامتثال إلى AWS؟
تابعنا على تويتر »