Responsabilidad compartida - Pilar de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Responsabilidad compartida

La seguridad y el cumplimiento son una responsabilidad compartida entre el cliente AWS y el cliente. Este modelo compartido puede ayudar a aliviar la carga operativa del cliente, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio. Por otra parte, el cliente asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), de cualquier otro software de aplicaciones asociadas y de la configuración del firewall del grupo de seguridad que ofrece AWS . Los clientes deben pensar detenidamente en los servicios que eligen, ya que las responsabilidades varían en función de los servicios que utilicen, la integración de estos en su entorno de TI, y la legislación y los reglamentos aplicables. La naturaleza de esta responsabilidad compartida también ofrece la flexibilidad y la posibilidad de que el cliente pueda controlar la implementación. Tal y como se muestra en el siguiente gráfico, esta diferenciación de responsabilidad suele denominarse Seguridad “de” la nube en comparación con Seguridad “en” la nube.

AWS responsabilidad: «Seguridad de la nube»: AWS es responsable de proteger la infraestructura en la que se ejecutan todos los servicios que se ofrecen en la AWS nube. Esta infraestructura está compuesta por el hardware, el software, las redes y las instalaciones que ejecutan los servicios AWS en la nube.

Responsabilidad del cliente «Seguridad en la nube»: la responsabilidad del cliente vendrá determinada por los servicios AWS en la nube que seleccione el cliente. Esto determina la cantidad de trabajo de configuración que el cliente debe llevar a cabo como parte de sus responsabilidades de seguridad. Por ejemplo, un servicio como Amazon Elastic Compute Cloud (AmazonEC2) se clasifica como Infraestructura como servicio (IaaS) y, como tal, requiere que el cliente realice todas las tareas de configuración y administración de seguridad necesarias. Los clientes que despliegan una EC2 instancia de Amazon son responsables de la administración del sistema operativo huésped (incluidas las actualizaciones y los parches de seguridad), de cualquier aplicación, software o utilidades que haya instalado el cliente en las instancias y de la configuración del firewall AWS proporcionado (denominado grupo de seguridad) en cada instancia. En el caso de los servicios abstractos, como Amazon S3 y Amazon AWS DynamoDB, opera la capa de infraestructura, el sistema operativo y las plataformas, y los clientes acceden a los puntos de conexión para almacenar y recuperar datos. Los clientes son responsables de administrar sus datos (incluidas las opciones de cifrado), clasificar sus activos y utilizar IAM las herramientas para aplicar los permisos adecuados.

Shared responsibility model diagram showing customer and AWS security roles in cloud services.

Figura 1: Modelo de responsabilidad AWS compartida.

Este modelo de cliente/responsabilidad AWS compartida también se extiende a los controles de TI. Del mismo modo que la responsabilidad de operar el entorno de TI es compartida entre sus clientes AWS y sus clientes, también comparten la administración, el funcionamiento y la verificación de los controles de TI. AWS puede ayudar a aliviar la carga que representan los controles operativos para los clientes mediante la administración de los controles asociados a la infraestructura física desplegada en el AWS entorno que anteriormente podían haber sido gestionados por el cliente. Como cada cliente se implementa de forma diferente AWS, los clientes pueden aprovechar la posibilidad de cambiar la administración de ciertos controles de TI a otros AWS, lo que se traduce en un (nuevo) entorno de control distribuido. A continuación, los clientes pueden utilizar la documentación de AWS control y conformidad que tienen a su disposición para llevar a cabo sus procedimientos de evaluación y verificación del control, según sea necesario. Los siguientes son ejemplos de controles gestionados por AWS los AWS clientes o por ambos.

Controles heredados: controles que un cliente hereda en su totalidad. AWS

  • Controles ambientales y físicos

Controles compartidos: controles que se aplican tanto a la capa de infraestructura como a la del cliente, pero en perspectivas o contextos distintos. En un control compartido, AWS proporciona los requisitos de la infraestructura y el cliente debe proporcionar su propia implementación de control dentro del uso de AWS los servicios. Entre los ejemplos se incluyen:

  • Administración de parches: AWS se encarga de parchear y corregir los defectos de la infraestructura, pero los clientes son responsables de aplicar los parches a sus sistemas operativos y aplicaciones huéspedes.

  • Administración de la configuración: AWS mantiene la configuración de los dispositivos de su infraestructura, pero los clientes son responsables de configurar sus propios sistemas operativos, bases de datos y aplicaciones huéspedes.

  • Sensibilización y formación: AWS capacita AWS a los empleados, pero los clientes deben capacitar a sus propios empleados.

Específicos del cliente: controles que son responsabilidad exclusiva del cliente en función de la aplicación que esté implementando en los servicios de AWS . Entre los ejemplos se incluyen:

  • Protección de comunicaciones y servicios o seguridad de zona, que pueden requerir que un cliente dirija o especifique datos de zona en entornos de seguridad específicos.