2018 Hướng dẫn tham khảo nhanh bảo mật tuân thủ Lưu ý MỤC LỤC Tài liệu nhằm mục đích cung cấp thơng tin Tài liệu đại Tổng quan diện cho việc cung cấp sản phẩm hoạt động AWS tính từ ngày phát hành tài liệu này, thay đổi mà không cần thông báo Khách hàng chịu trách nhiệm đưa đánh giá độc lập riêng thơng tin tài liệu hoạt động sử dụng sản phẩm dịch vụ AWS, tất cung cấp “nguyên trạng” mà khơng có bảo hành hình thức nào, cho dù nêu rõ hay hàm ý Tài liệu khơng cấu thành hình thức bảo hành, tuyên bố, cam kết hợp đồng, điều kiện bảo đảm từ AWS, chi nhánh, nhà cung cấp bên cấp Cách thức chia sẻ trách nhiệm AWS - Vấn đề bảo mật Đám mây Khách hàng - Vấn đề bảo mật Đám mây Chương trình bảo đảm 12 Bảo mật nội dung bạn 17 Nơi lưu trữ nội dung bạn giấy phép AWS Trách nhiệm nghĩa vụ pháp lý AWS khách hàng chịu kiểm sốt hợp đồng AWS Tính liên tục cho hoạt động kinh doanh 22 tài liệu không thuộc, không sửa đổi, hợp đồng AWS khách hàng AWS © 2018 Amazon Web Services, Inc chi nhánh Tự động hóa 24 Tài nguyên 26 Đối tác Marketplace của Amazon Đào tạo Bảo lưu quyền Bắt đầu nhanh HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ Tổng quan HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ TỔNG QUAN Chúng tơi có suy nghĩ khác biệt vấn đề bảo mật tuân thủ HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ Cũng với thứ Amazon, thành công chương trình bảo mật tuân thủ đo lường chủ yếu tiêu chí: thành cơng khách hàng Yêu cầu khách hàng dẫn dắt xây dựng danh mục báo cáo, chứng thực tuân thủ chứng nhận cho phép khách hàng vận hành môi trường đám mây bảo mật tuân thủ Bằng việc sử dụng Amazon Web Services (AWS), bạn tiết kiệm chi phí mở rộng quy mơ, trì mức độ bảo mật chắn khả tuân thủ quy định TỔNG QUAN Tại AWS, bảo mật ưu tiên hàng đầu Đối với chúng tôi, khơng có quan trọng việc bảo vệ liệu bạn Là “Chúng trở nên chủ động hơn, nhận chúng tơi có khả triển khai số khối lượng công việc sản xuất quan trọng tảng AWS Đây thực thứ làm thay đổi chơi.” khách hàng AWS, bạn hưởng lợi từ trung tâm liệu kiến trúc mạng xây dựng nhằm đáp ứng yêu cầu tổ chức có yêu cầu bảo mật cao Chúng sáng tạo nhanh với quy mô lớn, không ngừng đưa ý kiến phản hồi bạn vào dịch vụ AWS Việc đem lại lợi ích cho bạn giải pháp cải thiện theo thời gian liên tục cải tiến dịch vụ bảo mật chủ chốt mình, ví dụ: quản lý nhận dạng truy cập, ghi nhật ký giám sát, mã hóa quản lý khóa, phân mảnh mạng bảo vệ chống DDoS tiêu chuẩn Bạn cung cấp dịch vụ bảo mật cao cấp kỹ sư thiết kế với hiểu biết thực tế sâu sắc xu hướng bảo mật toàn cầu, cho phép đội ngũ bạn chủ động giải Rob Alexander CIO, Capital One rủi ro xuất theo thời gian thực Tức là, bạn chọn hình thức bảo mật đáp ứng nhu cầu bạn theo trình phát triển mà khơng phải chịu chi phí hưởng mức chi phí vận hành thấp nhiều so với việc tự quản lý sở hạ tầng bạn HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ TỔNG QUAN Môi trường bảo mật đầy đủ trở thành môi trường tuân thủ AWS sở hữu nhiều tính cho phép thực tuân thủ mà bạn sử dụng cho khối lượng công việc quản lý Đám mây AWS Các tính cho phép bạn đạt mức bảo mật cao quy mô lớn Khả tuân thủ tảng đám mây đem lại mức chi phí đầu vào thấp hơn, q trình vận hành dễ dàng độ linh hoạt cao cách cung cấp nhiều biện pháp giám sát, kiểm sốt bảo mật tự động hóa tập trung Bằng việc sử dụng AWS, bạn nhận lợi ích từ nhiều biện “Chúng tơi thiết lập vận hành sở hạ tầng đám mây khoảng thời gian ngắn kỷ lục, mức chi phí thấp nhiều so với việc chúng tôi tự làm.” pháp kiểm sốt bảo mật mà chúng tơi vận hành, từ giảm số lượng biện pháp kiểm soát bảo mật mà bạn cần trì Các chương trình tuân thủ chứng nhận bạn củng cố, đồng thời, chi phí trì vận hành u cầu bảo đảm bảo Mark Field CTO, Thermo Fisher Scientific mật cụ thể bạn giảm xuống HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ Cách thức chia sẻ trách nhiệm HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ CÁCH THỨC CHÚNG TƠI CHIA SẺ TRÁCH NHIỆM Mơ hình chia sẻ trách nhiệm Chuyển sở hạ tầng CNTT lên AWS tức bạn đưa vào sử dụng mơ hình chia sẻ trách nhiệm minh họa bên trái Mơ hình chia sẻ trách nhiệm giảm gánh nặng vận hành cho bạn đảm nhiệm công tác vận hành, quản lý kiểm soát nhiều lớp thành phần CNTT từ hệ điều hành máy chủ lớp ảo hóa đến việc bảo mật vật lý cho sở vận hành dịch vụ AWS chịu trách nhiệm bảo mật đám mây còn, với tư cách khách hàng, bạn chịu trách nhiệm bảo mật đám mây Cũng việc chia sẻ trách nhiệm vận hành môi trường CNTT bạn với chúng tôi, bạn chia sẻ công tác quản lý, vận hành xác thực biện pháp kiểm soát CNTT HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ CÁCH THỨC CHÚNG TÔI CHIA SẺ TRÁCH NHIỆM AWS – BẢO MẬT CỦA ĐÁM MÂY Để giúp bạn tận dụng tối đa khung kiểm sốt bảo mật AWS, chúng tơi xây dựng chương trình bảo đảm bảo mật sử dụng phương pháp thực hành tốt lĩnh vực quyền riêng tư bảo vệ liệu toàn cầu Chúng tơi tìm đến đánh giá độc lập bên thứ ba để xác thực trì mơi trường kiểm sốt khắp nơi hoạt động hiệu dịch vụ sở chúng tơi tồn cầu Mơi trường kiểm sốt chúng tơi bao gồm nhiều sách, quy trình hoạt động kiểm sốt có tác dụng cải thiện nhiều khía cạnh mơi trường kiểm sốt tổng thể Amazon Mơi trường kiểm sốt tổng thể bao gồm người, quy trình cơng nghệ cần thiết để thiết lập trì mơi trường hỗ trợ hoạt động vận hành hiệu khung kiểm soát Chúng tơi tích hợp vào mơi trường kiểm sốt nhiều biện pháp kiểm sốt dành riêng cho đám mây quan đứng đầu ngành điện tốn đám mây xác định Chúng tơi theo dõi nhóm ngành để xác định phương pháp thực hành tốt mà bạn triển khai để hỗ trợ công tác quản lý môi trường kiểm soát bạn tốt HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ CÁCH THỨC CHÚNG TƠI CHIA SẺ TRÁCH NHIỆM Chúng tơi minh họa quan điểm tuân thủ để giúp bạn xác minh tính tuân thủ với yêu cầu ngành phủ Chúng tơi tiếp xúc với quan cấp chứng nhận bên đơn vị kiểm tra độc lập để cung cấp cho bạn thông tin chi tiết sách, quy trình biện pháp kiểm sốt mà chúng tơi thiết lập vận hành Bạn sử dụng thơng tin để thực quy trình đánh giá xác thực kiểm soát bạn, theo yêu cầu tiêu chuẩn tn thủ hành Bạn lồng ghép thơng tin cung cấp rủi ro chương trình tuân thủ vào khung tuân thủ bạn Chúng tơi sử dụng hàng nghìn biện pháp kiểm sốt bảo mật để giám sát việc chúng tơi trì tính tuân thủ với tiêu chuẩn phương pháp thực hành tốt tồn cầu Chúng tơi cung cấp cho bạn nhiều dịch vụ AWS Config để theo dõi tính bảo mật tuân AWS Config AWS Config dịch vụ quản lý toàn phần cung cấp cho bạn kho tài nguyên, lịch sử cấu hình thơng báo thay đổi cấu hình AWS phép bảo đảm tính bảo mật tuân thủ quy định Với AWS Config, bạn có khả khám phá nhiều tài nguyên AWS hữu bị xóa, xác định tính tuân thủ tổng thể bạn so với quy định nghiên cứu chuyên sâu chi tiết cấu hình tài nguyên bạn vào thời điểm AWS Config đem đến cho bạn khả kiểm tra tính tuân thủ, phân tích bảo mật, theo dõi thay đổi tài nguyên khắc phục cố thủ cho môi trường bạn HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 10 CHƯƠNG TRÌNH BẢO ĐẢM Chúng tơi phân loại Chương trình bảo đảm AWS thành ba loại: Chứng nhận/Chứng thực, Luật pháp/Quy định/Quyền riêng tư Điều chỉnh/Khung Chương trình bảo đảm Chương trình Chứng nhận/Chứng thực bên kiểm tra độc lập bên thứ ba thực Các chứng nhận, báo cáo kiểm tra chứng thực tuân thủ theo kết bên kiểm tra Chương trình Luật pháp/Quy định/Quyền riêng tư mang tính đặc thù theo ngành chức bạn Chúng hỗ trợ bạn cách cung cấp tính văn bảo mật sổ tay hướng dẫn tuân thủ, tài liệu ánh xạ báo cáo nghiên cứu chuyên sâu Việc tuân thủ luật, quy định chương trình AWS khơng thức hóa, nhà cung cấp dịch vụ đám mây khơng có chứng nhận chứng nhận thuộc khuôn khổ khung lớn phạm vi chương trình chứng nhận/chứng thực thức HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TN THỦ 13 CHƯƠNG TRÌNH BẢO ĐẢM Tồn cầu CSA Biện pháp kiểm soát tổ chức Cloud Security Alliance PCI DSS cấp Tiêu chuẩn thẻ tốn ISO 9001 Tiêu chuẩn chất lượng tồn cầu SOC Báo cáo kiểm tra biện pháp kiểm soát ISO 27001 Biện pháp kiểm soát quản lý bảo mật SOC Báo cáo an ninh, độ khả dụng bảo mật ISO 27017 Biện pháp kiểm soát dành cho đám mây ISO 27018 Bảo vệ liệu cá nhân nghề, có vùng ngành minh họa bên Bạn sử dụng chứng nhận SOC Báo cáo biện pháp kiểm soát tổng quát Hoa Kỳ CJIS Đơn vị thông tin tội phạm tư pháp FIPS Tiêu chuẩn bảo mật phủ MPAA Nội dung phương tiện bảo vệ DoD SRG Xử lý liệu DoD FISMA FedRAMP Tiêu chuẩn liệu phủ GxP FERPA Đạo luật quyền riêng tư giáo dục HIPAA Quản lý bảo mật thông tin liên bang Hướng dẫn quy định chất lượng Thông tin y tế bảo vệ NIST Quy định SEC17a-4(f) VPAT / Phần 508 Viện tiêu chuẩn kỹ thuật quốc gia Tiêu chuẩn liệu tài FFIEC Quy định định chế tài ITAR Quy định vũ khí quốc tế Hệ thống thơng tin ngành tài IRAP [Úc] Tiêu chuẩn bảo mật của Úc K-ISMS [Hàn Quốc] Quy định bảo mật thông tin của Hàn Quốc AWS nhà cung cấp dịch vụ tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Tiêu chuẩn tiếp cận Ngành Thẻ Thanh toán (PCI DSS) (từ năm 2010), nghĩa là, bạn sử dụng sản phẩm dịch vụ AWS để lưu trữ, xử lý truyền liệu chủ thẻ, bạn tin tưởng vào sở hạ tầng MTCS Bậc [Singapore] Tiêu chuẩn bảo mật đám mây đa bậc Châu Âu C5 [Đức] Chứng thực bảo mật hoạt động vận hành để xác thực trình triển khai mức độ hiệu biện pháp kiểm soát bảo mật Chúng liên tục bổ sung thêm chương trình Để xem danh sách nhất, truy cập trang web Chương trình bảo đảm AWS PCI DSS Châu Á Thái Bình Dương FISC [Nhật Bản] Mơi trường chúng tơi kiểm tra liên tục cịn sở hạ tầng dịch vụ phê duyệt để vận hành theo nhiều tiêu chuẩn chứng nhận ngành tuân thủ khắp nhiều vùng địa lý ngành Đạo luật sử dụng số điện thoại để xác định cá nhân cụ thể quy trình hành [Nhật Bản] Quy định bảo vệ thơng tin cá nhân cơng nghệ chúng tơi q trình quản lý chứng nhận tuân thủ PCI DSS riêng bạn ISO 27001 ISO 27001 tiêu chuẩn bảo mật áp dụng toàn cầu Tiêu Cyber Essentials Plus [Vương quốc Anh] Bảo vệ trước mối đe dọa an ninh mạng ENS High [Tây Ban Nha] Tiêu chuẩn của chính phủ Tây Ban Nha HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ G-Cloud [Vương quốc Anh] Tiêu chuẩn phủ Vương quốc Anh IT-Grundschutz [Đức] Phương pháp bảo vệ cơ sở chuẩn yêu cầu dành cho hệ thống quản lý bảo mật thông tin ISO 27001 cung cấp phương pháp tiếp cận có hệ thống cơng tác quản lý công ty thông tin khách hàng theo đánh giá rủi ro định kỳ 14 CHƯƠNG TRÌNH BẢO ĐẢM ISO 27017 ISO 27017 cung cấp hướng dẫn khía cạnh bảo mật thơng tin lĩnh vực điện toán đám mây đề xuất triển khai nhiều biện pháp kiểm sốt bảo mật thơng tin dành riêng cho đám mây hỗ trợ hướng dẫn tiêu chuẩn ISO 27002 ISO 27001 AWS Artifact Bạn xem lại tải xuống báo cáo thông tin chi tiết 2.500 biện pháp kiểm soát bảo mật cách sử dụng AWS Artifact, công cụ báo cáo tuân thủ tự động chúng tơi có Bảng điều khiển quản lý AWS AWS Artifact cung cấp quyền truy cập theo yêu cầu vào tài liệu bảo mật tuân thủ chúng tơi, cịn gọi chứng kiểm tra Bạn sử dụng chứng để chứng minh độ bảo mật tính tuân thủ dịch vụ sở hạ tầng AWS với bên kiểm tra quan kiểm định Ví dụ chứng kiểm tra gồm có báo cáo Biện pháp kiểm soát hệ thống tổ chức (SOC) Ngành thẻ toán (PCI) Bộ quy tắc thực hành cung cấp hướng dẫn triển khai biện pháp kiểm sốt bảo mật thơng tin dành riêng cho nhà cung cấp dịch vụ đám mây Chứng thực tuân theo hướng dẫn tiêu chuẩn ISO 27017 AWS thể cam kết liên tục việc tuân theo phương pháp thực hành tốt cơng nhận tồn cầu, đồng thời, xác thực AWS sở hữu hệ thống có nhiều biện pháp kiểm sốt có độ xác cao áp dụng dành riêng cho dịch vụ đám mây ISO 27018 ISO 27018 quy tắc thực hành tập trung vào công tác bảo vệ liệu cá nhân đám mây Tiêu chuẩn xây dựng tiêu chuẩn bảo mật thông tin ISO 27002 cung cấp hướng dẫn triển khai biện pháp kiểm sốt theo ISO 27002 áp dụng cho Thơng tin có khả nhận dạng danh tính cá nhân (PII) hệ thống đám mây công cộng Việc AWS tuân theo tiêu chuẩn với đánh giá bên thứ ba độc lập quy tắc ứng xử quốc tế công nhận chứng minh cam kết AWS việc bảo đảm quyền riêng tư bảo vệ nội dung bạn HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 15 CHƯƠNG TRÌNH BẢO ĐẢM SOC FedRAMP Báo cáo Biện pháp kiểm soát hệ thống tổ chức (SOC) báo Chương trình phủ Hoa Kỳ nhằm bảo đảm tiêu chuẩn cáo kiểm tra bên thứ ba độc lập minh họa cách AWS đạt đánh giá bảo mật, cấp phép giám sát liên tục FedRAMP tuân biện pháp kiểm sốt mục tiêu tn thủ theo tiêu chuẩn kiểm soát NIST FISMA quy định Mục đích báo cáo để giúp bạn bên kiểm tra AWS cung cấp hệ thống tuân thủ FedRAMP cấp phép, bạn rõ biện pháp kiểm soát AWS thiết lập AWShiểu Artifact để hỗ trợ vận hành tuân thủ Có ba loại báo cáo AWS SOC: xử lý biện pháp kiểm soát bảo mật FedRAMP, sử dụng mẫu Chương trình Chứng nhận/Chứng thực bên kiểm tra độc • SOC 1: Cung cấp thơng tin mơi trường kiểm sốt lập AWS bên thực nhận,kiểm báo sốt cáo kiểm cóthứ thểba liên quan đếnCác cácchứng biện pháp nội tra đối chứng thực tuân thủ theo kết với báo cáo tài (ICFR), thơng tin đểcủa đánh độ tra hiệu ICFR bạn bêngiá kiểm FedRAMP bảo mật, đánh giá Tổ chức đánh giá bên • SOC 2: Cung cấppháp/Quy cho bạn vàđịnh/Quyền người dùng riêng dịch vụ nhu cầu Chương trình Luật tưcó mang tính kinh doanh báo cáo độc lập môi trường kiểm đặc thù theo ngành chức bạn Chúng tơi sốt AWS liên quan đến an ninh, độ khả dụng bảo hỗ trợ cách cung cấp tính văn bảo mậtbạn hệ thống mật sổ tay hướng dẫn tuân thủ, tài liệu ánh xạ báo • 3: Cung cấp chosâu bạn người dùng dịch vụ có nhu cầu cáoSOC nghiên cứu chuyên kinh doanh báo cáo độc lập môi trường kiểm sốt AWS cung cấp thơng tin an ninh, độ khả dụng Việc tuân thủ luật, quy định chương trình bảo mật mà không tiết lộ thông tin nội AWS AWS khơng thức hóa, nhà cung cấp Tiêu chuẩn dành cho điện toán đám mây Cơ quan đặc trách FedRAMP yêu cầu cho gói bảo mật đăng Kho thứ ba (3PAO) độc lập cơng nhận trì u cầu giám sát liên tục FedRAMP Mơ hình bảo mật đám mây DoD (CSM) Hệ thống thông tin quốc phòng Hoa Kỳ (DISA) ban hành ghi lại Hướng dẫn yêu cầu bảo mật (SRG) Bộ Quốc phòng (DoD) Xử lý việc cấp phép cho chủ sở hữu khối lượng cơng việc DoD có u cầu đặc thù kiến trúc Cấp Tác động (IL) DISA họ HIPAA dịch vụ đám mây chứng nhận chứng nhận Đạo luật trách nhiệm giải trình cung cấp thơng tin bảo thuộc khuôn khổ khung lớn phạm vi hiểm y tế (HIPAA) bao gồm tiêu chuẩn tuân thủ bảo mật chương trình chứng nhận/chứng thực thức khắt khe tổ chức thực xử lý lưu trữ Thông tin y tế bảo vệ (PHI) AWS cho phép đơn vị thuộc phạm vi áp dụng đối tác kinh doanh chịu chi phối HIPAA tận dụng môi trường AWS để xử lý, trì lưu trữ PHI HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 16 Bảo mật nội dung bạn HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 17 BẢO MẬT NỘI DUNG CỦA BẠN AWS coi trọng quyền riêng tư bạn Bạn ln sở hữu nội dung mình, bao gồm khả mã hóa, di chuyển quản lýviệc lưu trữ nội dung Chúng tơi cung cấp nhiều cơng cụ cho phép bạn dễ dàng mã hóa liệu, di chuyển lưu trữ, để giúp bảo đảm người dùng AWS CloudHSM cấp phép có quyền truy cập nội dung mô đun bảo mật phần cứng (HSM) thiết Dịch vụ AWS CloudHSM cho phép bạn bảo vệ khóa mã hóa kế xác thực theo tiêu chuẩn quản lý khóa bảo mật phủ Bạn tạo, lưu trữ quản lý cách bảo mật khóa mật mã sử dụng để mã hóa liệu cho bạn có quyền truy cập Mã hóa phía máy chủ Bạn sử dụng dịch vụ Mã hóa phía máy chủ (SSE) Amazon S3 bạn muốn để Amazon S3 quản lý q trình mã hóa cho bạn Dữ liệu mã hóa khóa AWS tạo, khóa bạn tạo, tùy theo yêu cầu bạn Với Amazon S3 SSE, bạn mã hóa liệu tải lên đơn giản cách thêm tiêu đề yêu cầu phụ ghi đối tượng Quá trình giải mã diễn tự động liệu truy xuất HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 18 BẢO MẬT NỘI DUNG CỦA BẠN AWS đem đến cho bạn khả kiểm soát bạn cần để tuân thủ luật quy định quyền riêng tư liệu cấp khu vực địa phương Thiết kế sở hạ tầng tồn cầu chúng tơi cho phép bạn có tồn quyền kiểm sốt vị trí lưu trữ liệu bạn, giúp bạn đáp ứng yêu cầu nơi lưu trữ liệu Lưu ý: Chúng không truy cập hay sử dụng nội dung bạn cho mục đích trừ mục đích cung cấp cho bạn người dùng cuối bạn số dịch vụ AWS Chúng tuyệt đối không sử dụng nội dung bạn cho mục đích riêng chúng tôi, kể để tiếp thị hay quảng cáo AWS Identity and Access Management Identity and Access Management (IAM) cho phép bạn quản lý quyền truy cập dịch vụ AWS tài nguyên cách bảo mật Bằng cách sử dụng IAM, quản trị viên bạn tạo quản lý người dùng nhóm AWS, đồng thời, sử dụng quyền phép không cho phép họ truy cập tài nguyên AWS Cơ cấu liên kết cho phép ánh xạ vai trò IAM với quyền từ dịch vụ danh bạ trung tâm Với AWS, bạn biết truy cập nội dung tổ chức bạn sử dụng tài nguyên Các biện pháp kiểm soát truy cập Amazon Macie nhận dạng tinh vi, kết hợp với giám sát liên tục để thu nhận thông tin bảo mật gần với thời gian thực, bảo đảm tài ngun phù hợp ln có quyền truy cập, thông tin bạn lưu trữ nơi đâu giới liệu nhạy cảm Thơng tin có khả nhận dạng danh tính HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ Amazon Macie sử dụng machine learning để tự động khám phá, phân loại bảo vệ liệu nhạy cảm Macie nhận dạng cá nhân (PII) tài sản trí tuệ liên tục giám sát hoạt động truy cập liệu để tìm điểm bất thường khoanh vùng truy cập trái phép vơ tình gây rị rỉ liệu 19 BẢO MẬT NỘI DUNG CỦA BẠN Giảm rủi ro mở khả phát triển cách sử dụng dịch vụ giám sát hoạt động có khả phát thay đổi cấu hình kiện bảo mật khắp hệ thống bạn, chí tích hợp dịch vụ vào giải pháp bạn để đơn giản hóa hoạt động vận hành báo cáo AWS Directory Service for Microsoft Active Directory AWS Microsoft AD giúp bạn dễ dàng cài đặt vận hành Microsoft Active Directory Đám mây AWS kết nối tài nguyên AWS bạn với Microsoft Active Directory chỗ có tuân thủ Quyền truy cập người dùng liên kết Chúng không tiết lộ nội dung bạn, trừ Người dùng liên kết người dùng (hoặc ứng dụng) khơng có Tài cần phải làm theo yêu cầu pháp luật yêu cầu hợp lệ mang tính ràng buộc quan phủ quan chức Trong trường hợp phải tiết lộ nội dung bạn, thông báo trước để bạn tìm cách bảo vệ nội dung bị tiết lộ khoản AWS Với vai trò này, bạn cấp cho họ quyền truy cập tài nguyên AWS bạn khoảng thời gian giới hạn Điều hữu ích bạn có người dùng khơng sử dụng AWS mà bạn xác thực dịch vụ bên ngồi, ví dụ: Microsoft Active Directory, LDAP Kerberos AWS CloudTrail AWS CloudTrail ghi lại lệnh gọi API AWS cung cấp Quan trọng: Nếu không phép thông báo cho bạn, có dấu hiệu rõ ràng cho thấy có hành vi sử dụng trái phép sản phẩm dịch vụ Amazon, tiết lộ nội dung mà không cần thông báo trước cho bạn tệp nhật ký bao gồm danh tính người gọi, thời gian, địa IP nguồn, thông số yêu cầu phần tử phản hồi Bạn sử dụng lịch sử lệnh gọi mà CloudTrail cung cấp phép phân tích bảo mật, theo dõi thay đổi tài nguyên kiểm tra tuân thủ HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 20 BẢO MẬT NỘI DUNG CỦA BẠN Nơi lưu trữ nội dung của bạn Các trung tâm liệu AWS xây dựng theo cụm nhiều 3 2 quốc gia khác khắp giới Chúng gọi cụm 3 trung tâm liệu quốc gia cụ thể Khu vực AWS Bạn có quyền truy cập vơ số Khu vực AWS tồn cầu quyền chọn sử dụng Khu vực AWS, tất Khu vực AWS tổ hợp Khu vực AWS Bạn có tồn quyền kiểm soát (các) Khu vực AWS lưu trữ vật lý liệu bạn, giúp dễ dàng đáp ứng yêu cầu tuân thủ 3 KHU VỰC AWS nơi lưu trữ liệu Ví dụ: khách hàng châu Âu, bạn chọn triển khai dịch vụ AWS Khu vực châu Âu (Frankfurt) Nếu bạn đưa lựa chọn này, nội dung bạn lưu trữ Đức, trừ bạn chọn Khu vực AWS khác HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 21 TÍNH LIÊN TỤC CHO HOẠT ĐỘNG KINH DOANH HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 22 TÍNH LIÊN TỤC CHO HOẠT ĐỘNG KINH DOANH Có điều quan trọng cần lưu ý là: • Tất trung tâm liệu trực tuyến phục vụ khách hàng; khơng có trung tâm liệu "trạng thái tĩnh" Trong Cơ sở hạ tầng chúng tơi có độ khả dụng cao chúng tơi cung cấp cho bạn nhiều tính bạn cần để triển khai sở hạ tầng CNTT ổn định Các hệ thống thiết kế giúp chống chịu hư hỏng phần cứng lỗi hệ thống để giảm thiểu tác động lên khách hàng Đám mây AWS hỗ trợ nhiều kiến trúc khắc phục cố phổ biến, từ môi trường dạng “đèn điều khiển” sẵn sàng tăng quy mô thơng báo đến mơi trường “chờ chủ động” có khả chuyển đổi dự phịng nhanh chóng trường hợp có lỗi, quy trình tự động hóa di chuyển lưu lượng liệu bạn khỏi khu vực bị ảnh hưởng • Bằng cách phân phối ứng dụng nhiều Vùng sẵn sàng AWS, bạn có khả chống chịu lỗi đối mặt với hầu hết loại cố, kể thiên tai lỗi hệ thống • Bạn xây dựng hệ thống có khả chống chịu lỗi cao đám mây cách sử dụng nhiều phiên nhiều Vùng sẵn sàng AWS sử dụng tính chép liệu để đạt mục tiêu thời gian khôi phục điểm khôi phục cực cao • Bạn có trách nhiệm quản lý kiểm thử việc lưu khôi phục hệ thống thông tin xây dựng sở hạ tầng AWS Bạn sử dụng sở hạ tầng AWS để khắc phục cố nhanh cho hệ thống CNTT quan trọng mà không thêm phí xây dựng sở vật lý thứ hai Để biết thêm thông tin, truy cập aws.amazon.com/ disaster-recovery HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 23 TỰ ĐỘNG HÓA HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 24 TỰ ĐỘNG HÓA Việc tự động hóa tác vụ bảo mật AWS giúp nâng cao mức độ bảo mật cách giảm lỗi cấu hình người giúp đội ngũ bạn có nhiều thời gian để tập trung vào công việc khác quan trọng doanh nghiệp Đội ngũ bảo mật sử dụng tự động hóa bảo mật tích hợp Amazon Inspector API để tăng khả ứng phó độ linh hoạt, khiến việc phối hợp chặt chẽ với nhà phát triển đội ngũ vận hành để tạo triển khai mã nhanh bảo mật trở nên dễ dàng cải thiện độ bảo mật tính tuân thủ cho ứng dụng Amazon Inspector dịch vụ đánh giá bảo mật tự động hóa giúp triển khai AWS Amazon Inspector tự động đánh giá ứng dụng để tìm lỗ hổng bảo mật sai lệch so với phương pháp thực hành tốt Sau thực đánh giá, Amazon Inspector cung cấp danh sách chi tiết kết luận bảo mật xếp loại ưu tiên theo mức độ nghiêm trọng Bằng cách tự động kiểm tra bảo mật sở hạ tầng ứng dụng có mã triển khai, bạn liên tục thi hành biện pháp kiểm soát bảo mật tn thủ để giúp bảo đảm tính bí mật, toàn vẹn khả dụng vào thời điểm Bạn tự động hóa mơi trường lai công cụ quản lý bảo mật thông tin Để giúp bạn bắt đầu nhanh chóng, Amazon Inspector có sở kiến thức gồm hàng trăm quy tắc ánh xạ với phương pháp thực hành tốt bảo mật phổ biến định nghĩa lỗ hổng bảo mật Ví dụ quy tắc tích hợp bao gồm kiểm tra xem đăng nhập root từ xa có bật hay khơng phiên phần mềm có lỗ hổng bảo mật có cài đặt hay không Những quy tắc nhà nghiên cứu bảo mật AWS cập nhật thường xun chúng tơi để dễ dàng tích hợp AWS phần mở rộng trơn tru bảo mật môi trường chỗ kế thừa bạn HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 25 TÀI NGUYÊN HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 26 TÀI NGUYÊN Đối tác Marketplace ĐÀO TẠO Các giải pháp Mạng lưới đối tác AWS (APN) đem đến khả Dù bạn vừa bắt đầu, tích lũy kỹ CNTT có hay tự động hóa linh hoạt, với quy mô thay đổi theo khối lượng nghiên cứu sâu đám mây, dịch vụ Đào tạo AWS giúp công việc bạn bạn phải trả tiền cho bạn cần bạn đội ngũ bạn nâng cao kiến thức để sử dụng sử dụng đám mây hiệu Dễ dàng tìm kiếm, mua, triển khai quản lý giải pháp phần Để biết thêm thông tin, truy cập aws.amazon.com/training mềm sẵn sàng chạy đám mây này, bao gồm sản phẩm phần mềm dạng dịch vụ (SaaS), vài phút từ AWS Marketplace Các giải pháp kết hợp để giúp bảo mật liệu bạn theo nhiều cách thức thực sở chỗ nhiều giải pháp sử dụng cho nhiều khối lượng công việc trường hợp sử dụng Để biết thêm thông tin, truy cập aws.amazon.com/partners aws.amazon.com/marketplace BẮT ĐẦU NHANH Bằng cách sử dụng hướng dẫn Bắt đầu nhanh chúng tôi, bạn làm theo phương pháp thực hành tốt để bắt đầu thiết lập cấu hình bảo mật AWS, đặt tảng vững cho việc đáp ứng yêu cầu tuân thủ toàn cầu bạn Để biết thêm thông tin, truy cập aws.amazon.com/quickstart HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 27