AWS Risk and Compliance

史英睿

2023-12-01

责任共担模型
1. 责任共担模型不只使用于安全相关的考虑，也适用于IT控制。例如，IT控制相关的管理，操作和验证的责任都是由AWS和用户共同承担的。AWS负责底层物理基础设施。
2. 客户需要确保IT管理的人力物力投入，不管在on-premises或者cloud环境，这些投入都是必须的。
AWS提供管理信息的两种途径
1. Specific control definition，具体的控制定义
2. General control standard compliance，通用的管理标准约定
控制环境包括
1. People
2. Processes
3. Technology
风险和约束管理的三个领域
1. Risk Management
2. Control Environment
3. Information Security
AWS通过以下方式向用户沟通，注意：用户不会通知AWS，这个是单向的
1. 获取工业级别的认证和第三方认证
2. 通过网站，白皮书，博客等向用户发布安全相关的信息
3. 在基于NDA下直接向用户提供证书，报告和其它的文档
AWS获取的认证包括但不局限于以下
1. FedRAMP
2. FIPA 140-2
3. FISMA and DLACAP
4. HIPAA
5. ISO 9001
6. ISO 27001
7. ITAR
8. PCI DSS Level 1
9. SOC 1/ISAE 3402
10. SOC 2
11. SOC 3
关于AZ
1. 每个AZ包含多个数据中心（Data Centers），且都包含冗余电源，网络和连接等。
关于vulnerability scans
1. AWS定期扫描所有公共IP地址以确保没有安全漏洞，但不会扫描用户Instance
2. AWS会通知相关的组织来修复发现的安全问题