hướng dẫn tham khảo nhanh về bảo mật và · quy trình đánh giá và xác thực...

Hướng dẫntham khảo nhanh về bảo mật và tuân thủ

20

18

HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ 2

Lưu ý

Tài liệu này chỉ nhằm mục đích cung cấp thông tin. Tài liệu này đại diện cho việc cung cấp sản phẩm và hoạt động hiện tại của AWS tính từ ngày phát hành tài liệu này, và có thể thay đổi mà không cần thông báo. Khách hàng chịu trách nhiệm đưa ra đánh giá độc lập của riêng mình về thông tin trong tài liệu này và mọi hoạt động sử dụng sản phẩm hoặc dịch vụ của AWS, tất cả đều được cung cấp “nguyên trạng” mà không có bảo hành dưới bất kỳ hình thức nào, cho dù là nêu rõ hay hàm ý. Tài liệu này không cấu thành bất kỳ hình thức bảo hành, tuyên bố, cam kết hợp đồng, điều kiện hoặc bảo đảm nào từ AWS, các chi nhánh, nhà cung cấp hoặc bên cấp giấy phép của AWS. Trách nhiệm và nghĩa vụ pháp lý của AWS đối với khách hàng của mình chịu sự kiểm soát của hợp đồng của AWS và tài liệu này không thuộc, cũng không sửa đổi, bất kỳ hợp đồng nào giữa AWS và khách hàng của AWS.

© 2018 Amazon Web Services, Inc. hoặc các chi nhánh của Amazon. Bảo lưu mọi quyền.

MỤC LỤC

Tổng quan 3

Cách thức chúng tôi chia sẻ trách nhiệm 7 AWS - Vấn đề bảo mật của Đám mây Khách hàng - Vấn đề bảo mật trong Đám mây

Chương trình bảo đảm 12

Bảo mật nội dung của bạn 17 Nơi lưu trữ nội dung của bạn

Tính liên tục cho hoạt động kinh doanh 22 Tự động hóa 24

Tài nguyên 26 Đối tác và Marketplace Đào tạo Bắt đầu nhanh

3

Tổng quan

HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ

4HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ

TỔNG QUAN

Chúng tôi có suy nghĩ khác biệt về vấn đề bảo mật và tuân thủ.

Cũng như với mọi thứ tại Amazon, sự thành công của chương trình bảo mật và tuân thủ được đo lường chủ yếu bằng một tiêu chí: sự thành công của khách hàng. Yêu cầu của khách hàng dẫn dắt chúng tôi xây dựng danh mục các báo cáo, chứng thực tuân thủ và chứng nhận cho phép khách hàng vận hành một môi trường đám mây bảo mật và tuân thủ.

Bằng việc sử dụng Amazon Web Services (AWS), bạn có thể tiết kiệm chi phí và mở rộng quy mô, trong khi vẫn duy trì mức độ bảo mật chắc chắn cũng như khả năng tuân thủ quy định.


Tại AWS, bảo mật là ưu tiên hàng đầu của chúng tôi. Đối với chúng tôi, không có gì quan trọng bằng việc bảo vệ dữ liệu của bạn. Là khách hàng của AWS, bạn được hưởng lợi từ trung tâm dữ liệu và kiến trúc mạng được xây dựng nhằm đáp ứng yêu cầu của các tổ chức có yêu cầu bảo mật rất cao.

Chúng tôi sáng tạo nhanh với quy mô lớn, không ngừng đưa ý kiến phản hồi của bạn vào các dịch vụ AWS. Việc này sẽ đem lại lợi ích cho bạn do các giải pháp của chúng tôi được cải thiện theo thời gian và chúng tôi liên tục cải tiến các dịch vụ bảo mật chủ chốt của mình, ví dụ: quản lý nhận dạng và truy cập, ghi nhật ký và giám sát, mã hóa và quản lý khóa, phân mảnh mạng và bảo vệ chống DDoS tiêu chuẩn.

Bạn cũng sẽ được cung cấp các dịch vụ bảo mật cao cấp được các kỹ sư của chúng tôi thiết kế với hiểu biết thực tế và sâu sắc các xu hướng bảo mật toàn cầu, cho phép đội ngũ của bạn chủ động giải quyết các rủi ro xuất hiện theo thời gian thực. Tức là, bạn có thể chọn hình thức bảo mật đáp ứng nhu cầu của bạn theo quá trình phát triển mà không phải chịu chi phí ngay lập tức và được hưởng mức chi phí vận hành thấp hơn nhiều so với việc tự quản lý cơ sở hạ tầng của bạn.

Rob AlexanderCIO, Capital One

“Chúng tôi đã trở nên chủ động hơn, nhận ra rằng chúng tôi có khả năng triển khai một số khối lượng công việc sản xuất quan trọng nhất của mình trên nền tảng

AWS. Đây thực sự là thứ làm thay đổi cuộc chơi.”

TỔNG QUAN


Môi trường được bảo mật đầy đủ sẽ trở thành môi trường tuân thủ. AWS sở hữu nhiều tính năng cho phép thực hiện tuân thủ mà bạn có thể sử dụng cho các khối lượng công việc được quản lý trên Đám mây AWS. Các tính năng này sẽ cho phép bạn đạt được mức bảo mật cao hơn ở quy mô lớn. Khả năng tuân thủ trên nền tảng đám mây đem lại mức chi phí đầu vào thấp hơn, quá trình vận hành dễ dàng hơn và độ linh hoạt cao hơn bằng cách cung cấp nhiều biện pháp giám sát, kiểm soát bảo mật và tự động hóa tập trung.

Bằng việc sử dụng AWS, bạn sẽ nhận được lợi ích từ nhiều biện pháp kiểm soát bảo mật mà chúng tôi vận hành, từ đó giảm số lượng biện pháp kiểm soát bảo mật mà bạn cần duy trì. Các chương trình tuân thủ và chứng nhận của chính bạn sẽ được củng cố, đồng thời, chi phí duy trì và vận hành các yêu cầu bảo đảm bảo mật cụ thể của bạn cũng được giảm xuống.

Mark Field CTO, Thermo Fisher Scientific

“Chúng tôi đã có thể thiết lập và vận hành cơ sở hạ tầng đám mây trong khoảng thời gian ngắn kỷ lục, ở mức

chi phí thấp hơn nhiều so với việc chúng tôi tự làm.”

TỔNG QUAN


Cách thức chúng tôi chia sẻ

trách nhiệm


CÁCH THỨC CHÚNG TÔI CHIA SẺ TRÁCH NHIỆM

Mô hình chia sẻ trách nhiệmChuyển cơ sở hạ tầng CNTT của mình lên AWS tức là bạn đưa vào sử dụng mô hình chia sẻ trách nhiệm được minh họa bên trái. Mô hình chia sẻ trách nhiệm này sẽ giảm gánh nặng vận hành cho bạn do chúng tôi đảm nhiệm công tác vận hành, quản lý và kiểm soát nhiều lớp thành phần CNTT từ hệ điều hành máy chủ và lớp ảo hóa đến việc bảo mật vật lý cho các cơ sở vận hành dịch vụ của chúng tôi. AWS chịu trách nhiệm bảo mật của đám mây còn, với tư cách khách hàng, bạn sẽ chịu trách nhiệm bảo mật trong đám mây.

Cũng như việc chia sẻ trách nhiệm vận hành môi trường CNTT của bạn với chúng tôi, bạn cũng chia sẻ công tác quản lý, vận hành và xác thực các biện pháp kiểm soát CNTT.

HƯỚNG DẪN THAM KHẢO NHANH VỀ BẢO MẬT VÀ TUÂN THỦ

AWS – BẢO MẬT CỦA ĐÁM MÂYĐể giúp bạn tận dụng tối đa khung kiểm soát bảo mật của AWS, chúng tôi đã xây dựng chương trình bảo đảm bảo mật sử dụng các phương pháp thực hành tốt nhất trong lĩnh vực quyền riêng tư và bảo vệ dữ liệu trên toàn cầu.

Chúng tôi tìm đến các đánh giá độc lập của bên thứ ba để xác thực rằng chúng tôi duy trì một môi trường kiểm soát ở khắp nơi hoạt động hiệu quả trong các dịch vụ và cơ sở của chúng tôi trên toàn cầu. Môi trường kiểm soát của chúng tôi bao gồm nhiều chính sách, quy trình và hoạt động kiểm soát có tác dụng cải thiện nhiều khía cạnh của môi trường kiểm soát tổng thể của Amazon.

Môi trường kiểm soát tổng thể bao gồm con người, quy trình và công nghệ cần thiết để thiết lập và duy trì một môi trường hỗ trợ hoạt động vận hành hiệu quả của khung kiểm soát. Chúng tôi đã tích hợp vào môi trường kiểm soát của mình nhiều biện pháp kiểm soát dành riêng cho đám mây được các cơ quan đứng đầu ngành điện toán đám mây xác định. Chúng tôi theo dõi các nhóm ngành này để xác định các phương pháp thực hành tốt nhất mà bạn có thể triển khai và để hỗ trợ công tác quản lý môi trường kiểm soát của bạn tốt hơn.

9



Chúng tôi minh họa quan điểm tuân thủ của mình để giúp bạn xác minh tính tuân thủ với các yêu cầu của ngành cũng như của chính phủ. Chúng tôi tiếp xúc với các cơ quan cấp chứng nhận bên ngoài và đơn vị kiểm tra độc lập để cung cấp cho bạn thông tin chi tiết về các chính sách, quy trình và biện pháp kiểm soát mà chúng tôi thiết lập và vận hành. Bạn có thể sử dụng thông tin này để thực hiện các quy trình đánh giá và xác thực kiểm soát của bạn, theo yêu cầu tiêu chuẩn tuân thủ hiện hành.

Bạn có thể lồng ghép thông tin chúng tôi cung cấp về rủi ro và chương trình tuân thủ vào khung tuân thủ của bạn. Chúng tôi sử dụng hàng nghìn biện pháp kiểm soát bảo mật để giám sát việc chúng tôi duy trì tính tuân thủ với các tiêu chuẩn và phương pháp thực hành tốt nhất trên toàn cầu. Chúng tôi cung cấp cho bạn nhiều dịch vụ như AWS Config để theo dõi tính bảo mật và tuân thủ cho môi trường của bạn.

AWS Config

AWS Config là dịch vụ được quản lý toàn phần cung cấp cho bạn kho tài nguyên, lịch sử cấu hình và thông báo thay đổi cấu hình AWS để cho phép bảo đảm tính bảo mật và tuân thủ quy định.

Với AWS Config, bạn sẽ có khả năng khám phá nhiều tài nguyên AWS hiện hữu và đã bị xóa, xác định tính tuân thủ tổng thể của bạn so với quy định và nghiên cứu chuyên sâu chi tiết cấu hình tài nguyên của bạn vào bất kỳ thời điểm nào. AWS Config đem đến cho bạn khả năng kiểm tra tính tuân thủ, phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố.



KHÁCH HÀNG – TRÁCH NHIỆM BẢO MẬT TRONG ĐÁM MÂYCũng khá giống với trung tâm dữ liệu truyền thống, bạn chịu trách nhiệm quản lý hệ điều hành khách, trong đó có việc cài đặt bản cập nhật và bản vá bảo mật. Bạn cũng đồng thời chịu trách nhiệm quản lý phần mềm ứng dụng đi kèm, cũng như cấu hình của tường lửa nhóm bảo mật do AWS cung cấp. Trách nhiệm của bạn sẽ thay đổi tùy thuộc vào dịch vụ AWS bạn chọn, cách thức tích hợp các dịch vụ này vào môi trường CNTT của bạn cũng như luật pháp và quy định hiện hành.

Để quản lý một cách bảo mật các tài nguyên AWS của mình, bạn cần làm theo ba điều sau:

• Nhận biết bạn đang sử dụng tài nguyên nào (kho tài nguyên).

• Cấu hình bảo mật HĐH và ứng dụng khách trên các tài nguyên của bạn (bảo đảm cài đặt cấu hình, cài đặt bản vá và chống phần mềm độc hại).

• Kiểm soát thay đổi tài nguyên (quản lý thay đổi).

AWS Service Catalog

Bạn có thể sử dụng AWS Service Catalog để tạo và quản lý danh mục dịch vụ CNTT mà bạn đã phê duyệt để sử dụng trên AWS, trong đó có hình ảnh máy ảo, máy chủ, phần mềm và cơ sở dữ liệu để hoàn thành kiến trúc ứng dụng đa bậc. AWS Service Catalog cho phép bạn quản lý tập trung các dịch vụ CNTT thường được triển khai và giúp bạn đạt được kết quả quản trị ổn định để đáp ứng các yêu cầu về tuân thủ, đồng thời, cho phép người dùng nhanh chóng triển khai các dịch vụ CNTT đã phê duyệt mà họ cần.

Amazon GuardDuty

Amazon GuardDuty đem đến khả năng phát hiện mối đe dọa và giám sát bảo mật liên tục để tìm ra các hành vi độc hại hoặc trái phép để giúp bạn bảo vệ các tài khoản và khối lượng công việc AWS của mình. Đây là dịch vụ theo dõi hoạt động chỉ ra vụ việc có khả năng vi phạm, phiên bản có khả năng vi phạm hoặc hoạt động do thám của bên tấn công hoặc tài sản trí tuệ, đồng thời, liên tục giám sát hoạt động truy cập dữ liệu để tìm những điểm bất thường có thể khoanh vùng truy cập trái phép hoặc vô tình gây rò rỉ dữ liệu.



Chương trình bảo đảm


CHƯƠNG TRÌNH BẢO ĐẢM

Chương trình bảo đảm

Chương trình Chứng nhận/Chứng thực được bên kiểm tra độc lập là bên thứ ba thực hiện. Các chứng nhận, báo cáo kiểm tra hoặc chứng thực tuân thủ được căn cứ theo kết quả của bên kiểm tra.

Chương trình Luật pháp/Quy định/Quyền riêng tư mang tính đặc thù theo ngành hoặc chức năng của bạn. Chúng tôi sẽ hỗ trợ bạn bằng cách cung cấp các tính năng và văn bản bảo mật như sổ tay hướng dẫn tuân thủ, tài liệu ánh xạ và báo cáo nghiên cứu chuyên sâu.

Việc tuân thủ các bộ luật, quy định và chương trình này của AWS không được chính thức hóa, hoặc do nhà cung cấp dịch vụ đám mây không có chứng nhận hoặc chứng nhận đã thuộc khuôn khổ của khung lớn hơn trong phạm vi một trong các chương trình chứng nhận/chứng thực chính thức của chúng tôi.

Chúng tôi phân loại các Chương trình bảo đảm của AWS thành ba loại: Chứng nhận/Chứng thực, Luật pháp/Quy định/Quyền riêng tư và Điều chỉnh/Khung.


Môi trường của chúng tôi được kiểm tra liên tục còn cơ sở hạ tầng và dịch vụ được phê duyệt để vận hành theo nhiều tiêu chuẩn và chứng nhận ngành về tuân thủ trên khắp nhiều vùng địa lý và ngành nghề, trong đó có cả các vùng và ngành được minh họa bên dưới. Bạn có thể sử dụng các chứng nhận này để xác thực quá trình triển khai và mức độ hiệu quả của các biện pháp kiểm soát bảo mật của chúng tôi. Chúng tôi liên tục bổ sung thêm chương trình. Để xem danh sách mới nhất, hãy truy cập trang web Chương trình bảo đảm của AWS.

PCI DSS AWS là nhà cung cấp dịch vụ tuân thủ Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán (PCI DSS) (từ năm 2010), nghĩa là, nếu bạn sử dụng các sản phẩm và dịch vụ của AWS để lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ, bạn có thể tin tưởng vào cơ sở hạ tầng công nghệ của chúng tôi trong quá trình quản lý chứng nhận tuân thủ PCI DSS riêng của bạn.

ISO 27001 ISO 27001 là tiêu chuẩn bảo mật được áp dụng trên toàn cầu. Tiêu chuẩn này chỉ ra các yêu cầu dành cho hệ thống quản lý bảo mật thông tin. ISO 27001 cung cấp phương pháp tiếp cận có hệ thống công tác quản lý công ty và thông tin khách hàng căn cứ theo đánh giá rủi ro định kỳ.

Toàn cầu

ISO 27018 Bảo vệ dữ liệu cá nhân

CSA Biện pháp kiểm soát của tổ chức Cloud Security

Alliance

PCI DSS cấp 1 Tiêu chuẩn thẻ

thanh toán

ISO 9001 Tiêu chuẩn chất lượng toàn cầu

SOC 1 Báo cáo kiểm tra biện pháp

kiểm soát

ISO 27001 Biện pháp

kiểm soát quản lý bảo mật

SOC 2 Báo cáo an ninh, độ khả dụng và

bảo mật

ISO 27017 Biện pháp kiểm soát dành cho

đám mây

SOC 3 Báo cáo biện

pháp kiểm soát tổng quát

FFIEC Quy định của định chế

tài chính

ITAR Quy định vũ khí quốc tế

CJIS Đơn vị thông tin tội phạm

tư pháp

FIPS Tiêu chuẩn

bảo mật của chính phủ

MPAA Nội dung

phương tiện được bảo vệ

DoD SRG Xử lý dữ liệu DoD

FISMA Quản lý bảo

mật thông tin liên bang

NIST Viện tiêu

chuẩn và kỹ thuật quốc gia

FedRAMP Tiêu chuẩn dữ liệu của chính phủ

GxP Hướng dẫn và quy định chất lượng

Quy định của SEC17a-4(f) Tiêu chuẩn dữ liệu tài chính

FERPA Đạo luật về

quyền riêng tư trong giáo dục

HIPAA Thông tin y tế được bảo vệ

VPAT / Phần 508 Tiêu chuẩn

tiếp cận

Hoa Kỳ

FISC [Nhật Bản] Hệ thống thông

tin ngành tài chính

IRAP [Úc] Tiêu chuẩn bảo

mật của Úc

K-ISMS [Hàn Quốc] Quy định bảo mật thông tin của Hàn Quốc

MTCS Bậc 3 [Singapore] Tiêu chuẩn bảo mật trên đám mây đa bậc

Đạo luật về sử dụng số điện thoại để xác định cá nhân cụ thể

trong quy trình hành chính [Nhật Bản]

Quy định về bảo vệ thông tin cá nhân

Châu Á Thái Bình Dương

C5 [Đức] Chứng thực

bảo mật hoạt động vận hành

Cyber Essentials

Plus [Vương quốc Anh]

Bảo vệ trước các mối đe dọa an

ninh mạng

ENS High [Tây Ban

Nha] Tiêu chuẩn

của chính phủ Tây Ban Nha

G-Cloud [Vương

quốc Anh] Tiêu chuẩn

của chính phủ Vương quốc Anh

IT-Grundschutz [Đức]

Phương pháp bảo vệ cơ sở

Châu Âu



AWS Artifact

Bạn có thể xem lại và tải xuống báo cáo và thông tin chi tiết về trên 2.500 biện pháp kiểm soát bảo mật bằng cách sử dụng AWS Artifact, công cụ báo cáo tuân thủ tự động của chúng tôi có trên Bảng điều khiển quản lý AWS.

AWS Artifact cung cấp quyền truy cập theo yêu cầu vào các tài liệu về bảo mật và tuân thủ của chúng tôi, còn được gọi là bằng chứng kiểm tra. Bạn có thể sử dụng bằng chứng này để chứng minh độ bảo mật và tính tuân thủ của dịch vụ và cơ sở hạ tầng AWS của mình với các bên kiểm tra hoặc cơ quan kiểm định.

Ví dụ về bằng chứng kiểm tra gồm có các báo cáo Biện pháp kiểm soát hệ thống và tổ chức (SOC) và Ngành thẻ thanh toán (PCI).

ISO 27017 ISO 27017 cung cấp hướng dẫn về các khía cạnh bảo mật thông tin trong lĩnh vực điện toán đám mây và đề xuất triển khai nhiều biện pháp kiểm soát bảo mật thông tin dành riêng cho đám mây hỗ trợ hướng dẫn của các tiêu chuẩn ISO 27002 và ISO 27001. Bộ quy tắc thực hành này cung cấp hướng dẫn triển khai các biện pháp kiểm soát bảo mật thông tin dành riêng cho các nhà cung cấp dịch vụ đám mây. Chứng thực tuân theo hướng dẫn của tiêu chuẩn ISO 27017 của AWS thể hiện cam kết liên tục của chúng tôi trong việc tuân theo các phương pháp thực hành tốt nhất được công nhận trên toàn cầu, đồng thời, xác thực rằng AWS sở hữu một hệ thống có nhiều biện pháp kiểm soát có độ chính xác cao được áp dụng dành riêng cho các dịch vụ đám mây.

ISO 27018 ISO 27018 là bộ quy tắc thực hành tập trung vào công tác bảo vệ dữ liệu cá nhân trên đám mây. Tiêu chuẩn này được xây dựng trên tiêu chuẩn bảo mật thông tin ISO 27002 và cung cấp hướng dẫn triển khai các biện pháp kiểm soát theo ISO 27002 được áp dụng cho Thông tin có khả năng nhận dạng danh tính cá nhân (PII) trên hệ thống đám mây công cộng. Việc AWS tuân theo tiêu chuẩn này cùng với đánh giá của bên thứ ba độc lập về quy tắc ứng xử được quốc tế công nhận này chứng minh cam kết của AWS trong việc bảo đảm quyền riêng tư và bảo vệ nội dung của bạn.



AWS Artifact

Chương trình Chứng nhận/Chứng thực được bên kiểm tra độc lập là bên thứ ba thực hiện. Các chứng nhận, báo cáo kiểm tra hoặc chứng thực tuân thủ được căn cứ theo kết quả của bên kiểm tra.

Chương trình Luật pháp/Quy định/Quyền riêng tư mang tính đặc thù theo ngành hoặc chức năng của bạn. Chúng tôi sẽ hỗ trợ bạn bằng cách cung cấp các tính năng và văn bản bảo mật như sổ tay hướng dẫn tuân thủ, tài liệu ánh xạ và báo cáo nghiên cứu chuyên sâu.

Việc tuân thủ các bộ luật, quy định và chương trình này của AWS không được chính thức hóa, hoặc do nhà cung cấp dịch vụ đám mây không có chứng nhận hoặc chứng nhận đã thuộc khuôn khổ của khung lớn hơn trong phạm vi một trong các chương trình chứng nhận/chứng thực chính thức của chúng tôi.

FedRAMP Chương trình của chính phủ Hoa Kỳ nhằm bảo đảm tiêu chuẩn đánh giá bảo mật, cấp phép và giám sát liên tục. FedRAMP tuân theo các tiêu chuẩn kiểm soát do NIST và FISMA quy định.

AWS cung cấp hệ thống tuân thủ FedRAMP đã được cấp phép, xử lý các biện pháp kiểm soát bảo mật FedRAMP, sử dụng mẫu FedRAMP yêu cầu cho các gói bảo mật được đăng trên Kho FedRAMP bảo mật, đã được đánh giá bởi Tổ chức đánh giá bên thứ ba (3PAO) độc lập được công nhận và duy trì các yêu cầu giám sát liên tục của FedRAMP.

Mô hình bảo mật trên đám mây DoD (CSM) Tiêu chuẩn dành cho điện toán đám mây do Cơ quan đặc trách Hệ thống thông tin quốc phòng Hoa Kỳ (DISA) ban hành và được ghi lại trong Hướng dẫn yêu cầu bảo mật (SRG) của Bộ Quốc phòng (DoD). Xử lý việc cấp phép cho chủ sở hữu khối lượng công việc DoD có yêu cầu đặc thù về kiến trúc do Cấp Tác động (IL) DISA của họ.

HIPAA Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) bao gồm các tiêu chuẩn tuân thủ và bảo mật khắt khe đối với các tổ chức thực hiện xử lý hoặc lưu trữ Thông tin y tế được bảo vệ (PHI). AWS cho phép các đơn vị thuộc phạm vi áp dụng và đối tác kinh doanh chịu sự chi phối của HIPAA tận dụng môi trường AWS để xử lý, duy trì và lưu trữ PHI.

SOC Báo cáo Biện pháp kiểm soát hệ thống và tổ chức (SOC) là các báo cáo kiểm tra của bên thứ ba độc lập minh họa cách AWS đạt được các biện pháp kiểm soát và mục tiêu tuân thủ chính.

Mục đích của các báo cáo này là để giúp bạn và bên kiểm tra của bạn hiểu rõ các biện pháp kiểm soát của AWS đã được thiết lập để hỗ trợ vận hành và tuân thủ. Có ba loại báo cáo AWS SOC:

• SOC 1: Cung cấp thông tin về môi trường kiểm soát của AWS có thể liên quan đến các biện pháp kiểm soát nội bộ đối với báo cáo tài chính (ICFR), cũng như thông tin để đánh giá độ hiệu quả của ICFR của bạn.

• SOC 2: Cung cấp cho bạn và người dùng dịch vụ có nhu cầu kinh doanh một bản báo cáo độc lập về môi trường kiểm soát của AWS liên quan đến an ninh, độ khả dụng và bảo mật hệ thống.

• SOC 3: Cung cấp cho bạn và người dùng dịch vụ có nhu cầu kinh doanh một bản báo cáo độc lập về môi trường kiểm soát của AWS và cung cấp thông tin về an ninh, độ khả dụng và bảo mật mà không tiết lộ thông tin nội bộ AWS.



Bảo mậtnội dungcủa bạn


BẢO MẬT NỘI DUNG CỦA BẠN

AWS rất coi trọng quyền riêng tư của bạn. Bạn luôn sở hữu nội dung của mình, bao gồm khả năng mã hóa, di chuyển cũng như quản lýviệc lưu trữ nội dung đó. Chúng tôi cung cấp nhiều công cụ cho phép bạn dễ dàng mã hóa dữ liệu, đang di chuyển và đã lưu trữ, để giúp bảo đảm rằng chỉ người dùng được cấp phép mới có quyền truy cập nội dung đó.

AWS CloudHSM

Dịch vụ AWS CloudHSM cho phép bạn bảo vệ khóa mã hóa của mình trong các mô đun bảo mật phần cứng (HSM) được thiết kế và xác thực theo các tiêu chuẩn về quản lý khóa bảo mật của chính phủ. Bạn có thể tạo, lưu trữ và quản lý một cách bảo mật các khóa mật mã được sử dụng để mã hóa dữ liệu sao cho chỉ bạn mới có quyền truy cập.

Mã hóa phía máy chủ

Bạn có thể sử dụng dịch vụ Mã hóa phía máy chủ (SSE) Amazon S3 nếu bạn muốn để Amazon S3 quản lý quá trình mã hóa cho bạn. Dữ liệu được mã hóa bằng khóa do AWS tạo, hoặc bằng khóa do bạn tạo, tùy theo yêu cầu của bạn. Với Amazon S3 SSE, bạn sẽ có thể mã hóa dữ liệu khi tải lên chỉ đơn giản bằng cách thêm tiêu đề yêu cầu phụ khi ghi đối tượng. Quá trình giải mã diễn ra tự động khi dữ liệu được truy xuất.


AWS đem đến cho bạn khả năng kiểm soát bạn cần để tuân thủ các bộ luật và quy định về quyền riêng tư dữ liệu cấp khu vực và địa phương. Thiết kế của cơ sở hạ tầng toàn cầu của chúng tôi cho phép bạn có toàn quyền kiểm soát các vị trí lưu trữ dữ liệu của bạn, giúp bạn đáp ứng các yêu cầu về nơi lưu trữ dữ liệu.

Với AWS, bạn luôn biết được ai đang truy cập nội dung của mình và tổ chức của bạn đang sử dụng tài nguyên nào. Các biện pháp kiểm soát truy cập và nhận dạng tinh vi, kết hợp với giám sát liên tục để thu nhận thông tin bảo mật gần với thời gian thực, bảo đảm rằng tài nguyên phù hợp sẽ luôn có quyền truy cập, bất kể thông tin của bạn được lưu trữ ở nơi đâu trên thế giới.

Lưu ý: Chúng tôi không truy cập hay sử dụng nội dung của bạn cho bất kỳ mục đích nào trừ mục đích cung cấp cho bạn và người dùng cuối của bạn một số dịch vụ AWS. Chúng tôi tuyệt đối không sử dụng nội dung của bạn cho mục đích riêng của chúng tôi, kể cả để tiếp thị hay quảng cáo.

AWS Identity and Access Management

Identity and Access Management (IAM) cho phép bạn quản lý quyền truy cập các dịch vụ AWS và tài nguyên một cách bảo mật. Bằng cách sử dụng IAM, quản trị viên của bạn có thể tạo cũng như quản lý người dùng và nhóm AWS, đồng thời, sử dụng quyền để cho phép và không cho phép họ truy cập các tài nguyên AWS. Cơ cấu liên kết cho phép ánh xạ các vai trò IAM với quyền từ dịch vụ danh bạ trung tâm.

Amazon Macie

Amazon Macie sử dụng machine learning để tự động khám phá, phân loại và bảo vệ dữ liệu nhạy cảm. Macie nhận dạng các dữ liệu nhạy cảm như Thông tin có khả năng nhận dạng danh tính cá nhân (PII) hoặc tài sản trí tuệ và liên tục giám sát hoạt động truy cập dữ liệu để tìm những điểm bất thường có thể khoanh vùng truy cập trái phép hoặc vô tình gây rò rỉ dữ liệu.



Giảm rủi ro và mở ra khả năng phát triển bằng cách sử dụng dịch vụ giám sát hoạt động có khả năng phát hiện thay đổi cấu hình và sự kiện bảo mật trên khắp hệ thống của bạn, thậm chí tích hợp các dịch vụ của chúng tôi vào các giải pháp hiện tại của bạn để đơn giản hóa hoạt động vận hành và báo cáo tuân thủ.

Chúng tôi không tiết lộ nội dung của bạn, trừ khi chúng tôi cần phải làm như vậy theo yêu cầu của pháp luật hoặc yêu cầu hợp lệ và mang tính ràng buộc của cơ quan chính phủ hoặc cơ quan chức năng. Trong trường hợp phải tiết lộ nội dung của bạn, chúng tôi sẽ thông báo trước để bạn có thể tìm cách bảo vệ nội dung bị tiết lộ.

Quan trọng: Nếu chúng tôi không được phép thông báo cho bạn, hoặc có dấu hiệu rõ ràng cho thấy có hành vi sử dụng trái phép các sản phẩm hoặc dịch vụ của Amazon, chúng tôi sẽ tiết lộ nội dung mà không cần thông báo trước cho bạn.

AWS Directory Service for Microsoft Active Directory

AWS Microsoft AD giúp bạn dễ dàng cài đặt và vận hành Microsoft Active Directory trên Đám mây AWS hoặc kết nối các tài nguyên AWS của bạn với Microsoft Active Directory tại chỗ hiện có.

Quyền truy cập của người dùng liên kết

Người dùng liên kết là người dùng (hoặc ứng dụng) không có Tài khoản AWS. Với vai trò này, bạn có thể cấp cho họ quyền truy cập các tài nguyên AWS của bạn trong khoảng thời gian giới hạn. Điều này sẽ hữu ích nếu bạn có người dùng không sử dụng AWS mà bạn có thể xác thực bằng dịch vụ bên ngoài, ví dụ: Microsoft Active Directory, LDAP hoặc Kerberos.

AWS CloudTrail

AWS CloudTrail ghi lại các lệnh gọi API của AWS và cung cấp các tệp nhật ký bao gồm danh tính người gọi, thời gian, địa chỉ IP nguồn, thông số yêu cầu và các phần tử phản hồi. Bạn có thể sử dụng lịch sử lệnh gọi mà CloudTrail cung cấp để cho phép phân tích bảo mật, theo dõi thay đổi tài nguyên và kiểm tra tuân thủ.



3

3

3

2

3

3

3

3

2

6

3

2

22

2

32

2

KHU VỰC AWS

Nơi lưu trữ nội dung của bạnCác trung tâm dữ liệu của AWS được xây dựng theo cụm ở nhiều quốc gia khác nhau trên khắp thế giới. Chúng tôi gọi từng cụm trung tâm dữ liệu của mình ở một quốc gia cụ thể là Khu vực AWS. Bạn có quyền truy cập vô số Khu vực AWS trên toàn cầu và được quyền chọn sử dụng một Khu vực AWS, tất cả các Khu vực AWS hoặc bất kỳ tổ hợp Khu vực AWS nào.

Bạn vẫn có toàn quyền kiểm soát (các) Khu vực AWS lưu trữ vật lý dữ liệu của bạn, giúp dễ dàng đáp ứng các yêu cầu về tuân thủ và nơi lưu trữ dữ liệu. Ví dụ: nếu là khách hàng ở châu Âu, bạn có thể chọn chỉ triển khai các dịch vụ AWS của mình ở Khu vực châu Âu (Frankfurt). Nếu bạn đưa ra lựa chọn này, nội dung của bạn sẽ chỉ được lưu trữ tại Đức, trừ khi bạn chọn Khu vực AWS khác.



TÍNH LIÊN TỤC CHO HOẠT

ĐỘNG KINH DOANH


TÍNH LIÊN TỤC CHO HOẠT ĐỘNG KINH DOANH

Cơ sở hạ tầng của chúng tôi có độ khả dụng cao và chúng tôi cung cấp cho bạn nhiều tính năng bạn cần để triển khai một cơ sở hạ tầng CNTT ổn định. Các hệ thống của chúng tôi được thiết kế giúp chống chịu được những hư hỏng phần cứng hoặc lỗi hệ thống để giảm thiểu tác động lên khách hàng.

Đám mây AWS hỗ trợ nhiều kiến trúc khắc phục sự cố phổ biến, từ môi trường dạng “đèn điều khiển” sẵn sàng tăng quy mô khi được thông báo đến môi trường “chờ chủ động” có khả năng chuyển đổi dự phòng nhanh chóng.

Có một điều quan trọng cần lưu ý là:• Tất cả các trung tâm dữ liệu đều trực tuyến và phục vụ khách

hàng; không có trung tâm dữ liệu nào ở "trạng thái tĩnh". Trong trường hợp có lỗi, các quy trình tự động hóa sẽ di chuyển lưu lượng dữ liệu của bạn ra khỏi khu vực bị ảnh hưởng.

• Bằng cách phân phối các ứng dụng trên nhiều Vùng sẵn sàng AWS, bạn có khả năng chống chịu lỗi khi đối mặt với hầu hết các loại sự cố, kể cả thiên tai hoặc lỗi hệ thống.

• Bạn có thể xây dựng các hệ thống có khả năng chống chịu lỗi cao trên đám mây bằng cách sử dụng nhiều phiên bản ở nhiều Vùng sẵn sàng AWS và sử dụng tính năng sao chép dữ liệu để đạt được các mục tiêu về thời gian khôi phục và điểm khôi phục cực cao.

• Bạn có trách nhiệm quản lý cũng như kiểm thử việc sao lưu và khôi phục hệ thống thông tin được xây dựng trên cơ sở hạ tầng của AWS. Bạn có thể sử dụng cơ sở hạ tầng AWS để khắc phục sự cố nhanh hơn cho các hệ thống CNTT quan trọng mà không mất thêm phí xây dựng cơ sở vật lý thứ hai.

Để biết thêm thông tin, hãy truy cập aws.amazon.com/disaster-recovery


TỰ ĐỘNG HÓA


TỰ ĐỘNG HÓA

Việc tự động hóa các tác vụ bảo mật trên AWS giúp nâng cao mức độ bảo mật bằng cách giảm lỗi cấu hình do con người và giúp đội ngũ của bạn có nhiều thời gian hơn để tập trung vào các công việc khác quan trọng đối với doanh nghiệp. Đội ngũ bảo mật có thể sử dụng tự động hóa bảo mật và tích hợp API để tăng khả năng ứng phó và độ linh hoạt, khiến việc phối hợp chặt chẽ với nhà phát triển và đội ngũ vận hành để tạo và triển khai mã nhanh hơn và bảo mật hơn trở nên dễ dàng hơn.

Bằng cách tự động kiểm tra bảo mật cơ sở hạ tầng và ứng dụng mỗi khi có mã mới được triển khai, bạn sẽ có thể liên tục thi hành các biện pháp kiểm soát bảo mật và tuân thủ của mình để giúp bảo đảm tính bí mật, toàn vẹn và khả dụng vào mọi thời điểm. Bạn có thể tự động hóa trong môi trường lai bằng các công cụ quản lý và bảo mật thông tin của chúng tôi để dễ dàng tích hợp AWS như là một phần mở rộng trơn tru và bảo mật của các môi trường tại chỗ và kế thừa của bạn.

Amazon Inspector

Amazon Inspector là dịch vụ đánh giá bảo mật tự động hóa giúp cải thiện độ bảo mật và tính tuân thủ cho các ứng dụng được triển khai trên AWS. Amazon Inspector tự động đánh giá các ứng dụng để tìm lỗ hổng bảo mật hoặc sai lệch so với phương pháp thực hành tốt nhất. Sau khi thực hiện đánh giá, Amazon Inspector sẽ cung cấp một danh sách chi tiết các kết luận về bảo mật được xếp loại ưu tiên theo mức độ nghiêm trọng.

Để giúp bạn bắt đầu nhanh chóng, Amazon Inspector có cơ sở kiến thức gồm hàng trăm quy tắc được ánh xạ với các phương pháp thực hành tốt nhất về bảo mật phổ biến và các định nghĩa về lỗ hổng bảo mật. Ví dụ về quy tắc được tích hợp bao gồm kiểm tra xem đăng nhập root từ xa có được bật hay không hoặc các phiên bản phần mềm có lỗ hổng bảo mật có được cài đặt hay không. Những quy tắc này được các nhà nghiên cứu bảo mật của AWS cập nhật thường xuyên.


TÀI NGUYÊN


TÀI NGUYÊN

Đối tác và MarketplaceCác giải pháp Mạng lưới đối tác AWS (APN) đem đến khả năng tự động hóa và sự linh hoạt, với quy mô thay đổi theo khối lượng công việc của bạn và bạn chỉ phải trả tiền cho những gì bạn cần và sử dụng.

Dễ dàng tìm kiếm, mua, triển khai và quản lý các giải pháp phần mềm đã sẵn sàng chạy trên đám mây này, bao gồm cả các sản phẩm phần mềm dưới dạng dịch vụ (SaaS), chỉ trong vài phút từ AWS Marketplace. Các giải pháp này kết hợp cùng nhau để giúp bảo mật dữ liệu của bạn theo nhiều cách thức không thể thực hiện đối với cơ sở tại chỗ và bằng nhiều giải pháp có thể sử dụng cho nhiều khối lượng công việc và trường hợp sử dụng.

Để biết thêm thông tin, hãy truy cập aws.amazon.com/partners và aws.amazon.com/marketplace

ĐÀO TẠODù bạn vừa mới bắt đầu, đang tích lũy kỹ năng CNTT hiện có hay đang nghiên cứu sâu về đám mây, dịch vụ Đào tạo AWS sẽ giúp bạn và đội ngũ của bạn nâng cao kiến thức để có thể sử dụng đám mây hiệu quả hơn.

Để biết thêm thông tin, hãy truy cập aws.amazon.com/training

BẮT ĐẦU NHANHBằng cách sử dụng hướng dẫn Bắt đầu nhanh của chúng tôi, bạn sẽ có thể làm theo các phương pháp thực hành tốt nhất để bắt đầu thiết lập cấu hình bảo mật AWS, đặt nền tảng vững chắc cho việc đáp ứng các yêu cầu tuân thủ toàn cầu của bạn.

Để biết thêm thông tin, hãy truy cập aws.amazon.com/quickstart

hướng dẫn tham khảo nhanh về bảo mật và · quy trình đánh giá và xác thực...

Documents