AmazonWebServices风险和合规性.pdf

Amazon Web Services 风险和合规性 2015 年 12 月 第 1 页，共 66 页 Amazon Web Services：风险和合规性 2015 年 12 月 （请访问 /compliance/aws-whitepapers/ 以查看此白皮书的最新版本） Amazon Web Services 风险和合规性 2015 年 12 月 第 2 页，共 66 页 本文档旨在为 AWS 客户提供信息，协助客户将 AWS 集成到支持其 IT 环境的现有控制框架中。本文档包含评估 AWS 的控制能力的基本方法，并提供信息来帮助客户整合控制环境。本文档还提供有关常规的云计算合规性问 题中关于 AWS 的特定信息。 目录 风险和合规性概述 3 责任共担环境 3 强合规性管理 4 评估并集成 AWS 控制体系 4 AWS IT 控制信息 5 AWS 全球区域 5 AWS 风险和合规性计划 5 风险管理 5 控制环境 6 信息安全 6 AWS 认证、程序、报告和第三方鉴证 6 CJIS 7 CSA 7 Cyber Essentials Plus 7 DoD SRG 级别 2 和 4 7 FedRAMP SM 8 FERPA 8 FIPS 140-2 9 FISMA 和 DIACAP 9 HIPAA 9 IRAP 10 ISO 9001 10 ISO 27001 11 ISO 27017 12 ISO 27018 13 ITAR 14 MPAA 14 MTCS 3 层认证 15 NIST 15 Amazon Web Services 风险和合规性 2015 年 12 月 第 3 页，共 66 页 PCI DSS 第 1 级 15 SOC 1/ISAE 3402 16 SOC 2 17 SOC 3 18 重要合规性问题和 AWS 18 AWS 联系信息 21 附录 A：CSA 一致性评估倡议问卷 v3.0.1 22 附录 B：AWS 符合澳大利亚信号局 (ASD) 云计算安全注意事项 49 附录 C：术语表 62 风险和合规性概述 AWS 和客户共同控制 IT 环境，因此双方均有责任管理 IT 环境。AWS 承担的分担责任部分包括在高度安全和受 控制的平台上提供服务，并提供大量安全功能供客户使用。客户的责任包括以安全且受控制的方式配置 IT 环 境，以满足自身需要。当客户不告知 AWS 其使用方式和配置细节时，AWS 会将与客户相关的安全与控制环境 传达给客户。AWS 通过采取以下措施达到与客户交流传达的目的： ? 获取行业资质证书和本文档中描述的独立第三方的认证 ? 在白皮书和网站内容中发布有关 AWS 安全与控制实践的信息 ? 根据保密协议，直接向 AWS 客户提供证书、报告、和其他文档（根据需要） 有关 AWS 安全性的详细描述，请参阅： AWS 安全中心：/security/ 有关 AWS 合规性的详细描述，请参阅 AWS 合规性页面：/compliance/ 此外，AWS 安全过程概述白皮书阐述了 AWS 的一般安全控制体系和专门针对服务的安全措施。 责任共担环境 将 IT 基础设施迁移到 AWS 服务的行为在客户与 AWS 之间建立了责任共享的模型。该共享模型可以帮助缓解客 户操作负担，因为 AWS 会操作、管理并控制各个方面的组件，从主机操作系统和虚拟化层至运行服务的设施的 物理安全，全权负责。客户负责管理来宾操作系统（包括更新和安全补丁）、其他关联应用程序软件以及 AWS 提供的安全组防火墙的配置。客户应慎重选择服务，因为他们所承担的责任因他们使用的服务、服务与其 IT 环 境的集成以及适用法律法规而各异。客户可以利用诸如基于主机的防火墙、基于主机的入侵检测/防护、加密和 密钥管理之类的技术，来增强安全性能和/或满足更加严格的合规性要求。此共享责任的性质也为满足行业特定 认证要求的方案的部署提供了灵活性和客户控制。 Amazon Web Services 风险和合规性 2015 年 12 月 第 4 页，共 66 页 客户/AWS 分担责任模型还扩展到 IT 控制体系方面。正如 AWS 与客户共同行使控制 IT 环境的责任一样，管 理、运营和验证 IT 控制体系的责任也是由双方共同承担。AWS 可帮助客户缓解管理控制体系的负担，方式是接 手管理之前可能由客户管理、部署在 AWS 环境中的物理基础设施相