AWSの責任共有モデルとは
AWSとユーザーの責任が明確に分かれていること
それぞれのセキュリティ担当範囲について下記の図をご覧ください。
クラウド本体のセキュリティ
AWS側はクラウド本体のセキュリティ部分を担当します。
ハードウェアやマネージドサービスのソフトウェアおよびそれに含まれる各種サービスの管理(アップデート、セキュリティパッチのインストール)はAWSの担当になります。
クラウド内のセキュリティ
ユーザーはクラウド内のセキュリティを担当します。
ゲストオペレーティングシステムの管理、関連アプリケーションソフトウェアの管理、セキュリティグループファイアウォールの設定やデータなどがユーザーの担当になります。使用するAWSサービスによっても変わりますが、AWSによってセキュリティに関する便利なサービスやツールも提供されています。
マネージドでないサービスのセキュリティ
Amazon EC2(サービス)はユーザーが管理者権限を持ち、OSを管理します。
EC2インスタンスの場合ゲストOSの管理やインスタンスにインストールする全てのアプリケーションソフトウェアの設定、ファイアウォール(セキュリティグループ)の設定に責任を負います。
・マネージドではないサービスにおいてユーザーが操作できる部分はユーザーの責任
マネージドなサービスのセキュリティ
マネージドなサービスの例としてAmazon RDSやAmazon DynamoDBなどがあります。
ユーザーから直接見たり触れたりできない部分のセキュリティをAWS側が行います。(OSやDBのパッチ適用など)
・マネージドなサービスを利用することでユーザーのセキュリティに関する負担を軽減
まとめ
責任共有モデルとはユーザーとAWSが責任を擦り付けあうものではなく、それぞれが責任範囲を理解し注力することでエンドユーザーが安心・安全に使用できるITシステムを構築することが目的です。
参考