Đối với các yêu cầu được nhận bởi Amazon API Gateway, ai chịu trách nhiệm triển khai các cài đặt bảo mật như xác thực (xác thực khóa API, xác thực IAM, v.v.) và giới hạn tốc độ (bảo vệ DDoS)?
Theo mô hình trách nhiệm chung, xác định ai chịu trách nhiệm về cài đặt bảo mật của dịch vụ được quản lý (API Gateway).
AWS chịu trách nhiệm.
AWS chịu trách nhiệm về cơ sở hạ tầng bên dưới, tính khả dụng và độ bền của dịch vụ được quản lý API Gateway (security OF the cloud).
Tuy nhiên, phương thức xác thực hoặc giới hạn tốc độ nào được cấu hình phụ thuộc vào yêu cầu ứng dụng của khách hàng. Bản thân việc cấu hình là trách nhiệm của khách hàng, vì vậy đáp án này sai.
Kiểm soát chung
Kiểm soát chung là các lĩnh vực cả hai bên đều tham gia ở các lớp khác nhau, chẳng hạn như quản lý bản vá.
Nội dung cấu hình bảo mật của API Gateway hoàn toàn do khách hàng quyết định và triển khai, vì vậy đây không phải kiểm soát chung. Đáp án này sai.
Dịch vụ an toàn theo mặc định, không cần cấu hình thêm từ phía khách hàng.
API Gateway KHÔNG tự động bật xác thực hoặc giới hạn tốc độ khi được tạo.
Khách hàng phải cấu hình rõ ràng phương thức xác thực và giới hạn theo yêu cầu ứng dụng của mình. Giả định rằng không cần cấu hình là sai.
Khách hàng chịu trách nhiệm.
Đúng. Mặc dù API Gateway là dịch vụ được quản lý, phương thức xác thực (khóa API, IAM, Cognito, v.v.) và giới hạn tốc độ nào được sử dụng do khách hàng quyết định và triển khai dựa trên yêu cầu ứng dụng của họ. Điều này thuộc phạm vi cấu hình của khách hàng (security IN the cloud). AWS chỉ đảm bảo tính khả dụng của cơ sở hạ tầng bên dưới.
Ngay cả với dịch vụ được quản lý, 'cấu hình' là trách nhiệm của khách hàng. AWS đảm bảo cơ sở hạ tầng và tính khả dụng, nhưng cần cấu hình gì và như thế nào (xác thực, mã hóa, kiểm soát truy cập) do khách hàng quyết định. Nguyên tắc này thường xuất hiện trong kỳ thi.