Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Häufig gestellte Fragen zur Sicherheit
AMS bietet rund um die Uhr follow-the-sun Support über globale Betriebszentren. Engagierte Betriebsingenieure von AMS überwachen aktiv die Dashboards und Warteschlangen bei Zwischenfällen. In der Regel verwaltet AMS Ihre Konten automatisiert. In seltenen Fällen, in denen spezielle Problembehebungs- oder Bereitstellungskenntnisse erforderlich sind, kann ein Betriebsingenieur von AMS auf Ihre AWS Konten zugreifen.
Im Folgenden finden Sie häufig gestellte Fragen zu den bewährten Sicherheitsmethoden, Kontrollen, Zugriffsmodellen und Prüfmechanismen, die AMS Accelerate verwendet, wenn ein AMS-Betriebsingenieur oder ein Automatisierungstechniker auf Ihre Konten zugreift.
Wann greifen die Betriebsingenieure von AMS auf meine Umgebungen zu?
Die Betriebsingenieure von AMS haben keinen dauerhaften Zugriff auf Ihre Konten oder Instanzen. Der Zugriff auf Kundenkonten wird AMS-Betreibern nur für berechtigte geschäftliche Anwendungsfälle wie Benachrichtigungen, Vorfälle, Änderungsanfragen usw. gewährt. Der Zugriff wird in AWS CloudTrail Protokollen dokumentiert.
Informationen zur Begründung des Zugriffs, zu Auslösern und Trigger-Initiatoren finden Sie unterAuslöser für den Zugriff auf das AMS-Kundenkonto.
Welche Rollen nehmen die Betriebsingenieure von AMS ein, wenn sie auf meine Konten zugreifen?
In den seltenen Fällen (~ 5%), in denen ein menschliches Eingreifen in Ihre Umgebung erforderlich ist, melden sich die Betriebsingenieure von AMS mit einer standardmäßigen, schreibgeschützten Zugriffsrolle bei Ihrem Konto an. Die Standardrolle hat keinen Zugriff auf Inhalte, die üblicherweise in Datenspeichern wie Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift und Amazon gespeichert sind. ElastiCache
Eine Liste der Rollen, die Betriebstechniker und Systeme von AMS benötigen, um Dienste in Ihrem Konto bereitzustellen, finden Sie unter. Zugriff auf das AMS-Kundenkonto (IAM-Rollen)
Wie greift ein AMS-Betriebsingenieur auf mein Konto zu?
Für den Zugriff auf Kundenkonten verwenden die Betriebsingenieure von AMS einen AWS internen AMS-Zugangsdienst. Dieser interne Service ist nur über einen sicheren, privaten Kanal verfügbar, sodass der Zugriff auf Ihre Konten sicher und geprüft ist.
Die Betriebstechniker von AMS verwenden die interne AMS-Zugangsdienst-Authentifizierung zusammen mit einer Zwei-Faktor-Authentifizierung. Außerdem muss der Betriebsingenieur eine geschäftliche Begründung (Incident-Ticket oder Service-Request-ID) vorlegen, aus der hervorgeht, dass Sie auf Ihr AWS Konto zugreifen müssen.
Auf der Grundlage der Autorisierung des Betriebstechnikers weist der AMS Access Service dem Techniker die entsprechende Rolle (Lese-only/Operator/Admin) und Anmelde-URL für Ihre AWS Konsole zu. Der Zugriff auf Ihr Konto ist kurzlebig und zeitlich begrenzt.
Für den Zugriff auf EC2 Amazon-Instances verwenden die Betriebstechniker von AMS denselben internen AMS-Zugriffsservice wie der Broker. Nachdem der Zugriff gewährt wurde, greifen die Betriebstechniker von AMS mit kurzlebigen Sitzungsdaten auf Ihre Instances AWS Systems Manager Session Manager zu.
Um RDP-Zugriff für Windows-Instances bereitzustellen, verwendet der Operations Engineer Amazon EC2 Systems Manager, um einen lokalen Benutzer auf der Instance zu erstellen und die Portweiterleitung zur Instance einzurichten. Der Operations Engineer verwendet lokale Benutzeranmeldeinformationen für den RDP-Zugriff auf die Instance. Die lokalen Benutzeranmeldedaten werden am Ende der Sitzung entfernt.
Das folgende Diagramm zeigt den Prozess, mit dem die Betriebstechniker von AMS auf Ihr Konto zugreifen:
Wie verfolge ich die von AMS an meinen von AMS verwalteten AWS Konten vorgenommenen Änderungen?
Zugriff auf das Konto
Um Ihnen zu helfen, Änderungen nachzuverfolgen, die durch Automatisierung oder durch das AMS Accelerate-Betriebsteam vorgenommen wurden, bietet AMS die SQL-Schnittstelle für Änderungsdatensätze in der Amazon Athena Athena-Konsole und AMS Accelerate-Protokolle. Diese Ressourcen bieten die folgenden Informationen:
Wer hat auf Ihr Konto zugegriffen?
Wann auf das Konto zugegriffen wurde.
Welche Rechte wurden für den Zugriff auf Ihr Konto verwendet?
Welche Änderungen wurden von AMS Accelerate an Ihrem Konto vorgenommen.
Warum wurden die Änderungen in Ihrem Konto vorgenommen?
Konfiguration der Ressourcen
Zeigen Sie CloudTrail Protokolle an, um die Konfigurationen in Ihren AWS Ressourcen für die letzten 90 Tage nachzuverfolgen. Wenn Ihre Konfiguration älter als 90 Tage ist, greifen Sie auf die Protokolle in Amazon S3 zu.
Instanzprotokolle
Der CloudWatch Amazon-Agent sammelt Betriebssystemprotokolle. Sehen Sie sich die CloudWatch Protokolle an, um die Anmelde- und andere Aktionsprotokolle zu sehen, die Ihr Betriebssystem unterstützt.
Weitere Informationen finden Sie unter Änderungen in Ihren AMS Accelerate-Konten verfolgen.
Was sind die Prozesskontrollen für den Zugriff eines AMS-Betriebsingenieurs auf mein Konto?
Bevor sie zu AMS kommen, werden Betriebsingenieure einer kriminalpolizeilichen Überprüfung unterzogen. Da die Techniker von AMS die Kundeninfrastruktur verwalten, müssen sie auch eine jährliche Zuverlässigkeitsüberprüfung durchführen. Wenn ein Techniker die Zuverlässigkeitsüberprüfung nicht besteht, wird der Zugriff gesperrt.
Alle Betriebsingenieure von AMS müssen eine obligatorische Sicherheitsschulung in den Bereichen Infrastruktursicherheit, Datensicherheit und Reaktion auf Vorfälle absolvieren, bevor ihnen Zugriff auf Ressourcen gewährt wird.
Wie wird der privilegierte Zugriff verwaltet?
Eine Untergruppe von Benutzern muss zusätzliche Schulungen absolvieren und über privilegierte Zugriffsrechte für erweiterte Zugriffsrechte verfügen. Zugriff und Nutzung werden geprüft und geprüft. AMS beschränkt den privilegierten Zugriff auf außergewöhnliche Umstände oder wenn der Zugriff mit den geringsten Rechten Ihre Anfrage nicht erfüllen kann. Privilegierter Zugriff ist auch zeitgebunden.
Verwenden AMS-Betriebsingenieure MFA?
Ja. Alle Benutzer müssen MFA und Proof of Presence verwenden, um Ihnen Dienste anbieten zu können.
Was passiert mit ihren Zugangsdaten, wenn ein AMS-Mitarbeiter das Unternehmen verlässt oder seine berufliche Position wechselt?
Der Zugriff auf Kundenkonten und Ressourcen erfolgt über eine interne Gruppenmitgliedschaft. Die Mitgliedschaft basiert auf strengen Kriterien wie der spezifischen beruflichen Rolle, dem berichterstattenden Manager und dem Beschäftigungsstatus bei AMS. Wenn sich die Berufsgruppe eines Betriebsingenieurs ändert oder seine Benutzer-ID deaktiviert wird, wird der Zugriff gesperrt.
Welche Zugriffskontrollen regeln den Zugriff eines AMS-Betriebsingenieurs auf meine Konten?
Es gibt mehrere Ebenen technischer Kontrollen, um die Prinzipien „Need to know“ und „Least Privilege“ für den Zugriff auf Ihre Umgebung durchzusetzen. Im Folgenden finden Sie eine Liste der Zugriffskontrollen:
Alle Betriebsingenieure müssen einer bestimmten internen AWS Gruppe angehören, um auf Kundenkonten und Ressourcen zugreifen zu können. Die Gruppenzugehörigkeit basiert ausschließlich auf der Grundlage des Need-to-wisse-Prinzips und wird anhand vordefinierter Kriterien automatisiert.
AMS praktiziert den „nicht-persistenten“ Zugriff auf Ihre Umgebung. Das bedeutet, dass der Zugriff auf Ihre AWS Konten durch AMS Operations "just-in-time" mit kurzlebigen Zugangsdaten erfolgt. Der Zugriff auf Ihre Konten wird erst gewährt, nachdem ein interner Geschäftsfall (Serviceanfrage, Vorfall, Anfrage zum Änderungsmanagement usw.) eingereicht und geprüft wurde.
AMS folgt dem Prinzip der geringsten Rechte. Autorisierte Betriebstechniker gehen daher standardmäßig von einem Nur-Lese-Zugriff aus. Schreibzugriff wird nur von Technikern verwendet, wenn aufgrund eines Vorfalls oder einer Änderungsanforderung Änderungen an Ihrer Umgebung erforderlich sind.
AMS verwendet leicht identifizierbare AWS Identity and Access Management Standardrollen, die das Präfix „ams“ verwenden, um Ihre Konten zu überwachen und zu verwalten. Der gesamte Zugriff ist angemeldet, AWS CloudTrail sodass Sie ihn überprüfen können.
AMS verwendet automatisierte Backend-Tools, um unbefugte Änderungen an Ihrem Konto während der Überprüfung der Kundeninformationen bei der Ausführung von Änderungen zu erkennen.
Wie überwacht AMS den Root-Benutzerzugriff?
Der Root-Zugriff löst immer den Incident-Response-Prozess aus. AMS verwendet die GuardDuty Amazon-Erkennung, um die Aktivitäten von Root-Benutzern zu überwachen. Wenn eine Warnung GuardDuty generiert wird, erstellt AMS ein Ereignis zur weiteren Untersuchung. AMS benachrichtigt Sie, wenn eine unerwartete Root-Kontoaktivität festgestellt wird, und das AMS-Sicherheitsteam leitet eine Untersuchung ein.
Wie reagiert AMS auf Sicherheitsvorfälle?
AMS untersucht Sicherheitsereignisse, die durch Erkennungsdienste wie Amazon und Amazon GuardDuty Macie sowie durch von Kunden gemeldete Sicherheitsprobleme ausgelöst werden. AMS arbeitet mit Ihrem Sicherheitsteam zusammen, um den SIR-Prozess (Security Incident Response) durchzuführen. Der AMS SIR-Prozess basiert auf dem NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide,
An welche branchenüblichen Zertifizierungen und Rahmenbedingungen hält sich AMS?
Wie andere AWS Services ist AWS Managed Services für OSPAR, HIPAA, HITRUST, GDPR, SOC*, ISO*, FedRAMP (Medium/High), IRAP und PCI zertifiziert. Weitere Informationen zu den Konformitätszertifizierungen, Vorschriften und Rahmenbedingungen für Kunden, die damit in AWS Einklang stehen, finden Sie unter AWS-Compliance
Sicherheitsleitplanken
AWS Managed Services verwendet mehrere Kontrollen, um Ihre Informationsressourcen zu schützen und Ihnen zu helfen, Ihre AWS Infrastruktur zu schützen. AMS Accelerate verfügt über eine Bibliothek mit AWS Config Regeln und Abhilfemaßnahmen, mit denen Sie sicherstellen können, dass Ihre Konten den Industriestandards für Sicherheit und Betriebsintegrität entsprechen. AWS Config Regeln verfolgen kontinuierlich Konfigurationsänderungen an Ihren aufgezeichneten Ressourcen. Wenn eine Änderung gegen die Bedingungen einer Regel verstößt, meldet AMS Ihnen die Ergebnisse. Je nach Schwere des Verstoßes können Sie Verstöße automatisch oder auf Anfrage beheben.
AMS verwendet AWS Config Regeln, um die Anforderungen der folgenden Standards zu erfüllen:
Zentrum für Internetsicherheit (CIS)
Cloud Security Framework (CSF) des Nationalen Instituts für Standards und Technologie (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Datensicherheitsstandard (DSS) der Zahlungskartenindustrie (PCI)
Weitere Informationen finden Sie unter Sicherheitsmanagement in AMS Accelerate.
Wie erhalte ich Zugriff auf die neuesten Berichte zu Sicherheitszertifizierungen, Frameworks und Compliance? AWS
Aktuelle Sicherheits- und Compliance-Berichte für AWS Services finden Sie mit den folgenden Methoden:
Hier können AWS Artifact
Sie den neuesten Bericht über die Sicherheit, Verfügbarkeit und Vertraulichkeit eines AWS Dienstes herunterladen. Eine Liste der meisten AWS Services, einschließlich AWS Managed Services, die den globalen Compliance-Frameworks entsprechen, finden Sie unterhttps://aws.amazon.com/compliance/services-in-scope/
. Wählen Sie beispielsweise PCI aus und suchen Sie nach AWS Managed Services. Sie können nach „AMS“ suchen, um AMS-spezifische Sicherheitsartefakte aus einem AMS-verwalteten AWS Konto zu finden. AWS Managed Services fällt in den Geltungsbereich von SOC 3.
Der AWS SOC 2-Bericht (System and Organizations Controls) wird im AWS Artifact Repository veröffentlicht. In diesem Bericht werden die AWS Kontrollen bewertet, die die Kriterien für Sicherheit, Verfügbarkeit und Vertraulichkeit des TSP des American Institute of Certified Public Accountants (AICPA), Abschnitt 100, Trust Services Criteria, erfüllen.
Gibt AMS Referenzarchitekturdiagramme zu verschiedenen Aspekten der AMS-Funktionen weiter?
Um sich die AMS-Referenzarchitektur anzusehen, laden Sie das PDF AWS Managed Services for Proactive Monitoring herunter.
Wie verfolgt AMS, wer auf meine Konten zugreift und was das Unternehmen für den Zugriff benötigt?
Um die Servicekontinuität und die Sicherheit Ihrer Konten zu gewährleisten, greift AMS nur als Reaktion auf proaktive Integritäts- oder Wartungs-, Gesundheits- oder Sicherheitsereignisse, geplante Aktivitäten oder Kundenanfragen auf Ihr Konto oder Ihre Instances zu. Der Zugriff auf Ihre Konten wird über AMS-Prozesse autorisiert, wie im Zugriffsmodell für AMS Accelerate beschrieben. Diese Autorisierungsabläufe enthalten Schutzmaßnahmen, um unbeabsichtigten oder unangemessenen Zugriff zu verhindern. Im Rahmen des Zugriffsflusses stellt AMS das Autorisierungssystem für geschäftliche Zwecke bereit. Bei dieser geschäftlichen Anforderung kann es sich um eine Arbeitsaufgabe handeln, die mit Ihrem Konto verknüpft ist, z. B. ein Fall, den Sie bei AMS eröffnet haben. Oder es könnte sich bei der Geschäftsanforderung um einen autorisierten Workflow handeln, wie z. B. die Patching-Lösung. Jeder Zugriff erfordert eine Begründung, die in Echtzeit von internen AMS-Systemen auf der Grundlage von Geschäftsregeln validiert, verifiziert und autorisiert wird, um Zugriffsanfragen an die Geschäftsanforderungen anzupassen.
Die Betriebsingenieure von AMS erhalten ohne gültige Geschäftsanforderungen keinen Zugang zu Ihren Konten. Jeglicher Kontozugriff und die damit verbundenen geschäftlichen Anforderungen werden auf die AWS CloudTrail Einträge in Ihren AWS Konten übertragen. Dies bietet volle Transparenz und bietet Ihnen die Möglichkeit, Ihre eigenen Audits und Inspektionen durchzuführen. Zusätzlich zu Ihrer Inspektion verfügt AMS über automatisierte Inspektionen und führt bei Bedarf manuelle Inspektionen von Zugriffsanfragen durch. Außerdem führt AMS Audits der Werkzeuge und des Zugriffs von Personen durch, um anomale Zugriffe zu überprüfen.
Haben AMS-Techniker Zugriff auf meine Daten, die in AWS Datenspeicherdiensten wie Amazon S3, Amazon RDS, DynamoDB und Amazon Redshift gespeichert sind?
AMS-Techniker haben keinen Zugriff auf Kundeninhalte, die in AWS Diensten gespeichert sind, die üblicherweise zur Datenspeicherung verwendet werden. Der Zugriff auf Daten, die in diesen Diensten zum Lesen, Schreiben, Ändern oder Löschen AWS APIs verwendet werden, ist durch eine ausdrückliche IAM-Ablehnungsrichtlinie eingeschränkt, die den IAM-Rollen zugeordnet ist, die für den Zugriff von AMS-Technikern verwendet werden. Darüber hinaus verhindern interne AMS-Leitplanken und Automatisierungen, dass die Betriebsingenieure von AMS die Sperrbedingungen entfernen oder ändern können.
Haben AMS-Techniker Zugriff auf Kundendaten, die in Amazon EBS, Amazon EFS und Amazon FSx gespeichert sind?
AMS-Techniker können sich als Administrator Amazon EC2 Amazon-Instances anmelden. In bestimmten Szenarien, zu denen unter anderem Betriebssystemprobleme und Patch-Fehler gehören, sind Administratorrechte für die Problembehebung erforderlich. AMS-Techniker greifen in der Regel auf das Systemvolume zu, um festgestellte Probleme zu beheben. Der Zugriff für AMS-Techniker ist jedoch nicht auf das Systemvolumen beschränkt.
Wie wird der Zugriff für Automatisierungsrollen mit hohen Rechten für meine Umgebungen eingeschränkt oder kontrolliert?
Die ams-access-admin Rolle wird ausschließlich von AMS Automation verwendet. Diese Automatisierungen stellen die erforderlichen Ressourcen bereit, verwalten und warten, die AMS zur Bereitstellung in Ihren Umgebungen für die Erfassung von Telemetrie-, Gesundheits- und Sicherheitsdaten zur Ausführung betrieblicher Funktionen benötigt. AMS-Techniker können keine Automatisierungsrollen übernehmen und sind durch die Rollenzuweisung in internen Systemen eingeschränkt. Zur Laufzeit wendet AMS dynamisch auf jede Automatisierung eine nach unten abgegrenzte Sitzungsrichtlinie mit den geringsten Rechten an. Diese Sitzungsrichtlinie schränkt die Funktionen und Berechtigungen der Automatisierung ein.
Wie implementiert AMS das Prinzip der geringsten Rechte, wie es im AWS Well-Architected Framework für Automatisierungsrollen befürwortet wird?
Zur Laufzeit wendet AMS auf jede Automatisierung eine nach unten begrenzte Sitzungsrichtlinie mit den geringsten Rechten an. Diese Sitzungsrichtlinie mit eingeschränktem Geltungsbereich schränkt die Funktionen und Berechtigungen der Automatisierung ein. Für Sitzungsrichtlinien, die über Berechtigungen zum Erstellen von IAM-Ressourcen verfügen, muss auch eine Berechtigungsgrenze festgelegt werden. Diese Berechtigungsgrenze reduziert das Risiko einer Rechteeskalation. Jedes Team führt eine Sitzungsrichtlinie ein, die nur von diesem Team verwendet wird.
Welche Protokollierungs- und Überwachungssysteme werden verwendet, um unbefugte Zugriffsversuche oder verdächtige Aktivitäten im Zusammenhang mit Automatisierungsrollen zu erkennen?
AWS verwaltet zentrale Repositorys, die zentrale Funktionen zur Protokollarchivierung für den internen Gebrauch durch AWS Serviceteams bereitstellen. Diese Protokolle werden in Amazon S3 gespeichert, um eine hohe Skalierbarkeit, Haltbarkeit und Verfügbarkeit zu gewährleisten. AWS Serviceteams können dann Serviceprotokolle in einem zentralen Protokolldienst sammeln, archivieren und einsehen.
Produktionshosts unter AWS werden mithilfe von Master-Baseline-Images bereitgestellt. Die Baseline-Images sind mit einer Reihe von Standardkonfigurationen und -funktionen ausgestattet, zu denen auch Protokollierung und Überwachung aus Sicherheitsgründen gehören. Diese Protokolle werden gespeichert und können von AWS Sicherheitsteams zur Ursachenanalyse im Falle eines vermuteten Sicherheitsvorfalls abgerufen werden.
Die Protokolle für einen bestimmten Host stehen dem Team zur Verfügung, dem dieser Host gehört. Teams können ihre Protokolle nach Betriebs- und Sicherheitsanalysen durchsuchen.
Wie werden Sicherheitsvorfälle oder Sicherheitslücken im Zusammenhang mit der Automatisierungsinfrastruktur behandelt, und welche Protokolle helfen bei einer schnellen Reaktion und Abwehr?
AWS In Notfallplänen und Playbooks zur Reaktion auf Sicherheitsvorfälle wurden Tools und Prozesse zur Erkennung, Abschwächung, Untersuchung und Bewertung von Sicherheitsvorfällen definiert und getestet. Diese Pläne und Playbooks enthalten Richtlinien für die Reaktion auf potenzielle Datenschutzverletzungen gemäß den vertraglichen und behördlichen Anforderungen.
Werden regelmäßige Sicherheitsbewertungen, Schwachstellenscans und Penetrationstests an der Automatisierungsinfrastruktur durchgeführt?
AWS Security führt mithilfe einer Vielzahl von Tools regelmäßige Schwachstellenscans auf den Host-Betriebssystemen, Webanwendungen und Datenbanken in der AWS Umgebung durch. AWS Sicherheitsteams abonnieren außerdem News-Feeds mit Informationen über mögliche Fehler von Anbietern und überwachen proaktiv die Websites der Anbieter und andere relevante Informationsquellen im Hinblick auf neue Patches.
Inwiefern ist der Zugriff auf die Automatisierungsinfrastruktur auf autorisiertes Personal beschränkt?
Der Zugriff auf AWS Systeme wird auf der Grundlage der geringsten Rechte zugewiesen und von einer autorisierten Person genehmigt. Aufgaben und Verantwortungsbereiche (z. B. Zugriffsanforderung und Genehmigung, Anfrage und Genehmigung von Änderungen, Entwicklung, Testen und Bereitstellen von Änderungen usw.) sind auf verschiedene Personen aufgeteilt, um unbefugte oder unbeabsichtigte Änderungen oder Missbräuche von Systemen zu verhindern. AWS Gruppen- oder gemeinsame Konten sind innerhalb der Systemgrenzen nicht zulässig.
Welche Maßnahmen werden ergriffen, um Sicherheitsstandards aufrechtzuerhalten und unbefugten Zugriff oder Datenschutzverletzungen in der Automatisierungspipeline zu verhindern?
Der Zugriff auf Ressourcen, einschließlich Dienste, Hosts, Netzwerkgeräte sowie Windows- und UNIX-Gruppen, wird im AWS firmeneigenen Berechtigungsverwaltungssystem vom entsprechenden Eigentümer oder Manager genehmigt. Das Protokoll des Tools zur Rechteverwaltung erfasst Anfragen nach Zugriffsänderungen. Durch Änderungen der Jobfunktion wird dem Mitarbeiter automatisch der Zugriff auf Ressourcen entzogen. Der fortgesetzte Zugriff für diesen Mitarbeiter muss beantragt und genehmigt werden.
AWS erfordert eine Zwei-Faktor-Authentifizierung über einen zugelassenen kryptografischen Kanal für die Authentifizierung am internen AWS Netzwerk von entfernten Standorten aus. Firewall-Geräte schränken den Zugriff auf die Computerumgebung ein, setzen die Grenzen von Computerclustern durch und schränken den Zugriff auf Produktionsnetzwerke ein.
Es werden Verfahren implementiert, um Auditinformationen und Audit-Tools vor unbefugtem Zugriff, Änderung und Löschung zu schützen. Auditaufzeichnungen enthalten eine Reihe von Datenelementen, um die erforderlichen Analyseanforderungen zu erfüllen. Darüber hinaus stehen die Prüfaufzeichnungen autorisierten Benutzern zur Prüfung oder Analyse auf Anfrage und als Reaktion auf sicherheitsrelevante oder geschäftskritische Ereignisse zur Verfügung.
Die Benutzerzugriffsrechte auf AWS Systeme (z. B. Netzwerk, Anwendungen, Tools usw.) werden innerhalb von 24 Stunden nach der Kündigung oder Deaktivierung widerrufen. Inaktive Benutzerkonten werden deaktiviert und mindestens alle 90 Tage and/or entfernt.
Ist die Erkennung oder Überwachung von Anomalien für die Zugriffs- oder Auditprotokollierung aktiviert, um Rechteerweiterungen oder Zugriffsmissbrauch zu erkennen und das AMS-Team proaktiv zu benachrichtigen?
Die Produktions-Hosts unter AWS sind aus Sicherheitsgründen mit einer Protokollierung ausgestattet. Dieser Dienst protokolliert menschliche Aktionen auf Hosts, einschließlich Anmeldungen, fehlgeschlagene Anmeldeversuche und Abmeldungen. Diese Protokolle werden gespeichert und können von AWS Sicherheitsteams zur Ursachenanalyse im Falle eines vermuteten Sicherheitsvorfalls abgerufen werden. Die Protokolle für einen bestimmten Host stehen auch dem Team zur Verfügung, dem dieser Host gehört. Serviceteams steht ein Front-End-Tool zur Protokollanalyse zur Verfügung, mit dem sie ihre Protokolle nach Betriebs- und Sicherheitsanalysen durchsuchen können. Es werden Prozesse implementiert, um Protokolle und Audit-Tools vor unbefugtem Zugriff, Änderung und Löschung zu schützen. Das AWS Sicherheitsteam führt Protokollanalysen durch, um Ereignisse auf der Grundlage definierter Risikomanagementparameter zu identifizieren.
Welche Arten von Kundendaten werden aus von AMS verwalteten Konten extrahiert und wie werden sie verwendet und gespeichert?
AMS greift zu keinem Zweck auf Ihre Inhalte zu und verwendet sie auch nicht. AMS definiert Kundeninhalte als Software (einschließlich Maschinenbilder), Daten, Text, Audio, Video oder Bilder, an die ein Kunde oder ein Endbenutzer AWS-Services in Verbindung mit einem Kundenkonto AWS zur Verarbeitung, Speicherung oder zum Hosten überträgt, sowie alle Rechenergebnisse, die ein Kunde oder sein Endnutzer aus dem Vorstehenden durch deren Nutzung ableitet. AWS-Services
