Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bereiche des Sicherheits- und Compliance-Workstreams
In diesem Abschnitt werden die Bereiche, für die der Arbeitsbereich Sicherheit und Compliance zuständig ist, ausführlich beschrieben. Während der Mobilisierungsphase Ihres Migrationsprojekts tragen diese Bereiche dazu bei, die Planung und Implementierung von Sicherheits- und Compliance-Maßnahmen in folgenden Bereichen zu beschleunigen: AWS
+ [Erkennung und Abstimmung der Sicherheitsaspekte](discovery-and-alignment.md)
+ [Zuordnung des Sicherheits-Frameworks](mapping.md)
+ [Implementierung, Integration und Validierung der Sicherheit](implementation-integration-and-validation.md)
+ [Sicherheitsdokumentation](documentation.md)
+ [Cloud-Betrieb für Sicherheit und Compliance](cloud-operations.md)
Es ist wichtig, diese Bereiche während der Mobilisierungsphase zu berücksichtigen, um die Migrationsaktivitäten in der darauffolgenden Migrations- und Modernisierungsphase abzusichern.
# Erkennung und Abstimmung der Sicherheitsaspekte
*Bei der Mobilisierung eines Migrationsprojekts liegt der Schwerpunkt des Arbeitsbereichs Sicherheit und Compliance zunächst auf der Erkennung und Abstimmung der Sicherheitsaspekte.* Diese Domäne soll Ihrem Unternehmen helfen, die folgenden Ziele zu erreichen:
+ Informieren Sie die Mitarbeiter im Bereich Sicherheit und Compliance über die AWS Sicherheitsservices, Funktionen und die Einhaltung von Vorschriften
+ Informieren Sie sich über Ihre Sicherheits- und Compliance-Anforderungen und aktuellen Praktiken. Betrachten Sie diese Anforderungen aus Sicht der Infrastruktur und des Betriebs, einschließlich:
+ Sicherheitsherausforderungen und Einflussfaktoren für den angestrebten Endzustand
+ Fähigkeiten des Cloud-Sicherheitsteams
+ Richtlinien, Konfigurationen, Kontrollen und Leitplanken für Sicherheitsrisiken und Compliance
+ Risikobereitschaft und Ausgangslage der Sicherheitsrisiken
+ Bestehende und zukünftige Sicherheitswerkzeuge
## Workshops zum Eintauchen in den Tag
Nutzen Sie Immersionstage zu Sicherheit und Compliance, um sich an diesen Zielen zu orientieren. *Immersion Days* sind Workshops, die eine Reihe von sicherheitsrelevanten Themen behandeln, wie z. B.:
+ [AWS Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS Sicherheitsdienste](https://aws.amazon.com/products/security/)
+ [AWS Sicherheitsreferenzarchitektur (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS Einhaltung der Vorschriften](https://aws.amazon.com/compliance/)
+ [Sicherheitssäule](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) des AWS Well-Architected Frameworks
Die Workshops am Immersionstag helfen dabei, eine Wissensbasis für Ihr Sicherheitsteam zu schaffen. Es schult sie über AWS Sicherheitsdienste und bewährte Methoden im Bereich Sicherheit und Compliance. AWS Solution Architects, AWS Professional Services und AWS Partner können Ihnen bei der Durchführung dieser interaktiven Workshops helfen. Sie verwenden Standard-Präsentationsdecks, AWS-Labs und Whiteboard-Aktivitäten, um Ihre Teams vorzubereiten.
## Workshops zum Kennenlernen
Nach den Workshops zum Immersionstag führen Sie mehrere tiefgründige Workshops zur Entdeckung von Sicherheit und Compliance durch. Diese helfen Ihren Teams dabei, die aktuellen Sicherheits-, Risiko- und Compliance-Anforderungen (SRC) der Infrastruktur, der Anwendungen und des Betriebs zu ermitteln. Sie analysieren diese Anforderungen aus den folgenden Perspektiven: Mitarbeiter, Prozesse und Technologie. Im Folgenden sind die Entdeckungsbereiche für jede Perspektive aufgeführt.
### Die Perspektive der Menschen
+ **Organisationsstruktur — Machen** Sie sich mit der aktuellen Struktur und den Zuständigkeiten der Arbeitsabläufe im Bereich Sicherheit und Compliance vertraut.
+ **Fähigkeiten und Fähigkeiten** — Verfügen Sie über praktische Kenntnisse und Fähigkeiten in Bezug auf und für Cloud-Sicherheits AWS-Services - und Compliance-Funktionen. Dazu gehören Entdeckung, Planung, Implementierung und Betrieb.
+ **Matrix „Verantwortlich, rechenschaftspflichtig, konsultiert, informiert“ (RACI)** — Definieren Sie die Rollen und Verantwortlichkeiten für die aktuellen Sicherheits- und Compliance-Aktivitäten innerhalb des Unternehmens.
+ **Kultur** — Machen Sie sich mit der aktuellen Sicherheits- und Compliance-Kultur vertraut. Priorisieren Sie Sicherheit und Compliance als Teil der Entwicklungs-, Entwurfs-, Implementierungs- und Betriebsphasen. Führen Sie Development Security Operations (DevSecOps) in die Cloud-Sicherheits- und Compliance-Kultur ein.
### Prozessperspektive
+ **Praktiken** — Definieren und dokumentieren Sie die aktuellen Sicherheits- und Compliance-Prozesse für Aufbau, Design, Implementierung und Betrieb. Zu den Prozessen gehören:
+ Zugriff auf und Verwaltung von Identitäten
+ Kontrolle und Reaktion bei der Erkennung von Vorfällen
+ Infrastruktur und Netzwerksicherheit
+ Datenschutz
+ Compliance
+ Geschäftskontinuität und Wiederherstellung
+ **Implementierungsdokumentation** — Dokumentieren Sie Sicherheits- und Compliance-Richtlinien, Kontrollkonfigurationen, Tool-Dokumentation und Architekturdokumentation. Diese Dokumente sind erforderlich, um die Sicherheit und Konformität in den Bereichen Infrastruktur, Netzwerk, Anwendungen, Datenbanken und Bereitstellung abzudecken.
+ **Risikodokumentation** — Erstellen Sie eine Dokumentation zu Informationssicherheitsrisiken, in der die Risikobereitschaft und der Schwellenwert dargelegt werden.
+ **Validierungen** — Erstellen Sie interne und externe Sicherheitsvalidierungs- und Auditanforderungen.
+ **Runbooks** — Entwickeln Sie operative Runbooks, die die aktuellen, standardmäßigen Implementierungs- und Governance-Prozesse für Sicherheit und Compliance abdecken.
### Technologische Perspektive
+ **Services und Tools** — Verwenden Sie Tools, um Ihren Sicherheits- und Compliance-Status zu überprüfen und die aktuelle IT-Landschaft durchzusetzen und zu verwalten. Richten Sie Tools für die folgenden Kategorien ein:
+ Zugriff auf und Verwaltung von Identitäten
+ Kontrolle und Reaktion bei der Erkennung von Vorfällen
+ Infrastruktur und Netzwerksicherheit
+ Datenschutz
+ Compliance
+ Geschäftskontinuität und Wiederherstellung
Während des AWS Security Discovery-Workshops verwenden Sie standardisierte Datenerfassungsvorlagen und Fragebögen, um Daten zu sammeln. In Szenarien, in denen Sie die Informationen aufgrund mangelnder Datenklarheit oder veralteter Daten nicht bereitstellen können, können Sie ein Tool zur Migrationserkennung verwenden, um Sicherheitsinformationen auf Anwendungs- und Infrastrukturebene zu sammeln. Eine Liste der Discovery-Tools, die Sie verwenden können, finden Sie unter [Tools zur Erkennung, Planung und Empfehlung der Migration](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/) auf Prescriptive Guidance. AWS Die Liste enthält Einzelheiten zu den Discovery-Funktionen und zur Verwendung der einzelnen Tools. Außerdem werden Tools verglichen, um Ihnen bei der Auswahl des Tools zu helfen, das den Anforderungen und Einschränkungen Ihrer IT-Landschaft am besten gerecht wird.
Wir empfehlen Ihnen dringend, bei der ersten Sicherheitsbewertung mit der Bedrohungsmodellierung zu beginnen. Auf diese Weise können Sie mögliche Bedrohungen und bestehende Maßnahmen identifizieren. Möglicherweise gibt es auch vordefinierte und dokumentierte Anforderungen in Bezug auf Sicherheit, Compliance und Risiko. Weitere Informationen finden Sie im [Workshop Threat Modeling for Builders](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS Schulung) und unter [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS Blogbeitrag). Dieser Ansatz hilft Ihnen dabei, Ihre Sicherheits- und Compliance-Strategien für die Bereitstellung, Implementierung und Steuerung in der AWS Cloud zu überdenken.
# Zuordnung des Sicherheits-Frameworks
Nach Abschluss der Domäne zur Erkennung und Ausrichtung der Sicherheit besteht der nächste Schritt darin, die *Zuordnungsdomäne für das Sicherheitsframework* abzuschließen. Bei dieser Domäne handelt es sich um einen Workshop-Prozess, bei dem die erkannten Sicherheits- und Compliance-Anforderungen den AWS Cloud Sicherheitsdiensten zugeordnet werden. Außerdem werden Ihre Architektur und Ihr Betrieb an den bewährten Methoden für AWS Sicherheit und Compliance ausgerichtet. Der Workshop erfasst alle Anforderungen aus Sicht der Mitarbeiter, Prozesse und Technologien, um Folgendes abzudecken:
+ AWS Infrastruktur
+ AWS-Konto, Infrastruktur und Netzwerkschutz
+ Datenschutz
+ Compliance
+ Erkennung und Reaktion auf Vorfälle
+ Identity and Access Management
+ Geschäftskontinuität und Wiederherstellung
+ Bewerbung am AWS
+ Befolgen Sie die bewährten Methoden AWS-Services , um Ihre Anwendung zu schützen
+ Zugriffskontrolle für Anwendungen, Datenbanken, Betriebssysteme und Daten
+ Schutz des Betriebssystems
+ Anwendungs-, Datenbank- und Datenschutz
+ Erkennung und Reaktion auf Vorfälle
+ Compliance
+ Geschäftskontinuität und Wiederherstellung von Anwendungen
Berücksichtigen Sie bei der Erstellung der Domäne zur Zuordnung des Sicherheits-Frameworks die definierte Risikobereitschaft, die Teamstruktur, die Fähigkeiten und Fähigkeiten des Teams, die Sicherheitsprozesse, Sicherheitsrichtlinien, Sicherheitskontrollen, Tools, Sicherheitsabläufe und andere Sicherheitsanforderungen und Einschränkungen. Insgesamt bietet die Zuordnung von Sicherheits-Frameworks Unternehmen einen systematischen Ansatz für das Management von Sicherheitsrisiken, die Einhaltung von Vorschriften und die kontinuierliche Verbesserung ihrer Sicherheitslage gemäß Industriestandards und bewährten Verfahren.
[Der Zuordnungsprozess für das Sicherheitsframework verwendet die [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/), die [Security Pillar](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) of the AWS Well-Architected Framework, die [Migration Lens](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html) of the AWS Well-Architected Framework und das Whitepaper Introduction to Security. AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html) Diese Dokumente dienen als Orientierungshilfe und sollen Ihnen helfen, AWS bewährte Methoden für Cloud-Sicherheit und Compliance zu befolgen.
Indem Sie im Workshop standardisierte Zuordnungsvorlagen verwenden, ordnen Sie die Anforderung dem Ziel-Endzustand zu. Sie heben die Tools, Prozesse AWS-Services, Richtlinien, Kontrollen und Änderungen hervor, die erforderlich sind, um den angestrebten Endzustand zu erreichen.
Bei der Durchführung des Security Framework Mapping Workshops können Sie AWS Professional Services, AWS Security Solution Architects oder AWS Partner einsetzen. Diese Ressourcen können Ihnen helfen, den Workshop zu beschleunigen und zu vereinfachen. Im Rahmen einer [EBA-Party (Experience-Based Acceleration)](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/), die von AWS Solution Architects, AWS Customer Solution Managern oder AWS Partnern geleitet wird, können Workshops zur Abbildung von Sicherheits-Frameworks angeboten werden. Die EBA-Partei fungiert als Beschleuniger und hilft Ihnen dabei, eine solide AWS Cloud Grundlage zu schaffen, die den bewährten Methoden für AWS Migration und Modernisierung folgt.
# Implementierung, Integration und Validierung der Sicherheit
Nachdem Sie Ihre Sicherheits-, Risiko- und Compliance-Anforderungen festgelegt haben, ist der nächste Bereich die *Implementierung, Integration und Validierung der Sicherheit*. Wählen Sie auf der Grundlage der identifizierten Anforderungen geeignete Sicherheitskontrollen und -maßnahmen aus, um Risiken wirksam zu mindern. Dazu können Verschlüsselung, Zugriffskontrollen, Systeme zur Erkennung von Eindringlingen oder Firewalls gehören. Integrieren Sie Sicherheitslösungen wie Systeme zur Erkennung und Verhinderung von Eindringlingen, Endgeräteschutz und Identitätsmanagement in die bestehende IT-Infrastruktur, um einen umfassenden Sicherheitsschutz zu gewährleisten. Führen Sie regelmäßige Sicherheitsbewertungen durch, einschließlich Schwachstellenscans, Penetrationstests und Codeprüfungen, um die Wirksamkeit der Sicherheitskontrollen zu überprüfen und Schwachstellen oder Lücken zu identifizieren. Indem sie sich auf die Implementierung, Integration und Validierung von Sicherheitsmaßnahmen konzentrieren, können Unternehmen ihre Sicherheitslage stärken, die Wahrscheinlichkeit von Sicherheitsverletzungen verringern und die Einhaltung gesetzlicher Anforderungen und Industriestandards nachweisen.
## Implementierung
Aktualisieren Sie zunächst die Dokumentation entsprechend Ihren aktuellen Sicherheits-, Risiko- und Compliance-Schwellenwerten oder Anforderungen. Auf diese Weise können Sie die geplanten Sicherheits- und Compliance-Anforderungen, Kontrollen, Richtlinien und Tools in der Cloud implementieren. Dieser Schritt ist nur erforderlich, wenn Sie bereits ein Risikoregister und eine Risikobereitschaft definiert haben, die im Rahmen der Discovery-Workshops ermittelt worden wären.
Als Nächstes implementieren Sie die geplanten Sicherheits- und Compliance-Anforderungen, Kontrollen, Richtlinien und Tools in der Cloud. Wir empfehlen, diese in der folgenden Reihenfolge zu implementieren: Infrastruktur AWS-Services, Betriebssystem und dann Anwendung oder Datenbank. Stellen Sie anhand der Informationen in der folgenden Tabelle sicher, dass Sie alle erforderlichen Sicherheits- und Compliance-Bereiche berücksichtigt haben.
| | |
| --- |--- |
| **Area** | **Sicherheits- und Compliance-Anforderungen** |
| Infrastruktur | AWS-Konto Landezone Präventive Kontrollen Detektivische Kontrollen Netzwerksegmentierung Zugriffskontrolle Verschlüsselung Protokollierung, Überwachung und Alarmierung |
| AWS-Services | AWS-Service Konfiguration Instances Speicher Netzwerk Zugriffskontrolle Verschlüsselung Updates und Patches Protokollierung, Überwachung und Warnmeldungen |
| Betriebssystem | Virenschutz Schutz vor Malware und Würmern Konfiguration Netzwerkschutz Zugriffskontrolle Verschlüsselung Updates und Patches Protokollierung, Überwachung und Warnmeldungen |
| Anwendung oder Datenbank | Konfiguration Code und Schema Zugriffskontrolle Verschlüsselung Updates und Patches Protokollierung, Überwachung und Warnmeldungen |
## Integration
Die Sicherheitsimplementierung erfordert häufig die Integration mit folgenden Komponenten:
+ **Netzwerke** — Netzwerke innerhalb und außerhalb der AWS Cloud
+ **Hybride IT-Landschaft** — andere IT-Umgebungen als die AWS Cloud, z. B. lokale Umgebungen, öffentliche Clouds, private Clouds und Colocations
+ **Externe Software oder Dienste** — Software und Dienste, die von unabhängigen Softwareanbietern (ISVs) verwaltet werden und nicht in Ihrer Umgebung gehostet werden.
+ Dienste für das **Cloud-Betriebsmodell — Dienste** mit AWS Cloud-Betriebsmodell, die DevSecOps Funktionen bereitstellen.
Verwenden Sie während der Bewertungsphase Ihres Migrationsprojekts Erkennungstools, vorhandene Unterlagen oder Workshops mit Bewerbungsgesprächen, um diese Sicherheitsintegrationspunkte zu identifizieren und zu bestätigen. Richten Sie diese Integrationen bei der Entwicklung und Implementierung der Workloads in den AWS Cloud entsprechend den Sicherheits- und Compliance-Richtlinien und Prozessen ein, die Sie während der Mapping-Workshops definiert haben.
## Validierung
Nach der Implementierung und Integration besteht die nächste Aktivität darin, die Implementierung zu validieren. Sie stellen sicher, dass das Setup den AWS bewährten Methoden für Sicherheit und Compliance entspricht. Wir empfehlen Ihnen, die Sicherheit anhand von zwei Schutzbereichen zu überprüfen:
+ **Workload-spezifische Schwachstellenbeurteilung und Penetrationstests** — Überprüfen Sie die Betriebssystem-, Anwendungs-, Datenbank- oder Netzwerksicherheit von Workloads, auf denen ausgeführt wird. AWS-Services Verwenden Sie zur Durchführung dieser Validierungen vorhandene Tools und Testskripts. Bei der Durchführung dieser Bewertungen ist es wichtig, die [Kundendienstrichtlinien für AWS Penetrationstests](https://aws.amazon.com/security/penetration-testing/) einzuhalten.
+ **AWS****Validierung bewährter Sicherheitsverfahren** — Prüfen Sie, ob Ihre AWS Implementierung dem AWS Well Architected Framework und anderen ausgewählten Benchmarks wie dem Center for Internet Security (CIS) entspricht. Für diese Überprüfung können Sie Tools und Dienste wie [Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html), [AWS Service Screener () oder [AWS Self-Service](https://github.com/awslabs/aws-security-assessment-solution) Security GitHub Assessment](https://github.com/aws-samples/service-screener-v2) () verwenden. GitHub
Es ist wichtig, alle Sicherheits- und Compliance-Ergebnisse zu dokumentieren und dem Sicherheitsteam und den Führungskräften mitzuteilen. Standardisieren Sie Berichtsvorlagen und verwenden Sie sie, um die Kommunikation mit den jeweiligen Sicherheitsakteuren zu erleichtern. Dokumentieren Sie alle Ausnahmen, die bei der Suche nach Abhilfemaßnahmen gemacht wurden, und stellen Sie sicher, dass die jeweiligen Sicherheitsbeteiligten zustimmen.
# Sicherheitsdokumentation
Bei der Mobilisierung von Sicherheit und Compliance während einer Migration ist es wichtig, zu definieren und zu dokumentieren, wie Sie Sicherheit und Compliance in der Cloud implementieren. Die Dokumentation sollte Folgendes enthalten:
+ **Dokumentation zur Implementierung von Sicherheit und Compliance** — Erstellen Sie ein oder mehrere Dokumente, in denen Ihre Sicherheits- und Compliance-Definition, Ihr Prozess, Ihre Richtlinien, Kontrollen, Konfigurationen und Tools detailliert beschrieben werden. Stellen Sie sicher, dass diese Dokumente diese Aspekte aus einer bestimmten AWS Cloud Perspektive behandeln. Nehmen Sie Folgendes in diese Dokumentation auf:
+ Zugriff auf und Verwaltung von Identitäten
+ Kontrolle und Reaktion bei der Erkennung von Vorfällen
+ Infrastruktur und Netzwerksicherheit
+ Datenschutz
+ Compliance
+ Geschäftskontinuität und Wiederherstellung
+ **Runbooks für Sicherheit und Compliance** — Erstellen Sie betriebliche Runbooks für Sicherheit und Compliance, die dem Cloud-Betriebsteam als Leitfaden dienen. Sie sollten detailliert beschreiben, wie Sicherheits- und Compliance-Aufgaben, Aktivitäten und Änderungen in der Cloud als Teil der betrieblichen Anforderungen erledigt werden können. Dazu gehören die Sicherheits- und Compliance-Überwachung, das Management von Vorfällen, die Validierung und die kontinuierliche Verbesserung. Stellen Sie sicher, dass Ihre Runbooks die Anforderungen erfüllen, die Sie im Rahmen der Sicherheitserkennung und -abstimmung identifiziert haben.
+ **RACI-Matrix für Cloud-Sicherheit** — Erstellen Sie eine RACI-Matrix (verantwortungsbewusst, rechenschaftspflichtig, konsultiert, informiert), in der die Verantwortlichkeiten und Interessengruppen für Sicherheit und Compliance in den folgenden Bereichen definiert sind:
+ Design und Entwicklung
+ Einsatz und Implementierung
+ Operationen
# Cloud-Betrieb für Sicherheit und Compliance
Die letzte Domäne ist der *Cloud-Betrieb für Sicherheit und Compliance*. Dabei handelt es sich um eine kontinuierliche Aktivität, bei der Sie die definierten operativen Runbooks für Sicherheit und Compliance zur Steuerung des Cloud-Betriebs verwenden. Sie erstellen auch ein Sicherheits-Cloud-Betriebsmodell, um die Verantwortlichkeiten für Sicherheit und Compliance in Ihrem Unternehmen festzulegen.
## Cloud-Betriebsmodell für Sicherheit und Compliance
In dieser Domäne definieren Sie ein [Cloud-Betriebsmodell](apg-gloss.md#glossary-com) für Sicherheit. Ihr Cloud-Betriebsmodell sollte die Anforderungen berücksichtigen, die Sie während der Discovery-Workshops identifiziert und später als Runbooks definiert haben. Sie können das Cloud-Betriebsmodell für Sicherheit und Compliance auf eine von drei Arten entwerfen:
+ **Zentralisiert** — Ein traditionelleres Modell, bei dem er für die Identifizierung und Behebung von Sicherheitsvorfällen im gesamten Unternehmen verantwortlich SecOps ist. Dies kann die Überprüfung allgemeiner Erkenntnisse zum Sicherheitsstatus des Unternehmens beinhalten, z. B. Probleme mit Patches und Sicherheitskonfigurationen.
+ **Dezentralisiert** — Die Verantwortung für die Reaktion auf und Behebung von Sicherheitsvorfällen im gesamten Unternehmen wurde an die Anwendungseigentümer und die einzelnen Geschäftsbereiche delegiert, und es gibt keine zentrale Betriebsfunktion. In der Regel gibt es immer noch eine übergreifende Sicherheits-Governance-Funktion, die Richtlinien und Prinzipien festlegt.
+ **Hybrid** — Eine Mischung aus beiden Ansätzen, wobei SecOps immer noch ein gewisses Maß an Verantwortung und Eigenverantwortung für die Identifizierung und Orchestrierung der Reaktion auf Sicherheitsereignisse und die Verantwortung für die Behebung von Sicherheitsvorfällen bei den Anwendungsbesitzern und einzelnen Geschäftseinheiten liegt.
Es ist wichtig, dass Sie das richtige Betriebsmodell auswählen, das auf Ihren Sicherheits- und Compliance-Anforderungen, dem Reifegrad der Organisation und den Einschränkungen basiert. Die Sicherheits- und Compliance-Anforderungen und Einschränkungen wurden im Rahmen des Discovery-Workshops identifiziert. Der Reifegrad der Organisation definiert dagegen das Niveau der betrieblichen Sicherheitspraktiken. Im Folgenden finden Sie ein Beispiel für einen Reifegradbereich:
+ **Niedrig** — Die Protokollierung erfolgt lokal, und es werden einige oder sporadische Aktionen ausgeführt.
+ **Fortgeschritten** — Protokolle aus verschiedenen Quellen werden korreliert und automatische Warnmeldungen werden eingerichtet.
+ **Hoch** — Es gibt detaillierte Playbooks, die Einzelheiten zu standardisierten Prozessreaktionen enthalten. Operativ und technisch ist der Großteil der Warnmeldungen automatisiert.
Weitere Informationen zum Cloud-Betriebsmodell für Sicherheit und Compliance und Unterstützung bei der Auswahl eines geeigneten Designs finden Sie unter [Überlegungen zu Sicherheitsoperationen in der Cloud](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/) (AWS Blogbeitrag). In Szenarien, in denen es keine vordefinierten Anforderungen gibt, empfehlen wir die Einrichtung eines Security Operations Center (SOC) als Teil des Cloud-Betriebsmodells. Dies ist in der Regel ein zentralisiertes Betriebsmodell. Mit diesem Ansatz können Sie Ereignisse aus mehreren Quellen an ein zentrales Team weiterleiten, das dann Aktionen und Reaktionen auslösen kann. Dadurch wird die Sicherheits-Governance durch Cloud-Operationen standardisiert. AWS und AWS Partner haben die Möglichkeit, Sie beim Aufbau eines SOC und bei der Definition und Implementierung von Security Orchestration, Automation and Response (SOAR) zu unterstützen. AWS und AWS Partner nutzen professionelle Beratungsdienstleistungen, definierte Vorlagen und Drittanbieter-Tools von Partnern. AWS-Services AWS
## Laufende Sicherheitsoperationen
Führen Sie in dieser Domäne fortlaufend die folgenden Aufgaben mithilfe Ihrer definierten Runbooks für Sicherheits- und Compliance-Operationen aus:
+ **Sicherheits- und Compliance-Überwachung** — Führen Sie eine zentrale Überwachung von Sicherheitsereignissen und Bedrohungen durch, indem Sie die von Ihnen definierten Tools AWS-Services, Kennzahlen, Kriterien und Häufigkeit verwenden. Das Betriebsteam oder das SOC verwalten diese kontinuierliche Überwachung, abhängig von der Struktur Ihres Unternehmens. Die Sicherheitsüberwachung umfasst die Analyse und Korrelation großer Mengen an Protokollen und Daten. Protokolldaten stammen von Endpunkten, Netzwerken AWS-Services, Infrastrukturen und Anwendungen und werden in einem zentralen Repository wie [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) oder einem SIEM-System (Security Information and Event Management) gespeichert. Es ist wichtig, Warnmeldungen so zu konfigurieren, dass Sie manuell oder automatisch rechtzeitig auf Ereignisse reagieren können.
+ **Verwaltung von Vorfällen** — Definieren Sie Ihre grundlegende Sicherheitslage. Wenn eine Abweichung von einem voreingestellten Basiswert auftritt, entweder aufgrund einer Fehlkonfiguration oder externer Faktoren, zeichnen Sie einen Vorfall auf. Stellen Sie sicher, dass ein zugewiesenes Team auf diese Vorfälle reagiert. Die Grundlage für ein erfolgreiches Incident-Response-Programm in der Cloud ist die Integration von Mitarbeitern, Prozessen und Tools in jede Phase des Incident-Response-Programms (Vorbereitung, Betrieb und Aktivitäten nach dem Vorfall). Ausbildung, Schulung und Erfahrung sind für ein erfolgreiches Cloud-Incident-Response-Programm von entscheidender Bedeutung. Im Idealfall werden diese Maßnahmen rechtzeitig vor der Bearbeitung eines möglichen Sicherheitsvorfalls implementiert. Weitere Informationen zur Einrichtung eines effektiven Programms zur Reaktion auf Sicherheitsvorfälle finden Sie im [Leitfaden zur Reaktion auf AWS Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html).
+ **Sicherheitsvalidierung** — Die Sicherheitsvalidierung umfasst die Durchführung von Schwachstellenanalysen, Penetrationstests und Tests mit simulierten Chaos-Security-Ereignissen. Die Sicherheitsvalidierung sollte weiterhin regelmäßig durchgeführt werden, insbesondere in den folgenden Szenarien:
+ Softwareupdates und -versionen
+ Neu identifizierte Bedrohungen wie Malware, Viren oder Würmer
+ Interne und externe Prüfanforderungen
+ Sicherheitsverstöße
Es ist wichtig, den Sicherheitsvalidierungsprozess zu dokumentieren und die Personen, Prozesse, Zeitpläne, Tools und Vorlagen für die Datenerfassung und Berichterstattung hervorzuheben. Dadurch werden Sicherheitsvalidierungen standardisiert. Halten Sie sich bei der Durchführung von Sicherheitsvalidierungen in der Cloud weiterhin an die [AWS Kundendienstrichtlinien für Penetrationstests](https://aws.amazon.com/security/penetration-testing/).
+ **Interne und externe Audits** — Führen Sie interne und externe Audits durch, um zu überprüfen, ob die Sicherheits- und Compliance-Konfigurationen den gesetzlichen oder internen Richtlinienanforderungen entsprechen. Führen Sie regelmäßig Audits auf der Grundlage eines vordefinierten Zeitplans durch. Interne Audits werden normalerweise von einem internen Sicherheits- und Risikoteam durchgeführt. Externe Audits werden von den zuständigen Behörden oder Standardbeamten durchgeführt. Sie können z. AWS-Services B. [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)und verwenden [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html), um den Prüfprozess zu vereinfachen. Diese Dienste können relevante Nachweise für IT-Sicherheitsprüfberichte liefern. Sie können auch das Risiko- und Compliance-Management im Einklang mit gesetzlichen und branchenspezifischen Standards vereinfachen, indem sie die Beweiserhebung automatisieren. Auf diese Weise können Sie beurteilen, ob die Richtlinien, Verfahren und Aktivitäten, die als *Kontrollen* bezeichnet werden, effektiv funktionieren. Es ist auch wichtig, die Prüfanforderungen mit den Anforderungen Ihrer Managed Service Partner abzustimmen, um deren Einhaltung sicherzustellen.
**Überprüfung der Sicherheitsarchitektur** — Führen Sie eine regelmäßige Überprüfung und Aktualisierung Ihrer AWS Architektur unter Sicherheits- und Compliance-Gesichtspunkten durch. Überprüfen Sie die Architektur vierteljährlich oder wenn sich die Architektur ändert. AWS veröffentlicht weiterhin Updates und Verbesserungen der Sicherheits- und Compliance-Funktionen und -Dienste. Verwenden Sie die [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) und das AWS Well Architected Tool, um diese Architekturprüfungen zu vereinfachen. Es ist wichtig, dass Sie Ihre Sicherheits- und Compliance-Implementierung sowie die empfohlenen Änderungen nach dem Überprüfungsprozess dokumentieren.
## AWS Sicherheitsdienste für den Betrieb
Sie teilen die Verantwortung AWS für Sicherheit und Einhaltung der Vorschriften in der AWS Cloud. Diese Beziehung wird im [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) ausführlich beschrieben. Sie AWS verwalten zwar die Sicherheit *der* Cloud, sind aber für die Sicherheit *in* der Cloud verantwortlich. Sie sind für den Schutz Ihrer eigenen Inhalte, Infrastruktur, Anwendungen, Systeme und Netzwerke verantwortlich, genauso wie Sie es für ein lokales Rechenzentrum tun würden. Ihre Verantwortung für Sicherheit und Compliance AWS Cloud hängt davon ab, welche Dienste Sie nutzen, wie Sie diese Dienste in Ihre IT-Umgebung integrieren und welche Gesetze und Vorschriften Sie anwenden.
Ein Vorteil von besteht AWS Cloud darin, dass Sie mithilfe von AWS Best Practices sowie Sicherheits- und Compliance-Diensten skalieren und innovativ sein können. Auf diese Weise können Sie eine sichere Umgebung aufrechterhalten und gleichzeitig nur für die Dienste bezahlen, die Sie nutzen. Sie haben auch Zugriff auf dieselben AWS Sicherheits- und Compliance-Dienste, die hochsichere Unternehmensorganisationen zur Sicherung ihrer Cloud-Umgebungen verwenden.
Der Aufbau einer Cloud-Architektur auf einer soliden und sicheren Grundlage ist der erste und beste Schritt, um Cloud-Sicherheit und Compliance zu gewährleisten. Ihre AWS Ressourcen sind jedoch nur so sicher, wie Sie sie konfigurieren. Ein effektiver Sicherheits- und Compliance-Status wird nur durch eine kontinuierliche, strikte Einhaltung der Vorschriften auf betrieblicher Ebene erreicht. Sicherheits- und Compliance-Abläufe lassen sich grob in fünf Kategorien einteilen:
+ Datenschutz
+ Zugriff auf und Verwaltung von Identitäten
+ Netzwerk- und Anwendungsschutz
+ Erkennung von Bedrohungen und kontinuierliche Überwachung
+ Einhaltung von Vorschriften und Datenschutz
AWS Sicherheits- und Compliance-Dienste sind diesen Kategorien zugeordnet und helfen Ihnen dabei, umfassende Anforderungen zu erfüllen. Im Folgenden sind die Kerndienste für AWS Sicherheit und Compliance und ihre Funktionen in diese Kategorien unterteilt. Diese Dienste können Ihnen beim Aufbau und der Durchsetzung der Cloud-Sicherheits-Governance helfen.
### Datenschutz
AWS bietet die folgenden Dienste, mit denen Sie Ihre Daten, Konten und Workloads vor unbefugtem Zugriff schützen können:
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— Bereitstellung, Verwaltung und Bereitstellung von SSL/TLS Zertifikaten zur Verwendung mit AWS-Services.
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— Verwalten Sie Ihre Hardware-Sicherheitsmodule (HSMs) im AWS Cloud.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — Erstellen und kontrollieren Sie die Schlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) — Entdecken, klassifizieren und schützen Sie sensible Daten mit Sicherheitsfunktionen, die auf maschinellem Lernen basieren.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— Datenbankanmeldedaten, API-Schlüssel und andere Geheimnisse während ihres gesamten Lebenszyklus rotieren, verwalten und abrufen.
### Identity and Access Management
Die folgenden AWS Identitätsdienste helfen Ihnen dabei, Identitäten, Ressourcen und Berechtigungen in großem Umfang sicher zu verwalten:
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) — Fügen Sie Benutzerregistrierung, Anmeldung und Zugriffskontrolle zu Ihren Web- und Mobilanwendungen hinzu.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— Verwenden Sie verwaltetes Microsoft Active Directory in der AWS Cloud.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— Zentrales Verwalten des Single Sign-On-Zugriffs (SSO) auf mehrere AWS-Konten Geschäftsanwendungen.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — Steuern Sie den Zugriff auf AWS-Services und Ressourcen sicher.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— Implementieren Sie eine richtlinienbasierte Verwaltung für mehrere. AWS-Konten
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — Teilen Sie AWS Ressourcen auf Ihren Konten.
### Netzwerk- und Anwendungsschutz
Diese Kategorie von Diensten unterstützt Sie bei der Durchsetzung detaillierter Sicherheitsrichtlinien an Netzwerkkontrollpunkten in Ihrem Unternehmen. Die folgenden Tools AWS-Services helfen Ihnen dabei, den Datenverkehr zu untersuchen und zu filtern, um unbefugten Zugriff auf Ressourcen auf Host-, Netzwerk- und Anwendungsebene zu verhindern:
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— Konfigurieren und verwalten Sie anwendungsübergreifende AWS WAF AWS-Konten Regeln von einem zentralen Standort aus.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— Stellen Sie wichtige Netzwerkschutzmaßnahmen für Ihre virtuellen privaten Clouds bereit (VPCs).
+ [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) — Schützen Sie Ihre ausgehenden DNS-Anfragen vor Ihren. VPCs
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— Schützen Sie Ihre Webanwendungen mit Managed DDo S Protection.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— Konfiguration und Verwaltung von Amazon Elastic Compute Cloud (Amazon EC2) und lokalen Systemen, um Betriebssystem-Patches anzuwenden, sichere System-Images zu erstellen und Betriebssysteme zu konfigurieren.
+ [Amazon Virtual Private Cloud (Amazon VPC) — Stellen](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) Sie einen logisch isolierten Bereich bereit, in AWS dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— Tragen Sie dazu bei, Ihre Webanwendungen vor gängigen Web-Exploits zu schützen.
### Erkennung von Bedrohungen und kontinuierliche Überwachung
Die folgenden AWS Überwachungs- und Erkennungsdienste helfen Ihnen dabei, potenzielle Sicherheitsvorfälle in Ihrer AWS Umgebung zu identifizieren:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— Verfolgen Sie die Benutzeraktivitäten und die API-Nutzung, um die Verwaltung sowie die Betriebs- und Risikoprüfung Ihrer Daten zu ermöglichen AWS-Konto.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— Erfassen und bewerten Sie die Konfigurationen Ihrer AWS Ressourcen, um Sie bei der Überprüfung der Einhaltung von Vorschriften, der Nachverfolgung von Ressourcenänderungen und der Analyse der Ressourcensicherheit zu unterstützen.
+ [AWS Config Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) — Erstellen Sie Regeln, die automatisch auf Änderungen in Ihrer Umgebung reagieren, z. B. das Isolieren von Ressourcen, das Anreichern von Ereignissen mit zusätzlichen Daten oder das Wiederherstellen einer Konfiguration in einen zweifelsfrei funktionierenden Zustand.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) — Analysieren und visualisieren Sie Sicherheitsdaten, um schnell der Ursache potenzieller Sicherheitsprobleme auf den Grund zu gehen.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) — Schützen Sie Ihre AWS-Konten Workloads mit intelligenter Bedrohungserkennung und kontinuierlicher Überwachung.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) — Automatisieren Sie Sicherheitsbewertungen, um die Sicherheit und Konformität Ihrer Anwendungen zu verbessern, die auf bereitgestellt werden AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— Führen Sie Code aus, ohne Server bereitzustellen oder zu verwalten, sodass Sie Ihre programmierte, automatisierte Reaktion auf Vorfälle skalieren können.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Sehen und verwalten Sie Sicherheitswarnungen und automatisieren Sie Konformitätsprüfungen von einem zentralen Ort aus.
### Einhaltung von Vorschriften und Datenschutz
Im Folgenden erhalten AWS-Services Sie einen umfassenden Überblick über Ihren Compliance-Status. Sie überwachen Ihre Umgebung kontinuierlich mithilfe automatisierter Konformitätsprüfungen, die auf AWS bewährten Verfahren und Industriestandards basieren:
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— Erhalten Sie bei Bedarf Zugriff auf AWS Sicherheits- und Compliance-Berichte und ausgewählte Online-Vereinbarungen.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— Prüfen Sie Ihre AWS Nutzung kontinuierlich, um Ihr Risikomanagement zu vereinfachen und die Einhaltung von Vorschriften und Industriestandards zu gewährleisten.