Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erkennung und Abstimmung der Sicherheitsaspekte
Bei der Mobilisierung eines Migrationsprojekts liegt der Schwerpunkt des Arbeitsbereichs Sicherheit und Compliance zunächst auf der Erkennung und Abstimmung der Sicherheitsaspekte. Diese Domäne soll Ihrem Unternehmen helfen, die folgenden Ziele zu erreichen:
-
Informieren Sie die Mitarbeiter im Bereich Sicherheit und Compliance über die AWS Sicherheitsservices, Funktionen und die Einhaltung von Vorschriften
-
Informieren Sie sich über Ihre Sicherheits- und Compliance-Anforderungen und aktuellen Praktiken. Betrachten Sie diese Anforderungen aus Sicht der Infrastruktur und des Betriebs, einschließlich:
-
Sicherheitsherausforderungen und Einflussfaktoren für den angestrebten Endzustand
-
Fähigkeiten des Cloud-Sicherheitsteams
-
Richtlinien, Konfigurationen, Kontrollen und Leitplanken für Sicherheitsrisiken und Compliance
-
Risikobereitschaft und Basiswert der Sicherheitsrisiken
-
Bestehende und zukünftige Sicherheitswerkzeuge
-
Workshops zum Eintauchen in den Tag
Nutzen Sie Immersionstage zu Sicherheit und Compliance, um sich an diesen Zielen zu orientieren. Immersion Days sind Workshops, die eine Reihe von sicherheitsrelevanten Themen behandeln, wie zum Beispiel:
-
Sicherheitssäule des AWS Well-Architected Frameworks
Die Workshops am Immersionstag helfen dabei, eine Wissensbasis für Ihr Sicherheitsteam zu schaffen. Es schult sie über AWS Sicherheitsdienste und bewährte Methoden im Bereich Sicherheit und Compliance. AWS Solution Architects, AWS Professional Services und AWS Partner können Ihnen bei der Durchführung dieser interaktiven Workshops helfen. Sie verwenden Standard-Präsentationsdecks, AWS-Labs und Whiteboard-Aktivitäten, um Ihre Teams vorzubereiten.
Workshops zum Kennenlernen
Nach den Workshops zum Immersionstag führen Sie mehrere tiefgründige Workshops zur Entdeckung von Sicherheit und Compliance durch. Diese helfen Ihren Teams dabei, die aktuellen Sicherheits-, Risiko- und Compliance-Anforderungen (SRC) der Infrastruktur, der Anwendungen und des Betriebs zu ermitteln. Sie analysieren diese Anforderungen aus den folgenden Perspektiven: Mitarbeiter, Prozesse und Technologie. Im Folgenden sind die Entdeckungsbereiche für jede Perspektive aufgeführt.
Die Perspektive der Menschen
-
Organisationsstruktur — Machen Sie sich mit der aktuellen Struktur und den Zuständigkeiten der Arbeitsabläufe im Bereich Sicherheit und Compliance vertraut.
-
Fähigkeiten und Fähigkeiten — Verfügen Sie über praktische Kenntnisse und Fähigkeiten in Bezug auf und für Cloud-Sicherheits AWS-Services - und Compliance-Funktionen. Dazu gehören Entdeckung, Planung, Implementierung und Betrieb.
-
Matrix „Verantwortungsbewusst, rechenschaftspflichtig, konsultiert, informiert“ (RACI) — Definieren Sie die Rollen und Verantwortlichkeiten für die aktuellen Sicherheits- und Compliance-Aktivitäten innerhalb des Unternehmens.
-
Kultur — Machen Sie sich mit der aktuellen Sicherheits- und Compliance-Kultur vertraut. Priorisieren Sie Sicherheit und Compliance als Teil der Entwicklungs-, Entwurfs-, Implementierungs- und Betriebsphasen. Führen Sie Development Security Operations (DevSecOps) in die Cloud-Sicherheits- und Compliance-Kultur ein.
Prozessperspektive
-
Praktiken — Definieren und dokumentieren Sie die aktuellen Sicherheits- und Compliance-Prozesse für Aufbau, Design, Implementierung und Betrieb. Zu den Prozessen gehören:
-
Zugriff auf und Verwaltung von Identitäten
-
Kontrolle und Reaktion bei der Erkennung von Vorfällen
-
Infrastruktur und Netzwerksicherheit
-
Datenschutz
-
Compliance
-
Geschäftskontinuität und Wiederherstellung
-
-
Implementierungsdokumentation — Dokumentieren Sie Sicherheits- und Compliance-Richtlinien, Kontrollkonfigurationen, Tool-Dokumentation und Architekturdokumentation. Diese Dokumente sind erforderlich, um die Sicherheit und Konformität in den Bereichen Infrastruktur, Netzwerk, Anwendungen, Datenbanken und Bereitstellung abzudecken.
-
Risikodokumentation — Erstellen Sie eine Dokumentation zu Informationssicherheitsrisiken, in der die Risikobereitschaft und der Schwellenwert dargelegt werden.
-
Validierungen — Erstellen Sie interne und externe Sicherheitsvalidierungs- und Auditanforderungen.
-
Runbooks — Entwickeln Sie operative Runbooks, die die aktuellen, standardmäßigen Implementierungs- und Governance-Prozesse für Sicherheit und Compliance abdecken.
Technologische Perspektive
-
Services und Tools — Verwenden Sie Tools, um Ihren Sicherheits- und Compliance-Status zu überprüfen und die aktuelle IT-Landschaft durchzusetzen und zu verwalten. Richten Sie Tools für die folgenden Kategorien ein:
-
Zugriff auf und Verwaltung von Identitäten
-
Kontrolle und Reaktion bei der Erkennung von Vorfällen
-
Infrastruktur und Netzwerksicherheit
-
Datenschutz
-
Compliance
-
Geschäftskontinuität und Wiederherstellung
-
Während des AWS Security Discovery-Workshops verwenden Sie standardisierte Datenerfassungsvorlagen und Fragebögen, um Daten zu sammeln. In Szenarien, in denen Sie die Informationen aufgrund mangelnder Datenklarheit oder veralteter Daten nicht bereitstellen können, können Sie ein Tool zur Migrationserkennung verwenden, um Sicherheitsinformationen auf Anwendungs- und Infrastrukturebene zu sammeln. Eine Liste der Discovery-Tools, die Sie verwenden können, finden Sie unter Tools zur Erkennung, Planung und Empfehlung der Migration
Wir empfehlen Ihnen dringend, bei der ersten Sicherheitsbewertung mit der Bedrohungsmodellierung zu beginnen. Auf diese Weise können Sie mögliche Bedrohungen und bestehende Maßnahmen identifizieren. Möglicherweise gibt es auch vordefinierte und dokumentierte Anforderungen in Bezug auf Sicherheit, Compliance und Risiko. Weitere Informationen finden Sie im Workshop Threat Modeling for Builders
