Implementierung, Integration und Validierung der Sicherheit - AWS Präskriptive Leitlinien
ImplementierungIntegrationValidierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung, Integration und Validierung der Sicherheit

Nachdem Sie Ihre Sicherheits-, Risiko- und Compliance-Anforderungen festgelegt haben, ist der nächste Bereich die Implementierung, Integration und Validierung der Sicherheit. Wählen Sie auf der Grundlage der identifizierten Anforderungen geeignete Sicherheitskontrollen und -maßnahmen aus, um Risiken wirksam zu mindern. Dazu können Verschlüsselung, Zugriffskontrollen, Systeme zur Erkennung von Eindringlingen oder Firewalls gehören. Integrieren Sie Sicherheitslösungen wie Systeme zur Erkennung und Verhinderung von Eindringlingen, Endgeräteschutz und Identitätsmanagement in die bestehende IT-Infrastruktur, um einen umfassenden Sicherheitsschutz zu gewährleisten. Führen Sie regelmäßige Sicherheitsbewertungen durch, einschließlich Schwachstellenscans, Penetrationstests und Codeprüfungen, um die Wirksamkeit der Sicherheitskontrollen zu überprüfen und Schwachstellen oder Lücken zu identifizieren. Indem sie sich auf die Implementierung, Integration und Validierung von Sicherheitsmaßnahmen konzentrieren, können Unternehmen ihre Sicherheitslage stärken, die Wahrscheinlichkeit von Sicherheitsverletzungen verringern und die Einhaltung gesetzlicher Anforderungen und Industriestandards nachweisen.

Implementierung

Aktualisieren Sie zunächst die Dokumentation entsprechend Ihren aktuellen Sicherheits-, Risiko- und Compliance-Schwellenwerten oder Anforderungen. Auf diese Weise können Sie die geplanten Sicherheits- und Compliance-Anforderungen, Kontrollen, Richtlinien und Tools in der Cloud implementieren. Dieser Schritt ist nur erforderlich, wenn Sie bereits ein Risikoregister und eine Risikobereitschaft definiert haben, die im Rahmen der Discovery-Workshops ermittelt worden wären.

Als Nächstes implementieren Sie die geplanten Sicherheits- und Compliance-Anforderungen, Kontrollen, Richtlinien und Tools in der Cloud. Wir empfehlen, diese in der folgenden Reihenfolge zu implementieren: Infrastruktur AWS-Services, Betriebssystem und dann Anwendung oder Datenbank. Stellen Sie anhand der Informationen in der folgenden Tabelle sicher, dass Sie alle erforderlichen Sicherheits- und Compliance-Bereiche berücksichtigt haben.

Area

Sicherheits- und Compliance-Anforderungen

Infrastruktur

  • AWS-Konto

  • Landezone

    • Präventive Kontrollen

    • Detektivische Kontrollen

  • Netzwerksegmentierung

  • Zugriffskontrolle

  • Verschlüsselung

  • Protokollierung, Überwachung und Alarmierung

AWS-Services

  • AWS-Service Konfiguration

  • Instances

    • Speicher

    • Netzwerk

  • Zugriffskontrolle

  • Verschlüsselung

  • Updates und Patches

  • Protokollierung, Überwachung und Warnmeldungen

Betriebssystem

  • Virenschutz

  • Schutz vor Malware und Würmern

  • Konfiguration

  • Netzwerkschutz

  • Zugriffskontrolle

  • Verschlüsselung

  • Updates und Patches

  • Protokollierung, Überwachung und Warnmeldungen

Anwendung oder Datenbank

  • Konfiguration

  • Code und Schema

  • Zugriffskontrolle

  • Verschlüsselung

  • Updates und Patches

  • Protokollierung, Überwachung und Warnmeldungen

Integration

Die Sicherheitsimplementierung erfordert häufig die Integration mit folgenden Komponenten:

  • Netzwerke — Netzwerke innerhalb und außerhalb der AWS Cloud

  • Hybride IT-Landschaft — andere IT-Umgebungen als die AWS Cloud, z. B. lokale Umgebungen, öffentliche Clouds, private Clouds und Colocations

  • Externe Software oder Dienste — Software und Dienste, die von unabhängigen Softwareanbietern (ISVs) verwaltet werden und nicht in Ihrer Umgebung gehostet werden.

  • Dienste für das Cloud-Betriebsmodell — Dienste mit AWS Cloud-Betriebsmodell, die DevSecOps Funktionen bereitstellen.

Verwenden Sie während der Bewertungsphase Ihres Migrationsprojekts Erkennungstools, vorhandene Unterlagen oder Workshops mit Bewerbungsgesprächen, um diese Sicherheitsintegrationspunkte zu identifizieren und zu bestätigen. Richten Sie diese Integrationen bei der Entwicklung und Implementierung der Workloads in den AWS Cloud entsprechend den Sicherheits- und Compliance-Richtlinien und Prozessen ein, die Sie während der Mapping-Workshops definiert haben.

Validierung

Nach der Implementierung und Integration besteht die nächste Aktivität darin, die Implementierung zu validieren. Sie stellen sicher, dass das Setup den AWS bewährten Methoden für Sicherheit und Compliance entspricht. Wir empfehlen Ihnen, die Sicherheit anhand von zwei Schutzbereichen zu überprüfen:

  • Workload-spezifische Schwachstellenbeurteilung und Penetrationstests — Überprüfen Sie die Betriebssystem-, Anwendungs-, Datenbank- oder Netzwerksicherheit von Workloads, auf denen ausgeführt wird. AWS-Services Verwenden Sie zur Durchführung dieser Validierungen vorhandene Tools und Testskripts. Bei der Durchführung dieser Bewertungen ist es wichtig, die Kundendienstrichtlinien für AWS Penetrationstests einzuhalten.

  • AWSValidierung bewährter Sicherheitsverfahren — Prüfen Sie, ob Ihre AWS Implementierung dem AWS Well Architected Framework und anderen ausgewählten Benchmarks wie dem Center for Internet Security (CIS) entspricht. Für diese Überprüfung können Sie Tools und Dienste wie Prowler (GitHub) AWS Trusted Advisor, AWS Service Screener () oder AWS Self-Service Security GitHub Assessment () verwenden. GitHub

Es ist wichtig, alle Sicherheits- und Compliance-Ergebnisse zu dokumentieren und dem Sicherheitsteam und den Führungskräften mitzuteilen. Standardisieren Sie Berichtsvorlagen und verwenden Sie sie, um die Kommunikation mit den jeweiligen Sicherheitsakteuren zu erleichtern. Dokumentieren Sie alle Ausnahmen, die bei der Suche nach Abhilfemaßnahmen gemacht wurden, und stellen Sie sicher, dass die jeweiligen Sicherheitsbeteiligten zustimmen.