Grundlagen der Sicherheit - AWS Präskriptive Leitlinien
SicherheitsfunktionenPrinzipien der Sicherheitsgestaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlagen der Sicherheit

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

Die AWS-Sicherheitsreferenzarchitektur orientiert sich an drei AWS-Sicherheitsgrundlagen: dem AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected und dem AWS Shared Responsibility Model.

AWS Professional Services hat AWS CAF entwickelt, um Unternehmen dabei zu unterstützen, einen beschleunigten Weg zur erfolgreichen Cloud-Einführung zu entwickeln und zu beschreiten. Die im Framework enthaltenen Anleitungen und bewährten Methoden helfen Ihnen dabei, einen umfassenden Ansatz für Cloud Computing in Ihrem gesamten Unternehmen und während Ihres gesamten IT-Lebenszyklus zu entwickeln. Die AWS CAF unterteilt die Beratung in sechs Schwerpunktbereiche, die als Perspektiven bezeichnet werden. Jede Perspektive deckt unterschiedliche Verantwortlichkeiten ab, die funktionsbezogenen Interessengruppen obliegen oder von diesen verwaltet werden. Im Allgemeinen konzentrieren sich die Aspekte Geschäft, Mitarbeiter und Unternehmensführung auf die Geschäftsfähigkeiten, wohingegen sich die Plattform-, Sicherheits- und Betriebsperspektiven auf technische Fähigkeiten konzentrieren.

  • Die Sicherheitsperspektive von AWS CAF hilft Ihnen dabei, die Auswahl und Implementierung von Kontrollen in Ihrem gesamten Unternehmen zu strukturieren. Die Einhaltung der aktuellen AWS-Empfehlungen im Bereich Sicherheit kann Ihnen helfen, Ihre geschäftlichen und regulatorischen Anforderungen zu erfüllen. 

AWS Well-Architected unterstützt Cloud-Architekten beim Aufbau einer sicheren, leistungsstarken, belastbaren und effizienten Infrastruktur für ihre Anwendungen und Workloads. Das Framework basiert auf sechs Säulen — betriebliche Exzellenz, Sicherheit, Zuverlässigkeit, Leistungseffizienz, Kostenoptimierung und Nachhaltigkeit — und bietet AWS-Kunden und -Partnern einen konsistenten Ansatz zur Bewertung von Architekturen und zur Implementierung von Designs, die im Laufe der Zeit skalierbar sind. Wir glauben, dass eine gut strukturierte Workload-Architektur die Wahrscheinlichkeit eines Geschäftserfolgs erheblich erhöht.

  • Die Säule Well-Architected Security beschreibt, wie Sie Cloud-Technologien nutzen können, um Daten, Systeme und Ressourcen so zu schützen, dass Ihre Sicherheitslage verbessert werden kann. Auf diese Weise können Sie Ihre geschäftlichen und behördlichen Anforderungen erfüllen, indem Sie die aktuellen AWS-Empfehlungen befolgen. Es gibt weitere Schwerpunktbereiche von Well-Architected Framework, die mehr Kontext für bestimmte Bereiche wie Governance, Serverless, KI/ML und Gaming bieten. Diese Objektive werden als AWS Well-Architected-Objektive bezeichnet. 

Sicherheit und Compliance liegen in der gemeinsamen Verantwortung von AWS und dem Kunden. Dieses gemeinsame Modell kann Ihnen helfen, Ihre betriebliche Belastung zu verringern, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Service betrieben wird, betreibt, verwaltet und kontrolliert. Sie übernehmen beispielsweise die Verantwortung und Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), der Anwendungssoftware, der serverseitigen Datenverschlüsselung, der Routentabellen für den Netzwerkverkehr und der Konfiguration der von AWS bereitgestellten Sicherheitsgruppen-Firewall. Bei abstrahierten Services wie Amazon Simple Storage Service (Amazon S3) und Amazon DynamoDB betreibt AWS die Infrastrukturebene, das Betriebssystem und die Plattformen, und Sie greifen auf die Endpunkte zu, um Daten zu speichern und abzurufen. Sie sind dafür verantwortlich, Ihre Daten (einschließlich Verschlüsselungsoptionen) zu verwalten, Ihre Ressourcen zu klassifizieren und die entsprechenden Berechtigungen mithilfe der Tools von AWS Identity and Access Management (IAM) zu verwenden. Dieses gemeinsame Modell wird oft so beschrieben, dass AWS für die Sicherheit der Cloud verantwortlich ist (d. h. für den Schutz der Infrastruktur, auf der alle in der AWS-Cloud angebotenen Dienste ausgeführt werden) und dass Sie für die Sicherheit in der Cloud verantwortlich sind (wie von den AWS-Cloud-Services bestimmt, die Sie auswählen). 

Im Rahmen der Leitlinien, die in diesen grundlegenden Dokumenten enthalten sind, sind zwei Gruppen von Konzepten für das Design und das Verständnis der AWS SRA besonders relevant: Sicherheitsfunktionen und Sicherheitsdesignprinzipien.

Sicherheitsfunktionen

Die Sicherheitsperspektive von AWS CAF beschreibt neun Funktionen, mit denen Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten und Cloud-Workloads gewährleisten können.

  • Sicherheits-Governance zur Entwicklung und Kommunikation von Sicherheitsrollen, Verantwortlichkeiten, Richtlinien, Prozessen und Verfahren in der gesamten AWS-Umgebung Ihres Unternehmens.

  • Sicherheitsgarantie zur Überwachung, Bewertung, Verwaltung und Verbesserung der Effektivität Ihrer Sicherheits- und Datenschutzprogramme.

  • Identitäts- und Zugriffsmanagement zur Verwaltung von Identitäten und Berechtigungen in großem Umfang.

  • Erkennung von Bedrohungen, um potenzielle Sicherheitsfehlkonfigurationen, Bedrohungen oder unerwartetes Verhalten zu verstehen und zu identifizieren.

  • Schwachstellenmanagement zur kontinuierlichen Identifizierung, Klassifizierung, Behebung und Minderung von Sicherheitslücken.

  • Infrastrukturschutz, um zu überprüfen, ob die Systeme und Dienste in Ihren Workloads geschützt sind.

  • Datenschutz zur Wahrung der Transparenz und Kontrolle über Daten und darüber, wie auf sie zugegriffen wird und wie sie in Ihrem Unternehmen verwendet werden.

  • Anwendungssicherheit zur Erkennung und Behebung von Sicherheitslücken während des Softwareentwicklungsprozesses.

  • Reaktion auf Vorfälle zur Reduzierung potenzieller Schäden durch effektive Reaktion auf Sicherheitsvorfälle.

Prinzipien der Sicherheitsgestaltung

Die Sicherheitssäule des Well-Architected Framework umfasst eine Reihe von sieben Entwurfsprinzipien, die bestimmte Sicherheitsbereiche in praktische Anleitungen umwandeln, die Ihnen helfen können, die Sicherheit Ihrer Workloads zu verbessern. Wo die Sicherheitsfunktionen die gesamte Sicherheitsstrategie prägen, beschreiben diese Well-Architected-Prinzipien, womit Sie beginnen können. Sie spiegeln sich sehr bewusst in dieser AWS-SRA wider und bestehen aus folgenden Elementen:

  • Implementieren Sie eine starke Identitätsbasis — Implementieren Sie das Prinzip der geringsten Rechte und setzen Sie eine Aufgabentrennung mit entsprechender Autorisierung für jede Interaktion mit Ihren AWS-Ressourcen durch. Zentralisieren Sie das Identitätsmanagement und versuchen Sie, die Abhängigkeit von langfristigen statischen Anmeldeinformationen zu beseitigen.

  • Sorgen Sie für Rückverfolgbarkeit — Überwachen Sie Aktionen und Änderungen an Ihrer Umgebung, generieren Sie Warnmeldungen und prüfen Sie sie in Echtzeit. Integrieren Sie die Erfassung von Protokollen und Kennzahlen in Systeme, um automatisch Untersuchungen durchzuführen und Maßnahmen zu ergreifen.

  • Wenden Sie Sicherheit auf allen Ebenen an — Wenden Sie einen defense-in-depth Ansatz mit mehreren Sicherheitskontrollen an. Wenden Sie mehrere Arten von Kontrollen (z. B. präventive und detektive Kontrollen) auf alle Ebenen an, einschließlich Edge of Network, Virtual Private Cloud (VPC), Load Balancing, Instanz- und Rechendienste, Betriebssystem, Anwendungskonfiguration und Code.

  • Automatisieren Sie bewährte Sicherheitsmethoden — Automatisierte, softwarebasierte Sicherheitsmechanismen verbessern Ihre Fähigkeit, sicher, schneller und kostengünstiger zu skalieren. Erstellen Sie sichere Architekturen und implementieren Sie Kontrollen, die als Code in versionskontrollierten Vorlagen definiert und verwaltet werden.

  • Schützen Sie Daten bei der Übertragung und Speicherung — Klassifizieren Sie Ihre Daten in Vertraulichkeitsstufen und verwenden Sie gegebenenfalls Mechanismen wie Verschlüsselung, Tokenisierung und Zugriffskontrolle.

  • Halten Sie Personen von Daten fern — Verwenden Sie Mechanismen und Tools, um den direkten Zugriff auf Daten oder deren manuelle Verarbeitung zu reduzieren oder zu eliminieren. Dadurch wird das Risiko von falscher Handhabung oder Änderung sowie menschlichem Versagen beim Umgang mit sensiblen Daten reduziert.

  • Bereiten Sie sich auf Sicherheitsereignisse vor — Bereiten Sie sich auf einen Vorfall vor, indem Sie Richtlinien und Prozesse für das Management und die Untersuchung von Vorfällen festlegen, die auf Ihre organisatorischen Anforderungen abgestimmt sind. Führen Sie Simulationen zur Reaktion auf Vorfälle durch und verwenden Sie automatisierte Tools, um Ihre Erkennungs-, Untersuchungs- und Wiederherstellungsvorgänge zu beschleunigen.