Entscheidungsbaum für die Einführung eines AWS Sicherheitsdienstes - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Entscheidungsbaum für die Einführung eines AWS Sicherheitsdienstes

Die folgende Abbildung zeigt eine Entscheidungsstruktur, anhand derer Sie beurteilen können, ob Ihr Unternehmen einen AWS Sicherheitsdienst einführen sollte. Die Entscheidungsstruktur ist in zwei Abschnitte unterteilt: Unternehmenskontext und Bewertung des AWS Sicherheitsdienstes. Der erste Abschnitt, Unternehmenskontext, dient der Bewertung Ihrer aktuellen Kontrolle oder Lösung, falls vorhanden. Wenn Sie keine aktuelle Lösung haben oder wenn Ihre aktuelle Kontrolle oder Lösung nicht Ihren geschäftlichen oder technischen Anforderungen entspricht, fahren Sie mit dem zweiten Abschnitt fort, der Bewertung des AWS Sicherheitsdienstes. Im Abschnitt zur Bewertung des AWS Sicherheitsdienstes stellen Sie fest, ob der Service diese Anforderungen AWS-Service erfüllt.

Entscheidungsbaum für die Einführung eines AWS Sicherheitsdienstes

Unternehmenskontext für die Bewertung einer aktuellen Sicherheitskontrolle oder -lösung

In diesem Abschnitt bewerten Sie Ihre aktuelle Steuerung oder Lösung, um sicherzustellen, dass sie den geschäftlichen und technischen Anforderungen Ihres Unternehmens entspricht. Wenn Sie keine Kontrolle oder Lösung eingerichtet haben, sollten Sie den AWS Sicherheitsservice bewerten und direkt zum Abschnitt zur Bewertung des AWS-Sicherheitsdienstes übergehen.

1.1 Wird ein Compliance-, Sicherheits- oder Datenschutzmandat nicht eingehalten?

Organizations unterliegen den Gesetzen und Vorschriften in Bezug auf Datensicherheit und Datenschutz. Verstöße gegen diese Mandate können schwerwiegende Folgen haben. Wenn Ihr Unternehmen nicht in der Lage ist, eine Compliance-, Sicherheits- oder Datenschutzanforderung zu erfüllen, sollten Sie den AWS Sicherheitsdienst bewerten.

1.2 Haben Sie ein hohes Risiko, das nicht angegangen wird?

Organizations müssen erhebliche Sicherheitsrisiken in ihrer Umgebung identifizieren und bewältigen. Ein hohes Risiko könnte potenzielle Datenschutzverletzungen, Systemschwachstellen, Betriebsunterbrechungen oder andere kritische Sicherheitsbedenken beinhalten. Wenn Ihre aktuelle Lösung (oder das Fehlen einer solchen) diese hohen Risiken nicht angemessen mindert, fahren Sie mit der Bewertung des AWS Sicherheitsdienstes fort.

1.3 Haben Sie eine manuelle oder fehleranfällige Lösung?

Lösungen, die manuelle Schritte oder menschliche Interaktion erfordern, sind fehleranfälliger. Inkonsistenz, geringe Datenzuverlässigkeit, nicht konforme Ressourcen und mangelnde Skalierbarkeit sind in diesen Szenarien häufig. Automatisierte Kontrollen sind für IT-Systeme und Workloads von grundlegender Bedeutung. Wenn Ihre aktuelle Lösung keine vollständige Automatisierung unterstützt, sollten Sie den AWS Sicherheitsservice in Betracht ziehen.

1.4 Haben Sie Probleme mit Verwaltung, Agilität oder Skalierbarkeit?

Es ist wichtig, alle Probleme im Zusammenhang mit der Verwaltung abzubilden. Im Folgenden finden Sie einige Beispiele: Mangelnde Kompatibilität bei der Verwaltung verschiedener Ressourcen, die Lösung deckt nicht alle Geräte ab, Fehler und Unterbrechungen bei Updates sowie negative Auswirkungen auf die Leistung in der Produktion. Die Lösung muss flexibel sein, damit Teams von einem starken Sicherheitsstandard aus innovativ sein können. Sie müssen Skalierbarkeit unterstützen, um ein exponentielles Geschäftswachstum zu erzielen. Wenn Sie Probleme mit der Verwaltung, Verfügbarkeit oder Skalierung haben, sollten Sie den AWS Sicherheitsservice evaluieren.

1.5 Haben Sie hohe Gesamtbetriebskosten?

Bewerten Sie die Gesamtbetriebskosten (TCO) für Ihre aktuelle Sicherheitslösung, indem Sie die Kosten mit Branchenbenchmarks und internen Kennzahlen vergleichen. Im Allgemeinen investieren Unternehmen 6 bis 14% ihres IT-Budgets in Cybersicherheit, wobei der Durchschnitt bei 10% liegt. Berücksichtigen Sie beim Schutz Ihrer Ressourcen Faktoren wie Lizenz-, Implementierungs-, Wartungs-, Support- und Betriebskosten. Sie können Ihre internen Tools einbeziehen, die dieselbe Anzahl von zu schützenden Vermögenswerten abdecken. Ein unausgewogenes Sicherheitsbudget für Tools kann auch auf hohe Gesamtbetriebskosten hindeuten, wenn beispielsweise 60% des Budgets für ein einzelnes Tool verwendet werden. Wenn Ihre Gesamtbetriebskosten über diesen Benchmarks liegen, fahren Sie mit der Bewertung des Sicherheitsdienstes fort. AWS

AWS Bewertung des Sicherheitsdienstes

Ein Proof of Technology (POT) ähnelt einem Machbarkeitsnachweis. Das Ziel eines POT besteht darin, festzustellen, ob eine mögliche Lösung für ein technisches Problem realisierbar ist. Sie könnten beispielsweise einen POT verwenden, um nachzuweisen, dass mit einer bestimmten Konfiguration ein bestimmtes Ergebnis erzielt werden kann. In diesem Abschnitt verwenden Sie einen POT, um zu bewerten und nachzuweisen, ob ein bestimmter AWS Sicherheitsdienst Ihren geschäftlichen und technischen Anforderungen entspricht.

Die AWS Security Reference Architecture (AWS SRA) bietet verbindliche Leitlinien für die Bereitstellung aller AWS Sicherheitsdienste in einer Umgebung mit mehreren Konten. Diese Architektur kann Ihnen bei der Planung und Durchführung Ihrer POT-Evaluierung helfen.

Dieser Entscheidungsleitfaden gilt für alle AWS Sicherheitsdienste, einschließlich der neuesten Angebote. Eine up-to-date Liste der Dienste und aktuellen bewährten Methoden finden Sie unter AWS Cloud Sicherheit.

2.1 Erfüllt der AWS Sicherheitsdienst Ihre Compliance-, Sicherheits- oder Datenschutzanforderungen?

Der AWS Sicherheitsdienst muss alle Compliance-, Sicherheits- und Datenschutzvorschriften erfüllen, die die aktuelle Lösung nicht erfüllt. AWS Zertifizierungen und Berichte für Sicherheit und Compliance finden Sie unter AWS Artifact. Darüber hinaus können Sie die AWS-Service Dokumentation zur Überprüfung des Versicherungsschutzes verwenden.

2.2 Trägt der AWS Sicherheitsdienst zur Risikominderung bei?

Risikomanagement ist ein Schlüsselfaktor, um Unternehmen vor vielen Bedrohungen zu schützen. Die Entscheidung, einen Service einzuführen, kann in direktem Zusammenhang mit der Minderung eines oder mehrerer hoher Risiken in Ihrem Unternehmen stehen. Der AWS Sicherheitsdienst muss das Risiko auf ein akzeptables Maß reduzieren, das auf Ihrer Risikobereitschaft und Ihrem Geschäftsumfeld basiert.

2.3 Zeigt der Sicherheitsdienst die Effektivität des Sicherheitsdienstes?

Die Wirksamkeit des AWS Sicherheitsdienstes muss anhand eines POT nachgewiesen werden, wobei für jeden Sicherheitsdienst unterschiedliche Kennzahlen zugrunde gelegt werden. Der POT könnte beispielsweise anhand eines Threat Intelligence-Algorithmus überprüfen, ob der Dienst Sicherheitsbedrohungen schnell erkennen und darauf reagieren kann. Sie könnten den Erfolg bewerten, indem Sie bestätigen, dass Bedrohungen innerhalb von Minuten erkannt wurden und dass automatische Benachrichtigungen und Abhilfemaßnahmen erfolgreich ausgeführt wurden. Bei einem Schwachstellen-Management-Service könnten Sie die Effektivität anhand der folgenden Kriterien bewerten:

  • Wie viele Sicherheitslücken wurden entdeckt?

  • Wie hoch ist die Erfolgsquote bei der Installation von Patches und Updates?

  • Wurden Cross-Site-Scripting- (XSS) - und SQL-Injection-Angriffe, die vom offensiven Sicherheitsteam (auch bekannt als Red Team) ausgeführt wurden, im Hinblick auf den Web-Schutz sofort blockiert?

AWS Professional Services und AWS Partner können Sie bei dieser POT-Bewertung unterstützen.

2.4 Sind die Gesamtbetriebskosten niedriger als bei der aktuellen Steuerung oder Lösung?

Niedrigere Gesamtbetriebskosten können Ihnen helfen, die Kosten in Ihrem Unternehmen zu optimieren. Bei diesen Vergleichen werden häufig folgende Kennzahlen verwendet: Anschaffungs- und Implementierungskosten, feste und variable Kosten, Betriebskosten, Wartungs- und Supportkosten, Erweiterungs- und Zuverlässigkeitskosten sowie Schulungskosten. Es gibt weitere Kostenmessungen und Vergleiche, die Sie auf der Grundlage Ihres spezifischen Anwendungsfalls durchführen können. Sie AWS -Preisrechnerkönnen Ihnen helfen, die Kosten für abzuschätzen AWS-Services. Darüber hinaus können Sie Produkte in den Kostenloses AWS-Kontingent und kostenlosen Trails verwenden, um viele davon zu bewerten AWS-Services. Weitere Informationen finden Sie unter Kostenlose AWS Cloud Sicherheits-Testversionen.

2.5 Kompromissentscheidung

Bei der Kompromissentscheidung müssen mehrere Faktoren gegeneinander abgewogen werden, insbesondere die Effizienz der Dienste und die Gesamtbetriebskosten. Wenn genaue Berechnungen oder eindeutige Feststellungen nicht möglich sind, sollten Sie das Gesamtgleichgewicht zwischen Vorteilen und Einschränkungen abwägen.

Ein positiver Saldo kann sich auch dann ergeben, wenn die Faktoren miteinander zu kollidieren scheinen. Beispielsweise kann ein Service die Kosten erhöhen, aber gleichzeitig eine verbesserte Skalierbarkeit bieten. Dies stellt einen positiven Saldo dar, bei dem die verbesserte Effektivität die zusätzlichen Kosten rechtfertigt. Umgekehrt ist eine Reduzierung der Kapazitäten möglicherweise nicht akzeptabel, selbst wenn ein Service erhebliche Kosteneinsparungen bietet.

Sie sollten alle verfügbaren Informationen gegeneinander abwägen, um ein insgesamt positives oder negatives Ergebnis zu ermitteln. Auf der Grundlage dieser Analyse können Sie Ihre Kompromissentscheidung treffen.