SEC01-BP05 Reduzieren Sie den Umfang des Sicherheitsmanagements - AWS Well-Architected Framework
ImplementierungsleitfadenRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC01-BP05 Reduzieren Sie den Umfang des Sicherheitsmanagements

Stellen Sie fest, ob Sie Ihren Sicherheitsbereich reduzieren können, indem Sie AWS Dienste verwenden, bei denen die Verwaltung bestimmter Kontrollen auf AWS (verwaltete Dienste) verlagert wird. Mit diesen Services können Sie Ihre Wartungsaufgaben im Bereich Sicherheit reduzieren, z. B. die Bereitstellung der Infrastruktur, die Einrichtung von Software, Patches oder Sicherungen.

Gewünschtes Ergebnis: Sie berücksichtigen den Umfang Ihres Sicherheitsmanagements, wenn Sie AWS Dienste für Ihren Workload auswählen. Die Kosten für Verwaltungsaufwand und Wartungsaufgaben (die Gesamtbetriebskosten oderTCO) werden zusätzlich zu anderen Well-Architected-Überlegungen gegen die Kosten der von Ihnen ausgewählten Services abgewogen. Sie beziehen die AWS Kontroll- und Compliance-Dokumentation in Ihre Kontrollbewertungs- und Überprüfungsverfahren ein.

Typische Anti-Muster:

  • Bereitstellung von Workloads ohne gründliches Verständnis des Modells der geteilten Verantwortung für die von Ihnen ausgewählten Services

  • Hosten von Datenbanken und anderen Technologien auf virtuellen Maschinen, ohne einen entsprechenden verwalteten Service evaluiert zu haben

  • Nichtberücksichtigung von Sicherheitsverwaltungsaufgaben bei den Gesamtbetriebskosten des Hostings von Technologien auf virtuellen Maschinen im Vergleich zu verwalteten Serviceoptionen

Vorteile der Nutzung dieser bewährten Methode: Der Einsatz von verwalteten Services kann Ihren Gesamtaufwand für die Verwaltung der betrieblichen Sicherheitskontrollen verringern, was Ihre Sicherheitsrisiken und Gesamtbetriebskosten reduzieren kann. Die Zeit, die Sie sonst für bestimmte Sicherheitsaufgaben aufwenden müssten, können Sie in Aufgaben investieren, die Ihrem Unternehmen einen größeren Nutzen bringen. Verwaltete Services können auch den Umfang Ihrer Compliance-Anforderungen reduzieren, indem sie einige Kontrollanforderungen in AWS verlagern.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel

Implementierungsleitfaden

Es gibt mehrere Möglichkeiten, wie Sie die Komponenten Ihrer Workload in AWS integrieren können. Die Installation und Ausführung von Technologien auf EC2 Amazon-Instances erfordert häufig, dass Sie den größten Teil der gesamten Sicherheitsverantwortung übernehmen. Um den Aufwand für die Durchführung bestimmter Kontrollen zu verringern, sollten Sie AWS Managed Services identifizieren, die Ihren Teil des Modells der gemeinsamen Verantwortung einschränken, und sich darüber informieren, wie Sie sie in Ihrer bestehenden Architektur einsetzen können. Beispiele hierfür sind die Verwendung des Amazon Relational Database Service (AmazonRDS) für die Bereitstellung von Datenbanken, Amazon Elastic Kubernetes Service (AmazonEKS) oder AmazonElastic Container Service (AmazonECS) für die Orchestrierung von Containern oder die Verwendung serverloser Optionen. Überlegen Sie bei der Entwicklung neuer Anwendungen, welche Services dazu beitragen können, den Zeit- und Kostenaufwand für die Implementierung und Verwaltung von Sicherheitskontrollen zu reduzieren.

Auch Compliance-Anforderungen können bei der Auswahl von Services eine Rolle spielen. Managed Services können die Einhaltung einiger Anforderungen auf Folgendes verlagern. AWS Erkundigen Sie sich mit Ihrem Compliance-Team darüber, inwieweit es sich mit der Prüfung der Aspekte der von Ihnen betriebenen und verwalteten Dienste sowie mit der Annahme von Kontrollerklärungen in den entsprechenden AWS Prüfberichten auskennt. Sie können die gefundenen Prüfartefakte Ihren Prüfern oder Aufsichtsbehörden als Nachweis für AWS Sicherheitskontrollen zur Verfügung stellen. AWS Artifact Sie können bei der Gestaltung Ihrer Architektur auch die in einigen AWS Prüfartefakten enthaltenen Hinweise zur Verantwortung sowie die Richtlinien zur Einhaltung der AWS Kundenvorschriften verwenden. Dieser Leitfaden hilft Ihnen, die zusätzlichen Sicherheitskontrollen zu bestimmen, die Sie einrichten sollten, um die spezifischen Anwendungsfälle Ihres Systems zu unterstützen.

Wenn Sie Managed Services verwenden, sollten Sie mit dem Prozess der Aktualisierung ihrer Ressourcen auf neuere Versionen vertraut sein (z. B. mit der Aktualisierung der Version einer von Amazon RDS verwalteten Datenbank oder einer Programmiersprachen-Runtime für eine AWS Lambda Funktion). Auch wenn der verwaltete Service diesen Vorgang für Sie durchführt, sind Sie für die Konfiguration des Zeitpunkts der Aktualisierung und die Auswirkungen auf Ihren Betrieb selbst verantwortlich. Tools wie AWS Health können Ihnen helfen, diese Updates in Ihren Umgebungen zu verfolgen und zu verwalten.

Implementierungsschritte

  1. Bewerten Sie die Komponenten Ihrer Workload, die durch einen verwalteten Service ersetzt werden können.

    1. Wenn Sie einen Workload auf migrieren AWS, sollten Sie bei der Entscheidung, ob Sie Ihren Workload rehosten, refaktorieren, plattformübergreifend, neu aufbauen oder ersetzen sollten, den geringeren Verwaltungsaufwand (Zeit und Kosten) und die Verringerung des Risikos berücksichtigen. Manchmal können zusätzliche Investitionen zu Beginn einer Migration auf lange Sicht erhebliche Einsparungen bringen.

  2. Erwägen Sie die Implementierung von Managed Services wie AmazonRDS, anstatt Ihre eigenen Technologiebereitstellungen zu installieren und zu verwalten.

  3. Finden Sie anhand der Leitlinien AWS Artifact zur Verantwortung heraus, welche Sicherheitskontrollen Sie für Ihren Workload einrichten sollten.

  4. Führen Sie eine Bestandsaufnahme der verwendeten Ressourcen und bleiben Sie up-to-date bei neuen Services und Ansätzen, um neue Möglichkeiten zur Reduzierung des Umfangs zu identifizieren.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Tools:

Zugehörige Videos: