Governance

Die Sicherheits-Governance als Teil des Gesamtkonzepts soll die Unternehmensziele unterstützen, indem sie Richtlinien und Kontrollziele für das Risikomanagement festlegt. Erreichen Sie ein Risikomanagement, indem Sie einen mehrschichtigen Ansatz für Sicherheitskontrollziele verfolgen – jede Schicht baut auf der vorherigen auf. Das Verständnis des AWS-Modells der geteilten Verantwortung ist die Grundlage für Ihre Arbeit. Dieses Wissen schafft Klarheit darüber, wofür Sie auf Kundenseite verantwortlich sind und was Sie von AWS übernehmen. Eine nützliche Ressource ist AWS Artifact, die Ihnen On-Demand-Zugriff auf die Sicherheits- und Compliance-Berichte von AWS und ausgewählte Online-Vereinbarungen bietet.

Erfüllen Sie die meisten Ihrer Kontrollziele auf der nächsten Ebene. Hier befindet sich die plattformübergreifende Fähigkeit. Zu dieser Ebene gehören beispielsweise der Prozess der AWS-Kontovergabe, die Integration mit einem Identitätsanbieter wie AWS IAM Identity Center und die gemeinsamen aufdeckenden Kontrollen. Einige der Ergebnisse des Plattform-Governance-Prozesses sind ebenfalls hier zu finden. Wenn Sie einen neuen AWS-Service verwenden möchten, aktualisieren Sie die Service-Kontrollrichtlinien (SCPs) im Service von AWS Organizations, um den Integritätsschutz für die anfängliche Verwendung des Services bereitzustellen. Sie können andere SCPs verwenden, um gemeinsame Sicherheitskontrollziele zu implementieren, die oft als Sicherheitsinvarianten bezeichnet werden. Dies sind Kontrollziele oder Konfigurationen, die Sie auf mehrere Konten, Organisationseinheiten oder die gesamte AWS-Organisation anwenden. Typische Beispiele sind die Begrenzung der Regionen, in denen die Infrastruktur ausgeführt wird, oder die Verhinderung der Deaktivierung von aufdeckenden Kontrollen. Diese mittlere Ebene enthält auch kodifizierte Richtlinien wie Konfigurationsregeln oder Prüfungen in Pipelines.

Die oberste Ebene ist der Ort, an dem die Produktteams ihre Kontrollziele erreichen. Dies liegt daran, dass die Implementierung in den Anwendungen erfolgt, die von den Produktteams kontrolliert werden. Dabei kann es sich um die Implementierung einer Eingabevalidierung in einer Anwendung handeln oder um die Sicherstellung, dass die Identität zwischen Microservices korrekt weitergegeben wird. Auch wenn das Produktteam Besitzer der Konfiguration ist, kann es dennoch einige Fähigkeiten von der mittleren Ebene erben.

Wo auch immer Sie die Kontrolle durchführen, das Ziel ist das gleiche: Risikomanagement. Es gibt eine Reihe von Frameworks für das Risikomanagement, die für bestimmte Branchen, Regionen oder Technologien gelten. Ihr Hauptziel: Hervorhebung des Risikos anhand der Wahrscheinlichkeit und der Folgen. Dies ist das inhärente Risiko. Sie können dann ein Kontrollziel definieren, das entweder die Wahrscheinlichkeit oder die Folgen oder beides verringert. Wenn Sie dann eine Kontrolle durchführen, können Sie sehen, wie hoch das daraus resultierende Risiko sein wird. Dies ist das Restrisiko. Kontrollziele können sich auf eine oder mehrere Workloads beziehen. Das folgende Diagramm zeigt eine typische Risikomatrix. Die Wahrscheinlichkeit basiert auf der Häufigkeit früherer Vorfälle und die Folgen auf den finanziellen, rufschädigenden und zeitlichen Kosten des Ereignisses.

Risk matrix showing likelihood vs. consequence, with risk levels from low to critical.

Abbildung 2: Wahrscheinlichkeitsmatrix der Risikoebenen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gemeinsame Verantwortlichkeit

AWS-Kontoverwaltung und -trennung