SEC01-BP05 Verringern des Umfangs der Sicherheitsverwaltung - Säule der Sicherheit
ImplementierungsleitfadenRessourcen

SEC01-BP05 Verringern des Umfangs der Sicherheitsverwaltung

Ermitteln Sie, ob Sie Ihren Sicherheitsumfang reduzieren können, indem Sie AWS-Services verwenden, die die Verwaltung bestimmter Kontrollen in AWS verlagern (verwaltete Services). Mit diesen Services können Sie Ihre Wartungsaufgaben im Bereich Sicherheit reduzieren, z. B. die Bereitstellung der Infrastruktur, die Einrichtung von Software, Patches oder Sicherungen.

Gewünschtes Ergebnis: Sie berücksichtigen den Umfang Ihrer Sicherheitsverwaltung bei der Auswahl von AWS-Services für Ihre Workload. Die Kosten für den Verwaltungsaufwand und die Wartungsaufgaben (die Gesamtbetriebskosten (Total Cost of Ownership, TCO) werden gegen die Kosten der von Ihnen ausgewählten Services abgewogen. Hinzu kommen weitere Überlegungen im Rahmen von Well-Architected. Sie integrieren die Kontroll- und Compliance-Dokumentation von AWS in Ihre Kontrollbewertungs- und Verifizierungsverfahren.

Typische Anti-Muster:

  • Bereitstellung von Workloads ohne gründliches Verständnis des Modells der geteilten Verantwortung für die von Ihnen ausgewählten Services

  • Hosten von Datenbanken und anderen Technologien auf virtuellen Maschinen, ohne einen entsprechenden verwalteten Service evaluiert zu haben

  • Nichtberücksichtigung von Sicherheitsverwaltungsaufgaben bei den Gesamtbetriebskosten des Hostings von Technologien auf virtuellen Maschinen im Vergleich zu verwalteten Serviceoptionen

Vorteile der Nutzung dieser bewährten Methode: Der Einsatz von verwalteten Services kann Ihren Gesamtaufwand für die Verwaltung der betrieblichen Sicherheitskontrollen verringern, was Ihre Sicherheitsrisiken und Gesamtbetriebskosten reduzieren kann. Die Zeit, die Sie sonst für bestimmte Sicherheitsaufgaben aufwenden müssten, können Sie in Aufgaben investieren, die Ihrem Unternehmen einen größeren Nutzen bringen. Verwaltete Services können auch den Umfang Ihrer Compliance-Anforderungen reduzieren, indem sie einige Kontrollanforderungen in AWS verlagern.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel

Implementierungsleitfaden

Es gibt mehrere Möglichkeiten, wie Sie die Komponenten Ihrer Workload in AWS integrieren können. Die Installation und der Betrieb von Technologien auf Amazon-EC2-Instances erfordert häufig, dass Sie den größten Teil der gesamten Sicherheitsverantwortung übernehmen. Um den Aufwand für die Durchführung bestimmter Kontrollen zu verringern, sollten Sie von AWS verwaltete Services identifizieren, die den Umfang Ihrer Seite des Modells der geteilten Verantwortung verringern, und verstehen, wie Sie diese in Ihrer bestehenden Architektur nutzen können. Beispiele sind die Verwendung von Amazon Relational Database Service (Amazon RDS) für die Bereitstellung von Datenbanken, Amazon Elastic Kubernetes Service (Amazon EKS) oder Amazon Elastic Container Service (Amazon ECS) für die Orchestrierung von Containern oder die Verwendung von Serverless-Optionen. Überlegen Sie bei der Entwicklung neuer Anwendungen, welche Services dazu beitragen können, den Zeit- und Kostenaufwand für die Implementierung und Verwaltung von Sicherheitskontrollen zu reduzieren.

Auch Compliance-Anforderungen können bei der Auswahl von Services eine Rolle spielen. Verwaltete Services können die Einhaltung einiger Anforderungen in AWS verlagern. Sprechen Sie mit Ihrem Compliance-Team darüber, inwieweit es sich mit der Prüfung der von Ihnen betriebenen und verwalteten Services und der Annahme von Kontrollerklärungen in den entsprechenden Audit-Berichten von AWS wohl fühlt. Sie können die in AWS Artifact gefundenen Audit-Artefakte Ihren Prüfern oder Regulierungsbehörden als Nachweis für AWS-Sicherheitskontrollen vorlegen. Sie können beim Design Ihrer Architektur auch die Hinweise zur Verantwortung verwenden, die in einigen AWS-Audit-Artefakten enthalten sind, zusammen mit den AWS Customer Compliance Guides. Dieser Leitfaden hilft Ihnen, die zusätzlichen Sicherheitskontrollen zu bestimmen, die Sie einrichten sollten, um die spezifischen Anwendungsfälle Ihres Systems zu unterstützen.

Wenn Sie verwaltete Services nutzen, sollten Sie mit dem Prozess der Aktualisierung ihrer Ressourcen auf neuere Versionen vertraut sein (z. B. die Aktualisierung der Version einer von Amazon RDS verwalteten Datenbank oder einer Laufzeit einer Programmiersprache für eine AWS Lambda-Funktion). Auch wenn der verwaltete Service diesen Vorgang für Sie durchführt, sind Sie für die Konfiguration des Zeitpunkts der Aktualisierung und die Auswirkungen auf Ihren Betrieb selbst verantwortlich. Tools wie AWS Health können Ihnen helfen, diese Updates in Ihren Umgebungen zu verfolgen und zu verwalten.

Implementierungsschritte

  1. Bewerten Sie die Komponenten Ihrer Workload, die durch einen verwalteten Service ersetzt werden können.

    1. Wenn Sie eine Workload zu AWS migrieren, sollten Sie den geringeren Verwaltungsaufwand (Zeit und Kosten) und die Verringerung des Risikos berücksichtigen, wenn Sie folgende Optionen für Ihren Workload bewerten: Hostwechsel, Faktorwechsel, Plattformwechsel, erneute Erstellung oder Ersatz. Manchmal können zusätzliche Investitionen zu Beginn einer Migration auf lange Sicht erhebliche Einsparungen bringen.

  2. Ziehen Sie die Implementierung von verwalteten Services wie Amazon RDS in Betracht, anstatt Ihre eigenen Technologiebereitstellungen zu installieren und zu verwalten.

  3. Verwenden Sie die Anleitung zur Verantwortung in AWS Artifact, um die Sicherheitskontrollen zu bestimmen, die Sie für Ihre Workload einrichten sollten.

  4. Führen Sie ein Inventar der genutzten Ressourcen und halten Sie sich über neue Services und Ansätze auf dem Laufenden, um neue Möglichkeiten zur Reduzierung des Umfangs zu ermitteln.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Tools:

Zugehörige Videos: