AWS Risiko- und Compliance-Programm - Amazon Web Services – Risiko und Compliance
AWS Risikomanagement für UnternehmenBetriebs- und Geschäftsführung Steuerungsumgebung und AutomatisierungBewertung der Kontrollen und kontinuierliche Überwachung AWS-Zertifizierungen, -Programme, -Berichte und Bescheinigungen von DrittanbieternCloud Security Alliance

AWS Risiko- und Compliance-Programm

AWS hat ein Risiko- und Compliance-Programm im gesamten Unternehmen integriert. Dieses Programm zielt darauf ab, Risiken in allen Phasen der Serviceentwicklung und -bereitstellung zu verwalten und die risikobezogenen Aktivitäten des Unternehmens kontinuierlich zu verbessern und neu zu bewerten. Die Komponenten des integrierten AWS-Risiko- und Compliance-Programms werden in den folgenden Abschnitten ausführlicher erörtert.

AWS Risikomanagement für Unternehmen

AWS verfügt über ein Business Risk Management (BRM) -Programm, das mit AWS-Geschäftsbereichen zusammenarbeitet, um dem AWS-Verwaltungsrat und der AWS-Geschäftsleitung eine ganzheitliche Sicht auf die wichtigsten Risiken in AWS zu bieten. Das BRM-Programm demonstriert eine unabhängige Risikoüberwachung der AWS-Funktionen. Insbesondere führt das BRM-Programm Folgendes aus:

  • Risikobewertungen und Risikoüberwachung der wichtigsten AWS-Funktionsbereiche

  • Identifiziert und fördert die Behebung von Risiken

  • Führt ein Register bekannter Risiken

Um die Beseitigung von Risiken voranzutreiben, meldet das BRM-Programm die Ergebnisse seiner Bemühungen und eskaliert gegebenenfalls an Direktoren und Vizepräsidenten im gesamten Unternehmen, um bzgl. Geschäftsentscheidungen zu informieren.

Betriebs- und Geschäftsführung

AWS verwendet eine Kombination aus wöchentlichen, monatlichen und vierteljährlichen Besprechungen und Berichten, um unter anderem die Kommunikation der Risiken über alle Komponenten des Risikomanagementprozesses hinweg sicherzustellen. Darüber hinaus implementiert AWS einen Eskalationsprozess, um dem Management Einblick in Risiken mit hoher Priorität im gesamten Unternehmen zu bieten. Diese Bemühungen zusammen tragen dazu bei, dass das Risiko im Einklang mit der Komplexität des AWS-Geschäftsmodells verwaltet wird.

Darüber hinaus sind Vizepräsidenten (Geschäftsinhaber) durch eine kaskadierende Verantwortungsstruktur für die Überwachung ihres Geschäfts verantwortlich. Zu diesem Zweck führt AWS wöchentliche Besprechungen durch, um betriebliche Kennzahlen zu überprüfen und wichtige Trends und Risiken zu identifizieren, bevor sie sich auf das Geschäft auswirken.

Die Geschäftsleitung und die leitenden Angestellten spielen bei der Bestimmung der Firmenphilosophie und bei der Festlegung der Grundwerte des Unternehmens eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter vorgegebene Richtlinien verstehen und befolgen.

Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um eine geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die Geschäftsleitung hat Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene Berichtslwege für sie vorgesehen. Als Teil des Verifizierungsprozesses des Unternehmens für Einstellungen werden Ausbildung, bisherige Arbeitsverhältnisse und in manchen Fällen Hintergrundprüfungen einbezogen, soweit dies durch Gesetze und Regelungen für Mitarbeiter im Hinblick auf die Position des Mitarbeiters und die Zugriffsebene auf AWS-Einrichtungen angemessen ist. Neue Mitarbeiter werden in ihrer Einstellungs- und Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen, Richtlinien und Verfahren des Unternehmens vertraut gemacht.

Steuerungsumgebung und Automatisierung

AWS implementiert Sicherheitskontrollen als grundlegendes Element für das Risikomanagement im gesamten Unternehmen. Die AWS-Steuerungsumgebung besteht aus den Standards, Prozessen und Strukturen, die die Grundlage für die Implementierung eines Mindestsatzes von Sicherheitsanforderungen in AWS bilden.

Während Prozesse und Standards, die in der AWS-Steuerungsumgebung enthalten sind, für sich allein stehen, nutzt AWS auch Aspekte der gesamten Steuerungsumgebung von Amazon. Zu den wirksam eingesetzten Tools gehören:

  • Tools, die in allen Amazon-Unternehmen verwendet werden, z. B. das Tool zur Verwaltung der Aufgabentrennung

  • Bestimmte Amazon-weite Geschäftsfunktionen wie Recht, Personalwesen und Finanzen

In Fällen, in denen AWS die allgemeine Steuerungsumgebung von Amazon nutzt, sind die Standards und Prozesse, die diese Mechanismen regeln, speziell auf das AWS-Geschäft zugeschnitten. Das bedeutet, dass die Erwartungen für ihre Verwendung und Anwendung innerhalb der AWS-Steuerungsumgebung von den Erwartungen für ihre Verwendung und Anwendung in der gesamten Amazon-Umgebung abweichen können. Die AWS-Steuerungsumgebung dient letztlich als Grundlage für die sichere Bereitstellung von AWS-Serviceangeboten.

Die Steuerungsautomatisierung ist eine Möglichkeit für AWS, menschliche Eingriffe in bestimmte wiederkehrende Prozesse der AWS-Steuerungsumgebung zu reduzieren. Es ist der Schlüssel für eine effektive Implementierung der Informationssicherheitskontrolle und das damit verbundene Risikomanagement. Die Steuerungsautomatisierung zielt darauf ab, potenzielle Inkonsistenzen bei der Prozessausführung proaktiv zu minimieren, die aufgrund der Fehlerhaftigkeit von Menschen auftreten können, die einen sich wiederholenden Prozess ausführen. Durch die Automatisierung der Steuerung werden mögliche Prozessabweichungen eliminiert. Dies bietet ein höheres Maß an Sicherheit, dass eine Kontrolle wie vorgesehen angewendet wird.

Die Entwicklungsteams von AWS in allen Sicherheitsfunktionen sind für die Entwicklung der AWS-Steuerungsumgebung verantwortlich, um nach Möglichkeit ein höheres Maß an Steuerungsautomatisierung zu unterstützen. Beispiele für automatisierte Kontrollen bei AWS sind:

  • Governance und Überwachung: Richtlinienversionierung und Genehmigung

  • Personalmanagement: Automatisierte Schulungsbereitstellung, schnelle Kündigung der Mitarbeiter

  • Entwicklung und Konfigurationsmanagement: Pipelines zur Codebereitstellung, Codescannen, Codesicherung, integrierte Bereitstellungstests

  • Identitäts- und Zugriffsmanagement: Automatisierte Aufgabentrennung, Zugriffsprüfungen, Berechtigungsmanagement

  • Überwachung und Protokollierung: Automatisierte Protokollsammlung und Korrelation, alarmierend

  • Physische Sicherheit: Automatisierte Prozesse im Zusammenhang mit AWS-Rechenzentren, einschließlich Hardwareverwaltung, Sicherheitsschulungen für Rechenzentren, Zugriffsarmierung und physisches Zugriffsmanagement

  • Scanning und Patch-Management: Automatisierte Schwachstellensuche, Patch-Verwaltung und Bereitstellung

Bewertung der Kontrollen und kontinuierliche Überwachung

AWS implementiert eine Vielzahl von Aktivitäten vor und nach der Servicebereitstellung, um das Risiko innerhalb der AWS-Umgebung weiter zu reduzieren. Diese Aktivitäten integrieren Sicherheits- und Compliance-Anforderungen während des Entwurfs und der Entwicklung jedes AWS-Service und überprüfen dann, ob die Services sicher funktionieren, nachdem sie in Produktion (Einführung) gebracht wurden.

Zu den Risikomanagement- und Compliance-Aktivitäten gehören zwei Vorabaktivitäten und zwei Aktivitäten nach dem Start. Die Aktivitäten vor dem Start sind:

  • Überprüfung des AWS Application Security Risikomanagements, um zu überprüfen, ob Sicherheitsrisiken identifiziert und gemindert wurden

  • Überprüfung der Architekturbereitschaft, damit Kunden die Einhaltung der Compliance-Vorschriften sicherstellen können

Zum Zeitpunkt seiner Bereitstellung wurde ein Service strengen Bewertungen anhand detaillierter Sicherheitsanforderungen unterzogen, um die hohen Sicherheitsanforderungen von AWS zu erfüllen. Die Aktivitäten nach dem Start sind:

  • Laufende Überprüfung von AWS Application Security, um sicherzustellen, dass der Sicherheitsstatus des Service beibehalten

  • Laufende Schwachstellenverwaltungsscans

Diese Kontrollbewertungen und die kontinuierliche Überwachung ermöglichen es regulierten Kunden, sicher konforme Lösungen für AWS-Services zu entwickeln. Eine Liste der Services im Bereich verschiedener Compliance-Programme finden Sie auf der Webseite zu AWS Services in Scope.

AWS-Zertifizierungen, -Programme, -Berichte und Bescheinigungen von Drittanbietern

AWS unterzieht sich regelmäßig unabhängigen Bescheinigungsprüfungen durch Dritte, um sicherzustellen, dass die Kontrollaktivitäten wie beabsichtigt funktionieren. Insbesondere wird AWS anhand einer Vielzahl globaler und regionaler Sicherheitsrahmen geprüft, die von Region und Branche abhängen. AWS nimmt an über 50 verschiedenen Prüfprogrammen teil.

Die Ergebnisse dieser Prüfungen werden von der Bewertungsstelle dokumentiert und allen AWS-Kunden über AWS Artifact zur Verfügung gestellt. AWS Artifact ist ein kostenloses Self-Service-Portal für den On-Demand-Abruf von AWS Compliance-Berichten. Wenn neue Berichte veröffentlicht werden, werden sie in AWS Artifact verfügbar gemacht, sodass Kunden die Sicherheit und Konformität von AWS kontinuierlich überwachen und sofort auf neue Berichte zugreifen können.

Abhängig von den lokalen regulatorischen oder vertraglichen Anforderungen eines Landes oder einer Branche kann AWS auch direkt mit Kunden oder staatlichen Prüfern Prüfungen unterzogen werden. Diese Audits bieten eine zusätzliche Überwachung der AWS-Steuerungsumgebung, um sicherzustellen, dass Kunden über die Tools verfügen, mit denen sie selbstbewusst, konform und risikobasiert mit AWS-Services arbeiten können.

Weitere Informationen zu den AWS-Zertifizierungsprogrammen, Berichten und Bescheinigungen von Drittanbietern finden Sie auf der Webseite des AWS-Compliance-Programms. Sie können auch die AWS Services in Scope Webseite besuchen, um servicespezifische Informationen zu erhalten.

Cloud Security Alliance

AWS nimmt an der freiwilligen Selbstbewertung Security, Trust & Assurance Registry (STAR) der CSA teil, um zu dokumentieren, dass wir die von der CSA veröffentlichten bewährten Methoden befolgen. Der CSA ist „die weltweit führende Organisation, die sich der Definition und Sensibilisierung für Best Practices zur Gewährleistung einer sicheren Cloud-Computing-Umgebung verschrieben hat“ .Das CSA Consensus Assessments Initiative Questionnaire (CAIQ) enthält eine Reihe von Fragen, die der CSA einem Cloud-Kunden erwartet und/oder ein Cloud-Auditor würde nach einem Cloud-Anbieter fragen. Dazu zählen eine Reihe von Fragen zu Sicherheit, Kontrolle und Prozessen, die anschließend für eine breite Palette von Zwecken genutzt werden können, z. B. bei der Auswahl des Cloud-Anbieters und der Sicherheitsbewertung.

Den Kunden stehen zwei Ressourcen zur Verfügung, die die Ausrichtung von AWS an den CSA CAIQ dokumentieren. Das erste ist das CSA CAIQ Whitepaper, und das zweite ist eine detailliertere Steuerungszuordnung zu unseren SOC-2-Steuerelementen, die über AWS Artifact verfügbar ist. Weitere Informationen über die AWS-Teilnahme an CSA CAIQ finden Sie auf der AWS CSA-Website.