Security by Design

SbD umfasst die Kontrollverantwortungsbereiche, die Automatisierung des Grundschutzes, die Sicherheitskonfiguration und die Kundenprüfung von Kontrollen für die AWS-Kundeninfrastruktur, Betriebssysteme, Dienste und Anwendungen in AWS. Dieses standardisierte, automatisierte, präskriptive und wiederholbare Design kann für häufige Anwendungsfälle, Sicherheitsstandards und Prüfanforderungen in verschiedenen Branchen und für unterschiedliche Workloads bereitgestellt werden.

AWS empfiehlt, die Sicherheit und Compliance in Ihr AWS-Konto zu integrieren und dabei diesen Ansatz in 4 Phasen zu verfolgen:

Phase 1 – Informieren Sie sich über Ihre Anforderungen. Legen Sie Ihre Richtlinien dar, und dokumentieren Sie anschließend die Kontrollen, die für Sie von AWS bereitgestellt werden. Dokumentieren Sie die Kontrollen, die Sie besitzen und in Ihrer AWS-Umgebung verwenden. Entscheiden Sie dann, welche Sicherheitsregeln Sie in Ihrer AWS-IT-Umgebung erzwingen möchten.

Phase 2 – Erstellen Sie eine sichere Umgebung, die zu Ihren Anforderungen und Ihrer Implementierung passt. Definieren Sie die Konfiguration, die Sie benötigen, in Form von AWS-Konfigurationswerten. Dazu gehören: Verschlüsselungsanforderungen (z. B. die Erzwingung serverseitiger Verschlüsselung für S3-Objekte), Ressourcenberechtigungen (welche Rollen für bestimmte Umgebungen gelten), welche MIs autorisiert sind (basierend auf den gehärteten Images autorisierter Server) und welche Anmeldeeinstellungen aktiviert sein müssen (etwa die Erzwingung von CloudTrail auf entsprechenden Ressourcen). AWS bietet ausgereifte Konfigurationsoptionen mit einem fortlaufenden Angebot neuer Services sowie Vorlagen für die Angleichung Ihrer Umgebung an Sicherheitskontrollen. Diese Sicherheitsvorlagen (in Form von AWS CloudFormation-Vorlagen) enthalten einen umfassenden Regelsatz, der systematisch erzwungen werden kann. AWS hat Vorlagen entwickelt, die sichere Regeln bereitstellen und mehreren Sicherheitsrahmen entsprechen. Weitere Informationen finden Sie im Whitepaper Introduction to Security by Design.

Von erfahrenen AWS-Architekten, AWS Professional Services und AWS-Partnerlösungen erhalten Sie weitere Unterstützung bei der Erstellung Ihrer sicheren Umgebung. Diese Teams können Ihre Mitarbeiter und Prüfteams bei der Umsetzung hochwertiger Sicherheitsumgebungen für externe Prüfungen unterstützen.

Phase 3 – Erzwingen Sie die Verwendung der Vorlagen. Mit AWS Service Catalog können Sie die Verwendung Ihrer Vorlage im Katalog zwingend durchsetzen. Durch diesen Schritt stellen Sie die Verwendung Ihrer sicheren Umgebung in allen neu erstellten Umgebungen sicher. Dadurch wird die Erstellung von Umgebungen verhindert, die nicht den Sicherheitsregeln Ihrer sicheren Umgebung entsprechen. Wenn Sie die Verwendung Ihrer Vorlage im Katalog erzwingen, stellen Sie gleichzeitig auch die Vorbereitung der verbleibenden Sicherheitskonfigurationen Ihrer Kontrollen für die Prüfung sicher.

Phase 4 – Führen Sie Validierungsaktivitäten durch. Durch die Bereitstellung von AWS über Service Catalog und die Vorlagen für eine sichere Umgebung erstellen Sie eine prüffähige Umgebung. Die in Ihrer Vorlage festgelegten Regeln können als Prüfhandbuch verwendet werden. Mit AWS Config können Sie den aktuellen Status jeder Umgebung festhalten. Dieser kann dann mit den Regeln Ihrer sicheren Umgebung verglichen werden. Mittels sicherer Lesezugriffsberechtigungen und eindeutigen Skripten können Sie Teile des Prüfverfahrens für den Nachweis der Compliance automatisieren. Sie können herkömmlich manuelle Verwaltungskontrollen durch technisch erzwungene Kontrollen ersetzen und sich dabei gewiss sein, dass diese, sofern sie korrekt konzipiert und abgestimmt sind, jederzeit hundertprozentig zuverlässig sind, was mit herkömmlichen Stichprobenverfahren oder zeitlich punktuellen Überprüfungen nicht möglich ist.

Die technische Prüfung kann durch eine Einweisung – etwa ein Support- und Schulungsangebot für die Prüfer – verbessert werden, um sicherzustellen, dass das Prüfpersonal die einzigartigen Automatisierungsmöglichkeiten der AWS Cloud versteht.

Security by Design bietet folgende Möglichkeiten:

• Erstellung erzwingender Funktionen, die von Nutzern ohne entsprechende Änderungsberechtigung nicht überschrieben werden können
• Einrichtung einer zuverlässigen Ausführung der Kontrollen
• Ermöglichung einer fortlaufenden Prüfung in Echtzeit
• Technisches Skripting Ihrer Governance-Richtlinien

Sie erhalten im Ergebnis eine automatisierte Umgebung, die die Sicherheits-, Zuverlässigkeits-, Governance- und Compliance-Anforderungen Ihrer Umgebung gewährleistet. Sie können die bislang lediglich schriftlich festgehaltenen Richtlinien, Standards und Regulierungen nun zuverlässig umsetzen. Zudem können Sie eine erzwingbare Sicherheit und Compliance erstellen, die wiederum ein funktionell verlässliches Governance-Modell für Ihre AWS-Umgebungen gewährleistet.