Ich hätte gern Informationen über Security by Design
Security by Design

Security by Design (SbD) ist ein Konzept zur Gewährleistung der Sicherheit. Es formalisiert das Konto-Design von AWS, automatisiert Sicherheitskontrollen und vereinheitlicht Prüfungsprozesse. Statt sich auf die rückwirkende Sicherheitsprüfung zu verlassen, bietet SbD eine Sicherheitskontrolle, die in den gesamten IT-Verwaltungsprozess von AWS integriert ist. Durch die Verwendung von SbD-CloudFormation-Vorlagen können die Sicherheit und Compliance in der Cloud effizienter und weitreichender angewendet werden.

Security by Design umfasst einen Ansatz in 4 Phasen für die Sicherheit und Compliance nach Maß in verschiedenen Branchen, für verschiedene Standards und Sicherheitskriterien. AWS SbD kann beim Entwurf von Sicherheits- und Compliance-Möglichkeiten für alle Sicherheitsphasen verwendet werden, indem der Kunde alles innerhalb der AWS-Kundenumgebung entwirft: Berechtigung, Anmeldung, Vertrauensbeziehungen, Erzwingung von Verschlüsselung, die Anordnung genehmigter Machine Images und mehr. Mit SbD können Kunden die Frontend-Struktur eines AWS-Kontos automatisieren, da Sicherheit und Compliance verlässlich in AWS-Konten kodiert werden und so die Nicht-Compliance von IT-Kontrollen ausgeschlossen ist.


SbD umfasst die Kontrollverantwortungsbereiche, die Automatisierung des Grundschutzes, die Sicherheitskonfiguration und die Kundenprüfung von Kontrollen für die AWS-Kundeninfrastruktur, Betriebssysteme, Dienste und Anwendungen in AWS. Dieses standardisierte, automatisierte, präskriptive und wiederholbare Design kann für allgemeine Anwendungsfälle, Sicherheitsstandards und Prüfanforderungen in verschiedenen Branchen und für unterschiedliche Verarbeitungslasten bereitgestellt werden.

AWS empfiehlt, die Sicherheit und Compliance in Ihr AWS-Konto zu integrieren und dabei diesen Ansatz in 4 Phasen zu verfolgen:

Phase 1 – Informieren Sie sich über Ihre Anforderungen. Legen Sie Ihre Richtlinien dar, und dokumentieren Sie anschließend die Kontrollen, die für Sie von AWS bereitgestellt werden. Dokumentieren Sie die Kontrollen, die Sie besitzen und in Ihrer AWS-Umgebung verwenden. Entscheiden Sie dann, welche Sicherheitsregeln Sie in Ihrer AWS-IT-Umgebung erzwingen möchten.

Phase 2 – Erstellen Sie eine „sichere Umgebung“, die zu Ihren Anforderungen und der Implementierung passt. Definieren Sie die Konfiguration, die Sie benötigen, in Form von AWS-Konfigurationswerten. Dazu gehören: Verschlüsselungsanforderungen (Erzwingung serverseitiger Verschlüsselung für S3-Objekte), Ressourcenberechtigungen (welche Rollen für bestimmte Umgebungen gelten), welche MIs autorisiert sind (basierend auf den gehärteten Images autorisierter Server) und welche Anmeldeeinstellungen aktiviert sein müssen (etwa die Erzwingung von CloudTrail auf entsprechenden Ressourcen). AWS bietet ausgereifte Konfigurationsoptionen, wobei auch ständig neue Dienste veröffentlicht werden. Vorlagen sind verfügbar für die Angleichung Ihrer Umgebung an Sicherheitskontrollen. Diese Sicherheitsvorlagen (in Form von AWS CloudFormation-Vorlagen) enthalten einen umfassenderen Regelsatz, der systematisch erzwungen werden kann. AWS hat Vorlagen entwickelt, die sichere Regeln bereitstellen und mehreren Sicherheitsrahmen entsprechen. Weitere Informationen finden Sie in unserem Whitepaper "Introduction to Security by Design".

Von erfahrenen AWS-Architekten, AWS Professional Services und unseren Partnern für die IT-Transformation erhalten Sie weitere Unterstützung bei der Erstellung dieser "sicheren Umgebung". Diese Teams können zusammen mit Ihren Mitarbeitern und Prüfteams arbeiten und sich auf die Umsetzung hochwertiger Sicherheitsumgebungen von Kunden für die Prüfung durch Dritte konzentrieren und dabei unterstützen.

Phase 3 – Erzwingen Sie die Verwendung der Vorlagen. Aktivieren Sie Service Catalog, und erzwingen Sie die Verwendung Ihrer Vorlage im Katalog. Mit diesem Schritt erzwingen Sie die Verwendung Ihrer "sicheren Umgebung" in neuen Umgebungen, die erstellt werden. Dadurch wird außerdem verhindert, dass jemand eine Umgebung erstellt, die die Sicherheitsregeln der "sicheren Umgebung" nicht befolgt. So werden im Grunde die verbleibenden Sicherheitskonfigurationen von Kontrollen im Kundenkonto operationalisiert und auf die Prüfung vorbereitet.

Phase 4 – Führen Sie Validierungsaktivitäten durch. Durch die Bereitstellung von AWS über Service Catalog und die Vorlagen für die „sichere Umgebung“ erstellen Sie eine prüffähige Umgebung. Die Regeln, die Sie in Ihrer Vorlage festgelegt haben, können als Prüfhandbuch verwendet werden. Mit AWS Config können Sie den aktuellen Status jeder Umgebung festhalten. Dieser kann dann mit den Regeln Ihrer "sicheren Umgebung" verglichen werden. So können Sie für die Prüfung Beweise über den sicheren Lesezugriff erheben. Sie erhalten außerdem eindeutige Skripts, die die Prüfautomatisierung zur Beweiserhebung aktivieren. Die Kunden können dann von den herkömmlichen manuellen Verwaltungskontrollen auf die technisch erzwungenen Kontrollen mit der Zusicherung umstellen, dass die Kontrollen jederzeit zu 100 % funktionieren, wenn sie ordnungsgemäß entwickelt und eingerichtet wurden, im Gegensatz zu herkömmlichen Stichprobenprüfungen oder zeitpunktbezogenen Überprüfungen.

Die technische Prüfung kann noch verbessert werden, indem Sie in die Prüfung einweisen und etwa den Prüfern des Kunden Support und Schulung anbieten. So versteht das Prüfpersonal die einzigartigen Automatisierungsmöglichkeiten der AWS Cloud.

AWS-Sicherheit
AWS Cloud Security by Design

AWS-Auswirkung von SbD

Mit dem SbD-Ansatz soll Folgendes erreicht werden:

• Erzwingende Funktionen sollen erstellt werden, die von Nutzern ohne entsprechende Änderungsberechtigung nicht überschrieben werden können.
• Ein verlässlicher Einsatz der Kontrollen soll erzielt werden.
• Die durchgehende Prüfung in Echtzeit soll ermöglicht werden.
• Das technische Skripting Ihrer Governance-Richtlinien soll durchgeführt werden.

Sie erhalten im Ergebnis eine automatisierte Umgebung, die die Gewährleistung der Sicherheit, die Governance, Sicherheit und Compliance Ihrer Umgebung aktiviert. Kunden können nun vorher schriftlich festgehaltene Richtlinien, Standards und Regulierungen zuverlässig umsetzen. Kunden können außerdem eine erzwingbare Sicherheit und Compliance erstellen. Diese wiederum führt zu einem funktionell verlässlichen Governance-Modell für die Umgebungen von AWS-Kunden


Whitepaper

Machen Sie sich mit den Konzepten im Security by Design Whitepaper vertraut.

Absolvieren Sie die Übung im Selbststudium auf „Auditing your AWS Architecture“. Dort lernen Sie die Funktionen und Oberflächen von AWS kennen, besonders die Konfigurationsoptionen für Prüfer und Inhaber von Sicherheitskontrollen.

Machen Sie sich mit weiteren relevanten Ressourcen vertraut, die für Sie verfügbar sind:
a. Amazon Web Services – Übersicht über Sicherheitsverfahren
b. Whitepaper: Einführung in die Überprüfung der Verwendung von AWS
c. Prüfhandbuch für den Federal Financial Institutions Examination Council (FFIEC)
d. SEC – Cybersecurity Initiative-Prüfhandbuch
e. Prüfhandbuch zu CJIS-Sicherheitsrichtlinien

 

Security by Design-Ressourcen

 

Kontakt