Ich hätte gerne Informationen über das Modell der gemeinsamen Verantwortung

Sicherheit und Compliance stellen eine geteilte Verantwortlichkeit zwischen AWS und dem Kunden dar Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS die Komponenten des Hostbetriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängen. Die Art und Weise dieser geteilten Verantwortlichkeit gewährleistet die Flexibilität und Kundenkontrolle, durch die die Bereitstellung ermöglicht wird. Wie im Diagramm unten ersichtlich wird diese Differenzierung der Verantwortlichkeit häufig als "Sicherheit der Cloud" im Gegensatz zu "Sicherheit in der Cloud" bezeichnet.

AWS-Verantwortlichkeit "Sicherheit der Cloud": AWS ist für den Schutz der Infrastruktur verantwortlich, in der alle in der AWS Cloud angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus der Hardware, Software, dem Netzwerk und den Einrichtungen, auf und in denen AWS Cloud-Services ausgeführt werden.

Kundenverantwortlichkeit "Sicherheit in der Cloud": Die Kundenverantwortlichkeit wird durch die AWS Cloud-Services bestimmt, die ein Kunde auswählt. Dies bestimmt den Konfigurationsaufwand, den der Kunde als Teil der Sicherheitsverantwortlichkeiten bewältigen muss. Services wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) und Amazon S3 werden als Infrastructure-as-a-Service (IaaS) kategorisiert und setzen somit voraus, dass der Kunde alle erforderlichen Sicherheitskonfigurations- und -verwaltungsaufgaben erledigt. Wenn ein Kunde eine Amazon EC2-Instance bereitstellt, ist er für die Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), für die gesamte Anwendungssoftware und alle Hilfsprogramme, die vom Kunden auf der Instance installiert werden, und für die Konfiguration der von AWS bereitgestellten Firewall (als Sicherheitsgruppe bezeichnet) auf jeder einzelnen Instance verantwortlich.

AWS Gemeinsame Verantwortung

Das Modell der gemeinsamen Verantwortung von Kunde/AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie sich AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden die Verwaltung, der Betrieb und die Überprüfung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden den Aufwand des Betreibens von Kontrollen durch die Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verbunden sind, und die ggf. zuvor vom Kunden verwaltet wurden. Da jede Kundenumgebung in AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter IT-Kontrollen an AWS profitieren, was zu einem (neuen) verteilten Kontrollumfeld führt. Kunden können dann die ihnen zur Verfügung stehende AWS-Kontroll- und -Compliance-Dokumentation verwenden, um ggf. ihre Verfahren zur Kontrollbewertung und -überprüfung auszuführen. Unten finden Sie Beispiele für Kontrollen, die von AWS, von AWS-Kunden und/oder beiden verwaltet werden.

Vererbte Kontrolle: Kontrollen, die von AWS vollständig auf den Kunden übergehen.

  • Physische und Umgebungskontrollen

Geteilte Kontrollen: Kontrollen, die für die Infrastruktur- und die Kundenebene gelten, allerdings in vollständig voneinander getrennten Kontexten oder Perspektiven. In einer geteilten Kontrolle stellt AWS die Anforderungen an die Infrastruktur bereit. Der Kunde muss eine eigene Kontrollimplementierung innerhalb seiner Verwendung von AWS-Services bereitstellen. Einige Beispiele:

  • Patch-Verwaltung: AWS ist für das Patchen und das Beheben von Fehlern innerhalb der Infrastruktur verantwortlich, aber Kunden sind für das Patchen der Gastbetriebssysteme und Anwendungen verantwortlich.
  • Konfigurationsmanagement: AWS übernimmt die Konfiguration der Infrastrukturgeräte, aber Kunden sind für das Konfigurieren der eigenen Gastbetriebssysteme, Datenbanken und Anwendungen verantwortlich.
  • Bewusstsein und Schulungen: AWS schult AWS-Mitarbeiter, aber Kunden müssen ihre eigenen Mitarbeiter schulen.

Kundenspezifisch: Kontrollen, die alleine in der Verantwortung des Kunden liegen und auf der Anwendung basieren, die er innerhalb der AWS-Services bereitstellt. Einige Beispiele:

  • Service- und Kommunikationsschutz oder Zonensicherheit, sodass es möglicherweise erforderlich ist, dass ein Kunde Daten innerhalb von speziellen Sicherheitsumgebungen umleitet oder in Zonen platziert.
AWS Gemeinsame Verantwortung

 

Kontakt