AWS-Lösungshandbuch zur Compliance


Repositorien häufig verwendeter Ressourcen und Prozesse, die für die Compliance-Verantwortung auf AWS erforderlich sind.

Willkommen zum AWS-Lösungshandbuch zur Compliance! In diesem Handbuch erhalten Sie Repositorien häufig verwendeter Ressourcen und Prozesse, die für die Compliance-Verantwortung auf AWS erforderlich sind.

Sicherheit bei AWS hat oberste Priorität. Heute schützt AWS Millionen von aktiven Kunden auf der ganzen Welt. Von großen Unternehmen und staatlichen Organisationen bis hin zu Start-ups und gemeinnützigen Organisationen. Durch diese Beziehungen haben wir erstklassige Ressourcen entwickelt, um Kunden aus allen Branchen zu ermöglichen, schnell zu verstehen, wie Compliance in der AWS Cloud erreicht werden kann. AWS-Kunden erben alle Vorteile unserer Erfahrung, einschließlich bester Praktiken für Sicherheitsrichtlinien, Architektur und Betriebsprozesse, die anhand von externen Zusicherungsrahmen validiert werden.

AWS kommuniziert seine für Kunden relevante Sicherheits- und Kontrollumgebung auf folgender Weise:

  • Nachfolgend sind Industriezertifizierungen und unabhängige Bescheinigungen Dritter aufgeführt
  • Informationen zu den Sicherheits- und Kontrollpraktiken von AWS in Whitepapers und Webinhalten
  • Zertifikate, Berichte und andere Dokumentation, die AWS-Kunden gemäß NDA direkt zur Verfügung gestellt werden

Compliance-Lösungen


Die beste Vorgehensweise für den Zugriff auf AWS-Compliance-Berichte ist die über die Konsole und AWS Artifact. AWS Artifact bietet Kunden einen Selbstbedienungs-Zugriff auf Abruf auf die neuesten AWS-Compliance-Berichte. Wenn neue Berichte von AWS freigegeben werden, stehen sie sofort zum Herunterladen in AWS Artifact zur Verfügung. Die Verwendung von AWS Artifact bietet neben dem Zugriff auf Abruf, drei Vorteile:

  1. Es erfordert keine Eingabe der Kreditkarte. Für die Erstellung eines Kontos oder die Verwendung des AWS Artifact-Portals fallen keine Gebühren an.
  2. Es bietet die Möglichkeit, Konten für andere Benutzer über IAD einzurichten.
  3. Es ermöglicht den Komfort von Durchklicken-NDA.

Bitte beachten Sie, dass für alle Bescheinigungen Dritter, Zertifizierungen, SOC-Berichte (Service Organization Controls) und andere relevante Compliance-Berichte ein NDA erforderlich ist. Ausnahmen sind die AWS ISO 27001-Zertifizierung und die öffentlich zugänglichen AWS SOC 3-Berichte.

Wenn Sie über ein AWS-Konto verfügen und bereit sind, das AWS Artifact zu nutzen, können Sie folgenden Ressourcen verwenden, um sich mit dieser Funktion in der Konsole vertraut zu machen. Haben Sie noch kein AWS-Konto angelegt haben, können Sie jetzt mit den folgenden Schritten ein Konto erstellen.

AWS Artifact-Website - Diese Website enthält grundlegende Informationen zu Artifact, einschließlich einer Kurzanleitung für die ersten Schritte mit schrittweisen Anweisungen zum Anmelden an der Konsole und Herunterladen eines Berichts sowie einer Seite mit AWS Artifact-FAQs mit einer umfassenden Liste aller häufig gestellten Fragen.

Nachfolgend sind einige der häufigsten Szenarien, die Fragen generieren:

Für den Fall, dass Sie Unterstützung brauchen, um einen Sicherheitsfragebogen auszufüllen, damit die Sicherheits- und Compliance-Positionen von AWS dokumentieren werden, bietet AWS einen empfohlenen Ansatz, mit dem Sie die Ressourcen erhalten, die Ihre Sicherheits- und Compliance-Fragen im Kontext der Cloud und des AWS-Geschäftsmodells angemessen berücksichtigen. Dieses Verfahren stellt sicher, dass alle unsere Kunden konsistente Antworten erhalten, die von unseren externe Auditoren verifiziert worden sind.

AWS Artifact ist der erste Platz, den Sie besuchen, an dem alle Compliance-Berichte gespeichert werden. AWS wird während des gesamten Jahres mehreren Prüfungen durch externe Auditoren unterzogen, von denen die meisten nach internationalen Sicherheitsnormen wie ISO 27001, PCI und SOC durchgeführt werden. Sie können diese Berichte verwenden, um Fragen zu allen Sicherheitsfragebögen zu beantworten, die Sie erhalten.

Darüber hinaus stehen verschiedene Arten von Ressourcen online zur Verfügung, um Antworten auf einige der am häufigsten gestellten Fragen zu erhalten. Die zwei am häufigsten verwendeten Dokumente für Fragebögen sind:

Fragebogen zur Initiative zur Konsensbewertung - Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation mit dem Ziel, den Einsatz bester Praktiken zur Bereitstellung der Sicherheit im Cloud Computing zu fördern. Der Fragebogen-CSA zur Initiative zur Konsensbewertung enthält eine Reihe von Fragen, die ein CSA von einem Cloud-Konsumenten und/oder einem Auditor an einen Cloud-Anbieter vorweg nimmt. Es bietet eine Reihe von Sicherheits-, Kontroll- und Prozessfragen, die dann für eine Vielzahl von Anwendungen verwendet werden können, einschließlich der Auswahl von Cloud-Anbietern und der Sicherheitsbewertung. Dieses Dokument enthält die AWS-Antworten zum CSA-Fragebogen.

Whitepaper „Risiko und Compliance“: Dieses Whitepaper bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontrollrahmenwerk integrieren können, das ihre IT-Umgebung unterstützt. In diesem Dokument wird ein grundlegender Ansatz zum Bewerten von AWS-Kontrollen erläutert. Außerdem bietet es Informationen zur Unterstützung von Kunden bei der Integration von Kontrollumgebungen. In diesem Dokument werden auch AWS-spezifische Informationen zu allgemeinen Compliance-Fragen von Cloud Computing behandelt. Darin enthalten sind detaillierte Beschreibungen aller AWS-Zertifizierungen, Programmen, Berichten und Bescheinigungen von Dritten. Der CSA-Fragebogen ist im Anhang dieses Dokuments enthalten.

Wenn Sie bei der Beantwortung einer Frage immer noch Hilfe brauchen, wenden Sie sich an Ihren AWS-Kundenbetreuer, der Sie zu den entsprechenden Ressourcen weiterleiten kann.

Beispiele eines Sicherheitsfragebogens »

Kontrolle Frage Antwort AWS-Referenzdokumente
Verschlüsselung Unterstützen die angebotenen Dienste die Verschlüsselung?

Ja. AWS ermöglicht Kunden die Verwendung eigener Verschlüsselungsmechanismen für nahezu alle Dienste, einschließlich S3, EBS, SimpleDB und EC2. IPSec-Tunnel für VPC werden ebenfalls verschlüsselt. Amazon S3 bietet auch serverseitige Verschlüsselung als eine Option für Kunden an. Kunden können auch Verschlüsselungstechnologien von Dritten verwenden.

AWS-Sicherheits-Whitepaper
Physische und Umgebungskontrollen

Werden physische und Umgebungskontrollen durch den Cloud-Anbieter festgelegt?

Ja. Diese werden im SOC 1-Typ-II-Bericht speziell beschrieben. Darüber hinaus erfordern andere von AWS unterstützte Zertifizierungen wie ISO 27001 und FedRAMPsm beste Praktiken für physische und Umgebungskontrollen.

FedRAMP-Paket, ISO 27001-Bericht, SOC 1
Personalschulung / Bewusstsein

Wird für alle Personen mit Zugriff auf Mandantendaten ein formales, rollenbasiertes Schulungsprogramm zur Sicherheitsbewusstseinsbildung für Cloud-bezogene Zugangs- und Datenverwaltungsprobleme (z. B. Mandantenfähigkeit, Nationalität, Cloud-Bereitstellungs-Trennung der Pflichten und Interessenkonflikte) bereitgestellt?

Ja. In Übereinstimmung mit der Norm ISO 27001 führen alle AWS-Mitarbeiter regelmäßig Schulungen zur Informationssicherheit durch, für deren Abschluss eine Bestätigung erforderlich ist. Compliance-Prüfungen werden regelmäßig durchgeführt, um sicherzustellen, dass die Mitarbeiter die festgelegten Richtlinien verstehen und befolgen.

Weitere Informationen finden Sie in den Berichten zu SOC, PCI DSS, ISO 27001 und FedRAMP

Dies sind einige der häufigsten Herausforderungen, mit denen HIPAA BAA konfrontiert ist. Um auf weitere BAA-bezogene Ressourcen zuzugreifen, einschließlich einer vollständigen Liste mit HIPAA-FAQs, BAA-Schulungsvideos, Whitepapers usw., besuchen Sie bitte die Hauptseite der AWS HIPAA-Compliance.

F: Kann ich einen Papierausdruck meiner bestehenden BAA erhalten?

A: BAA-Versionen in Artifact und ein Papierausdruck unterscheiden sich nicht. Auch, wenn Sie Artifact verwenden, können Sie vor und nach dem Akzeptieren der Bedingungen immer eine Kopie des BAA herunterladen. Wenn Sie bereits über ein Offline-BAA verfügen, können Sie sich an Ihren Vertriebsvertreter Handelsvertreter wenden, um eine Kopie zu erhalten.

F: Ich brauche ein Exponat A, um zu bestätigen, dass ein Konto/Konten zu einer bestehenden BAA hinzugefügt wurden, oder ich benötige Nachweise dafür, dass ein bestimmte(s) Konto/Konten unter BAA fällt.

A: AWS gibt kein aktualisiertes Exponat A aus, nachdem zusätzliche Konten unter einem bestehenden BAA fällt. Wenn Sie Artifact verwenden, können Sie sofort neue Selbstbedienungsdienste für Konten in der Konsole festlegen. Nachdem ein BAA in Artifact akzeptiert wurde, können Sie sich mit der Konto-ID an der Konsole anmelden und bestätigen, dass der Status aktiv ist. Wenn Sie ein neues Konto hinzufügen möchten, können Sie dies selbst tun.  Zur Bestätigung des Deckungsstatus und zum Teilen des BAA mit Auditoren oder Aufsichtsbehörden steht das PDF zum Download bereit. Darüber hinaus dient der Status auch als Nachweis der Deckung.

F: Ich bin nicht in der Lage, in einen BAA einzutreten, oder ich kann die Kästchen für die NDA nicht aktivieren.

A: Dieses Problem entsteht durch einen Fehler in den Berechtigungen. Die Einzelperson oder das Team, die IAM-Anforderungen für Ihr AWS-Konto behandeln, können dies durch Anpassen der Berechtigungen beheben. Weitere Informationen zum Einrichten von IAM-Konten finden Sie hier.

Weitere AWS-Compliance-Ressourcen


header-icon_apn-partner-programs-orange

Auf der Seite Services in Scope wird detailliert beschrieben, welche Dienste derzeit in Umfang sind und welche in Bearbeitung sind. Sie können sich auch an Ihren AWS-Kundenbetreuer und SA wegen aller spezifischen Bedürfnisse für einen bestimmten Dienst wenden.

header-icon_apn-partner-programs-orange

Der AWS-Sicherheitsblog ist eine großartige Möglichkeit, um die neuesten Updates der AWS-Sicherheitsprogramme zu verfolgen.

header-icon_apn-partner-programs-orange

Informationen zu einigen aktuellen Kundenerfahrungen von AWS finden Sie auf unserer Kundenreferenzseite, auf der Fallstudien unserer Kunden aus allen Branchen aufgelistet sind.

header-icon_apn-partner-programs-orange

Wenn Sie weitere Informationen zu einem bestimmten Compliance-System brauchen, finden Sie sie auf den folgenden Seiten häufig gestellte Fragen (FAQs):

header-icon_apn-partner-programs-orange

Der AWS-Auditor-Lernweg wurde für Personen in Auditor-, Compliance- und Rechtsrollen entwickelt, die lernen möchten, wie sie mithilfe der AWS-Plattform die Compliance ihrer internen Vorgänge nachweisen können.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »