Wie AWS Kunden hilft, ihre Sicherheits-, Risiko- und Compliance-Ziele zu erreichen

Clarke (00:58):
Erzählen Sie uns etwas über Ihren Hintergrund, wie Sie zu AWS gekommen sind und was Ihre derzeitige Aufgabe ist?

Hart (01:05):
Gerne. Bevor ich zu AWS kam, arbeitete ich in der Verteidigungsbranche, wo ich viel mit Systemintegration zu tun hatte. Das gefiel mir sehr, ich liebte die Aufgabe, die US-Regierung und Regierungen auf der ganzen Welt und auch einige regulierte Branchen zu unterstützen. Aber ich hatte immer eine Art Liste der Top-Sicherheitsunternehmen im Hinterkopf. Und zu Beginn meiner Karriere waren diese weitgehend auf den Verbraucher ausgerichtet. Also Antivirus, persönliche Firewalls auf Ihrem Desktop und dergleichen mehr. Aber im Laufe der Zeit enthielt diese Liste Unternehmen, die die Infrastruktur bereitstellen, die die Welt am Laufen hält. Und damit Unternehmen wie Amazon und andere große Infrastrukturanbieter. Ich war also wirklich an einem Punkt in meiner Karriere, an dem ich nach dem nächsten Schritt suchte. Und ich wollte an einen Ort gehen, an dem man in Sachen Sicherheit wirklich innovativ ist. Das würde einen Unterschied machen, nicht nur für einige wenige Kunden, die sehr wichtig waren, sondern wirklich für die ganze Welt. Und so bot sich mir die Gelegenheit, zu AWS zu kommen, und habe sie genutzt.

Clarke (02:02):
Und was ist heute Ihre Rolle bei AWS?

Hart (02:39):
Heutzutage bin ich also der Direktor der globalen Spezialpraxis für Sicherheit und Infrastruktur und der professionellen Services, was ein bisschen kompliziert klingt. Aber was es wirklich bedeutet, ist, dass meine Aufgabe darin besteht, Kunden dabei zu helfen, das Vertrauen und die technischen Fähigkeiten aufzubauen, um ihre sensibelsten Workloads mit uns in der Cloud zu betreiben.

Clarke (02:58):
Aha. Wenn Sie sich also die verschiedenen professionellen Service-Angebote ansehen, die Ihr Konzern den Kunden anbietet oder zur Verfügung stellt, gibt es dann bestimmte Mechanismen, die Sie anwenden, um sicherzustellen, dass das, was Sie anbieten, auch tatsächlich das ist, was die Kunden wollen oder brauchen?

Hart (03:14):
Ich werde Ihnen ein ganz konkretes Beispiel geben. Vor ein paar Jahren gab es eine Zeit, in der einige unserer Kunden darüber nachdachten, ihre Zahlungskartensysteme in die Cloud zu migrieren. Und was sie wirklich brauchten, war ein Team, das sich sowohl mit der Cloud und dem modernen Betrieb von Zahlungskartensystemen als auch mit dem PCI-Standard auskennt. Und als das zum ersten Mal passierte, dachten wir, wir sollten einen Partner hinzuziehen, der PCI-Fähigkeiten hat. Und das hat wirklich gut funktioniert. Es ist oft der Fall, dass Kunden das beste Ergebnis erzielen, wenn sie mit AWS und einem Partner zusammenarbeiten.

Wir haben auch gehört, dass sie sicherstellen wollen, dass das Fachwissen und die Anleitungen, die wir von AWS erhalten, verlässlich sind und dass die Partner selbst, wie PCI, qualifiziert sind. Und so haben wir schließlich einen sechsseitigen Bericht verfasst, rückwärts gearbeitet und ein Team aufgebaut, aus dem schließlich eine hundertprozentige Tochtergesellschaft wurde, AWS Security Assurance Services, ein PCI-QSA-Unternehmen. Und jetzt auch ein Gutachter, dem ein hohes Vertrauen entgegengebracht wird.

Clarke (05:17):
Das klingt hervorragend. Es gibt also keinen internen Prozess, der besagt, dass Sie die Dienstleistung X anbieten, wenn es keine Nachfrage von Seiten der Kunden dafür gibt?

Hart (05:27):
Richtig. Und in den Gesprächen, an denen ich teilgenommen habe – ich bin jetzt seit etwas mehr als neun Jahren bei AWS – wird davon häufig abgeraten. Sie sagen etwas in einer Besprechung und jemand sagt: „Das ist wirklich aufschlussreich, Hart, wir schätzen diesen Standpunkt, aber was sagen Ihre Kunden?“ Und es ist nicht so, dass sie mein Fachwissen in Abrede stellen, aber sie erkennen, und ich erkenne, wir erkennen, dass wir die richtige Lösung für den Kunden finden, wenn wir genau zuhören, wenn wir dem Kunden helfen, über seine Lösung nachzudenken, indem wir ein wenig hin und her überlegen. Und dann filtern wir das durch die Linse der Expertise. Und wenn wir diese einzigartige Amazon-Lösung identifizieren, können wir sie an den Kunden weitergeben.

Clarke (06:09):
Ich kann mir also vorstellen, dass Sie in Ihrem Unternehmen ständig neue Berater einstellen müssen, um den Bedarf der Kunden zu decken. Worauf achten Sie beim nächsten großartigen AWS-Sicherheitsberater, den Sie einstellen? Ist es das tiefgreifende und umfassende Sicherheitswissen? Ist es die Denkweise eines Entwicklers, die sich auf die Problembehebung konzentriert? Nach welcher Art von Hintergrund und Talent suchen Sie wirklich, wenn Sie Mitarbeiter für ProServe einstellen?

Hart (06:39):
Es gibt einige Dinge, aber im Kern suchen wir nach technischer und kultureller Eignung. Kulturelle Eignung bedeutet die Übereinstimmung mit unseren Führungsprinzipien und die Fähigkeit, sie zu durchdenken und zu verinnerlichen und uns dabei zu helfen, mehr über das Führungsprinzip zu lernen. Und dann schauen wir uns auch die technische Eignung an: Was können sie besonders gut? Und was ich wirklich suche, ist fachliche Kompetenz in einem bestimmten Bereich und die nachgewiesene Fähigkeit, auch in ergänzenden Bereichen zu arbeiten.
 
Wenn ein Kandidat also ein Identitätsexperte ist, hat er dann auch gezeigt, dass er das in der Kryptographie anwenden kann? Oder kann er das in der Forensik oder in anderen natürlichen Bereichen anwenden? Denn wir stellen fest, dass wir Leute anwerben, die absolute Experten auf ihrem Gebiet sind. Sie haben eine enorme Tiefe, aber diese Tiefe drängt in die Breite. Denn jeder möchte, dass man ihm mit seinem Fachwissen bei der Lösung seines Problems hilft, das sich nur ein wenig von dem unterscheidet, was man tagtäglich tut. Und so suchen wir nach dieser Beweglichkeit, dieser Flexibilität, der Fähigkeit, um die Ecke zu schauen, der Fähigkeit, die eigenen Kenntnisse auf unkonventionelle Weise anzuwenden.

Und dann suchen wir unbedingt nach Entwicklern. Und wir bestehen darauf, dass alle, von meinem EA über unsere Delivery Consultants bis hin zu unseren Managern, technische Kenntnisse über die Plattform erwerben. Deshalb sind wir hier. Um unseren Kunden zu helfen. Und wenn Sie noch nie ein CAT-Image in S3 hochgeladen haben, oder wenn Sie noch nie eine EC2-Instance gestartet oder einen Code in Lambda implementiert haben, können Sie einem Kunden nicht glaubhaft erklären, wie er sein Problem lösen oder sein nächstes Geschäft auf eben diesen Services aufbauen kann. Daher ist die Fähigkeit, die Ärmel hochzukrempeln und wirklich mit der Technologie zu arbeiten und glaubwürdige Lösungen zu entwickeln, für uns sehr wichtig.

Clarke (11:55):
Sie treffen sich mit vielen C-Suite-Führungskräften Ihrer Kunden, und natürlich haben Sie Berater, die überall auf der Welt eingesetzt werden, um Kundenprobleme zu lösen und ihnen beim Aufbau verschiedener Fähigkeiten zu helfen. Gibt es bestimmte Trends, die Sie bei den Sicherheitsangeboten beobachten, die über AWS ProServe gebucht werden und bei denen die Kunden heutzutage Hilfe benötigen?

Hart (12:16):
Eines der Dinge, die wir wirklich sagen, und das geht wirklich auf die Anfänge des Unternehmens zurück, ist, dass die Kunden wirklich keine unsichere Infrastruktur kaufen wollen. Und natürlich bieten wir bei AWS ein sehr sicheres Paket von Services an. Die Kunden möchten wissen, wie sie sie am besten für ihre speziellen Geschäftsanforderungen einsetzen können. Und so sind heutzutage zum Beispiel Container der letzte Schrei. Alle sind dabei, Container zu implementieren, oder sie nutzen Container, um eine Migration zu beschleunigen und zu vereinfachen. Es gibt ein großes Interesse von Führungskräften an der Frage, wie sie das Containersicherheitsmodell richtig umsetzen können. Wie sie es schaffen, die operativen Sicherheitsaspekte wie Schwachstellenmanagement, Scanning, Container und Containersicherheit richtig einzusetzen. Ein weiterer Bereich ist die Reaktion auf Vorfälle. Leider sehen wir in den Nachrichten immer wieder Probleme im Zusammenhang mit Ransomware und anderen Arten von Angriffen.

Und auch hier wollen sie verstehen, welche Funktionen sie bei AWS nutzen können, um sich am besten gegen diese Art von heimtückischen Aktivitäten zu schützen. Und wie sie ihre Mitarbeiter am besten in die Lage versetzen können, in der Cloud effektiv zu arbeiten, da dies für sie vielleicht neu ist. Sie mögen On-Premises absolut hervorragend sein, aber jetzt haben sie eine andere Umgebung, mit der sie arbeiten müssen. Und so sehen wir ein großes Interesse an der Vorfallsreaktion. Und der andere Bereich ist die Sicherheitstechnik. Viele Kunden kommen zu uns und sagen, wir wollen so entwickeln wie Amazon. Wir sind mit Ihren Services vertraut. Wir sind der Meinung, dass Sie sehr gute Arbeit geleistet haben und die Art und Weise, wie Sie Ihre APIs exponieren und fit machen, wollen wir auch für unsere APIs nutzen. Wir möchten den gleichen Softwareentwicklungs-Lebenszyklus haben wie Sie. Und so haben wir vor kurzem eine Kundenentwicklungsabteilung entwickelt, die sich sehr stark auf die Sicherheit konzentriert. Und auch daran arbeiten wir mit unseren Kunden.

Clarke (17:19):
Kunden, die neu anfangen, können ProServe oder einen Partner nutzen, um herauszufinden, was ihre erste Landing Zone ist. Und natürlich haben wir heutzutage Control Tower und andere Möglichkeiten, dies zu tun. Welche Arten von Services oder sogar Dokumentationen bieten Sie an? Und das ist eine zweiteilige Frage: Erstens, wie kann ich als Kunde sicher sein, dass ich alles richtig und in Übereinstimmung mit den bewährten Methoden von AWS einrichte, und zweitens, selbst wenn ich all diese Dinge tue, könnte ich etwas übersehen und ein Problem haben, sei es ein Ransomware-Ereignis oder etwas Ähnliches. Gibt es eine Möglichkeit für ProServe, mir auch hier zu helfen?

Hart (18:04):
Ich bin froh, dass Sie gefragt haben. In beiden Teilen Ihrer Frage stecken also einige Dinge. Und zum ersten Teil der Frage: Ich stelle immer gerne sicher, dass unsere Kunden mit einigen unserer Top-Tools, ich sage mal Inspektionstools, und mit Well-Architected vertraut sind. Es gibt eine Reihe von Anleitungen, Sie müssen sich als Trusted Advisor wohlfühlen, Sie müssen sich mit Security Hub und Guard Duty wohlfühlen. Das sind die Services, die Ihnen helfen zu verstehen, wo Sie stehen. Und ob Sie diese Grundlagen implementiert haben und ob sie so funktionieren, wie Sie es erwarten würden. Und dann können wir von einem breiteren Bildungs- und Planungsstandpunkt aus Services wie APG, AWS Prescriptive Guidance, betrachten. Das ist eine wirklich phänomenale Fundgrube an bewährten Methoden und Lektionen, die wir von Amazon und unseren Partnern gelernt haben, wie wir Dinge angehen.
 
Und dann haben wir vor kurzem eine Sicherheitsreferenzarchitektur auf den Weg gebracht, die sowohl in Worten als auch in Code sehr präskriptive Leitlinien enthält. Es gibt also einen Text, in dem wir eine Reihe von Anwendungsfällen und Architekturprinzipien durchgehen. Was für mich bei der Entwicklung dieser Sicherheitsreferenzarchitektur wichtig war, ist, dass es sich nicht um eine fiktive Architektur handelt. Es ist wie eine echte Architekturzeichnung, die Ihnen zeigt, wie die AWS-Services in Ihrem Konto unter Sicherheitsaspekten funktionieren. Es geht also nicht nur um vages White Boarding und Armwedeln, sondern um die Physik der Sicherheit auf dem Papier und dann um die tatsächliche Umsetzung. Zu jedem Anwendungsfall in der Anleitung zur Sicherheitsreferenzarchitektur erhalten Sie also Quellcode, der Ihnen zeigt, wie Sie ihn in einer echten Referenzimplementierung umsetzen können. Und das ist etwas, das wir mit der Zeit weiter ausbauen werden.

Wir werden verschiedene Standpunkte hinzufügen. Wir haben bereits phänomenales Feedback von Kunden erhalten, die es nicht nur gerne benutzen, sondern auch sagen: „Was ist mit diesem Anwendungsfall? Was ist mit dem Anwendungsfall, den ich habe? Und so werden wir auch das immer weiter verbessern. Und dann haben Sie auch nach der Reaktion auf Zwischenfälle gefragt. Vor kurzem haben wir bei Reinforced über die Fähigkeit unseres Teams zur Reaktion auf Kundenvorfälle gesprochen. Das ist in ProServe untergebracht. Und das ist wirklich eine Gelegenheit für uns, zwei Dinge zu tun. Erstens, und das ist das Wichtigste, helfen Sie Ihren Kunden, um die Ecke zu schauen und vorauszuplanen. So können wir verhindern, dass es zu Vorfällen kommt. Aber wenn doch etwas passiert, wird aus einem „Holperer in der Nacht“ ein „Alles in Ordnung“. Also gut. Und dann gibt es noch die Möglichkeit, unser Supportsystem zu nutzen. Wenn Sie ein Sicherheitsereignis haben und erweiterte oder eskalierte Hilfe innerhalb von AWS benötigen, haben wir dieses Kundenvorfallreaktionsteam, das zu meiner Organisation gehört.

Und seine Mitglieder leben wirklich dafür, Kunden aus der Patsche zu helfen. Sie bieten also viel praktische Unterstützung und viel Anleitung bei der Lösung von Vorfällen. Und in den meisten Fällen sind die Kunden gut darauf eingestellt, auf Vorfälle zu reagieren und sie zu verwalten. Ich denke, für sie ist es oft die Neuheit. Vielleicht haben sie es noch nie in der Cloud getan, oder es liegt an der Neuartigkeit des Angriffs. Was sie also wirklich suchen, sind externe Experten. Die eine andere Sichtweise bieten, Recht geben können. Und als Ansprechpartner dienen können.