Skalierung der Compliance- und Sicherheitsgarantie bei AWS

Clarke: (00:05)
Chad, vielen Dank, dass Sie heute bei mir sind.

Chad: (00:07)
Es ist toll, hier zu sein.

Clarke: (00:09)
Könnten Sie bitte ein wenig über Ihren Hintergrund erzählen und wie Sie zu AWS gekommen sind?

Chad: (00:14)
Ja. Ich bin seit etwa 11 Jahren bei AWS und beschäftige mich mit Sicherheit und Compliance, seit ich 2010 angefangen habe. Ich kam von EY, wo wir eine Menge Sicherheitsberatung und Beratung zur Geschäftskontinuität gemacht haben. Dieser Hintergrund hat mir bei meiner heutigen Tätigkeit sehr geholfen, nämlich bei der Einhaltung von Sicherheitsvorschriften für AWS.

Clarke: (00:43)
Was sind Ihre Hauptaufgaben als Head of Security Assurance bei AWS?

Chad: (00:49)
Unser primäres Ziel und unsere Mission ist es, unseren Kunden dabei zu helfen, regulierte und wirklich sensible Daten in die Cloud zu verlagern, und das bringt eine Menge Dinge mit sich. Man muss intern nachweisen können, dass man eine sichere Umgebung hat. Außerdem müssen Sie AWS auditieren und sicherstellen, dass Ihr Anbieter AWS sicher ist. Und hier kommen wir ins Spiel, indem wir durch Audits und Zertifizierungen und andere direkte Audits nachweisen, dass die Dinge, die wir im Hintergrund tun, die Dinge, die die Kunden nicht sehen können, sicher und konform mit all den verschiedenen Arten von Vorschriften und Zertifizierungsstandards sind, an die wir uns halten.

Clarke: (01:35)
Sie haben also interne Teams, interne Compliance-Teams, die dafür sorgen, dass die AWS-Services einen bestimmten Standard erfüllen. Ich nehme an, Sie arbeiten auch mit externen Auditoren und Aufsichtsbehörden zusammen?

Chad: (01:46)
Ja. Ja, das stimmt. Der Großteil unserer Arbeit bezieht sich also auf die externe Zusammenarbeit mit externen Auditoren, Aufsichtsbehörden, Prüfern von Aufsichtsbehörden und Kunden, die ebenfalls Audits bei AWS durchführen und ihre eigene Due-Diligence-Prüfung bei uns durchführen.

Clarke: (02:03)
Ok. AWS ist dafür bekannt, dass es das größte Startup-Unternehmen ist, das es gibt. Und wir sind sehr, sehr schnell, und wir bringen Produkte und Funktionen für Kunden heraus, sobald sie danach fragen oder so schnell wie möglich danach. Ich stelle mir vor, dass Sie in Ihrer Welt auf diese und jene Kontrolle achten, und dass alles perfekt sein muss. Wie schaffen wir es, und speziell Ihr Team, diesem Anspruch gerecht zu werden, schnell voranzukommen, aber gleichzeitig die Compliance- und Sicherheitsziele zu erfüllen?

Chad: (02:35)
Das ist eine großartige Frage, mit der wir ständig konfrontiert werden. Ich meine, wir wollen auf jeden Fall die Kultur des schnellen Handelns, der schnellen Iteration und der Freigabe großartiger Produkte für die Kunden beibehalten.

Chad: (02:53)
Das steht manchmal im Widerspruch zu dem, was wir zu tun versuchen, nämlich dafür zu sorgen, dass die Prozesse dokumentiert sind, dass die Kontrollen dokumentiert sind und dass wir über alle Kontrollen verfügen, die für große, umfassende Compliance-Frameworks wie FedRamp oder ISO oder andere erforderlich sind, bei denen ein umfassendes Kontroll-Framework und Prozesse erforderlich sind, die den Erwartungen der Branche an diese bewährten Methoden entsprechen. Das ist manchmal eine Herausforderung, wenn das, was wir tun, nicht mit dem übereinstimmt, was andere Unternehmen traditionell tun.

Chad: (03:31)
Aber das Tolle daran, hier zu arbeiten und Teil dieses Teams zu sein, ist, dass man sich über Sicherheit keine Gedanken mehr machen muss. Und die Realität ist, wenn man die Sicherheit richtig hinbekommt und in die Sicherheit investiert und alle am gleichen Strang ziehen, ist der Rest der Compliance-Sachen ziemlich unkompliziert. Ich wollte sagen einfach, aber ich meinte, dass es ziemlich unkompliziert ist, d.h. wir können dokumentieren, wir können dem nachgehen, was jeder tut, und die Dokumentation formalisieren, die Prozesse so dokumentieren, dass sie bei den Auditoren und den Aufsichtsbehörden Anklang finden.

Chad: (04:10) 
Manchmal gibt es einige Dinge, die wir tun und verbessern müssen. Und im Laufe der Zeit, wenn die Auditoren tiefer in unsere Arbeit eindringen, helfen wir auch, die Dinge zu verbessern. Aber in erster Linie, weil wir die Sicherheit intern so gut im Griff haben, sowohl aus taktischer Sicht als auch aus der Perspektive des Führungssponsorings, ist unsere Arbeit wirklich ziemlich einfach.

Chad: (04:37)
Aber ja, unser Team tut auch eine Menge, um unseren Serviceteams die Last der Compliance-Prozesse und der Audits abzunehmen. Wir tun das, so gut wir können. Und je mehr wir das tun und je besser wir darin werden, desto mehr können wir skalieren, desto mehr dieser Audits können wir für mehr Kunden und mehr GOs durchführen.

Clarke: (05:00)
Ich bin froh, dass Sie diesen Prozess angesprochen haben. Viele Kunden haben damit zu kämpfen. Sie haben Anwendungen, die sie ihren Kunden zur Verfügung stellen, und müssen sie auditieren. Manchmal wird die Anwendung geschrieben, in Betrieb genommen, und dann schaut sich das Audit-Team sie an und stellt sicher, dass sie den jeweiligen Standards entspricht. Ich könnte mir vorstellen, dass es bei der Geschwindigkeit und dem Umfang, in dem wir arbeiten, einige automatisierte Artefakte gibt, die aus dem Entwicklungsprozess selbst innerhalb von AWS stammen und allen helfen.

Chad: (05:33)
Ja. Ich meine, das ist ein weiteres Problem, mit dem wir bei der Skalierung konfrontiert sind: Wie viel von den Beweisen können wir sammeln, und wie viel müssen wir von den Entwicklungsteams verlangen, um zu sagen: Wir können diese Beweise nicht selbst beschaffen. Ihr müsst den Nachweis für uns erbringen oder für uns mit den Auditoren sprechen.

Chad: (05:58)
Je besser wir also in der Lage sind, Dienstleistungen unserer internen Entwickler für unsere Kunden zu erbringen, wie z. B. die Dokumentation, das Sammeln von Beweisen, die Aufbereitung dessen, was sie tun, in der Art und Weise, wie die Auditoren es sehen wollen, desto besser können wir skalieren, desto mehr können wir unsere Compliance-Frameworks auf andere Arten von Zertifizierungen, andere Arten von Kunden und andere GEOs ausweiten.

Clarke: (06:33)
Haben Sie also Talente in Ihren Teams, die tatsächlich Code schreiben, um Beweise zu sammeln? Und entwickeln Sie Ihre eigenen Programme dafür?

Chad: (06:40)
Ja, das ist eine gute Frage. Und das ist eine Frage, die ich oft von Kunden gestellt bekomme, nämlich wie wir das Team in dieser Hinsicht strukturieren und wie technisch wir sind.

Chad: (06:50)
Wissen Sie, wir haben ein Team. Ich habe ein Ingenieurteam, das sich damit beschäftigt. Das ist eine Art Kontrollautomatisierungsteam und ein Workflow-Team, das sich um Dinge wie die Befähigung zur Beweissammlung und Ähnliches kümmert. Es ist wirklich wichtig, dass wir dieses Team haben. Es ist wirklich unverzichtbar, denn wir haben es in unserer Organisation mit einer Reihe von Entwicklern zu tun und müssen in der Lage sein, ihre Sprache zu sprechen. Wir müssen nicht nur in der Lage sein, ihre Sprache zu sprechen, sondern auch wissen, welche Tools sie verwenden. Wir müssen verstehen, wie sie Code entwickeln, wie sie Code bereitstellen, wie sie diesen Code sichern, was sie tun müssen, um ihre Dienste zu starten, was sie tun müssen, um ihre Dienste in Betrieb zu nehmen, Updates und dergleichen, um neue Dienste anzubieten. Wir müssen das so gut verstehen, dass wir Tools entwickeln können, die sich in ihre Arbeitsweise einfügen.

Chad: (07:45)
Und ich denke, das ist ein wichtiger Schlüssel, denn oft sieht man ein Compliance-Team oder -Programm ohne dieses Verständnis, und dann werden einfach ein paar Anforderungen mit dem Compliance-Hammer an die Wand geworfen: Hey, wenn wir das nicht tun, bekommen wir Ärger. Und das ist wirklich kein guter Weg, um Skalierung zu ermöglichen. Das ist keine Skalierung. Man kann es auf diese Weise machen, aber es ist keine Skalierung. Der einzige Weg zur Skalierung besteht darin, sich wirklich in die Arbeitsweise der Unternehmen einzufügen und sie in die Lage zu versetzen, ihre Arbeit so zu erledigen, wie sie es normalerweise tun, ohne jegliche Einmischung, z. B. in Bezug auf die Einhaltung von Vorschriften. Wenn wir dabei wirklich erfolgreich sind, dann wird daraus ein sehr, sehr skalierbares Compliance-Programm.

Clarke: (08:39)
Das klingt viel kooperativer als einige der Geschichten, die ich höre, in denen die Leute die Compliance-Leute ganz meiden. Ich kann mir vorstellen, dass die Leute Ihnen nicht in der Kaffeestube aus dem Weg gehen oder so etwas.

Chad: (08:49)
Und das ist ein guter Punkt. Es kommt oft vor, dass die technischen Leiter zu mir kommen, um besser zu verstehen, was erforderlich ist und wie sie mich und mein Team unterstützen können, weil sie verstehen, dass dieser Teil des Geschäfts, der Aspekt der Compliance für uns, AWS, absolut wichtig ist, damit unsere Kunden uns für diese regulierten Arbeitslasten nutzen können. Andernfalls können sie es einfach nicht tun, und es gibt einen großen Teil unserer Kundenbasis, den wir nicht bedienen könnten, wenn wir das nicht tun würden. Sie verstehen das und wenden sich oft an mich, um eine Leitung besser zu koordinieren und Ressourcen und andere Dinge zur Unterstützung ihres Geschäfts zu erhalten.

Clarke: (09:34)
Chad, Sie treffen sich mit vielen Kunden, Aufsichtsbehörden und Auditoren. Welche Trends sehen Sie bei diesen Gruppen in Bezug auf die Art und Weise, wie sie Cloud-Service-Anbieter betrachten und wie sie sie prüfen?

Chad: (09:45)
Vor fünf Jahren dachte ich, dass wir bis 2020 eine Situation haben werden, in der die Auditoren Beweise austauschen und wir nicht immer wieder nach Beweisen fragen müssen. Nun, das ist überhaupt nicht eingetreten. Wenn überhaupt, dann ziehen sie sich zurück und sagen: Wissen Sie was, unsere Beweise sind unsere eigenen, wir müssen uns Ihr Umfeld subjektiv und objektiv ansehen. Wir müssen in der Lage sein, unsere eigenen Schlussfolgerungen zu ziehen. Und wenn Sie Beweise für jemand anderen gesammelt haben, werden wir das nicht akzeptieren. Wir müssen unsere eigenen Tests durchführen und unsere eigenen Proben nehmen. Und das ist leider der Fall. Wir müssen also sehr, sehr gut darin werden, Beweise zu generieren, und unsere Fähigkeit, Beweise zu generieren, hat sich dem angepasst, aber wir sind immer noch ... Ich meine, wir können immer noch besser werden, denn das ist ein schwieriger Teil der Arbeit.

Chad: (10:35)
Aber insgesamt würde ich sagen, dass die Leute klüger werden. Sie stellen die richtigen Fragen. Sie stellen tiefer gehende Fragen. Und wir werden auf Grund all unserer Erfahrungen, die wir mit den Auditoren der Kunden und den regulären und externen Auditoren gesammelt haben, immer besser in der Beantwortung dieser Fragen.

Clarke: (10:53) Ich könnte mir vorstellen, genau wie Sie sagten, dass die Leute... Die Cloud ist keine Neuheit mehr, richtig? Sie wird überall und von jedem genutzt, daher haben die Leute viel mehr Erfahrung damit, so dass sie wissen, welche Fragen sie stellen müssen. Ich weiß, dass wir einige kundenorientierte Tools wie AWS Artifact haben, mit denen die Kunden einen Blick auf unsere Bescheinigungen von Dritten werfen können. Gibt es noch etwas, das Sie den Aufsichtsbehörden zur Verfügung stellen? Sie wissen, dass sie auch Kunden sein können oder auch nicht, um sie zufrieden zu stellen?

Chad: (11:23)
Ja, das stimmt.

Clarke: (11:24)
Was unsere Kontrollen angeht?

Chad: (11:26)
Nun, ich würde sagen, dass bei Kunden, die AWS nutzen und ihre Lieferkette validieren, diese Art von Audits ganz anders ablaufen, weil wir die Nutzung von AWS mit dem in Verbindung bringen müssen, was wir hinter den Kulissen tun und was sie nicht beobachten können. Und dabei helfen wir ihnen. Und es ist eine direktere Konversation als mit einer Aufsichtsbehörde, die AWS nicht nutzt. Sie kommen herein und stellen Fragen dazu, wie wir ihrer Meinung nach mit Risiken umgehen sollten und Ähnliches. Es ist ein bisschen schwieriger, als wenn wir keinen Anwendungskontext haben, in den wir es einordnen können, richtig?

Chad: (12:10)
Wenn Kunden uns also fragen, ist das eine wirklich tolle Partnerschaft. Sie erzählen uns, wie sie AWS nutzen. Sie erklären uns im Grunde, wie sie ihre Nutzung und die Lieferkette ihrer Nutzung gegenüber den Aufsichtsbehörden artikulieren müssen. So können wir ihnen helfen und ihnen die richtige Richtung weisen. Und das ist eine sehr gute und positive Partnerschaft.

Chad: (12:35)
Die Aufsichtsbehörden sind einfach ein bisschen breiter aufgestellt und stellen Fragen, die nicht in diesem Kontext stehen. Es ist also einfach eine andere Herausforderung. Aber wir sind immer noch... Ich glaube, eine der Erkenntnisse, die wir in den letzten Jahren gewonnen haben, ist, dass wir unsere Auditoren, unsere Aufsichtsbehörden und die Auditoren unserer Kunden wie echte Partner behandeln müssen. Und das ist etwas, was, wie Sie vorhin in diesem Interview sagten, viele Kunden, oder viele Leute im Allgemeinen, einfach nicht mit der Einhaltung von Vorschriften zu tun haben wollen. Die Aufsichtsbehörden sind hier. Oh nein, lasst uns die Türen schließen. Alle schweigen und sagen nichts, verstehen Sie? Und das schafft wirklich eine Art Barriere zwischen den beiden Organisationen. Und ich glaube, diese Barrieren gibt es überall, vor allem bei großen Banken und ihren Aufsichtsbehörden oder bei Unternehmen im Gesundheitswesen und ihren Aufsichtsbehörden.

Chad: (13:26)
Es gibt manchmal... der Grad der Partnerschaft variiert, aber wir sehen bei uns und unseren Kunden, dass diejenigen, die eine echte Partnerschaft mit den Prüfern und Auditoren haben, es so machen, dass sie sich wirklich gegenseitig helfen können, weil Prüfer und Auditoren auch ihre Kunden sind, auch wenn sie AWS nicht benutzen, sie sind Kunden, sie müssen es verstehen und sie müssen einige Dinge erreichen. Und je proaktiver wir ihnen dabei helfen, das zu erreichen, was sie brauchen, desto schneller geht es und desto besser ist die Erfahrung. Wir haben also die Lektion gelernt, dass ein echter Partner zu sein und sich wirklich positiv auf sie einzulassen wirklich der beste Weg und wahrscheinlich der einzige Weg ist, um dies in Zukunft zu skalieren.

Clarke: (14:12) 
In diesem Sinne, welche Art von Mechanismen, Schulungsmaterialien und Lehrmaterial stellen Sie den Aufsichtsbehörden und externen Auditoren zur Verfügung, damit sie die Cloud besser verstehen und vielleicht auch besser prüfen können?

Chad: (14:28)
Ich glaube, die Zeiten sind vorbei, in denen sie reinkommen und nichts über die Cloud wissen. Ich glaube, 2012 war der Geschäftsführer von S3 in einem Audit-Meeting und die Auditoren fragten, was ist S3? Später nahm er mich beiseite und sagte: "Warum stellen sie mir diese sehr grundlegenden Fragen? Und so sind diese Tage vorbei.

Chad: (14:54)
Ich meine, es gibt einfach so viel Material da draußen. Wir haben nicht nur die Cloud-Akademie, also Materialien, die wir entwickelt haben, das sind sowohl Cloud-unabhängige Schulungen als auch AWS-spezifische Schulungen. Es gibt tonnenweise besseres Training und Wissen und Verständnis für die Cloud da draußen. Wir stehen also nicht mehr am Anfang. Wir sind schon bei Platz zwei oder vielleicht sogar bei Platz drei, wenn jemand kommt.

Chad: (15:21) 
Wir müssen also dabei helfen, die Prüfer und Auditoren auf den neuesten Stand zu bringen, und wir haben internes Material zur Verfügung. Wir haben etwas, das sich Digital Audit Symposium nennt, wo es eine Menge von Berichten und Kontrollberichten und andere Dinge gibt, sowie Präsentationen von den Eigentümern der Kontrollen und den Geschäftsführern, die darüber sprechen, wie sie ihren Dienst, auch in Bezug auf die Kontrollen, betreiben. Wir haben also viel von diesem Material zur Verfügung, aber es reicht nur bis zu einem gewissen Punkt, denn wie ich schon sagte, wird derjenige, der das Audit durchführt, seine eigenen Fragen stellen und tiefer in die Materie eindringen, und wir müssen diese spontan, in einer Art Interview, beantworten. Und das ist einfach der Standard in der Branche. Aber wir werden immer besser, da wir immer mehr Berichte schreiben, denn immer wenn uns eine Frage zu einem sehr spezifischen und tiefgründigen Thema gestellt wird, sagen wir, dass wir einen Bericht darüber schreiben werden. Und dann haben wir für die nächste Person, die uns fragt, eine Erzählung parat, die sie dann leichter lesen und verstehen kann.

Clarke: (16:25)
Chad, vielen Dank, dass Sie heute bei mir sind.

Chad: (16:27) 
Es ist toll, hier zu sein. Danke, Clarke.