Modell der geteilten Verantwortlichkeit - Amazon Web Services – Risiko und Compliance

Modell der geteilten Verantwortlichkeit

Sicherheit und Compliance stellen eine geteilte Verantwortlichkeit zwischen AWS und dem Kunden dar. Abhängig von den bereitgestellten Diensten kann dieses gemeinsam genutzte Modell dazu beitragen, die betriebliche Belastung des Kunden zu verringern. AWS betreibt, verwaltet und steuert die Komponenten des Hostbetriebssystems und der Virtualisierungsebene und sorgt zudem für die physische Sicherheit der Standorte, an denen die Services betrieben werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe.

Die Auswahl der Services durch den Kunden muss gut überlegt sein, da die Zuständigkeiten des Kunden von den genutzten Services, deren Integration in ihre IT-Umgebung sowie den geltenden Gesetzen und Vorschriften abhängen. Durch Nutzung von Technologien wie Host-basierte Firewalls, Host-basierte Erkennung und Verhinderung des unbefugten Eindringens in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die Sicherheit erhöhen und/oder ihre strengere Compliance-Anforderungen erfüllen.

Dieses Modell der geteilten Zuständigkeiten sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die die branchenspezifischen Anforderungen für die Zertifizierung erfüllen.

Diagramm zeigt den AWS-Kunden und die geteilte Verantwortung von AWS

Das Modell der geteilten Verantwortung von Kunde/AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie sich AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden die Verwaltung, der Betrieb und die Überprüfung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden helfen, indem es die Kontrollen im Zusammenhang mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verwaltet. Kunden können dann die ihnen zur Verfügung stehende AWS-Kontroll- und -Compliance-Dokumentation verwenden, um ggf. ihre Verfahren zur Kontrollbewertung und -überprüfung auszuführen. Beispiele dafür, wie die Verantwortung für bestimmte Kontrollen zwischen AWS und seinen Kunden geteilt wird, finden Sie im AWS-Modell der geteilten Verantwortung.