Perspektive „Sicherheit“: Compliance und Bestätigung der Sicherheit

Sicherheits-Governance – Entwicklung, Verwaltung und effektive Kommunikation von Sicherheitsrollen, Verantwortlichkeiten, Rechenschaftspflichten, Richtlinien, Prozesse und Verfahren. Die Sicherstellung klarer Rechenschaftspflicht-Linien ist für die Effektivität Ihres Sicherheitsprogramms von entscheidender Bedeutung. Wenn Sie Ihre Komponenten, Sicherheitsrisiken und die Compliance-Anforderungen, die für Ihre Branche und/oder Organisation gelten, verstehen, können Sie Ihre Bemühungen im Bereich Sicherheit besser priorisieren. Wenn Sie Ihren Teams eine fortlaufende Anleitung und Beratung bereitstellen, trägt dies dazu bei, die Transformation zu beschleunigen, da die Teams schneller vorankommen können.

Informieren Sie sich über Ihre Verantwortlichkeiten bezüglich der Sicherheit in der Cloud. Erfassen, kategorisieren und priorisieren Sie relevante Stakeholder, Komponenten und Prozesse zum Informationsaustausch. Identifizieren Sie Gesetze, Regeln, Vorschriften und Standards/Frameworks, die für Ihre Branche und/oder Organisation gelten. Führen Sie eine jährliche Risikobewertung für Ihre Organisation durch. Risikobewertungen können dabei helfen, die Wahrscheinlichkeit und die Auswirkungen identifizierter Risiken und/oder Schwachstellen zu ermitteln, die sich auf Ihre Organisation auswirken. Weisen Sie identifizierten Sicherheitsrollen und -zuständigkeiten ausreichend Ressourcen zu. Entwickeln Sie Sicherheitsrichtlinien, Prozesse, Verfahren und Kontrollen im Einklang mit Ihren Compliance-Anforderungen und der Risikotoleranz Ihrer Organisation. Aktualisieren Sie diese kontinuierlich basierend auf den sich ändernden Risiken und Anforderungen.

Gewährleisten von Sicherheit – Die Effektivität Ihrer Sicherheits- und Datenschutzprogramme kontinuierlich überwachen, bewerten und verwalten. Ihre Mitarbeiter und Kunden müssen darauf vertrauen können, dass Ihre Organisation mit den implementierten Kontrollen die gesetzlichen Anforderungen erfüllen und Sicherheits- sowie Datenschutzrisiken im Einklang mit Ihren Geschäftszielen und Ihrer Risikotoleranz effektiv und effizient verwalten kann.

Dokumentieren Sie die Kontrollen in einem umfassenden Kontroll-Framework und richten Sie nachweisbare Sicherheits- und Datenschutzkontrollen ein, die diesen Vorgaben entsprechen. Sehen Sie sich die Prüfungsberichte, Compliance-Zertifizierungen oder Bescheinigungen an, die Ihr Cloud-Anbieter erhalten hat, um zu verstehen, über welche Kontrollmaßnahmen er verfügt, wie diese Kontrollen validiert wurden und ob sie in Ihrer erweiterten IT-Umgebung effektiv funktionieren.

Überwachen und bewerten Sie Ihre Umgebung kontinuierlich, um die Betriebseffektivität Ihrer Kontrollen zu überprüfen und die Einhaltung von Vorschriften und Industriestandards nachzuweisen. Überprüfen Sie Sicherheitsrichtlinien, Prozesse, Verfahren, Kontrollen und Datensätze und befragen Sie bei Bedarf wichtige Mitarbeiter.

Identitäts- und Berechtigungsmanagement – Identitäten und Berechtigungen in großem Maßstab verwalten. Sie können Identitäten in AWS erstellen oder Ihre Identitätsquelle verbinden und Benutzern dann die erforderlichen Berechtigungen erteilen, damit sie sich anmelden, auf AWS-Ressourcen und integrierte Anwendungen zugreifen, diese bereitstellen oder orchestrieren können. Ein effektives Identity and Access Management hilft zu überprüfen, ob die richtigen Personen und Maschinen unter den entsprechenden Bedingungen Zugriff auf die passenden Ressourcen haben.

Das AWS Well-Architected-Framework beschreibt relevante Konzepte, Konzeptionsprinzipien und bewährte Architektur-Methoden zur Verwaltung von Identitäten. Dazu gehören: Verwendung eines zentralisierten Identitätsanbieters, Nutzung von Benutzergruppen und Attributen für einen differenzierten skalierten Zugriff und temporäre Anmeldeinformationen sowie die Verwendung sicherer Anmeldemechanismen wie die Multi-Faktor-Authentifizierung (MFA). Für die Kontrolle des Zugriffs auf AWS und Ihre Workloads durch Personen- und Maschinenidentitäten sollten Sie Berechtigungen für bestimmte Service-Aktionen für entsprechende Ressourcen unter spezifischen Bedingungen festlegen. Verwenden Sie das Prinzip der geringsten Berechtigung, legen Sie Berechtigungsgrenzen fest und nutzen Sie Service-Kontrollrichtlinien, damit die entsprechenden Entitys im Zuge des Wachstums Ihrer Umgebung und Benutzerbasis auf die richtigen Ressourcen zugreifen können. Erteilen Sie Berechtigungen basierend auf Attributen (ABAC), damit Ihre Richtlinien skaliert werden können, und überprüfen Sie kontinuierlich, ob Ihre Richtlinien den Schutz bieten, den Sie benötigen.

Bedrohungserkennung – Potenzielle Sicherheitsfehler, Bedrohungen oder unerwartetes Verhalten verstehen und identifizieren. Ein besseres Verständnis der Sicherheitsbedrohungen ermöglicht es Ihnen, Schutzmaßnahmen zu priorisieren. Durch eine effektive Bedrohungserkennung können Sie schneller auf Bedrohungen reagieren und aus Sicherheitsereignissen lernen. Vereinbaren Sie Ziele und eine allgemeine Methodik hinsichtlich Taktik, Produktion und strategischer Intelligenz. Sammeln Sie relevante Datenquellen, verarbeiten und analysieren Sie Daten und verbreiten und operationalisieren Sie Erkenntnisse.

Stellen Sie eine umfassende Überwachung in der Umgebung bereit, um wichtige Informationen zu sammeln, sowie auch an Ad-hoc-Standorten, um bestimmte Arten von Transaktionen nachzuverfolgen. Korrelieren Sie Überwachungsdaten aus mehreren Ereignisquellen, einschließlich Netzwerkdatenverkehr, Betriebssysteme, Anwendungen, Datenbanken und Endpunktgeräte, um einen robuste Sicherheitsstatus zu gewährleisten und die Sichtbarkeit zu verbessern. Erwägen Sie die Nutzung von Deception-Technologien (z. B.Honeypots), um Einblick in die Verhaltensmuster unbefugter Benutzer zu erhalten.

Verwaltung von Schwachstellen – Schwachstellen kontinuierlich identifizieren, klassifizieren, beheben und mindern. Schwachstellen können sich auch durch Änderungen an bestehenden Systemen oder durch Hinzufügen neuer Systeme ergeben. Suchen Sie regelmäßig nach Schwachstellen, um sich vor neuen Bedrohungen zu schützen. Setzen Sie Schwachstellenscanner und Endpunkt-Kundendienstmitarbeiter ein, um Systeme mit bekannten Schwachstellen mit diesen zu verknüpfen. Priorisieren Sie Abhilfemaßnahmen basierend auf dem Schwachstellenrisiko. Wenden Sie Abhilfemaßnahmen an und erstellen Sie Berichte für die relevanten Stakeholder. Nutzen Sie Red Teaming und Penetrationstests, um Schwachstellen in Ihrer Systemarchitektur zu identifizieren. Holen Sie dafür bei Bedarf zunächst die Autorisierung Ihres Cloud-Anbieters ein.

Infrastruktur – Validieren, dass Systeme und Services innerhalb Ihres Workloads vor unbeabsichtigten und nicht autorisierten Zugriffen sowie potenziellen Schwachstellen geschützt sind. Durch den Schutz Ihrer Infrastruktur vor unbeabsichtigtem und unbefugtem Zugriff sowie vor potenziellen Schwachstellen können Sie Ihren Sicherheitsstatus in der Cloud verbessern. Nutzen Sie die Defense in Depth, um eine Reihe von Abwehrmechanismen in verschiedenen Ebenen anzuordnen, die auf den Schutz Ihrer Daten und Systeme abzielen.

Erstellen Sie Netzwerk-Ebenen und platzieren Sie Workloads ohne Anforderungen für den Internetzugang in privaten Subnetzen. Verwenden Sie Sicherheitsgruppen, Netzwerk-Zugriffskontrolllisten und Netzwerk-Firewalls, um den Datenverkehr zu steuern. Wenden Sie Zero Trust auf Ihre Systeme und Daten an (ihrem Wert entsprechend). Nutzen Sie Virtual Private Cloud (VPC)-Endpunkte für die private Verbindung zu Cloud-Ressourcen. Untersuchen und filtern Sie Ihren Datenverkehr auf jeder Ebene, z. B. über eine Webanwendungs-Firewall und/oder eine Netzwerk-Firewall. Verwenden Sie gehärtete Betriebssystem-Images und sichern Sie physisch alle Hybrid-Cloud-Infrastrukturen, sowohl On-Premises als auch am Edge.

Datenschutz –Transparenz und Kontrolle über Daten bewahren sowie darüber, wie in Ihrer Organisation auf Daten zugegriffen wird und wie diese verwendet werden. Der Schutz Ihrer Daten vor unbeabsichtigtem und unbefugtem Zugriff sowie vor potenziellen Schwachstellen ist eines der Hauptziele Ihres Sicherheitsprogramms. Klassifizieren Sie Ihre Daten im Hinblick auf Kritikalität und Sensibilität (z. B. persönlich identifizierbare Informationen), um die Bestimmung geeigneter Schutz- und Aufbewahrungskontrollen zu vereinfachen. Definieren Sie Datenschutzkontrollen und Richtlinien für die Verwaltung des Lebenszyklus. Verschlüsseln Sie Data-at-Rest und Daten im Transit. Speichern Sie sensible Daten in separaten Konten. Verwenden Sie Machine Learning zum automatischen Erkennen, Klassifizieren und Schützen von sensiblen Daten.

Anwendungssicherheit –Schwachstellen während des Softwareentwicklungsprozesses erkennen und beheben. Sie sparen Zeit, Mühe und Kosten, wenn Sie während der Codierungsphase einer Anwendung Sicherheitslücken finden und beheben. Zudem können Sie sich so auf Ihren Sicherheitsstatus verlassen, wenn Sie mit der Produktion beginnen. Untersuchen Sie Ihren Code auf Schwachstellen und Abhängigkeiten und beheben Sie diese, um sich gegen neue Bedrohungen zu schützen. Minimieren Sie den Bedarf an menschlichem Eingreifen, indem Sie sicherheitsrelevante Aufgaben in Ihren Entwicklungs- und Betriebsprozessen und Tools automatisieren. Verwenden Sie statische Codeanalysetools, um allgemeine Sicherheitsprobleme zu identifizieren.

Reaktion auf Vorfälle – Potenzielle Schäden reduzieren, indem Sie effektiv auf Sicherheitsvorfälle reagieren. Schnelle, effektive und konsistente Reaktionen auf Sicherheitsvorfälle helfen Ihnen, potenzielle Schäden zu mindern. Informieren Sie Ihre Mitarbeiter für Sicherheitsvorgänge und Vorfallreaktionen über Cloud-Technologien und wie Ihre Organisation diese nutzen möchte. Entwickeln Sie Runbooks und erstellen Sie eine Bibliothek mit Mechanismen zur Reaktion auf Vorfälle. Beziehen Sie wichtige Stakeholder mit ein, um ein besseres Verständnis der Auswirkungen Ihrer Entscheidungen auf die gesamte Organisation zu erhalten.

Simulieren Sie Sicherheitsereignisse und üben Sie die Reaktion auf Vorfälle durch theoretische und Ernstfall-Übungen. Iterieren Sie das Ergebnis Ihrer Simulationen, um das Ergebnis Ihrer Reaktion zu verbessern, die Zeit bis zur Bewertung zu verkürzen und das Risiko weiter zu reduzieren. Führen Sie Analysen nach Vorfällen durch, um aus Sicherheitsvorfällen zu lernen, indem Sie einen standardisierten Mechanismus zur Identifizierung und Behebung von Ursachen nutzen.