AWS SICHERHEIT UND COMPLIANCE KURZANLEITUNG

2017 1

2

Übersicht

1

Programme

3

Branchen

7

Übergreifende Verantwortlichkeit

9



AWS – Compliance der Cloud



Kunden – Compliance in der Cloud

Ihre Inhalte

13

Speicherort Ihrer Inhalte

Geschäftskontinuität Sicherheit

19

Ressourcen

21



Partner und Marketplace

Schulung

ÜBERSICHT

4

ÜBERSICHT Wenn Sie Ihre regulierten Daten in die Cloud migrieren, erhalten Sie Zugriff auf unsere zahlreichen Funktionen, die eine Kontrolle ermöglichen und eine höhere Sicherheitsstufe nach Maß bieten. Eine solche cloudbasierte Governance hat den Vorteil geringerer Einstiegskosten, einfacherer Bedienung und höherer Agilität durch mehr Transparenz, Sicherheitskontrolle und zentrale Automatisierung. Migration in die Cloud bedeutet, dass Sie AWS nutzen können, um die Anzahl der Sicherheitskontrollen, die Sie unterhalten müssen, zu reduzieren. Das Ergebnis einer ordnungsgemäß geschützten Umgebung ist ein kompatibles Umfeld. Wir stellen solide Infrastrukturkontrollen zur Verfügung, die anhand zahlreicher Bescheinigungen und Zertifizierungen validiert wurden. Vor jeder Zertifizierung hat sich der Prüfer davon überzeugt, dass spezielle Sicherheitskontrollen vorhanden sind und diese wie vorgesehen funktionieren. Weitere Informationen über die von uns unterstützten Bescheinigungen und Zertifizierungen finden Sie auf der Seite der AWS-Programme zur Bestätigung der Sicherheit. Wir stellen außerdem eine breite Palette von Services und Tools zur Verfügung, mit deren Hilfe Sie Compliance in der Cloud erzielen können. Dazu gehören Amazon Inspector, AWS Artifact, AWS Service Catalog, AWS CloudTrail, AWS Config und AWS Config Rules.

1

PROGRAMME

2

PROGRAMME Unsere Umgebungen werden kontinuierlich geprüft und unsere Infrastruktur und Services dürfen im Einklang mit mehreren Compliance-Standards und Branchenzertifizierungen länderund branchenübergreifend betrieben werden. Anhand dieser Zertifizierungen können Sie die Implementierung und Effektivität unserer Sicherheitskontrollen bestätigen.

Abbildung 1: Programme zur Bestätigung der Sicherheit Hinweis: Die Liste der Programme wird kontinuierlich ergänzt. Die aktuelle Liste der AWS-Programme zur Bestätigung der Sicherheit finden Sie auf der Website.

Ein Zertifizierungs-/Bescheinigungsverfahren wird von einem

externen, unabhängigen Prüfer durchgeführt. Die Ergebnisse der Prüfverfahren bilden die Grundlage für unsere ComplianceZertifizierungen, -Prüfberichte oder -Bescheinigung. Gesetze/Vorschriften/Datenschutz und Harmonisierungen/ Frameworks beziehen sich jeweils auf eine bestimmte Branche oder Funktion. Wir unterstützen Sie mit bestimmten Funktionen

3

PROGRAMME (z. B. Sicherheitsfunktionen) und Assistenten (einschließlich Compliance-Leitfäden, Zuweisungsdokumenten und Whitepapers). Eine formale „direkte” Zertifizierung dieser Gesetze, Vorschriften und Programme ist entweder 1) für Cloud-Anbieter nicht verfügbar oder 2) repräsentiert eine kleinere Teilmenge der Anforderungen, die bereits durch unsere aktuellen formalen Zertifizierungs-/Bescheinigungsprogramme nachgewiesen ist. Zu unseren beliebtesten Programmen zählen folgende: PCI DSS – Payment Card Industry (PCI) Data Security Standards (DSS) sind strenge Sicherheitsstandards für Händler, die Kreditkartenzahlungen abwickeln, um Betrug zu verhindern und Karteninhaberdaten zu schützen. ISO 27001 – ISO 27001 ist ein weit verbreiteter globaler Sicherheitsstandard, der Sicherheitsanforderungen für Informationsmanagementsysteme beschreibt. Der Standard bietet eine systematische, auf regelmäßigen Risikobewertungen basierende Vorgehensweise zur Verwaltung von Unternehmens- und Kundendaten. SOC  – AWS Service Organization Control (SOC)-Berichte sind durch unabhängige Dritte erstellte Prüfberichte, die nachweisen, wie AWS wichtige Compliance-Kontrollen und -Ziele erfüllt. Zweck dieser Berichte ist es, Ihnen und Ihren Prüfern die AWS-Kontrollen zu veranschaulichen, die für die Unterstützung von Betrieb und Compliance eingerichtet wurden. Es gibt vier Typen von AWS SOC-Berichten: AWS SOC 1-Bericht, AWS SOC 2: Sicherheitsund Verfügbarkeitsbericht, AWS SOC 2: Vertraulichkeitsbericht und AWS SOC 3: Sicherheits- und Verfügbarkeitsbericht. FedRAMP – Ein Regierungsprogramm der USA, mit dem sichergestellt werden soll, dass die Sicherheitsbewertung, Autorisierung und fortlaufende Überwachung bestimmten Standards entspricht. FedRAMP richtet sich nach den NIST 800-53-Standards zur Sicherheitskontrolle. 4

PROGRAMME DoD Cloud Security Model (CSM) – Von der U.S. Defense Information Systems Agency (DISA) ausgegebene und im Security Requirements Guide (SRG) des Verteidigungsministeriums (Department of Defense, DoD) der USA dokumentierte Standards für Cloud Computing. Bietet einen Autorisierungsprozess für Inhaber einer DoD-Arbeitslast, die abhängig von der Sicherheitsstufe spezielle Architekturanforderungen haben. HIPAA – Der Health Insurance Portability and Accountability Act (HIPAA) enthält strenge Sicherheits- und Compliance-Standards für Organisationen, die geschützte Gesundheitsdaten (Protected Health Information, PHI) verarbeiten und speichern. Eine vollständige Beschreibung der einzelnen Programme, die wir erfüllen, finden Sie auf der Webseite der AWS-Programme zur Bestätigung der Sicherheit.

AWS Artifact Das AWS Artifact-Portal bietet bedarfsorientierten Zugriff auf unsere Sicherheits- und Compliance-Dokumente, die auch als Prüfungswerkzeuge bezeichnet werden. Mithilfe der Prüfungswerkzeuge können Sie Ihren Prüfern und Regulierungsbehörden die Sicherheit und Compliance Ihrer AWS-Infrastruktur und Services demonstrieren. Beispiele der Prüfungswerkzeuge umfassen Service Organization Control (SOC)-Berichte, Payment Card Industry (PCI)-Berichte und Zertifizierungen von Akkreditierungsstellen in verschiedenen geografischen Regionen und Compliance-Branchen, die die Implementierung und die betriebliche Effektivität der AWSSicherheitskontrollen bestätigen. Auf das AWS Artifact-Portal können Sie direkt in der AWS Management Console zugreifen.

5

BRANCHEN

6

BRANCHEN Kunden in den folgenden Branchen verwenden AWS, um die erforderlichen gesetzlichen Compliance-Anforderungen zu erfüllen: • Landwirtschaft und Bergbau

• Gemeinnützige Organisation • Immobilien und Bau

• Analysen und Big Data

• Einzelhandel, Großhandel und Vertrieb

• Computer und Elektronik

• Software und Internet

• E-Commerce

• Telekommunikation

• Bildung

• Transportwesen und Logistik

• Energie und Versorgung

• Tourismus und Hotellerie

• Finanzdienstleistungen • Nahrungsmittel und Getränke • Gaming • Öffentliche Verwaltung • Gesundheitswesen und Life Sciences • Versicherung • Fertigung • Medien und Unterhaltung

7

ÜBERGREIFENDE VERANTWORTLICHKEIT

8

8

ÜBERGREIFENDE VERANTWORTLICHKEIT Wenn Sie Ihre IT-Infrastruktur auf AWS umstellen, übernehmen Sie das in Abbildung 2 gezeigte Modell der übergreifenden Verantwortlichkeit. Dieses gemeinsame Modell kann Sie im ITBetrieb entlasten, da Komponenten von uns betrieben, verwaltet und gesteuert werden. Diese reichen von dem Hostbetriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Anlagen, in denen der Betrieb der Services stattfindet.

KUNDE

KUNDENDATEN

VERANTWORTLICH FÜR DIE SICHERHEIT “IN” DER CLOUD

PLATTFORM, ANWENDUNGEN, IDENTITY AND ACCESS MANAGEMENT

BETRIEBSSYSTEM-, NETZWERK- UND FIREWALL-KONFIGURATION

CLIENTSEITIGE DATEN VERSCHLÜSSELUNG UND DATEN

AWS

INTEGRITÄTS-AUTHENTIFIZIERUNG

VERANTWORTLICH FÜR DIE SICHERHEIT “DER” CLOUD

DATENVERARBEITUNG

GLOBALE AWSINFRASTRUKTUR

SERVERSEITIGE VERSCHLÜSSELUNG (DATEISYSTEM UND/ODER DATEN)

SPEICHER

SCHUTZ DES NETZWERKDATENVERKEHRS (VERSCHLÜSSELUNG/ INTEGRITÄT/IDENTITÄT)

DATENBANK

REGIONEN AVAILABILITY ZONES

NETZWERK

EDGESTANDORTE

Abbildung 2: Modell der übergreifenden Verantwortlichkeit Das Modell der übergreifenden Verantwortlichkeit kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie die Zuständigkeit für den Betrieb der IT-Umgebung zwischen Ihnen und uns aufgeteilt ist, werden auch die Verwaltung, der Betrieb und die Verifizierung von IT-Kontrollen von allen Beteiligten übernommen. Wir nehmen Ihnen den Aufwand des Betreibens von Kontrollen teilweise ab, indem wir die Kontrollen, die mit der in der AWSUmgebung bereitgestellten physischen Infrastruktur verbunden sind, verwalten. Sie können die verfügbare Dokumentation zu AWS-Kontrollen und -Compliance nutzen, um Ihre Verfahren zur Überprüfung und Bewertung von Kontrollen den geltenden Compliance-Standards entsprechend auszuführen.

9

AWS – COMPLIANCE DER CLOUD Wir sind dafür verantwortlich, Ihnen bei der Aufrechterhaltung einer sicheren und für Compliance bereiten Umgebung zu helfen. Im Allgemeinen erfüllen wir folgende Aufgaben: Wir validieren, dass unsere Services und Einrichtungen weltweit eine universelle Kontrollumgebung mit effizientem Betrieb unterhalten. Unsere Kontrollumgebung schließt Richtlinien, Prozesse und Kontrollaktivitäten ein, die verschiedene Funktionen der gesamten Kontrollumgebung von Amazon nutzen. Die gemeinsame Kontrollumgebung umfasst die Personen, Prozesse und Technologien, die benötigt werden, um eine Umgebung einzurichten und zu verwalten, die die Betriebseffektivität unseres Kontrollrahmenwerks unterstützt. Wir haben maßgebliche cloudspezifische Kontrollen, die von führenden Cloud Computing-Branchengremien definiert wurden, in unseren Kontrollrahmen integriert. Wir folgen diese Branchengremien, um empfehlenswerte Methoden zu identifizieren, mit deren Hilfe wir Sie bei der Verwaltung Ihrer Kontrollumgebung besser unterstützen können. Wir demonstrieren unsere Haltung zur Compliance, um Ihnen dabei zu helfen, die Compliance mit den Anforderungen von Industrie und Regierung zu überprüfen. Wir arbeiten mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Sie mit umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von uns definiert und umgesetzt werden. Wir überwachen die Tatsache, dass wir durch den Einsatz Tausender Sicherheitskontrollanforderungen Compliance mit globalen Standards und bewährten Methoden einhalten.

10

KUNDEN – COMPLIANCE IN DER CLOUD

Ähnlich wie bei einem herkömmlichen Rechenzentrum sind Sie verantwortlich für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für weitere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Sie sollten die Services sorgfältig wählen, da Ihre Verantwortlichkeiten abhängig von den verwendeten Services, der Integration dieser Services in Ihrer IT-Umgebung und den anwendbaren Gesetzen und Vorschriften unterschiedlich sind. Zur sicheren Verwaltung Ihrer AWS-Ressourcen gehört die Kenntnis der verwendeten Ressourcen (Bestandsverwaltung), sichere Konfiguration der auf den Ressourcen installierten Gastbetriebssysteme und -anwendungen (sichere Konfigurationseinstellungen, Installation von Patches und Antimalware) sowie Nachvollziehen der an den Ressourcen vorgenommenen Änderungen (Änderungsverwaltung). Sie können die von uns bereitgestellten Informationen über unser Risiko- und Compliance-Programm in Ihr GovernanceRahmenwerk integrieren.

11

IHRE INHALTE

12

IHRE INHALTE Daher übergeben wir Ihnen standardmäßig die Inhaberschaft und Kontrolle über Ihre Inhalte. Durch einfache, jedoch leistungsstarke Tools können Sie bestimmen, wo Ihre Inhalte gespeichert werden, Ihre Inhalte während der Übertragung oder Speicherung schützen und den Zugriff Ihrer Benutzer auf die AWS-Services und -Ressourcen verwalten. Hinweis: Wir greifen nur auf Ihre Inhalte zu oder verwenden sie, wie im Rahmen der Bereitstellung der gewählten AWS-Services für Sie und Ihre Endbenutzer erforderlich. Wir nutzen Ihre Inhalte nicht für unsere eigenen Zwecke, einschließlich Marketing oder Werbung.

Zugriff  – Dank unserer erweiterten Funktionen für den Zugriff, die Verschlüsselung und die Anmeldung (wie AWS CloudTrail) können Sie den Zugriff auf Ihre Inhalte sowie AWS-Services und -Ressourcen verwalten. Wir greifen nicht auf Ihre Inhalte zu oder verwenden sie – außer dies ist gesetzlich oder für die Wartung der AWS-Services und deren Bereitstellung für Sie und Ihre Endbenutzer erforderlich. Speicher  – Sie wählen die Region(en) aus, in der bzw. denen Ihre Inhalte gespeichert werden sollen. Wir verschieben oder vervielfältigen Ihre Inhalte nicht außerhalb der ausgewählten Regionen – außer dies ist gesetzlich oder für die Wartung der AWS-Services und deren Bereitstellung für Sie und Ihre Endbenutzer erforderlich. Als Kunde in Europa können Sie beispielsweise festlegen, dass Sie Ihre AWS-Services nur in der EU-Region Deutschland bereitstellen.

13

IHRE INHALTE Sicherheit – Sie legen fest, wie Ihre Inhalte geschützt werden. Wir bieten Ihnen eine zuverlässige Verschlüsselung für Ihre Inhalte während der Übertragung und der Speicherung. Wir bieten Ihnen außerdem die Option, eigene Verschlüsselungsschlüssel zu verwalten. Offenlegung Ihrer Inhalte  – Wir legen keine Inhalte offen – außer wir müssen dies zur Einhaltung des Gesetzes oder einer gültigen und verpflichtenden Anweisung einer Regierungsoder Regulierungsbehörde tun. Im Falle, dass wir Ihre Inhalte offenlegen müssen, benachrichtigen wir Sie vorher, sodass Sie sich um Schutz vor Offenlegung bemühen können. Wichtig: Wenn es uns nicht gestattet ist, Sie zu benachrichtigen, oder es klare Anzeichen für illegales Verhalten in Verbindung mit den Produkten und Services von Amazon gibt, benachrichtigen wir Sie vor der Offenlegung Ihrer Inhalte nicht.

Zusicherung der Sicherheit – Wir haben ein Programm für die Zusicherung der Sicherheit entwickelt, das bewährte globale Methoden zum Datenschutz und zur Datensicherheit verwendet. So können wir Ihnen dabei helfen, unsere Umgebung für die Sicherheitskontrolle zu erstellen, zu betreiben und bestmöglich zu nutzen. Die Vorgänge zum Sicherheitsschutz und zur Sicherheitskontrolle werden von mehreren Bewertungen durch Dritte unabhängig geprüft. Hinweis: Zur Validierung, dass wir die Sicherheit der Cloud mit technischen und physischen Kontrollen verwalten, die einen unbefugten Zugriff oder eine Offenlegung von Kundeninhalten verhindern sollen, hat ein unabhängiger Prüfer mit einer Zertifizierung bestätigt, dass wir die Industriestandards einhalten.

14

SPEICHERORT IHRER INHALTE Die AWS-Rechenzentren wurden in Clustern in verschiedenen Regionen weltweit errichtet. Wir bezeichnen ein Cluster von Rechenzentren in einem bestimmten Land als „Region”. Sie haben Zugang zu mehreren AWS-Regionen weltweit und können bestimmen, ob Sie eine Region, alle Regionen oder eine Kombination aus verschiedenen Regionen nutzen möchten.

Abbildung 3: Regionen Sie behalten die vollständige Kontrolle und das Eigentumsrecht in Bezug auf die Region, in der sich Ihre Daten physisch befinden. Dadurch ist es einfach, die regionalen Compliance- und Datenresidenz-Anforderungen zu erfüllen. Sie können die AWSRegion(en) auswählen, in der bzw. denen Ihre Inhalte gespeichert werden sollen. Dies ist nützlich, wenn bestimmte geografische Anforderungen erfüllt werden müssen. Als Kunde in Europa können Sie beispielsweise festlegen, dass Sie Ihre AWS-Services nur in der EU-Region Deutschland bereitstellen. Wenn Sie diese Wahl treffen, werden Ihre Inhalte in Deutschland gespeichert, solange Sie keine andere AWS-Region auswählen.

15

GESCHÄFTSKONTINUITÄT Unsere Infrastruktur weist ein hohes Maß an Verfügbarkeit auf und wir bietet Ihnen die Funktionen, die Sie zur Bereitstellung einer stabilen IT-Architektur benötigen. Unsere Systeme sind so entwickelt, dass sie System- oder Hardwareausfälle tolerieren und Kunden nur minimale Auswirkungen zu spüren bekommen. Resilienz bedeutet Systemstabilität. Hierbei geht es darum, die Wahrscheinlichkeit, dass Anwendungen nicht mehr verfügbar sind, zu reduzieren.

Bei der Wiederherstellung geht es darum, die

Auswirkungen nicht mehr zur Verfügung stehender Anwendungen zu reduzieren.

Die Sicherung ist eine Strategie für den Umgang mit versehentlichem oder beabsichtigtem Datenverlust.

Als Notfallwiederherstellung wird der Prozess bezeichnet, sich auf einen Notfall vorzubereiten und das System nach einem Notfall wiederherzustellen. Jedes Ereignis mit negativen Auswirkungen auf Ihre Geschäftskontinuität oder wirtschaftliche Lage kann als „Notfall” bezeichnet werden. Die AWS Cloud unterstützt viele gängige Architekturen für die Notfallwiederherstellung. Das reicht von Umgebungen, die umgehend skaliert werden können („Zündflammenprinzip“), bis zu sofort einsatzbereiten StandbyUmgebungen, die ein schnelles Failover ermöglichen. Weitere Informationen über die Notfallwiederherstellung finden Sie unter https://aws.amazon.com/disaster-recovery/. Unsere Rechenzentren wurden in Clustern in verschiedenen Regionen weltweit errichtet. Alle Rechenzentren sind online und bedienen Kunden; kein Rechenzentrum ist abgeschaltet. Bei einem Ausfall wird der Kundendatenverkehr durch automatische Prozesse aus den betroffenen Bereichen verschoben.

16

GESCHÄFTSKONTINUITÄT Wir bieten Ihnen die Flexibilität, Instances zu platzieren und Daten innerhalb mehrerer geografischer Regionen sowie über mehrere Availability Zones innerhalb der einzelnen Regionen zu speichern. Durch das Verteilen von Anwendungen über mehrere Availability Zones bleibt die Architektur im Hinblick auf die meisten Fehlermodi, einschließlich Naturkatastrophen oder Systemausfällen, stabil. Sie können äußerst ausfallsichere Systeme in der Cloud aufbauen, indem Sie mehrere Instances in mehreren Availability Zones bereitstellen und die Daten replizieren, um extrem lange Wiederherstellungszeiträume und Wiederherstellungspunktziele zu erreichen. Sie sind für das Verwalten und Testen der Sicherung und Wiederherstellung Ihres auf der AWS-Infrastruktur aufgebauten Informationssystems selbst verantwortlich. Dank der AWSInfrastruktur wird eine raschere Notfallwiederherstellung Ihrer kritischen IT-Systeme ermöglicht, ohne dass ein kostspieliger zweiter physischer Standort erforderlich ist. Die AWS Cloud unterstützt viele gängige Architekturen für die Notfallwiederherstellung. Das reicht von Umgebungen, die umgehend skaliert werden können („Zündflammenprinzip“), bis zu sofort einsatzbereiten Standby-Umgebungen, die ein schnelles Failover ermöglichen.

17

SICHERHEIT

18

SICHERHEIT Cloud-Sicherheit für AWS ist unsere oberste Priorität. Das AWSSicherheitszentrum stellt Ihnen Informationen zur Sicherheit und Compliance in AWS zur Verfügung. WirbetreibendieglobaleCloud-Infrastruktur,dieSiezurBereitstellung verschiedener grundlegender Computerres-sourcen wie Verarbeitung und Speicher benötigen. Unsere globale Infrastruktur umfasst Anlagen, Netzwerk, Hardware und Betriebssoftware (z.  B. Hostbetriebssystem, Virtualisierungssoftware), die die Bereitstellung und Verwendung dieser Ressourcen unterstützen. Diese Infrastruktur wird gemäß optimaler Vorgehensweisen für Sicherheit und einer Reihe von Sicherheits-Compliance-Standards entwickelt und verwaltet. Als AWS-Kunde können Sie darauf vertrauen, dass Sie Ihre Webarchitektur auf einer der sichersten Computing-Infrastrukturen weltweit aufbauen.

19

RESSOURCEN

20

RESSOURCEN Alle in diesem Dokument erwähnten Webseiten und Whitepaper finden Sie im AWS Security and Compliance Quick Reference Resource Hub unter https://aws.amazon.com/compliance/ reference/.

PARTNER UND MARKETPLACE Das AWS-Partnernetzwerk (APN) ist das globale Programm für AWS-Partner. Es wurde dazu geschaffen, APN-Partnern beim Aufbau erfolgreicher AWS-basierter Geschäftsmodelle oder Lösungen zu helfen, indem umfassende Unterstützung für Business, Technik, Marketing und Markteinführung geboten wird. Weitere Informationen finden Sie unter https://aws.amazon.com/partners/. AWS Marketplace ist ein Vertriebskanal, über den AWSVertriebspartner Softwarelösungen, die in der AWS Cloud ausgeführt werden können, anbieten können. Weitere Informationen finden Sie unter https://aws.amazon.com/marketplace/.

SCHULUNG Egal ob Sie Einsteiger sind, vorhandene IT-Kenntnisse ausbauen oder Ihr Cloud-Wissen vertiefen möchten, mit AWS Training können Sie und Ihr Team Ihre Kompetenzen erweitern, sodass Sie die Cloud effektiver einsetzen können. Weitere Informationen finden Sie unter https://aws.amazon.com/training/.

21

22