"Amazon Web Services: Risiko und Compliance"

Transcription

Amazon Web Services – Risiko und Compliance
Juli 2012
Juli 2012
(Die aktuelle Version finden Sie unter http://aws.amazon.com/security.)
1
Juli 2012
Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontrollrahmenwerk
integrieren können, das ihre IT-Umgebung unterstützt. In diesem Dokument wird ein einfacher Ansatz zum Bewerten
von AWS-Kontrollen erläutert. Außerdembietet es Informationen zur Unterstützung von Kunden bei der Integration von
Kontrollumfeldern. In diesem Dokument werden außerdem AWS-spezifische Informationen rund um allgemeine
Compliance-Probleme beim Cloud Computing behandelt.
Inhalt dieses Dokuments:
Risiko und Compliance – Übersicht
Umgebung mit gemeinsamen Zuständigkeiten
Strenge Überwachung von Compliance
Bewerten und Integrieren von AWS-Kontrollen
AWS-Risiko- und Compliance-Programm
Risikomanagement
AWS-Kontrollumfeld
Informationssicherheit
AWS-Zertifizierungen und Bescheinigungen von Dritten
SOC 1 (SSAE 16/ISAE 3402)
FISMA Moderate
PCI DSS Level 1
DIN ISO/IEC 27001
International Traffic in Arms Regulation (ITAR, US-Regelungen des internationalen Waffenhandels)
FIPS 140-2
Wichtige Compliance-Probleme und AWS
Kontakt bei AWS
Anhang: CSA Consensus Assessments Initiative – Fragebogen, Version 1.1
Anhang: Glossar der Begriffe
Risiko und Compliance – Übersicht
Da sich AWS und seine Kunden die Kontrolle der IT-Umgebung teilen, sind beide Parteien für die Verwaltung der ITUmgebung verantwortlich. Der Anteil von AWS an der gemeinsamen Verantwortung liegt in der Bereitstellung seiner
Services auf einer überaus sicheren und kontrollierten Plattform sowie einer breiten Palette von Sicherheitsfunktionen,
die Kunden nutzen können. In der Verantwortung der Kunden liegt die Konfiguration ihrer IT-Umgebungen auf sichere
und kontrollierte Weise für die vorgesehenen Zwecke. Während Kunden ihre Nutzung und Konfigurationen nicht AWS
mitteilen, gibt AWS Informationen über sein Sicherheits- und Kontrollumfeld preis, das für Kunden relevant ist. Dies
geschieht seitens AWS wie folgt:



2
Erwerben von Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter, die in diesem Dokument
beschrieben sind
Veröffentlichen von Informationen zu AWS-Sicherheits- und Kontrollpraktiken in Whitepaper und auf Websites
Direktes Bereitstellen von Zertifikaten, Berichten und anderer Dokumentation für AWS-Kunden im Rahmen der
Vertraulichkeitsvereinbarung (falls erforderlich)
Juli 2012
Detaillierte Informationen zur AWS-Sicherheit finden Sie im AWS-Whitepaper "Amazon Web Services – Übersicht über
Sicherheitsverfahren" www.aws.amazon.com/security. In diesem Whitepaper werden die allgemeinen
Sicherheitskontrollen und servicespezifischen Sicherheitsvorkehrungen beschrieben.
Umgebung mit gemeinsamen Zuständigkeiten
Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell der gemeinsamen Zuständigkeiten
zwischen Kunde und AWS. Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS
die Komponenten des Host-Betriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem
für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt
Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für
andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für
die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von
den genutzten Services, von deren Integration in Ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften
abhängen. Durch Nutzung von Technologien wie Host-basierte Firewalls, Host-basierte Erkennung und Verhinderung des
unbefugten Eindringens in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die Sicherheit
erhöhen und/oder ihre strengere Compliance-Anforderungen erfüllen. Dieses Modell der gemeinsamen Verantwortung
sorgt für Flexibilität und Kundenkontrolle, durch die Lösungen bereitgestellt werden können, die branchenspezifische
Zertifizierungsanforderungen erfüllen.
Das Modell der gemeinsamen Verantwortung von Kunde/AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso
wie sich AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden die Verwaltung, der
Betrieb und die Überprüfung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden den Aufwand des
Betreibens von Kontrollen durch die Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung
bereitgestellten physischen Infrastruktur verbunden sind, die ggf. zuvor vom Kunden verwaltet wurden. Da jede
Kundenumgebung in AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter ITKontrollen an AWS profitieren, was zu einem (neuen) verteilten Kontrollumfeld führt. Kunden können die verfügbare
Dokumentation zu AWS-Kontrollen und -Compliance (im Abschnitt "AWS-Zertifizierungen und Bescheinigungen von
Dritten" dieses Dokuments) nutzen, um ihre Verfahren zur Überprüfung und Bewertung von Kontrollen den
Anforderungen entsprechend auszuführen.
Im nächsten Abschnitt wird erläutert, wie AWS-Kunden ihr verteiltes Kontrollumfeld effektiv bewerten und überprüfen
können.
Strenge Überwachung von Compliance
Wie gewohnt müssen AWS-Kunden unabhängig von der Art der IT-Bereitstellung weiterhin für eine angemessene
Überwachung des gesamten IT-Kontrollumfelds sorgen. Zu den führenden Methoden zählen das Verstehen der zu
erfüllenden Compliance-Ziele und -Anforderungen (aus relevanten Quellen), das Einrichten eines Kontrollumfelds, das
diese Ziele und Anforderungen erfüllt, das Verstehen der basierend auf der Risikotoleranz der Organisation
erforderlichen Überprüfung und das Bestätigen der betrieblichen Effektivität des Kontrollumfelds. Die Bereitstellung in
der AWS-Cloud bietet Unternehmen unterschiedliche Möglichkeiten zum Anwenden verschiedener Arten von Kontrollen
und Überprüfungsmethoden.
Eine strenge Compliance und Überwachung auf Kundenseite kann dem folgenden einfachen Ansatz folgen:
1. Überprüfen der von AWS bereitgestellten Informationen sowie anderer Informationen, um sich so
umfassend wie möglich mit der gesamten IT-Umgebung vertraut zu machen, und anschließendes
Dokumentieren aller Compliance-Anforderungen
3
Juli 2012
2. Entwerfen und Implementieren von Kontrollzielen zum Erfüllen der Compliance-Anforderungen des
Unternehmens
3. Bestimmen und Dokumentieren von Kontrollen in der Zuständigkeit externer Parteien
4. Bestätigen, dass alle Kontrollziele erfüllt werden und alle wichtigen Kontrollen effektiv entworfen sind und
betrieben werden
Wenn sich Unternehmen der Überwachung von Compliance auf diese Weise annähern, machen sie sich besser mit
ihrem Kontrollumfeld vertraut und können dadurch die durchzuführenden Überprüfungsaufgaben besser erledigen.
Bewerten und Integrieren von AWS-Kontrollen
AWS bietet seinen Kunden eine umfassende Palette an Informationen zu seinem IT-Kontrollumfeld in Form von
Whitepaper, Berichten, Zertifizierungen, Beglaubigungen und anderen Bescheinigungen von Dritten. Diese
Dokumentation hilft Benutzern, mehr über die relevanten Kontrollfunktionen der von ihnen verwendeten AWS-Services
zu erfahren und zu verstehen, wie diese Kontrollfunktionen eingestuft wurden. Diese Informationen helfen Kunden
ebenfalls bei der Prüfung, ob die Kontrollfunktionen ihrer erweiterten IT-Umgebung effektiv sind.
Üblicherweise werden die Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen durch interne und/oder
externe Prüfer im Rahmen einer Prozessüberprüfung und Evidenzbewertung geprüft. Zum Überprüfen von Kontrollen
erfolgt zumeist (durch den Kunden oder externen Prüfer beim Kunden) eine direkte Beobachtung/Untersuchung. Bei
Serviceanbietern wie AWS werden Bescheinigungen und Zertifizierungen von Dritten angefordert und bewertet, um die
begründete Gewissheit hinsichtlich Entwurfs- und Betriebseffektivität von Kontrollziel und Kontrollen zu haben. Auch
wenn die wichtigsten Kontrollen des Kunden von AWS verwaltet werden, kann das Kontrollumfeld im Ergebnis weiter
ein einheitliches Rahmenwerk sein, in dem alle Kontrollen berücksichtigt und als effektiv betrieben bestätigt werden.
Beglaubigungen und Zertifizierungen von AWS durch Dritte sorgen nicht nur für einen höheren Grad der Überprüfung
des Kontrollumfelds, sondern können Kunden die Anforderung abnehmen, bestimmte Überprüfungsaufgaben für ihre
IT-Umgebung in der AWS-Cloud selbst zu erledigen.
AWS bietet seinen Kunden IT-Kontrollinformationen auf die beiden folgenden Weisen:
1. Definition spezifischer Kontrollen. AWS-Kunden können von AWS verwaltete Schlüsselkontrollen bestimmen.
Schlüsselkontrollen sind für das Kontrollumfeld des Kunden sehr wichtig und erfordern eine externe
Bescheinigung der Betriebseffektivität dieser Schlüsselkontrollen, um Compliance-Anforderungen zu erfüllen,
z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine Vielzahl von IT-Kontrollen in seinem
Service Organization Controls 1 (SOC 1) Type II-Bericht. Der SOC 1-Bericht, zuvor Statement on Auditing
Standards (SAS) No. 70, Service Organizations-Bericht und allgemein SSAE 16-Bericht (Statement on Standards
for Attestation Engagements No. 16) genannt, ist eine umfassend anerkannte Prüfungsvorschrift des American
Institute of Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl
des Entwurfs als auch der Betriebseffektivität der von AWS definierten Kotrollziele und -aktivitäten (zu der die
Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). "Type II"
bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen Prüfer nicht nur
auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet werden. Aufgrund der
Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in dem Bericht identifizierten
Kontrollen Kunden mit einem hohen Maß an Vertrauen in das Kontrollumfeld von AWS versehen. Die Kontrollen
von AWS zeichnen sich für zahlreiche Compliance-Zwecke, so z. B. Bilanzprüfungen nach Sarbanes-Oxley (SOX)
Abschnitt 404, durch einen effektiven Entwurf und Betrieb aus. Das Arbeiten mit SOC 1 Type II-Berichten wird
auch von anderen externen Zertifizierungsstellen generell zugelassen (beispielsweise können DIN ISO/IEC 27001Prüfer einen SOC 1 Type II-Bericht anfordern, um ihre Beurteilungen für Kunden fertigzustellen).
4
Juli 2012
Andere spezifische Kontrollaktivitäten stehen im Zusammenhang mit der Compliance von AWS mit Payment Card
Industry (PCI)- und Federal Information Security Management Act (FISMA)-Standards. Wie nachfolgend erläutert, befolgt
AWS die FISMA Moderate-Standards und den PCI Data Security Standard. Diese PCI- und FISMA-Standards zeichnen sich
durch strenge Vorschriften aus und erfordern eine unabhängige Bescheinigung, dass AWS die veröffentlichten Standards
befolgt.
2. Allgemeine Kontrolle der Standard-Compliance.Wenn ein AWS-Kunde will, dass eine breite Palette von
Kontrollzielen erfüllt wird, kann eine Überprüfung der Branchenzertifizierungen von AWS erfolgen. AWS ist nach
DIN ISO/IEC 27001 zertifiziert, erfüllt somit einen weitreichenden Sicherheitsstandard und befolgt bewährte
Methoden zum Aufrechterhalten einer sicheren Umgebung. Durch Befolgen des PCI Data Security Standard (PCI
DSS) erfüllt AWS vielfältige Anforderungen an Kontrollen, die für Kreditkartendaten verarbeitende Unternehmen
maßgeblich sind. AWS befolgt die FISMA-Standards und bietet dadurch einen breite Palette spezifischer
Kontrollen, die von US-Bundesbehörden gefordert werden. Durch die Einhaltung dieser allgemeinen Standards
sind Kunden in umfassender Weise und eingehend über das Wesen der vorhandenen Kontrollen und
Sicherheitsprozesse, die beim Compliance-Management Berücksichtigung finden können, informiert.
AWS-Zertifizierungen und Bescheinigungen durch Dritte werden im weiteren Verlauf dieses Dokuments detaillierter
behandelt.
AWS-Risiko- und Compliance-Programm
AWS bietet Informationen zu seinem Risiko- und Compliance-Programm, damit Kunden AWS-Kontrollen in ihr
Überwachungsrahmenwerk integrieren können. Mithilfe dieser Informationen können Kunden ein vollständiges
Kontroll- und Überwachungsrahmenwerk dokumentieren, in dem AWS eine wichtige Rolle einnimmt.
Risikomanagement
Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung sowie die
Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die Geschäftsleitung von AWS
bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Aufgrund dieses Plans muss die
Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene Maßnahmen für den
Umgang mit solchen Risiken umsetzen.
Zusätzlich wird das Kontrollumfeld von AWS verschiedenen internen und externen Risikoanalysen unterzogen. Die
Compliance- und Sicherheitsteams von AWS haben ein Rahmenwerk für die Informationssicherheit und dazugehörige
Richtlinien entwickelt. Es basiert auf dem COBIT-Rahmenwerk (Control Objectives for Information and related
Technology) und ist wirksam mit dem auf ISO 27002-Kontrollfunktionen basierenden zertifizierbaren DIN ISO/IEC 27001Rahmenwerk, PCI DSS und National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3
(Recommended Security Controls for Federal Information Systems) integriert. AWS pflegt die Sicherheitsrichtlinien nach,
führt Sicherheitsschulungen für Mitarbeiter durch und prüft die Anwendungssicherheit. Im Rahmen dieser
Überprüfungen wird die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Einhaltung der Richtlinien für
die Informationssicherheit bewertet.
In regelmäßigen Abständen untersucht das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen
von Service-Endpunkten auf Schwachstellen ab (Instances von Kunden werden nicht untersucht). Das AWSSicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen schließen. Zusätzlich
werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Überprüfung auf Schwachstellen beauftragt. Die
5
Juli 2012
Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS
weitergeleitet. Diese Untersuchungen werden zum Erhalten der Integrität und Funktionsfähigkeit der zugrunde
liegenden AWS-Infrastruktur durchgeführt. Sie sind nicht dazu gedacht, die kundeneigenen Untersuchungen auf
Schwachstellen zu ersetzen, die notwendig sind, um die jeweils geltenden Compliance-Anforderungen zu erfüllen.
Kunden können die Erlaubnis zur Durchführung solcher Untersuchungen der eigenen Cloud-Infrastruktur beantragen,
sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur
angemessenen Nutzung von AWS verstoßen. Eine Genehmigung dieser Arten von Untersuchungen kann über das
Formular AWS Vulnerability / Penetration Testing beantragt werden.
AWS-Kontrollumfeld
AWS verwaltet ein umfassendes Kontrollumfeld, zu dem Richtlinien, Prozesse und Kontrollaktivitäten gehören, die
verschiedene Funktionen des allgemeinen Kontrollumfelds von Amazon nutzen. Dieses Kontrollumfeld dient der
sicheren Bereitstellung der AWS-Serviceangebote. Das gemeinsame Kontrollumfeld umfasst die Personen, Prozesse und
Technologien, die benötigt werden, um eine Umgebung einzurichten und zu verwalten, die die Betriebseffektivität des
AWS-Kontrollrahmenwerks unterstützt. AWS hat maßgebliche Cloud-spezifische Kontrollen, die von führenden Cloud
Computing-Branchengremien definiert wurden, in das AWS-Kontrollrahmenwerk integriert. AWS verfolgt ständig,
welche Vorschläge diese Branchengremien hinsichtlich empfehlenswerter Methoden machen, mit deren Hilfe Kunden
bei der Verwaltung ihres Kontrollumfelds besser unterstützt werden können.
Das Kontrollumfeld von Amazon setzt auf der Führungsebene des Unternehmens ein. Geschäftsleitung und leitende
Angestellte spielen bei der Bestimmung der Firmenphilosophie und Grundwerte des Unternehmens eine entscheidende
Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen
vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und
befolgen.
Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des
Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um eine
geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die Geschäftsleitung hat
Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene Berichtslinien für sie
vorgesehen. Teil der Einstellungspolitik des Unternehmens sind Überprüfungen des Bildungsabschlusses, des vorherigen
Arbeitsverhältnisses und ggf. Hintergrundüberprüfungen im Rahmen gesetzlicher Vorschriften. Neue Mitarbeiter
werden in ihrer Einstellungs- und Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen,
Richtlinien und Verfahren des Unternehmens vertraut gemacht.
Informationssicherheit
AWS hat ein formelles Informationssicherheitsprogramm zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit
von Kundensystemen und -daten in Kraft gesetzt. AWS veröffentlicht ein Whitepaper zur Sicherheit, das auf der
öffentlichen Website verfügbar ist und in dem erklärt wird, wie AWS Kunden beim Schutz ihrer Daten helfen kann.
AWS-Zertifizierungen und Bescheinigungen von Dritten
AWS arbeitet mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Kunden mit umfassenden
Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert wurden und umgesetzt
werden.
SOC 1/SSAE 16/ISAE 3402
Amazon Web Services veröffentlicht nun den Bericht "Service Organization Controls 1 (SOC 1), Type II". Die dieser
Berichterstattung zugrunde liegende Prüfung wird in Übereinstimmung mit den professionellen Standards "Statement
6
Juli 2012
on Standards for Attestation Engagements Nr. 16 (SSAE 16)" und "International Standards for Assurance Engagements
No. 3402 (ISAE 3402)" durchgeführt. Dieser zwei Standards abdeckende Bericht hat zum Ziel, eine breite Palette
finanzieller Prüfanforderungen von Prüfstellen in den USA und internationalen Prüfstellen zu erfüllen. Der SOC 1-Bericht
bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und die einzelnen zum Schutz der
Kundendaten definierten Kontrollen effektiv umgesetzt werden. Diese Prüfung ersetzt den Prüfbericht "Statement on
Auditing Standards Nr. 70 (SAS 70) Type II".
Die AWS SOC 1-Kontrollziele werden hier erläutert. Im Bericht selbst sind die Kontrollaktivitäten, die alle diese Ziele
unterstützen, sowie die Ergebnisse der Testverfahren der einzelnen Kontrollen des unabhängigen Prüfers angegeben.
Sicherheitsorganisation
Amazon-Benutzerzugriff
Logische Sicherheit
Sichere Datenverarbeitung
Physische Sicherheit und
Schutzvorkehrungen für die
Umgebung
Änderungsmanagement
Integrität,
Verfügbarkeit und Redundanz
der Daten
Umgang mit Vorfällen
Durch Kontrollen wird in angemessener Weise sichergestellt,
dass Richtlinien für die Informationssicherheit in Kraft gesetzt
und in der gesamten Organisation vermittelt wurden.
dass Verfahren so eingerichtet wurden, dass AmazonBenutzerkonten zeitgerecht hinzugefügt, geändert und
gelöscht sowie regelmäßig überprüft werden.
dass unerlaubter Zugriff auf die Daten von interner und
externer Stelle beschränkt wird und dass der Zugriff auf die
Daten eines Kunden vom Zugriff auf die Daten anderen
Kunden getrennt ist.
dass die Datenverarbeitung zwischen dem Eingabepunkt des
Kunden und dem Speicherplatz von AWS sicher ist und
sorgfältig dokumentiert wird.
dass der physische Zugriff auf das Betriebsgebäude von
Amazon und die Rechenzentren auf autorisiertes Personal
beschränkt ist und dass Verfahren zum Minimieren der
Auswirkungen einer Fehlfunktion oder eines physischen
Ausfalls der Computer- und Rechenzentrumsanlagen in Kraft
sind.
dass Änderungen (einschließlich bei Notfällen/Abweichungen
von der Routine und Konfigurationen) an den vorhandenen ITRessourcen protokolliert, autorisiert, getestet, genehmigt und
dokumentiert werden.
dass die Datenintegrität in allen Phasen, von der Übermittlung
über die Speicherung bis hin zur Verarbeitung, gewährleistet
ist.
dass Systemvorfälle aufgezeichnet, untersucht und behoben
werden.
Bei den neuen SOC 1-Berichten liegt der Schwerpunkt auf Kontrollen einer Serviceorganisation, die bei einer
Überprüfung der Bilanzen eines Unternehmens voraussichtlich relevant sind. Da der Kundenstamm von AWS ebenso
breit gefächert ist wie die Nutzung von AWS-Services, hängt die Anwendbarkeit von Kontrollen auf Kundenbilanzen vom
jeweiligen Kunden ab. Deshalb deckt der AWS SOC 1-Bericht bestimmte wichtige Kontrollen ab, die während einer
Bilanzprüfung voraussichtlich erforderlich sind. Zugleich wird eine breite Palette allgemeiner IT-Kontrollen abgedeckt,
7
Juli 2012
um eine Vielzahl von Nutzungs- und Prüfszenarien zu berücksichtigen. Dies ermöglicht Kunden die Nutzung der AWSInfrastruktur zum Speichern und Verarbeiten kritischer Daten einschließlich derjenigen, die für den
Bilanzberichtsprozess wesentlich sind. AWS analysiert regelmäßig die Auswahl dieser Kontrollen neu, um
Kundenfeedback und die Nutzung dieses wichtigen Prüfberichts zu berücksichtigen.
AWS verpflichtet sich auch in Zukunft zur SOC 1-Berichterstattung und plant, Prüfungen in regelmäßigen Abständen
fortzusetzen. Der SOC 1-Bericht deckt Folgendes ab: Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage
Service (S3), Amazon Virtual Private Cloud (VPC), Amazon Elastic Block Store (EBS), Amazon Relational Database Service
(RDS), Amazon DynamoDB, Amazon Direct Connect, Amazon VM Import, Amazon Storage Gateway und die
Infrastruktur, in der diese Komponenten in allen Regionen weltweit ausgeführt werden.
FISMA Moderate
Mit AWS können US-Bundesbehörden Compliance in Bezug auf den Federal Information Security Management Act
(FISMA) erreichen und einhalten. FISMA verlangt von Bundesbehörden die Entwicklung, Dokumentierung und
Implementierung eines Informationssicherheitssystem für seine Daten und Infrastrukturen auf der Grundlage des
Standards "National Institute of Standards and Technology Special Publication 800-53, Revision 3". FISMA Moderate
Authorization and Accreditation verlangt von AWS die Implementierung und den Betrieb einer umfangreichen
Zusammenstellung von Sicherheitsprozessen und Kontrollen. Dazu gehört die Dokumentation der administrativen,
operativen und technischen Prozesse, mit denen die physische und virtuelle Infrastruktur geschützt werden, und die
Prüfung der eingerichteten Prozesse und Kontrollen durch Dritte. AWS hat von der General Services Administration eine
dreijährige Genehmigung vom Typ "FISMA Moderate" für IaaS (Infrastructure as a Service) erhalten. Darüber hinaus
haben auf der AWS-Plattform entwickelte Angebote von Dritten FISMA Moderate-ATO-Zertifizierungen von USBundesbehörden erhalten.
PCI DSS Level 1
AWS erfüllt die PCI DSS-Anforderungen an Shared Hosting-Anbieter. AWS erfüllt außerdem die Anforderungen an
Service-Anbieter auf Level 1 gemäß PCI DSS Version 2.0. Händler und andere PCI-Service-Anbieter können die AWS PCIkonforme IT-Infrastruktur für die Speicherung, Verarbeitung und Übertragung von Kreditkarteninformationen in der
Cloud nutzen, solange diese Kunden für ihren Teil der gemeinsam genutzten Umgebung PCI-Compliance sicherstellen.
Diese Compliance-Überprüfung gilt für Amazon EC2, Amazon S3, Amazon EBS, Amazon VPC, Amazon RDS, Amazon
Elastic Load Balancing (ELB), Amazon Identity and Access Management (IAM) und die Infrastruktur, in der diese
Komponenten in allen Regionen weltweit ausgeführt werden. AWS stellt zusätzliche Informationen und Antworten auf
häufig gestellte Fragen zur PCI-Compliance auf seiner Website bereit und arbeitet direkt mit Kunden bei der
Vorbereitung und Bereitstellung einer PCI-konformen Umgebung für Karteninhaber in der AWS-Infrastruktur zusammen.
DIN ISO/IEC 27001
AWS hat für sein Informationssicherheits-Managementsystem (ISMS), zu dem die AWS-Infrastruktur und Rechenzentren sowie Services wie Amazon EC2, Amazon S3 und Amazon VPC gehören, die Zertifizierung nach DIN
ISO/IEC 27001 erhalten. DIN ISO/IEC 27001 / ISO 27002 ist ein weit verbreiteter globaler Sicherheitsstandard, der
Anforderungen und bewährte Methoden für eine systematische Vorgehensweise zur Verwaltung von Unternehmensund Kundendaten beschreibt und auf regelmäßigen Risikobewertungen basiert, die an sich ständig ändernde
Bedrohungsszenarien angepasst sind. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es über
einen systematischen und kontinuierlichen Ansatz für den Umgang mit Informationssicherheitsrisiken verfügt, die die
Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen. Diese Zertifizierung
unterstreicht das Engagement von Amazon, Sicherheitskontrollen und -praktiken transparent zu machen. Die
Zertifizierung von AWS nach DIN ISO/IEC 27001 umfasst alle AWS-Rechenzentren in allen Regionen weltweit. Außerdem
hat AWS ein formelles Programm eingeführt, um die Zertifizierung zu bestätigen. AWS bietet auf seiner Website weitere
Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach DIN ISO/IEC 27001.
8
Juli 2012
International Traffic in Arms Regulation (ITAR, US-Regelungen des internationalen Waffenhandels)
Die von AWS verwaltete Region AWS GovCloud (USA) unterstützt die Einhaltung der US-Regelungen des internationalen
Waffenhandels (International Traffic in Arms Regulations, ITAR). Als Teil der Verwaltung eines umfangreichen
Programms zur Einhaltung von ITAR müssen Unternehmen, die den Exportregelungen von ITAR unterliegen,
unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen aus den USA und der
physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud (USA) bereitgestellte Umgebung
befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf Personen aus den USA beschränkt. Auf diese
Weise können qualifizierte Unternehmen durch ITAR geschützte Artikel und Daten übertragen, verarbeiten und
speichern. Die AWS GovCloud-Umgebung (USA) wurde durch einen unabhängigen Dritten geprüft, um sicherzustellen,
dass die ordnungsgemäßen Kontrollen zur Unterstützung der Exportregelungsprogramme von Kunden vorhanden sind.
FIPS 140-2
Die Veröffentlichung 140-2 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der USRegierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche
Informationen schützen. Um Kunden mit FIPS 140-2-Anforderungen zu unterstützen, werden die VPN-Endpunkte der
Amazon Virtual Private Cloud und die Load Balancer mit SSL-Beendigung in AWS GovCloud (USA) mit durch FIPS 140-2
validierter Hardware betrieben. AWS arbeitet mit AWS GovCloud (USA)-Kunden zusammen, um die Informationen
bereitzustellen, die benötigt werden, um die Einhaltung von Vorschriften bei Verwendung der AWS GovCloud (USA)Umgebung sicherzustellen.
Andere Initiativen zur Einhaltung von Vorschriften
Die Flexibilität und Benutzerfreundlichkeit der AWS-Plattform erlaubt die Bereitstellung von Lösungen, die
branchenspezifischen Zertifizierungsanforderungen genügen.
 HIPPA: Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den
Sicherheits- und Datenschutzregeln von HIPPA entsprechen. AWS bietet die Sicherheitsvorkehrungen, mit denen
Kunden elektronische Patientenakten schützen können. Weitere Informationen finden Sie im dazugehörigen
Whitepaper (siehe den Link unten).
 CSA: AWS hat den Fragenkatalog der Cloud Security Alliance (CSA) Consensus Assessments Initiative
beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine Möglichkeit zur Bezugnahme und
Dokumentation, welche Sicherheitsvorkehrungen in der IaaS-Infrastruktur von AWS geboten werden. Der
Fragenkatalog (CAIQ) enthält über 140 Fragen, die Cloud-Nutzer und -Begutachter ggf. einem Cloud-Anbieter
stellen. In Anhang A dieses Dokuments finden Sie den von AWS ausgefüllten Fragenkatalog der CSA Consensus
Assessments Initiative.
9
Juli 2012
Wichtige Compliance-Probleme und AWS
In diesem Abschnitt werden allgemeine AWS-spezifische Compliance-bezogene Themen beim Cloud Computing
behandelt. Diese allgemeinen Compliance-Themen sind ggf. bei der Überprüfung des Betriebs in einer Cloud ComputingUmgebung von Interesse und können die Anstrengungen von AWS-Kunden beim Kontrollmanagement unterstützen.
Punkt Cloud ComputingCompliance-Thema
1
Zuständigkeit für
Kontrollen. Wer ist für
welche Kontrollen in der
Infrastruktur zuständig,
die in der Cloud
bereitgestellt ist?
2
Überprüfung der IT. Wie
kann eine Überprüfung
des Cloud-Anbieters
erfolgen?
3
Compliance mit SarbanesOxley (SOX). Wie wird
SOX-Compliance erreicht,
wenn SOX unterliegende
Systeme in der Umgebung
des Cloud-Anbieters
bereitgestellt werden?
4
Compliance mit HIPAA.
Können bei einer
Bereitstellung in der
Umgebung des CloudAnbieters HIPAAVorgaben erfüllt werden?
10
Informationen zu AWS
Für den in AWS bereitgestellten Teil kontrolliert AWS die physischen
Komponenten der jeweiligen Technologie. Der Kunde übernimmt die Zuständigkeit
und Kontrolle für alle anderen Komponenten, einschließlich Verbindungspunkte
und Übertragungen. Um Kunden besser zu veranschaulichen, welche Kontrollen
vorhanden sind und wie effektiv diese sind, veröffentlicht AWS einen SOC 1 Type
II-Bericht zu den für EC2, S3 und VPC definierten Kontrollen sowie detaillierte
Angaben zu den Kontrollen der physischen Sicherheit und Umgebung. Diese
Kontrollen sind mit einem hohen Grad an Spezifität definiert, der die
Anforderungen der meisten Kunden erfüllen sollte. AWS-Kunden, die eine
Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar
des SOC 1 Type II-Berichts anfordern.
Die Überprüfung der meisten Ebenen und Kontrollen oberhalb der physischen
Kontrollen liegt weiter in der Zuständigkeit des Kunden. Die Definition der von
AWS definierten logischen und physischen Kontrollen ist im SOC 1 Type II-Bericht
dokumentiert (SSAE 16). Dieser Bericht steht Audit- und Compliance-Teams zur
Prüfung zur Verfügung. Die AWS-Zertifizierung nach DIN ISO/IEC 27001 und andere
Zertifizierungen können ebenfalls von Prüfern geprüft werden.
Wenn ein Kunde Finanzdaten in der AWS-Cloud verarbeitet, stellen Prüfer des
Kunden ggf. fest, dass einige AWS-Systeme den Sarbanes-Oxley (SOX)-Vorschriften
unterliegen. Die Prüfer des Kunden müssen selbständig bestimmen, ob SOXVorschriften gelten. Da die meisten logischen Zugriffskontrollen vom Kunden
verwaltet werden, ist der Kunde am ehesten in der Lage zu bestimmen, ob seine
Kontrollmaßnahmen geltende Normen erfüllen. Wenn die SOX-Prüfer spezifische
Informationen zu den physischen Kontrollen von AWS wünschen, können sie
Bezug auf den SOC 1 Type II-Bericht von AWS nehmen, in dem die Kontrollen von
AWS detailliert beschrieben werden.
HIPAA-Vorschriften gelten für den AWS-Kunden und unterliegen seiner
Zuständigkeit. Die AWS-Plattform lässt die Bereitstellung von Lösungen zu, die
branchenspezifische Zertifizierungsvorgaben wie HIPAA erfüllen. Kunden können
AWS-Services nutzen, um für einen Sicherheitsgrad zu sorgen, der die Vorschriften
zum Schutz elektronischer Patientenakten auf jeden Fall erfüllt. Kunden haben in
AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den
Sicherheits- und Datenschutzregeln von HIPPA entsprechen. AWS bietet auf seiner
Website weitere Informationen zur Compliance mit HIPAA, so z. B. ein Whitepaper
zu diesem Thema.
5
6
7
8
11
Juli 2012
Compliance mit GLBA.
Können bei einer
Bereitstellung in der
Umgebung des CloudAnbieters GLBAZertifizierungsvorgaben
erfüllt werden?
Compliance mit USBundesvorschriften. Kann
eine US-Bundesbehörde
bei einer Bereitstellung in
der Umgebung des CloudAnbieters Sicherheits- und
Datenschutzvorschriften
erfüllen?
Speicherort der Daten. Wo
sind Kundendaten
gespeichert?
Die meisten GLBA-Vorgaben unterliegen der Kontrolle des AWS-Kunden. AWS
bietet Kunden Möglichkeiten zum Schützen von Daten, Verwalten von
Berechtigungen und Erstellen GLBA-konformer Anwendungen in der AWSInfrastruktur. Wenn Kunden sich vergewissern möchten, ob physische
Sicherheitskontrollen effektiv arbeiten, können sie den Anforderungen
entsprechend Bezug auf den AWS SOC 1 Type II-Bericht nehmen.
E-Discovery. Erfüllt der
Cloud-Anbieter die
Anforderungen des
Kunden hinsichtlich EDiscovery-Verfahren und Vorgaben?
AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen Komponenten
einschließlich Betriebssystem, Netzwerkkonfiguration und installierte
Anwendungen. Es liegt in der Zuständigkeit des Kunden für den Fall eines
Rechtsverfahren, elektronische Dokumente, die in AWS gespeichert oder
verarbeitet werden, zu bestimmen, zu sammeln, zu verarbeiten, zu analysieren
und vorzulegen. Auf Antrag arbeitet AWS ggf. mit Kunden zusammen, die bei
Rechtsverfahren die Unterstützung durch AWS benötigen.
US-Bundesbehörden können eine Reihe von Compliance-Standards erfüllen, so z.
B. Federal Information Security Management Act (FISMA) aus dem Jahr 2002, die
Federal Information Processing Standard (FIPS) Publication 140-2 und die
International Traffic in Arms Regulations (ITAR). Je nach Vorgaben im jeweiligen
Regelwerk ist auch die Einhaltung weiterer Gesetze und Vorschriften möglich.
AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch
befinden sollen. Die Datenreplikation für S3-Datenobjekte erfolgt innerhalb des
regionalen Clusters, in dem die Daten gespeichert sind, und die Daten werden
nicht in andere Rechenzentrums-Cluster in anderen Regionen repliziert. AWSKunden geben an, in welcher Region sich ihre Daten und Server physisch befinden
sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung
des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um
Gesetze oder Vorschriften einzuhalten. AWS ist gegenwärtig in den folgenden acht
Regionen verfügbar: USA Ost (Nord-Virginia), USA West (Nordkalifornien), USA
West (Oregon), GovCloud (USA), EU (Irland), Asien-Pazifik (Singapur), Asien-Pazifik
(Tokio) und Südamerika (São Paulo).
Juli 2012
9
Rechenzentrumsbesuche.
Lässt der Cloud-Anbieter
Besuche von
Rechenzentren zu?
Nein. Aufgrund der Tatsache, dass in seinen Rechenzentren mehrere Kunden
gehostet werden, lässt AWS keine Kundenbesuche in Rechenzentren zu, da
dadurch eine große Vielzahl von Kunden dem physischen Zugriff durch Dritte
ausgesetzt würden. Zur Erfüllung dieser Kundenanforderung überprüft ein
unabhängiger und kompetenter Prüfer das Vorhandensein und den Einsatz von
Kontrollen als Teil unseres SOC 1 Type II-Berichts (SSAE 16). Durch diese
weitreichend akzeptierte Bescheinigung durch einen Dritten erhalten Kunden eine
unabhängige Sicht auf die Wirksamkeit der vorhandenen Kontrollen. AWS-Kunden,
die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein
Exemplar des SOC 1 Type II-Berichts anfordern. Unabhängige Überprüfungen der
physischen Sicherheit von Rechenzentren ist außerdem Teil der DIN ISO/IEC
27001-, PCI- und ITAR-Prüfung sowie der FISMA-Testprogramme.
10
Zugriff durch Dritte.
Dürfen Dritte auf die
Rechenzentren des CloudAnbieters zugreifen?
AWS kontrolliert streng den Zugriff auf Rechenzentren, selbst bei internen
Mitarbeitern. Dritten wird kein Zugriff auf AWS-Rechenzentren gewährt, es sei
denn, es liegt gemäß den AWS-Zugriffsrichtlinien eine ausdrückliche Genehmigung
durch den zuständigen AWS-Rechenzentrumsmanager vor. Im SOC 1 Type IIBericht finden Sie Informationen zu spezifischen Kontrollen in Bezug auf den
physischen Zugriff, die Autorisierung des Zugriffs auf Rechenzentren und andere
dazugehörige Kontrollen.
11
Privilegierte Aktionen.
Werden privilegierte
Aktionen überwacht und
kontrolliert?
Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen
dafür, dass der Zugriff auf Systeme und Daten eingeschränkt ist und überwacht
wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig
logisch von anderen Kunden isoliert. Die Kontrolle des privilegierten
Benutzerzugriffs wird durch einen unabhängigen Prüfer im Rahmen von SOC 1-,
DIN ISO/IEC 27001-, PCI-, ITAR- und FISMA-Prüfungen bei AWS überprüft.
12
Zugriff durch
Unternehmensangehörige.
Wie geht der CloudAnbieter mit dem Risiko
eines unangemessenen
Zugriffs durch
Unternehmensangehörige
auf Kundendaten und anwendungen um?
AWS hat bestimmte SOC 1-Kontrollen eingerichtet, die sich auf das Risiko eines
unangemessenen Zugriffs durch Unternehmensangehörige beziehen, und die
öffentlichen Zertifizierungs- und Compliance-Initiativen, die in diesem Dokument
behandelt werden, befassen sich mit dem Zugriff durch Unternehmensangehörige.
Bei sämtlichen Zertifizierungen und Bescheinigungen durch Dritte werden
präventive und nachträglich aufdeckende Kontrollen des logischen Zugriffs
überprüft. Darüber hinaus konzentrieren sich regelmäßige Risikobewertungen
darauf, wie der Zugriff durch Unternehmensangehörige kontrolliert und überwacht
wird.
12
13
Mehrere Mandanten. Ist
die Trennung der Daten
verschiedener Kunden
sicher umgesetzt?
Juli 2012
Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere Mandanten.
AWS hat Sicherheitsverwaltungsprozesse, PCI-Kontrollen und andere
Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden
voneinander getrennt werden. AWS-Systeme sind so konzipiert, dass Kunden
daran gehindert werden, auf physische Hosts oder Instances zuzugreifen, die ihnen
nicht zugewiesen sind, indem eine Filterung durch die Virtualisierungssoftware
erfolgt. Diese Architektur wurden von einem unabhängigen PCISicherheitsgutachter (Qualified Security Assessor, QSA) geprüft und erfüllt
sämtliche Vorgaben der im Oktober 2010 veröffentlichten PCI DSS-Version 2.0.
Beachten Sie, dass AWS auch Einzelmandantenoptionen bietet. Dedicated
Instances sind Amazon EC2-Instances, die innerhalb Ihrer Amazon Virtual Private
Cloud (Amazon VPC) gestartet werden und nur zur Ausführung der Hardware eines
einzigen Kunden dienen. Mithilfe von Dedicated Instances kommen Sie in den
vollen Genuss der Vorteile der Amazon VPC und AWS-Cloud, während Ihre Amazon
EC2-Instances auf Hardware-Ebene isoliert werden.
14
HypervisorSchwachstellen. Hat der
Cloud-Anbieter bekannte
HypervisorSchwachstellen beseitigt?
15
Umgang mit
Schwachstellen. Werden
Patches ordnungsgemäß
in Systeme eingespielt?
16
Verschlüsselung.
Unterstützen die
bereitgestellten Services
eine Verschlüsselung?
17
Rechte an Daten. Welche
Rechte werden dem
Cloud-Anbieter an
Kundendaten eingeräumt?
13
Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der
Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue
und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich
gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen
Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der XenHypervisor von AWS regelmäßig von unabhängigen Prüfern beurteilt. Im AWSWhitepaper zur Sicherheit finden Sie weitere Informationen zum Xen-Hypervisor
und zur strikten Trennung von Instances.
AWS ist zuständig für das Einspielen von Patches in Systeme, die für die
Bereitstellung von Services für die Kunden genutzt werden, z. B. Hypervisor und
Netzwerkdienste. Dies erfolgt gemäß AWS-Richtlinien sowie DIN ISO/IEC 27001-,
NIST- und PCI-Vorgaben. Kunden obliegt die Kontrolle ihrer eigenen
Gastbetriebssysteme, Software und Anwendungen. Sie sind demzufolge für das
Einspielen von Patches in ihre eigenen Systeme selbst verantwortlich.
Ja. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für
nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. VPCSitzungen sind ebenfalls verschlüsselt. Amazon S3 bietet Kunden auch als Option
die serverseitige Verschlüsselung. Kunden können auch
Verschlüsselungsmethoden anderer Anbieter nutzen. Weitere Informationen
finden Sie im AWS-Whitepaper zur Sicherheit.
Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS geht
beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf,
welche gesetzlichen Vorschriften einzuhalten sind. AWS zögert nicht, Verfügungen
von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung
ist, die Verfügungen seien ohne solide Grundlage.
18
Datenisolierung. Trennt
der Cloud-Anbieter
Kundendaten auf
angemessene Weise?
19
Zusammengesetzte
Services. Bietet der CloudAnbieter seinen Service im
Zusammenspiel mit CloudServices anderer Anbieter
an?
Physische und
Umgebungskontrollen.
Werden diese Kontrollen
vom angegebenen CloudAnbieter übernommen?
Schutz auf Client-Seite.
Erlaubt der CloudAnbieter Kunden die
Absicherung und
Verwaltung des Zugriffs
von Clients wie PCs und
mobilen Geräten?
Serversicherheit. Erlaubt
der Cloud-Anbieter
Kunden die Absicherung
ihrer virtuellen Server?
Identitäts- und
Zugriffsverwaltung. Bietet
der Service Funktionen für
die Identitäts- und
Zugriffsverwaltung?
Geplante Ausfallzeiten für
Wartungen. Wird der
Kunde benachrichtigt,
wenn Systeme zu
Wartungszwecken
heruntergefahren
werden?
20
21
22
23
24
14
Juli 2012
Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge
Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von
Kundendaten. Amazon S3 bietet erweiterte Datenzugriffskontrollen. Weitere
Informationen zur Sicherheit bestimmter Datenservices finden Sie im AWSWhitepaper zur Sicherheit.
AWS arbeitet nicht mit anderen Cloud-Anbietern zusammen, um Kunden AWSServices zu bieten.
Ja. Siehe hierzu den entsprechenden Abschnitt im SOC 1 Type II-Bericht. Darüber
hinaus fordern andere von AWS unterstützte Zertifizierungen wie DIN ISO/IEC
27001 und FISMA bewährte Methoden für physische und Umgebungskontrollen
an.
Ja. AWS erlaubt Kunden die Verwaltung von Client- und mobilen Anwendungen
entsprechend ihren Anforderungen.
Ja. AWS erlaubt Kunden die Implementierung ihrer eigenen Sicherheitsarchitektur.
Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zur Serverund Netzwerksicherheit.
AWS bietet verschiedene Funktionen für die Identitäts- und Zugriffsverwaltung, die
Kunden das Verwalten von Benutzeridentitäten, das Zuweisen von
Anmeldeinformationen, das Organisieren von Benutzern in Gruppen und das
Verwalten von Benutzerberechtigungen zentral ermöglichen. Auf der AWSWebsite finden Sie weitere Informationen.
AWS muss Systeme für regelmäßige Wartungs- und System-Patch-Aufgaben nicht
offline schalten. Die internen Wartungs- und System-Patch-Vorgänge bei AWS
haben in der Regel keine Auswirkungen auf Kunden. Die Wartung der Instances
selbst ist Aufgabe des Kunden.
25
26
27
28
29
30
15
Skalierbarkeit. Erlaubt der
Anbieter Kunden eine
Skalierung, die über den
Ursprungsvertrag
hinausgeht?
Verfügbarkeit von
Services. Verpflichtet sich
der Anbieter zu einem
hohen Grad an
Verfügbarkeit?
Distributed Denial Of
Service-Angriffe (DDoS).
Welche
Schutzvorkehrungen
bietet der Anbieter gegen
DDoS-Angriffe?
Portierbarkeit von Daten.
Können die bei einem
Service-Anbieter
gespeicherten Daten auf
Kundenwunsch exportiert
werden?
Aufrechterhaltung des
Geschäftsbetriebs durch
den Service-Anbieter.
Bietet der ServiceAnbieter ein Programm
zur Aufrechterhaltung des
Geschäftsbetriebs?
Betriebskontinuität auf
Kundenseite. Erlaubt der
Service-Anbieter Kunden
die Implementierung eines
Plans zur
Betriebskontinuität?
Juli 2012
Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und
Ausfallsicherheit aus und bietet Kunden ein enormes Skalierungspotenzial. Kunden
können ihre Bereitstellung vergrößern oder verkleinern und zahlen stets nur, was
sie nutzen.
In seinen Service Level Agreements (SLA) verpflichtet sich AWS zu hohen
Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS beispielsweise zu
einer Betriebszeit von 99,95 % im Jahr der Serviceleistung. Bei Amazon S3 beträgt
die mindestens zugesagte Betriebszeit 99,99 %. Sollten diese Verfügbarkeitszeiten
nicht eingehalten werden, erfolgen Servicegutschriften.
Am 21. April 2011 verzeichnete EC2 einen Service-Ausfall in der Region USA Ost,
der Auswirkungen auf die Kunden hatte. Details zum Service-Ausfall erhalten Sie
im Artikel "Summary of the Amazon EC2 and Amazon RDS Service Disruption in the
US East Region" (http://aws.amazon.com/message/65648/).
Das AWS-Netzwerk bietet umfassenden Schutz vor üblichen NetzwerkSicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche
Sicherheitsmaßnahmen implementieren. Im AWS-Whitepaper zur Sicherheit
finden Sie weitere Informationen zu diesem Thema und auch eine Erläuterung von
DDoS-Angriffen.
AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und
AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export-Service
für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe
tragbarer Speichergeräte für den Transport.
AWS bietet ein Programm zur Aufrechterhaltung des Geschäftsbetriebs.
Ausführliche Informationen finden Sie im AWS-Whitepaper zur Sicherheit.
AWS bietet Kunden die Möglichkeit der Implementierung eines zuverlässigen Plans
zur Betriebskontinuität, einschließlich häufiger Sicherungen von Server-Instances,
Replikation zur Datenredundanz und sich über mehrere Regionen/Availability
Zones erstreckender Bereitstellungsarchitekturen.
31
Lebensdauer von Daten.
Bestimmt der Service die
Lebensdauer von Daten?
32
Sicherungskopien.
Ermöglicht der Service
Sicherungen auf Band?
33
Preisanstiege. Darf der
Service-Anbieter seine
Preise unangemeldet
erhöhen?
Nachhaltigkeit. Bietet der
Service-Anbieter ein
langfristiges
Nachhaltigkeitspotenzial?
34
Juli 2012
Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit. Objekte
werden auf mehreren Geräten an mehreren Standorten einer Amazon S3-Region
redundant gespeichert. Nach der Speicherung bewahrt Amazon S3 die
Beständigkeit von Objekten durch schnelle Erkennung und Behebung etwaiger
Redundanzverluste. Amazon S3 überprüft auch regelmäßig die Integrität der
gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen
festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. In S3
gespeicherte Daten sind auf eine Beständigkeit von 99,999999999 % und eine
Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von einem Jahr
ausgelegt.
AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren
eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen
Bandsicherungsservice an. Der Amazon S3-Service ist mit einer Wahrscheinlichkeit
von Datenverlusten auf nahezu 0 % ausgelegt. Die Beständigkeit von
Datenobjektkopien an mehreren Standorten wird mittels redundanter
Datenspeicherung erreicht. Informationen zur Beständigkeit und Redundanz von
Daten finden Sie auf der AWS-Website.
AWS zeichnet sich durch häufige Preissenkungen aus, da die Kosten zum
Bereitstellen dieser Services mit der Zeit sinken. In den vergangen Jahren hat AWS
seine Preise stets reduziert.
AWS ist ein führender Cloud-Anbieter und ein langfristiges Strategieprojekt von
Amazon.com. AWS hat ein sehr hohes langfristiges Nachhaltigkeitspotenzial.
Kontakt bei AWS
Kunden können sich über ihren Vertreter für Geschäftsentwicklung an das AWS-Team für Compliance oder Security
wenden. Der Vertreter leitet Kunden je nach Art ihrer Anfrage an das entsprechende Team weiter. Alternativ können
allgemeine Fragen an folgende Adresse gesendet werden: [email protected]
ANHAND A: CSA CONSENSUS ASSESSMENTS INITIATIVE – FRAGEBOGEN,
VERSION 1.1
Die Cloud Security Alliance (CSA) ist eine "gemeinnützige Organisation mit dem Ziel der Förderung der Befolgung
bewährter Methoden zum Gewährleisten von Sicherheit beim Cloud Computing und zum Informieren über die
Einsatzmöglichkeiten von Cloud Computing zum Absichern aller anderen Formen der Datenverarbeitung". [Referenz
https://cloudsecurityalliance.org/about/] Eine große Vielzahl von IT-Sicherheitsexperten, Unternehmen und Verbänden
beteiligen sich an diesem Projekt, damit die Ziele der Organisation erreicht werden.
16
Juli 2012
Der Fragenkatalog der CSA Consensus Assessments Initiative umfasst verschiedene Fragen, die Cloud-Nutzer und/oder Begutachter ggf. einem Cloud-Anbieter stellen. Dazu zählen eine Reihe von Fragen zu Sicherheit, Kontrolle und
Prozessen, die anschließend für eine breite Palette von Zwecken genutzt werden können, z. B. bei der Auswahl des
Cloud-Anbieters und der Sicherheitsbewertung. AWS hat diesen Fragenkatalog wie folgt beantwortet.
Bereich
Kontrollgrupp
e.
CID
Compliance
Planung von
Prüfungen
CO-01.1
Compliance
Unabhängige
Prüfungen
CO-02.1
Compliance
CO-02.2
Compliance
CO-02.3
Compliance
CO-02.4
Compliance
CO-02.5
Compliance
CO-02.6
Compliance
CO-02.7
Compliance
17
Überprüfungen
durch Dritte
CO-03.1
Consensus Assessments InitiativeFragen
Generieren Sie Prüfbescheinigungen in
einem strukturierten, branchenweit
akzeptierten Format (z. B. CloudAudit/A6
URI Ontology, CloudTrust, SCAP/CYBEX,
GRC XML, ISACA's Cloud Computing
Management Audit/Assurance Program
usw.)?
Erlauben Sie Mandanten Einsicht in Ihre
Berichte vom Typ SAS70 Type II/SSAE 16
SOC2/ISAE3402 oder ähnliche Prüfberichte
von Dritten?
Führen Sie regelmäßige
Netzwerkpenetrationstests Ihrer CloudService-Infrastruktur gemäß
branchenüblicher bewährter Methoden
und Anleitungen durch?
Führen Sie regelmäßige
Anmeldungspenetrationstests Ihrer CloudService-Infrastruktur gemäß
branchenüblicher bewährter Methoden
und Anleitungen durch?
Führen Sie regelmäßige interne
Überprüfungen gemäß branchenüblicher
bewährter Methoden und Anleitungen
durch?
Führen Sie regelmäßige externe
Überprüfungen gemäß branchenüblicher
bewährter Methoden und Anleitungen
durch?
Werden die Ergebnisse von
Netzwerkpenetrationstests Mandanten auf
Antrag vorgelegt?
Werden die Ergebnisse interner und
externer Überprüfungen Mandanten auf
Antrag vorgelegt?
Erlauben Sie Mandanten unabhängige
Überprüfungen auf Schwachstellen?
Antwort von AWS
AWS hat bestimmte Branchenzertifizierungen
und unabhängige Bescheinigungen durch Dritte
erhalten und stellt AWS-Kunden mit einer
Vertraulichkeitsvereinbarung bestimmte
Zertifizierungen, Berichte und andere relevante
Dokumente direkt zur Verfügung.
AWS stellt Kunden mit einer
Vertraulichkeitsvereinbarung Bescheinigungen
durch Dritte, Zertifizierungen, einen Service
Organization Controls 1 (SOC 1) Type II-Bericht
und andere relevante Compliance-bezogene
Berichte direkt zur Verfügung.
In regelmäßigen Abständen untersucht das
Sicherheitsteam von AWS alle mit dem Internet
verbundenen IP-Adressen von ServiceEndpunkten auf Schwachstellen ab (Instances
von Kunden werden nicht untersucht). Das AWSSicherheitsteam benachrichtigt die betroffenen
Parteien, damit diese erkannte Schwachstellen
schließen. Zusätzlich werden regelmäßig
unabhängige externe Sicherheitsfirmen mit einer
Überprüfung auf Schwachstellen beauftragt. Die
Ergebnisse und Empfehlungen dieser
Überprüfungen werden kategorisiert und an die
Geschäftsleitung von AWS weitergeleitet.
Zusätzlich wird das Kontrollumfeld von AWS
regelmäßigen internen und externen
Risikoanalysen unterzogen. AWS beauftragt
externe Zertifizierungsgremien und unabhängige
Prüfer mit dem Prüfen und Testen des gesamten
AWS-Kontrollumfelds.
Kunden können die Erlaubnis zur Durchführung
solcher Untersuchungen der eigenen Cloud-
Compliance
CO-03.2
Beauftragen Sie externe Unternehmen mit
Untersuchungen auf Schwachstellen und
regelmäßigen Penetrationstests Ihrer
Anwendungen und Netzwerke?
Compliance
Kontakt mit
Behörden
CO-04.1
Pflegen Sie gemäß Verträgen und
geltenden Vorschriften Kontakte mit
lokalen Behörden?
Compliance
Segmentierung
von
Kundendaten
CO-05.1
Haben Sie die Möglichkeit, Kundendaten
dergestalt logisch so zu segmentieren oder
zu verschlüsseln, dass Daten nur für einen
einzelnen Mandaten generiert werden
können, ohne unbeabsichtigterweise auf
Daten eines anderen Mandanten
zuzugreifen?
Haben Sie die Fähigkeit, Daten eines
bestimmten Kunden zu segmentieren und
bei einem Systemausfall oder nach
Datenverlust wiederherzustellen?
CO-05.2
Compliance
Compliance
18
Geistiges
Eigentum
Geistiges
Eigentum
CO-06.1
CO-07.1
Bieten Sie Richtlinien und Verfahren, in
denen beschrieben ist, welche Kontrollen
zum Schutz des geistigen Eigentums von
Mandanten aktiv sind?
Bleiben bei einer Detailuntersuchung der
von Mandanten in Cloud betriebenen
Services zum Nutzen des Cloud-Anbieters
die Rechte am geistigen Eigentum der
Mandanten gewahrt?
Juli 2012
Infrastruktur beantragen, sofern sich diese
Untersuchungen auf die Instances des Kunden
beschränken und nicht gegen die Richtlinien zur
angemessenen Nutzung von AWS verstoßen.
Eine Genehmigung dieser Arten von
Untersuchungen kann über das Formular "AWS
Vulnerability / Penetration Testing" beantragt
werden.
Das AWS-Sicherheitsteam beauftragt regelmäßig
unabhängige Sicherheitsexperten mit der
Durchführung externer Überprüfungen auf
Schwachstellen. Der AWS SOC 1 Type 2-Bericht
bietet weitere Details zu den spezifischen
Kontrollmaßnahmen von AWS.
AWS pflegt gemäß der Norm DIN ISO/IEC 27001
Kontakte mit Branchengremien,
Risikomanagement- und ComplianceOrganisationen, lokalen Behörden und
Regulierungsgremien.
Für alle von AWS im Auftrag von Kunden
gespeicherten Daten gibt es strenge Sicherheitsund Kontrollfunktionen zum Gewährleisten der
strikten Trennung von Kundendaten. Kontrolle
und Besitz der eigenen Daten verbleiben bei den
Kunden, weshalb sie für die etwaige
Verschlüsselung ihrer Daten zuständig sind. AWS
erlaubt Kunden die Nutzung ihrer eigenen
Verschlüsselungsmethoden für nahezu sämtliche
Services, einschließlich S3, EBS, SimpleDB und
EC2. VPC-Sitzungen sind ebenfalls verschlüsselt.
Amazon S3 bietet Kunden auch als Option die
serverseitige Verschlüsselung. Weitere Details
finden Sie im AWS-Whitepaper "Risiko und
Compliance" unter
http://aws.amazon.com/security.
Die Compliance- und Sicherheitsteams von AWS
haben ein Rahmenwerk für die
Informationssicherheit und dazugehörige
Richtlinien entwickelt, das auf dem COBITRahmenwerk (Control Objectives for Information
and related Technology) basiert. In das AWSRahmenwerk für Sicherheit sind die bewährten
Methoden gemäß ISO/IEC 27002 und dem PCI
Data Security Standard integriert.
Weitere Details finden Sie im AWS-Whitepaper
"Risiko und Compliance" unter
Die Ressourcennutzung wird von AWS den
Anforderungen entsprechend überwacht, um die
Verfügbarkeit des Service effektiv
sicherzustellen. Bei der Überwachung der
Ressourcennutzung erfasst AWS keine das
geistige Eigentum des Kunden betreffenden
Informationen.
Compliance
Geistiges
Eigentum
CO-08.1
DatenGovernance
Besitz/Verwaltu
ng
DG01.1
DatenGovernance
Klassifizierung
DG02.1
Bieten Sie bei einer Detailuntersuchung
der von Mandanten in Cloud betriebenen
Services zum Nutzen des Cloud-Anbieters
Mandanten die Möglichkeit, diese zu
verweigern?
Befolgen Sie einen strukturierten Standard
für die Schriftgutverwaltung (z. B. DIN ISO
15489, Oasis XML Catalog Specification,
CSA-Anleitung für Datentypen)?
Die Nutzung der Services von Kunden, die in der
Cloud betrieben werden, wird nicht im Detail
untersucht.
Verfügen Sie über eine Möglichkeit zum
Identifizieren virtueller Maschinen über
Richtlinien-Tags/Metadaten (können
beispielsweise Tags genutzt werden, um
das Gastbetriebssystem daran zu hindern,
Daten im falschen Land zu
laden/instanziieren/transportieren usw.)?
Verfügen Sie über eine Möglichkeit zum
Identifizieren von Hardware über
Richtlinien-Tags/Metadaten/HardwareTags (z. B. TXT/TPM, VN-Tag usw.)?
Virtuelle Maschinen werden Kunden im Rahmen
des EC2-Service zugewiesen. Kunden behalten
die Kontrolle darüber, welche Ressourcen
genutzt werden und wo sich diese befinden. Auf
der AWS-Website (http://aws.amazon.com)
finden Sie weitere Details.
DatenGovernance
DG02.2
DatenGovernance
DG02.3
Verfügen Sie über eine Möglichkeit, den
geografischen Standort eines Systems als
Authentifizierungsfaktor zu nutzen?
DatenGovernance
DG02.4
Können Sie auf Anfrage den physischen
Standort des Speichers der Daten eines
Mandanten angeben?
DatenGovernance
DG02.5
Ermöglichen Sie Mandanten das
Bestimmen akzeptabler geografischer
Standorte für das Routing von Daten oder
die Instanziierung von Ressourcen?
DG03.1
Gibt es Richtlinien und Verfahren für die
Benennung, Verarbeitung und Sicherheit
von Daten und Objekten, die Daten
enthalten?
Sind Mechanismen für die
Benennungsvererbung für Objekte
implementiert, die als Sammelcontainer
für Daten fungieren?
DatenGovernance
DatenGovernance
19
Richtlinien für
Verarbeitung/Be
nennung/Sicher
heit
DG03.2
Juli 2012
AWS-Kunden behalten die Kontrolle über ihre
eigenen Daten und können zum Erfüllen ihrer
Anforderungen einen strukturierten Standard für
die Schriftgutverwaltung implementieren.
AWS bietet die Möglichkeit, EC2-Ressourcen mit
Tags zu versehen. EC2-Tags sind ein Typ von
Metadaten, der verwendet werden kann, um
benutzerfreundliche Namen zu erstellen, die
Durchsuchbarkeit zu verbessern und die
Koordination zwischen mehreren Benutzern zu
verbessern. Die AWS Management Console
unterstützt ebenfalls das Arbeiten mit Tags.
AWS bietet die Möglichkeit des auf der IPAdresse basierenden bedingten Benutzerzugriffs.
Kunden können Bedingungen hinzufügen, um zu
steuern, wie Benutzer AWS nutzen, z. B.
Tageszeiten, ihre Quell-IP-Adresse oder
Anforderung von SSL.
AWS bietet den Kunden die Flexibilität, Instances
und Daten in mehreren geografischen Regionen
zu speichern. AWS-Kunden geben an, in welcher
Region sich ihre Daten und Server physisch
befinden sollen. AWS verschiebt Daten von
Kunden nicht ohne vorherige Benachrichtigung
des Kunden aus den ausgewählten Regionen, es
sei denn, dies ist erforderlich, um Gesetze oder
Vorschriften einzuhalten. Derzeit ist AWS in
sechs Regionen verfügbar: USA Ost (NordVirginia), USA West (Nord-Kalifornien), GovCloud
(USA) (Oregon), Südamerika (São Paulo), EU
(Irland), Asien-Pazifik (Singapur) und AsienPazifik (Tokio). Weitere Details finden Sie im
AWS-Whitepaper "Risiko und Compliance" unter
Kontrolle und Besitz der eigenen Daten
verbleiben bei den AWS-Kunden, die zum
Erfüllen ihrer Anforderungen Richtlinien und
Verfahren für die Benennung und Verarbeitung
implementieren können.
DatenGovernance
Aufbewahrungsr
ichtlinien
DatenGovernance
DG04.1
DG04.2
Verfügen Sie über technische
Kontrollmöglichkeiten zum Erzwingen der
Datenaufbewahrungsrichtlinien von
Mandanten?
Verfügen Sie über ein dokumentiertes
Verfahren zum Beantworten von Anfragen
nach Mandantendaten von Behörden oder
Dritten?
Juli 2012
AWS ermöglicht Kunden das Löschen ihrer
Daten. Kontrolle und Besitz der eigenen Daten
verbleiben allerdings bei den AWS-Kunden,
weshalb sie für das Verwalten der
Datenaufbewahrung gemäß ihren
Anforderungen zuständig sind. Weitere
Informationen finden Sie im Whitepaper
"Amazon Web Services – Übersicht über
Sicherheitsverfahren" auf der AWS-Website
(http://aws.amazon.com/security).
AWS geht beim Schutz der Kundendaten auf
Nummer Sicher und achtet sorgfältig darauf,
welche gesetzlichen Vorschriften einzuhalten
sind. AWS zögert nicht, Verfügungen von
Strafverfolgungsbehörden anzufechten, wenn
das Unternehmen der Meinung ist, die
Verfügungen seien ohne solide Grundlage.
DatenGovernance
Sicheres
dauerhaftes
Löschen
DatenGovernance
DG05.1
DG05.2
Unterstützen Sie das sichere Löschen (z. B.
Entmagnetisieren/kryptografische
Löschen) archivierter Daten gemäß den
Vorgaben des Mandanten?
Verfügen Sie über ein veröffentlichtes
Verfahren zum Beenden der
Servicevereinbarung einschließlich
Zusicherung der Bereinigung von
Mandantendaten aus allen EDVRessourcen, sobald ein Kunde Ihre
Umgebung verlassen oder eine Ressource
freigegeben hat?
DatenGovernance
Nicht für die
Produktionsumg
ebung
vorgesehene
Daten
DG06.1
Verfügen Sie über Verfahren, die
sicherstellen, dass Produktionsdaten nicht
in andere Umgebungen als in die
Produktionsumgebung repliziert oder in
diesen verwendet werden?
DatenGovernance
Informationslec
ks
DG07.1
Verfügen Sie über Kontrollen, die
Datenlecks oder die
beabsichtigte/unbeabsichtigte Gefährdung
von Daten zwischen Mandanten in einer
Mehrmandantenumgebung verhindern?
20
Zu den AWS-Prozessen gehört u. a. ein Verfahren
für die Außerbetriebnahme von Speichergeräten,
die das Ende ihrer Nutzungsdauer erreicht
haben. Bei diesem Verfahren wird sichergestellt,
dass Kundendaten nicht autorisierten Personen
nicht preisgegeben werden. AWS verwendet die
im DoD 5220.22-M ("National Industrial Security
Program Operating Manual") oder in NIST 80088 ("Guidelines for Media Sanitation")
beschriebenen Verfahren, um Daten im Zuge der
Außerbetriebnahme zu zerstören. Falls eine
Hardwarekomponente nicht mithilfe dieser
Verfahren außer Betrieb genommen werden
kann, wird das Gerät entmagnetisiert oder
gemäß den branchenüblichen Verfahren
zerstört. Weitere Informationen finden Sie im
Whitepaper "Amazon Web Services – Übersicht
über Sicherheitsverfahren" auf der AWS-Website
verbleiben bei den AWS-Kunden. AWS
ermöglicht Kunden das Entwickeln und Pflegen
von Produktions- und anderen Umgebungen.
Kunden sind dafür zuständig, dass ihre
Produktionsdaten nicht in andere Umgebungen
repliziert werden.
Die AWS-Umgebung ist eine virtualisierte
Umgebung für mehrere Mandanten. AWS hat
Sicherheitsverwaltungsprozesse, PCI-Kontrollen
und andere Sicherheitskontrollen eingerichtet,
mit deren Hilfe die Daten der einzelnen Kunden
voneinander getrennt werden. AWS-Systeme
sind so konzipiert, dass Kunden daran gehindert
DatenGovernance
DG07.2
Verfügen Sie über eine Lösung zur
Verhinderung von Datenverlusten oder
Eindringversuchen für alle Systeme mit
Schnittstelle zu Ihrem Cloud-ServiceAngebot?
Juli 2012
werden, auf physische Hosts oder Instances
zuzugreifen, die ihnen nicht zugewiesen sind,
indem eine Filterung durch die
Virtualisierungssoftware erfolgt. Diese
Architektur wurden von einem unabhängigen
PCI-Sicherheitsgutachter (Qualified Security
Assessor, QSA) geprüft und erfüllt sämtliche
Vorgaben der im Juni 2011 veröffentlichten PCI
DSS-Version 2.0.
DatenGovernance
Risikobewertun
gen
DG08.1
Bieten Sie Statusdaten zur
Sicherheitskontrolle, um Mandanten die
Implementierung einer fortlaufenden
branchenüblichen Überwachung zu
ermöglichen (die eine laufende
Überwachung Ihres physischen und
logischen Kontrollstatus durch den
Mandanten zulässt)?
Anlagensicher
heit
Richtlinie
FS-01.1
Können Sie nachweisen, dass Richtlinien
und Verfahren zum Gewährleisten einer
sicheren Arbeitsumgebung in Büros,
Räumen, Anlagen und
Sicherheitsbereichen befolgt werden?
Anlagensicher
heit
Benutzerzugang
FS-02.1
Werden alle Einstellungskandidaten,
Auftragnehmer und Drittparteien gemäß
geltenden Gesetzen, Vorschriften,
ethischen Grundsätzen und
Vertragsbedingungen einer
Hintergrundprüfung unterzogen?
21
AWS veröffentlicht Berichte von unabhängigen
Prüfern und Zertifizierungsstellen, um Kunden
mit umfassenden Informationen zu Richtlinien,
Prozessen und Kontrollen zu versorgen, die von
AWS definiert wurden und umgesetzt werden.
Die entsprechenden Zertifizierungen und
Berichte können AWS-Kunden zur Verfügung
gestellt werden.
Eine fortlaufende Überwachung logischer
Kontrollen kann durch Kunden in ihren eigenen
Systemen erfolgen.
AWS beauftragt externe Zertifizierungsgremien
und unabhängige Prüfer mit dem Prüfen und
Validieren der Einhaltung sämtlicher
Compliance-Rahmenwerke. Der AWS SOC 1 Type
2-Bericht bietet weitere Details zu den
spezifischen physischen
Sicherheitskontrollmaßnahmen von AWS. In der
Norm DIN ISO/IEC 27001 finden Sie in Anhang A,
Abschnitt 9.1 weitere Details. AWS wurde von
einem unabhängigen Prüfer geprüft und hat als
Nachweis der Befolgung der Norm DIN ISO/IEC
27001 eine entsprechende Zertifizierung
erhalten.
AWS führt gemäß geltendem Recht im Rahmen
seiner Prüfpraktiken vor einer Einstellung
Untersuchungen auf Vorstrafen bei Mitarbeitern
durch, und zwar entsprechend der Position des
Mitarbeiters und seines Grad des Zugangs zu
AWS-Anlagen.
Juli 2012
Anlagensicher
heit
Kontrollierte
Zugangspunkte
FS-03.1
Sind physische Sicherheitsmaßnahmen
(Zäune, Mauern, Barrieren, Wärter,
Sperren, elektronische Überwachung,
physische
Authentifizierungsmechanismen,
Empfangsschalter und Bewacher)
vorhanden?
Zu den physischen Sicherheitsmaßnahmen
zählen u. a. Vorkehrungen wie Zäune, Mauern,
Sicherheitspersonal, Videoüberwachung,
Einbruchmeldeanlagen und andere elektronische
Systeme. Der AWS SOC 1 Type 2-Bericht bietet
weitere Details zu den spezifischen
Kontrollmaßnahmen von AWS. In der Norm DIN
ISO/IEC 27001 finden Sie in Anhang A,
Abschnitt 9.1 weitere Informationen. AWS
wurde von einem unabhängigen Prüfer geprüft
und hat als Nachweis der Befolgung der Norm
DIN ISO/IEC 27001 eine entsprechende
Zertifizierung erhalten.
Anlagensicher
heit
Autorisierung
für
Sicherheitsberei
ch
FS-04.1
Ermöglichen Sie Mandanten das Angeben,
welche Ihrer geografischen Standorte ihre
Daten durchlaufen dürfen (zum Erfüllen
rechtlicher Aspekte hinsichtlich des Orts,
an dem Daten gespeichert werden bzw. an
dem auf sie zugegriffen wird)?
Anlagensicher
heit
Zugang
unbefugter
Personen
FS-05.1
Werden Eingangs- und Ausgangspunkte
wie beispielsweise Servicebereiche und
andere Punkte, an denen nicht befugtes
Personal das Betriebsgelände betreten
können, überwacht, kontrolliert und von
der Datenspeicherung und -verarbeitung
isoliert?
Anlagensicher
heit
Standortexterne
Autorisierung
FS-06.1
Stellen Sie Mandanten Dokumentation zur
Verfügung, in der Szenarien beschrieben
werden, bei denen Daten ggf. von einem
physischen Standort zu einem anderen
verschoben werden? (Beispiele:
standortexterne Sicherungen, Failover für
Betriebskontinuität, Replikation)
AWS-Kunden können angeben, in welcher
Region sich ihre Daten physisch befinden sollen.
AWS verschiebt Daten von Kunden nicht ohne
vorherige Benachrichtigung des Kunden aus den
ausgewählten Regionen, es sei denn, dies ist
erforderlich, um Gesetze oder Vorschriften
einzuhalten. AWS ist gegenwärtig in den
folgenden sechs Regionen verfügbar: USA Ost
(Nord-Virginia), USA West (Nordkalifornien und
Oregon), GovCloud (USA) (Oregon), EU (Irland),
Asien-Pazifik (Singapur) und Asien-Pazifik (Tokio).
Weitere Details finden Sie auf der AWS-Website
unter http://aws.amazon.com.
Der physische Zugang wird durch professionelles
Sicherheitspersonal streng kontrolliert, sowohl
an der Geländegrenze als auch an den
Gebäudeeingängen. Dabei werden
Videoüberwachung, Einbruchmeldeanlagen und
andere elektronische Vorrichtungen eingesetzt.
Autorisierte Mitarbeiter müssen mindestens
zweimal eine Zwei-Faktor-Authentifizierung
durchlaufen, bevor sie die
Rechenzentrumsebenen betreten dürfen.
Weitere Informationen finden Sie im Whitepaper
(http://aws.amazon.com/security). Der AWS SOC
1 Type 2-Bericht bietet zudem weitere Details zu
den spezifischen Kontrollmaßnahmen von AWS.
AWS-Kunden können angeben, in welcher
Region sich ihre Daten physisch befinden sollen.
einzuhalten.
22
Anlagensicher
heit
Anlagensicher
heit
Standortexterne
Anlagen
Komponentenm
anagement
Anlagensicher
heit
Personalsiche
rheit
Personalsiche
rheit
23
FS-07.1
FS-08.1
FS-08.2
Hintergrundübe
rprüfung
Mitarbeitervertr
äge
HR-01.1
HR-02.1
Stellen Sie Mandanten Dokumentation zur
Verfügung, in der Ihre Richtlinien und
Verfahren für das
Komponentenmanagement und die
Wiederverwendung von Anlagen
beschrieben werden?
Juli 2012
Zu den AWS-Prozessen gehört in
Übereinstimmung mit den DIN ISO/IEC 27001Normen ein Verfahren für die
Außerbetriebnahme von Speichergeräten, die
das Ende ihrer Nutzungsdauer erreicht haben.
Bei diesem Verfahren wird sichergestellt, dass
Kundendaten nicht autorisierten Personen nicht
preisgegeben werden. AWS verwendet die im
DoD 5220.22-M ("National Industrial Security
Program Operating Manual") oder in NIST 80088 ("Guidelines for Media Sanitation")
beschriebenen Verfahren, um Daten im Zuge der
Außerbetriebnahme dauerhaft zu löschen. Falls
eine Hardwarekomponente nicht mithilfe dieser
Verfahren außer Betrieb genommen werden
kann, wird das Gerät entmagnetisiert oder
gemäß den branchenüblichen Verfahren
zerstört.
Verfügen Sie über ein vollständiges
Inventar aller ihrer kritischen
Komponenten einschließlich dem
jeweiligem Zuständigen?
Verfügen Sie über eine vollständige
Aufstellung aller ihrer Beziehungen mit
wichtigen Lieferanten?
In der Norm DIN ISO/IEC 27001 finden Sie in
Anhang A, Abschnitt 9.2 weitere Details. AWS
In Übereinstimmung mit DIN ISO/IEC 27001Normen werden AWS-Hardwarekomponenten
vom AWS-Personal mit AWS-eigenen
Inventarverwaltungstools einem Zuständigen
zugewiesen, nachverfolgt und überwacht. Das
AWS-Team für Beschaffung pflegt Beziehungen
mit allen AWS-Lieferanten in der Lieferkette.
Werden alle Einstellungskandidaten,
Auftragnehmer und Drittparteien gemäß
geltenden Gesetzen, Vorschriften,
ethischen Grundsätzen und
Vertragsbedingungen einer
Hintergrundprüfung unterzogen?
AWS führt gemäß geltendem Recht im Rahmen
seiner Prüfpraktiken vor einer Einstellung
Untersuchungen auf Vorstrafen bei Mitarbeitern
durch, und zwar entsprechend der Position des
Mitarbeiters und seines Grad des Zugangs zu
AWS-Anlagen.
Schulen Sie Ihre Mitarbeiter für ihre Rolle
bzw. die Rolle des Mandanten bei der
Bereitstellung von Kontrollen der
Informationssicherheit?
Alle Mitarbeiter müssen den Verhaltenskodex
des Unternehmens befolgen und an
regelmäßigen Schulungen zur
Informationssicherheit teilnehmen, wobei sie
HR-02.2
Wie dokumentieren Sie die Bestätigung
von Schulungen, die Mitarbeiter absolviert
haben?
Juli 2012
sich die Teilnahme bestätigen lassen müssen.
Compliance-Überprüfungen erfolgen regelmäßig,
damit Mitarbeiter die vorgegebenen Richtlinien
verstehen und befolgen. Weitere Informationen
finden Sie im Whitepaper "Amazon Web Services
– Übersicht über Sicherheitsverfahren" auf der
AWS-Website
Die AWS-Personalabteilung definiert interne zu
übernehmende Managementzuständigkeiten für
die Kündigung und Rollenänderung von
Mitarbeitern und Lieferanten. Die Zuständigkeit
für die Bereitstellung des Zugriffs für Mitarbeiter
und Auftragnehmer bzw. deren Aufhebung wird
unter der Personalabteilung, der Abteilung
Corporate Operations und den
Serviceverantwortlichen aufgeteilt. Weitere
AWS stellt seinen Kunden die Dokumentation zur
DIN ISO/IEC 27001-Zertifizierung zur Verfügung,
in der das AWS-Managementprogramm zur
Informationssicherheit beschrieben ist.
Personalsiche
rheit
Mitarbeiterkünd
igung
HR-03.1
Werden zu übernehmende Rollen und
Zuständigkeiten bei der Kündigung von
Mitarbeitern oder Änderungen an
Beschäftigungsverhältnissen zugewiesen,
dokumentiert und kommuniziert?
Informationss
icherheit
Managementpr
ogramm
IS-01.1
Stellen Sie Mandanten Dokumentation mit
einer Beschreibung Ihres
Managementprogramms zur
Informationssicherheit zur Verfügung?
Informationss
icherheit
Managementun
terstützung/beteiligung
IS-02.1
Sind Richtlinien vorhanden, um zu
gewährleisten, dass Geschäftsführung und
Abteilungsleitung formelle Schritte
ergreifen, um die Informationssicherheit
mithilfe von klar dokumentierten
Anweisungen, Engagement, expliziten
Beauftragungen und der Überprüfung der
Erfüllung der Beauftragungen zu
unterstützen?
In Übereinstimmung mit den DIN ISO/IEC 27001Normen wurden mithilfe des AWS-Rahmenwerks
für Informationssicherheit Richtlinien und
Verfahren festgelegt. Das Kontrollumfeld von
Amazon setzt auf der Führungsebene des
Unternehmens ein. Die Geschäftsleitung und die
leitenden Angestellten spielen bei der
Bestimmung der Firmenphilosophie und bei der
Festlegung der Grundwerte des Unternehmens
eine entscheidende Rolle. Weitere Details finden
Sie im AWS-Whitepaper "Risiko und Compliance"
unter http://aws.amazon.com/security.
Informationss
icherheit
Richtlinie
IS-03.1
Stimmen Ihre Richtlinien für
Informationssicherheit und Datenschutz
mit bestimmten Branchennormen (DIN
ISO/IEC 27001, ISO-22307, CoBIT usw.)
überein?
Gibt es Vereinbarungen, die sicherstellen,
dass Ihre Lieferanten Ihre Richtlinien für
Informationssicherheit und Datenschutz
befolgen?
Können Sie nachweisen, dass Ihre
Kontrollen, Architektur und Prozesse
Vorschriften und/oder Normen
ordnungsgemäß entsprechen?
Richtlinien und Verfahren wurden vom AWSTeam für Informationssicherheit gemäß dem
COBIT-Rahmenwerk, DIN ISO/IEC 27001-Normen
und den PCI DSS-Vorgaben festgelegt.
IS-03.2
IS-03.3
24
AWS wurde von einem unabhängigen Prüfer
geprüft und hat als Nachweis der Befolgung der
Norm DIN ISO/IEC 27001 eine entsprechende
Zertifizierung erhalten. Darüber hinaus
veröffentlicht AWS einen SOC 1 Type II-Bericht.
Weitere Details finden Sie im SOC 1-Bericht.
Weitere Informationen finden Sie im AWSWhitepaper "Risiko und Compliance" unter
Informationss
icherheit
Basisanforderun
gen
IS-04.1
Haben Sie Basiswerte für die
Informationssicherheit aller Komponenten
Ihrer Infrastruktur (z. B. Hypervisors,
Betriebssysteme, Router, DNS-Server usw.)
dokumentiert?
Informationss
icherheit
IS-04.2
Haben Sie eine Möglichkeit, fortlaufend zu
überwachen, ob Ihre Infrastruktur Ihre
Basiswerte zur Informationssicherheit
einhält und entsprechende Berichte zu
erstellen?
Informationss
icherheit
IS-04.3
Ermöglichen Sie Ihren Kunden die
Bereitstellung ihres eigenen
vertrauenswürdigen Image einer virtuellen
Maschine, um die Einhaltung ihrer eigenen
internen Standards zu gewährleisten?
Benachrichtigen Sie Mandanten, wenn Sie
wesentliche Änderungen an Ihren
Richtlinien für Informationssicherheit
und/oder Datenschutz vornehmen?
Informationss
icherheit
Richtlinienüberp
rüfungen
IS-05.1
Informationss
icherheit
Richtliniendurch
setzung
IS-06.1
Gilt eine formelle Richtlinie für Disziplinaroder Sanktionsmaßnahmen für
Mitarbeiter, die gegen
Sicherheitsrichtlinien oder -verfahren
verstoßen?
IS-06.2
Ist Mitarbeitern bekannt, welche
Maßnahmen ggf. bei einem Verstoß
erfolgen und sind diese in den Richtlinien
und Verfahren entsprechend
ausgewiesen?
Informationss
icherheit
Juli 2012
In Übereinstimmung mit DIN ISO/IEC 27001Normen verwendet AWS Systembasiswerte für
kritische Komponenten. In der Norm DIN ISO/IEC
27001 finden Sie in Anhang A in den
Abschnitten 12.1 und 15.2 weitere Details. AWS
Kunden können ein eigenes Image ihrer
virtuellen Maschine bereitstellen. Mit VM Import
können Kunden auf einfache Weise Images
virtueller Maschinen aus Ihrer vorhandenen
Umgebung in Amazon EC2-Instances
importieren.
Die Whitepaper "Amazon Web Services –
Übersicht über Sicherheitsverfahren" und "Risiko
und Compliance" unter
http://aws.amazon.com/security werden
regelmäßig mit den Änderungen an den AWSRichtlinien aktualisiert.
AWS bietet Mitarbeitern eine Schulung in Sachen
Sicherheit und Sicherheitsrichtlinien, um sie mit
ihren Rollen und Zuständigkeiten hinsichtlich der
Informationssicherheit vertraut zu machen.
Mitarbeiter, die gegen Amazon-Standards oder Vorschriften verstoßen, werden einer
Untersuchung unterzogen, auf die die
entsprechende Disziplinarmaßnahme folgt (z. B.
Verwarnung, Leistungsplan, Suspendierung
und/oder Kündigung). Weitere Informationen
finden Sie im Whitepaper "Amazon Web Services
– Übersicht über Sicherheitsverfahren" auf der
AWS-Website
Informationss
icherheit
25
Benutzerzugriffs
richtlinie
IS-07.1
Gibt es Kontrollen, die das zeitgerechte
Aufheben des Systemzugriffs
gewährleisten, sobald dieser nicht mehr
für geschäftliche Zwecke nötig ist?
Der Zugriff wird automatisch aufgehoben, sobald
die Akte eines Mitarbeiters aus dem
Personalmanagementsystem von Amazon
gelöscht wird. Sobald sich die Position eines
Informationss
icherheit
Informationss
icherheit
Informationss
icherheit
Informationss
icherheit
IS-07.2
Einschränkung/
Autorisierung
des
Benutzerzugriffs
IS-08.1
Aufhebung des
Benutzerzugriffs
IS-09.1
Informationss
icherheit
Informationss
icherheit
Informationss
icherheit
26
IS-08.2
IS-09.2
Überprüfungen
des
Benutzerzugriffs
Stellen Sie Metriken bereit, mit deren Hilfe
das Tempo bestimmt wird, in dem Sie
einen Systemzugriff aufheben können, der
nicht mehr für geschäftliche Zwecke
benötigt wird?
Dokumentieren Sie, wie der Zugriff auf
Mandantendaten gewährt und genehmigt
wird?
Verfügen Sie über eine Möglichkeit, um
zum Zweck der Zugriffskontrolle
Klassifizierungsmethoden für Anbieterund Mandantendaten aufeinander
abzustimmen?
Erfolgt bei einer etwaigen Änderung des
Status von Mitarbeitern, Auftragnehmern,
Kunden, Geschäftspartnern oder anderen
Dritten eine zeitgerechte
Außerbetriebnahme, Aufhebung oder
Änderung des Benutzerzugriffs auf
Systeme, Informationskomponenten und
Daten der Organisation?
Werden bei einer Änderung des Status
auch die Kündigung des
Beschäftigungsverhältnisses, Vertrags oder
der Vereinbarung, eine Änderung des
Beschäftigungsverhältnisses oder eine
Versetzung innerhalb der Organisation
berücksichtigt?
IS-10.1
Führen Sie mindestens jährlich eine
Überprüfung der Berechtigungen aller
Systembenutzer und Administratoren (mit
Ausnahme der Benutzer, die von Ihren
Mandanten verwaltet werden) durch?
IS-10.2
Werden, sollten Benutzer mit
ungeeigneten Berechtigungen gefunden
werden, sämtliche Abhilfe- und
Bescheinigungsmaßnahmen
aufgezeichnet?
Juli 2012
Mitarbeiters ändert, muss der fortgesetzte
Zugriff dem Mitarbeiter ausdrücklich genehmigt
werden. Andernfalls wird er automatisch
aufgehoben. Der SOC 1 Type II-Bericht von AWS
enthält weitere Details zum Aufheben des
Benutzerzugriffs. Darüber hinaus finden sich im
AWS-Whitepaper zur Sicherheit im Abschnitt
"Employee Lifecycle" weitere Informationen.
Anhang A, Abschnitt 11 weitere Details. AWS
verbleiben bei den AWS-Kunden. Kunden sind
für Entwicklung, Inhalte, Betrieb und Wartung
sowie für die Nutzung ihrer Inhalte
verantwortlich.
Der Zugriff wird automatisch aufgehoben, sobald
die Akte eines Mitarbeiters aus dem
Personalmanagementsystem von Amazon
gelöscht wird. Sobald sich die Position eines
Mitarbeiters ändert, muss der fortgesetzte
Zugriff dem Mitarbeiter ausdrücklich genehmigt
werden. Andernfalls wird er automatisch
aufgehoben. Der SOC 1 Type II-Bericht von AWS
enthält weitere Details zum Aufheben des
Benutzerzugriffs. Darüber hinaus finden sich im
AWS-Whitepaper zur Sicherheit im Abschnitt
"Employee Lifecycle" weitere Informationen.
Anhang A, Abschnitt 11 weitere Details. AWS
In Übereinstimmung mit der Norm DIN ISO/IEC
27001 werden sämtliche erteilten
Zugriffsberechtigungen alle 90 Tage überprüft.
Eine ausdrückliche erneute Genehmigung ist
erforderlich, oder der Zugriff des Mitarbeiters
wird automatisch aufgehoben. Im SOC 1 Type IIBericht sind die für die Überprüfung des
Benutzerzugriffs spezifischen Kontrollen
dargelegt. Ausnahmen bei den Kontrollen der
Benutzerberechtigung sind im SOC 1 Type II-
Informationss
icherheit
Informationss
icherheit
IS-10.3
Schulung/Sensib
ilisierung
Informationss
icherheit
Informationss
icherheit
IS-11.1
IS-11.2
Branchenwissen
/Vergleichstests
IS-12.1
Stellen Sie Ihren Mandanten Berichte zu
Abhilfe- und Bescheinigungsmaßnahmen
für Benutzerberechtigungen zur
Verfügung, wenn ein unangemessener
Zugriff auf Mandantendaten zugelassen
wurde?
Bieten oder ermöglichen Sie allen
Personen mit Zugriff auf Mandantendaten
ein formelles Schulungsprogramm zur
Sensibilisierung für Sicherheitsfragen beim
Cloud-Zugriff oder bei
Datenmanagementproblemen (d. h.
mehrere Mandanten, Nationalität,
Auswirkungen der Aufgabentrennung im
Cloud-Bereitstellungsmodell,
Interessenkonflikte)?
Sind Administratoren und Datenverwalter
hinsichtlich ihrer rechtlichen
Zuständigkeiten mit Blick auf Sicherheit
und Datenintegrität ordnungsgemäß
geschult?
Sind Sie Mitglied von Branchengruppen
oder Berufsverbänden im Zusammenhang
mit Informationssicherheit?
IS-12.2
Vergleichen Sie Ihre Sicherheitskontrollen
mit Branchenstandards?
Juli 2012
Bericht dokumentiert.
27001 nehmen alle AWS-Mitarbeiter regelmäßig
an einer Schulung zur Informationssicherheit teil.
Die Teilnahme muss bestätigt werden.
Compliance-Überprüfungen erfolgen regelmäßig,
damit Mitarbeiter die vorgegebenen Richtlinien
verstehen und befolgen.
AWS-Compliance- und Sicherheitsteams stehen
in Kontakt mit Branchengruppen und Anbietern
professioneller Dienstleistungen in Sachen
Sicherheit. AWS hat ein basierend auf dem
COBIT-Rahmenwerk ein eigenes Rahmenwerk für
Informationssicherheit und Richtlinien
entwickelt, das mit dem auf ISO 27002Kontrollen und dem PCI DSS-Standard
basierenden zertifizierbaren DIN ISO/IEC 27001Rahmenwerk integriert ist. Im AWS-Whitepaper
http://aws.amazon.com/security finden Sie
weitere Details.
Informationss
icherheit
Rollen/Zuständi
gkeiten
IS-13.1
Stellen Sie Mandanten ein Dokument mit
der Rollendefinition zur Verfügung, in dem
Ihre administrativen Zuständigen und die
des Mandanten herausgestellt werden?
Die AWS-Whitepaper "Übersicht über
Sicherheitsverfahren" und "Risiko und
Compliance" enthalten Details zu den Rollen und
Zuständigkeiten von AWS und denen seiner
Kunden. Die Whitepaper stehen unter
http://aws.amazon.com/security zur Verfügung.
Informationss
icherheit
Aufsichtsführun
g des
Managements
IS-14.1
Sind Führungskräfte zuständig für die
Sensibilisierung für und Einhaltung von
Sicherheitsrichtlinien, Verfahren und
Normen, die für ihren
Zuständigkeitsbereich relevant sind?
Das Kontrollumfeld von Amazon setzt auf der
Führungsebene des Unternehmens ein. Die
Geschäftsleitung und die leitenden Angestellten
spielen bei der Bestimmung der
Firmenphilosophie und bei der Festlegung der
Grundwerte des Unternehmens eine
entscheidende Rolle. Jeder Mitarbeiter muss den
Verhaltenskodex des Unternehmens befolgen,
der in regelmäßigen Schulungen vermittelt wird.
Compliance-Überprüfungen erfolgen, damit
Mitarbeiter die vorgegebenen Richtlinien
verstehen und befolgen. Im AWS-Whitepaper
"Risiko und Compliance", das unter
http://aws.amazon.com/security zur Verfügung
steht, finden Sie weitere Details.
27
Informationss
icherheit
Informationss
icherheit
Aufgabentrennu
ng
Versehen Sie Mandanten mit einer
Dokumentation dazu, wie in Ihrem CloudService-Angebot die Trennung von
Aufgaben erfolgt?
IS-16.1
Werden Benutzer auf ihre Zuständigkeiten
beim Aufrechterhalten der Sensibilisierung
für und Einhaltung von veröffentlichten
Sicherheitsrichtlinien, Verfahren, Normen
und geltenden Vorschriften aufmerksam
gemacht?
Informationss
icherheit
IS-16.2
für die Aufrechterhaltung einer sicheren
Arbeitsumgebung aufmerksam gemacht?
Informationss
icherheit
IS-16.3
für das sichere Verlassen unbeaufsichtigter
Anlagen aufmerksam gemacht?
IS-17.1
Berücksichtigen Ihre Richtlinien und
Verfahren für die Datenverwaltung
Interessenkonflikte zwischen Mandanten
und Service Level?
Sehen Ihre Richtlinien und Verfahren zur
Datenverwaltung eine Überwachung auf
Manipulationen oder
Softwareintegritätsfunktion für unbefugte
Zugriffe auf Mandantendaten vor?
Informationss
icherheit
Zuständigkeiten
von Benutzern
IS-15.1
Arbeitsbereich
Informationss
icherheit
IS-17.2
Informationss
icherheit
IS-17.3
Informationss
icherheit
Informationss
icherheit
28
Verschlüsselung
IS-18.1
IS-18.2
Sieht die Infrastruktur zur Verwaltung
virtueller Maschinen eine Überwachung
auf Manipulationen oder
Softwareintegritätsfunktion zum Erkennen
von Änderungen an der
Einrichtung/Konfiguration der virtuellen
Maschinen vor?
Ermöglichen Sie das Erstellen
mandantenbezogener eindeutiger
Verschlüsselungsschlüssel?
Unterstützen Sie von Mandanten
generierte Verschlüsselungsschlüssel, oder
erlauben Sie Mandanten die
Verschlüsselung von Daten mit einer
Identität ohne Zugriff auf ein Public-KeyZertifikat (Beispiel: Identitätsbasierte
Verschlüsselung)?
Juli 2012
Kunden behalten die Fähigkeit, die Aufgaben bei
der Verwaltung ihrer AWS-Ressourcen zu
trennen.
Intern befolgt AWS die Norm DIN ISO/IEC 27001
für die Verwaltung der Aufgabentrennung. In der
Norm DIN ISO/IEC 27001 finden Sie in Anhang A,
erhalten.
AWS hat weltweit mehrere Verfahren zur
internen Kommunikation eingeführt, um seinen
Mitarbeitern dabei zu helfen, ihre individuellen
Funktionen und Zuständigkeiten zu verstehen,
und um wichtige Ereignisse zeitgerecht zu
kommunizieren. Hierzu zählen Orientierungsund Schulungsprogramme für neu eingestellte
Mitarbeiter sowie E-Mail-Nachrichten und das
Bereitstellen von Informationen über das
Intranet von Amazon. In der Norm DIN ISO/IEC
27001 finden Sie in Anhang A in den
Abschnitten 8.2 und 11.3 weitere Details. AWS
Zertifizierung erhalten. Weitere Informationen
finden Sie außerdem im Whitepaper "Amazon
Web Services – Übersicht über
Die AWS-Richtlinien für die Datenverwaltung
befolgen die Norm DIN ISO/IEC 27001. In der
Norm DIN ISO/IEC 27001 finden Sie in Anhang A
in den Abschnitten 8.2 und 11.3 weitere Details.
Zertifizierung erhalten. Der AWS SOC 1 Type 2Bericht bietet weitere Details zu den spezifischen
Kontrollmaßnahmen von AWS zur Verhinderung
des unautorisierten Zugriffs auf AWSRessourcen.
AWS-Kunden verwalten ihre eigene
Verschlüsselung, es sei denn, sie nutzen den
AWS-Service für die Verschlüsselung auf
Serverseite. In diesem Fall erstellt AWS pro
Mandanten einen eindeutigen
Verschlüsselungsschlüssel. Weitere
Informationss
icherheit
Verwaltung von
Verschlüsselung
sschlüsseln
IS-19.1
Verschlüsseln Sie in Ihrer Umgebung (auf
Datenträgern/Speicher) abgelegte
Mandantendaten?
Setzen Sie eine Verschlüsselung ein, um
Daten und Images virtueller Maschinen
während des Transports durch oder
zwischen Netzwerken und HypervisorInstances zu schützen?
Informationss
icherheit
IS-19.2
Informationss
icherheit
IS-19.3
Können Sie Verschlüsselungsschlüssel im
Auftrag von Mandanten verwalten?
Informationss
icherheit
IS-19.4
Verfügen Sie über Verfahren zur
Schlüsselverwaltung?
IS-20.1
Führen Sie regelmäßige Überprüfungen
auf Schwachstellen auf Netzwerkebene
gemäß branchenüblicher Methoden
durch?
auf Schwachstellen auf Anwendungsebene
gemäß branchenüblicher Methoden
durch?
auf Schwachstellen auf Ebene des lokalen
Betriebssystems gemäß branchenüblicher
Methoden durch?
Werden die Ergebnisse der Überprüfungen
auf Schwachstellen Mandanten auf Antrag
vorgelegt?
Haben Sie die Möglichkeit, Schwachstellen
bei sämtlichen Geräten, Anwendungen
und Systemen schnell mithilfe von Patches
zu schließen?
Geben Sie auf Antrag Ihren Mandanten
Ihre Zeitrahmen für das Schließen von
Schwachstellen je nach Risiko bekannt?
Informationss
icherheit
Schwachstellen/
PatchManagement
Informationss
icherheit
IS-20.2
Informationss
icherheit
IS-20.3
Informationss
icherheit
IS-20.4
Informationss
icherheit
IS-20.5
Informationss
icherheit
IS-20.6
Informationss
icherheit
Antiviren-/AntiSchadsoftware
IS-21.1
Ist auf allen Systemen, die Sie für Ihre
Cloud-Service-Angebote einsetzen, AntiSchadsoftware installiert?
Juli 2012
AWS erlaubt Kunden die Nutzung ihrer eigenen
serverseitige Verschlüsselung. Kunden können
auch Verschlüsselungsmethoden anderer
Anbieter nutzen. Die AWS-Verfahren für die
Schlüsselverwaltung befolgen die Norm DIN
ISO/IEC 27001. In der Norm DIN ISO/IEC 27001
finden Sie in Anhang A, Abschnitt 15.1 weitere
Details. AWS wurde von einem unabhängigen
Prüfer geprüft und hat als Nachweis der
Befolgung der Norm DIN ISO/IEC 27001 eine
entsprechende Zertifizierung erhalten. Weitere
Kunden obliegt die Kontrolle ihrer eigenen
Gastbetriebssysteme, Software und
Anwendungen, weshalb sie für Überprüfungen
auf Schwachstellen und das Einspielen von
Patches in ihre eigenen Systeme selbst
verantwortlich sind. Kunden können die
Erlaubnis zur Durchführung solcher
Untersuchungen der eigenen Cloud-Infrastruktur
beantragen, sofern sich diese Untersuchungen
auf die Instances des Kunden beschränken und
nicht gegen die Richtlinien zur angemessenen
Nutzung von AWS verstoßen. In regelmäßigen
Abständen untersucht das Sicherheitsteam von
AWS alle mit dem Internet verbundenen IPAdressen von Service-Endpunkten auf
Schwachstellen ab. Das AWS-Sicherheitsteam
benachrichtigt die betroffenen Parteien, damit
diese erkannte Schwachstellen schließen. Die
internen Wartungs- und System-Patch-Vorgänge
bei AWS haben in der Regel keine Auswirkungen
auf Kunden. Weitere Informationen finden Sie im
Das AWS-Programm sowie dessen Prozesse und
Verfahren in Bezug auf Antiviren-/AntiSchadsoftware sind in Einklang mit der Norm DIN
ISO/IEC 27001. Weitere Details finden Sie im SOC
1 Type 2-Bericht von AWS.
In der Norm DIN ISO/IEC 27001 finden Sie
29
Informationss
icherheit
Juli 2012
IS-21.2
Gewährleisten Sie, dass Systeme zur
Erkennung von Sicherheitsrisiken, die mit
Signaturen, Listen oder Verhaltensmustern
arbeiten, für alle
Infrastrukturkomponenten binnen
branchenüblicher Zeitrahmen aktualisiert
werden?
außerdem in Anhang A, Abschnitt 10.4 weitere
entsprechende Zertifizierung erhalten.
IS-22.1
Gibt es einen dokumentierten Plan für die
Reaktion auf Sicherheitsvorfälle?
Informationss
icherheit
IS-22.2
Integrieren Sie besondere Anforderungen
von Mandanten in Ihre Pläne für die
Reaktion auf Sicherheitsvorfälle?
Verfahren für die Reaktion auf Vorfälle sind in
Einklang mit der Norm DIN ISO/IEC 27001. Der
AWS SOC 1 Type 2-Bericht bietet Details zu den
spezifischen Kontrollmaßnahmen von AWS.
Informationss
icherheit
IS-22.3
Veröffentlichen Sie ein Dokument zu
Rollen und Zuständigkeiten, in denen
angegeben wird, wofür Sie bzw. Ihre
Mandanten bei Sicherheitsvorfällen
zuständig sind?
IS-23.1
Sorgt Ihr System für das Management von
Informationen zu Sicherheit und
Ereignissen für eine Zusammenführung
von Datenquellen (Protokolle zu
Anwendungen, Firewalls,
Eindringversuchen, physischem Zugang
usw.) zum Ermöglichen einer präzisen
Analyse und von
Warnbenachrichtigungen?
Lässt Ihr Rahmenwerk für Protokollierung
und Überwachung eine Isolierung eines
Vorfalls auf bestimmte Mandanten zu?
spezifischen Kontrollmaßnahmen von AWS. Für
alle von AWS im Auftrag von Kunden
strikten Trennung von Kundendaten.
Ist Ihr Vorfallreaktionsplan in
Übereinstimmung mit Branchenstandards
für rechtlich zulässige Prozesse und
Kontrollmaßnahmen für das Management
von Kontrollketten?
Sehen Ihre Möglichkeiten zur
Vorfallreaktion den Einsatz rechtlich
zulässiger Methoden für die forensische
Datenerfassung und -analyse vor?
Können Sie für ein
Beweissicherungsverfahren Daten eines
bestimmten Mandanten ab einem
bestimmten Zeitpunkt einfrieren, ohne
dass Daten anderer Mandanten
eingefroren werden?
spezifischen Kontrollmaßnahmen von AWS. Für
alle von AWS im Auftrag von Kunden
strikten Trennung von Kundendaten.
Informationss
icherheit
Informationss
icherheit
Vorfallmanagem
ent
Erstellung von
Vorfallberichten
Informationss
icherheit
Informationss
icherheit
IS-23.2
Vorfallreaktion
– Rechtliche
Vorbereitung
IS-24.1
Informationss
icherheit
IS-24.2
Informationss
icherheit
IS-24.3
30
Das Whitepaper "Amazon Web Services –
Übersicht über Sicherheitsverfahren" (siehe
http://aws.amazon.com/security) bietet weitere
Details.
Weitere Informationen finden Sie in den AWSWhitepaper "Amazon Web Services – Übersicht
über Sicherheitsverfahren" und "Risiko und
Compliance" auf der AWS-Website
Weitere Informationen finden Sie in den AWSWhitepaper "Amazon Web Services – Übersicht
über Sicherheitsverfahren" und "Risiko und
Compliance" auf der AWS-Website
Informationss
icherheit
Informationss
icherheit
IS-24.4
Vorfallreaktion
– Metriken
Informationss
icherheit
Informationss
icherheit
IS-25.1
IS-25.2
Zulässige
Nutzung
IS-26.1
Informationss
icherheit
IS-26.2
Informationss
icherheit
IS-26.3
Informationss
icherheit
Datenschutzverl
etzungen
Informationss
icherheit
Informationss
icherheit
Informationss
icherheit
31
IS-27.1
IS-27.2
E-CommerceTransaktionen
Erzwingen und bescheinigen Sie die
Trennung von Mandantendaten, wenn
Daten als Reaktion auf gerichtliche
Vorladungen vorgelegt werden sollen?
Überwachen und quantifizieren Sie die
Typen, Häufigkeit und Auswirkungen alle
Vorfälle in Bezug auf die
Informationssicherheit?
Geben Sie Ihren Mandanten auf Antrag
statistische Informationen zu
Sicherheitsvorfällen bekannt?
Stellen Sie Dokumentation zur etwaigen
Nutzung von oder den etwaigen Zugriff auf
Daten und/oder Metadaten von
Mandanten zur Verfügung?
Erfassen oder erstellen Sie Metadaten zur
Nutzung von Mandantendaten mithilfe
von Untersuchungstechnologien
(Suchmaschinen usw.)?
Bieten Sie Mandanten eine Möglichkeit,
den Zugriff auf ihre Daten/Metadaten über
Untersuchungstechnologien zu
deaktivieren?
Sind Systeme zur Überwachung auf
Datenschutzverletzungen und schnellen
Benachrichtigung von Mandanten
vorhanden, wenn der Schutz ihrer Daten
ggf. verletzt wurde?
Entspricht Ihre Datenschutzrichtlinie
Branchenstandards?
IS-28.1
Bieten Sie Mandanten offene
Verschlüsselungsmethoden (3.4ES, AES
usw.) zum Schutz ihrer Daten, sobald diese
öffentliche Netzwerke durchqueren
müssen (z. B. das Internet)?
IS-28.2
Setzen Sie offene
Verschlüsselungsmethoden immer dann
ein, wenn Ihre Infrastrukturkomponenten
über öffentliche Netzwerke
kommunizieren müssen (z. B. bei der
Replikation von Daten aus einer
Umgebung in eine andere über das
Internet)?
Juli 2012
Die Sicherheitsmetriken von AWS werden gemäß
der Norm DIN ISO/IEC 27001 überwacht und
analysiert.
verbleiben bei den AWS-Kunden.
AWS-Kunden sind weiter für die Überwachung
ihrer eigenen Umgebung auf
Datenschutzverletzungen zuständig.
Der SOC 1 Type 2-Bericht von AWS bietet eine
Übersicht über die vorhandenen
Kontrollmaßnahmen zur Überwachung der von
AWS verwalteten Umgebung.
Sämtliche APIs von AWS sind über durch SSL
geschützte Endpunkte zugänglich, die für eine
Serverauthentifizierung sorgen. AWS erlaubt
Kunden die Nutzung ihrer eigenen
serverseitige Verschlüsselung. Kunden können
auch Verschlüsselungsmethoden anderer
Anbieter nutzen.
Informationss
icherheit
Überwachen
des Zugriffs
durch Tools
IS-29.1
Beschränken, protokollieren und
überwachen Sie den Zugriff auf Ihre
Systeme zur Verwaltung der
Informationssicherheit (z. B. Hypervisors,
Firewalls, Tools zur Schwachstellenanalyse
(Vulnerability Scanner), Netzwerk-Sniffer,
APIs usw.)?
Informationss
icherheit
Zugriff auf
Diagnose/KonfigurationsPorts
IS-30.1
Nutzen Sie dedizierte sichere Netzwerke
zum Ermöglichen des Verwaltungszugriffs
auf Ihre Cloud-Service-Infrastruktur?
Informationss
icherheit
Netzwerk/Infrastrukturser
vices
IS-31.1
Sammeln Sie Kapazitäts- und
Nutzungsdaten zu allen relevanten
Komponenten Ihres Cloud-ServiceAngebots?
Stellen Sie Mandanten Berichte zur
Kapazitätsplanung und -nutzung zur
Verfügung?
Gibt es Richtlinien, Verfahren und
Maßnahmen für die strenge Einschränkung
des Zugriffs auf vertrauliche Daten über
tragbare und mobile Geräte wie Laptops,
Mobiltelefone und persönliche digitale
Assistenten (PDAs), die generell mit einem
höheren Risiko behaftet sind als stationäre
Geräte (wie Desktop-Computer an den
Standorten der Anbieterorganisation)?
Informationss
icherheit
Informationss
icherheit
Informationss
icherheit
32
IS-31.2
Tragbare/Mobil
e Geräte
Beschränkung
des Zugriffs auf
Quellcode
IS-32.1
IS-33.1
Gibt es Kontrollen zum Verhindern des
unbefugten Zugriffs auf den Quellcode
Ihrer Anwendungen, Programme und
Objekte? Ist gewährleistet, dass nur
befugte Personen Zugriff haben?
Juli 2012
In Übereinstimmung mit DIN ISO/IEC 27001Normen hat AWS formale Richtlinien und
Verfahren zum Bestimmen der
Mindeststandards für den logischen Zugriff auf
AWS-Ressourcen definiert. Im SOC 1 Type 2Bericht von AWS sind die Kontrollmaßnahmen
bei der Bereitstellung des Zugriffs auf AWSRessourcen beschrieben.
Administratoren, die aus Geschäftsgründen
Zugriff auf die Verwaltungsebene benötigen,
müssen die Multifaktor-Authentifizierung
verwenden, um Zugriff auf die speziell
entwickelten Verwaltungs-Hosts zu erhalten. Bei
diesen Verwaltungs-Hosts handelt es sich um
Systeme, die eigens zum Schutz der
Verwaltungsebene der Cloud entworfen, erstellt,
konfiguriert und stabilisiert wurden. Jeder Zugriff
wird protokolliert und überprüft. Wenn ein
Mitarbeiter keinen Zugriff mehr auf die
Verwaltungsebene benötigt, werden die
entsprechenden Berechtigungen und der Zugriff
auf diese Hosts und die zugehörigen Systeme
widerrufen.
AWS verwaltet Kapazitäts- und Nutzungsdaten in
Einklang mit der Norm DIN ISO/IEC 27001.
AWS-Ressourcen definiert. Im SOC 1 Type 2Bericht von AWS sind die Kontrollmaßnahmen
AWS-Ressourcen definiert. Im SOC 1 Type 2-
Informationss
icherheit
Informationss
icherheit
IS-33.2
Zugriff auf
Hilfsprogramme
Informationss
icherheit
IS-34.1
IS-34.2
Informationss
icherheit
IS-34.3
Gibt es Kontrollen zum Verhindern des
unbefugten Zugriffs auf den Quellcode von
Anwendungen, Programmen und Objekten
von Mandanten? Ist gewährleistet, dass
nur befugte Personen Zugriff haben?
Werden Hilfsprogramme zur Verwaltung
virtualisierter Partitionen (z. B. zum
Herunterfahren, Klonen usw.)
entsprechend eingeschränkt und
überwacht?
Haben Sie Möglichkeiten zum Erkennen
direkter Angriffe auf die virtuelle
Infrastruktur (z. B. Shimming, Blue Pill,
Hyper Jumping usw.)?
Werden Angriffe auf die virtuelle
Infrastruktur mithilfe technischer
Kontrollmaßnahmen verhindert?
Juli 2012
Bericht von AWS sind die Kontrollmaßnahmen
In Übereinstimmung mit DIN ISO/IEC 27001Normen werden Systemhilfsprogramme
entsprechend eingeschränkt und überwacht. Der
SOC 1 Type 2-Bericht von AWS bietet weitere
Details zu den vorhandenen Kontrollmaßnahmen
zur Einschränkung des Systemzugriffs.
Recht
Vertraulichkeits
vereinbarungen
LG-01.1
Werden Vorgaben von Geheimhaltungsbzw. Vertraulichkeitsvereinbarungen, die
die Anforderungen der Organisation an
den Datenschutz und betriebliche Details
wiedergeben, in regelmäßigen Abständen
dokumentiert und überprüft?
Die Vertraulichkeitsvereinbarung von Amazon
wird vom Rechtsbeistand von Amazon verwaltet
und entsprechend den geschäftlichen
Anforderungen von AWS regelmäßig
überarbeitet.
Recht
Verträge mit
Dritten
LG-02.1
Werden Vertragspartner für ausgelagerte
Leistungen in Übereinstimmung mit den
Gesetzen des Landes ausgewählt und
überwacht, in dem die Daten verarbeitet,
gespeichert und übertragen werden?
AWS arbeitet nicht mit anderen Cloud-Anbietern
zusammen, um Kunden AWS-Services zu bieten.
Recht
LG-02.2
Recht
LG-02.3
Verfahrensma
nagement
Richtlinie
OP-01.1
Werden Vertragspartner für ausgelagerte
Leistungen in Übereinstimmung mit den
Gesetzen des Landes ausgewählt und
überwacht, aus dem die Daten stammen?
Überprüft der Rechtsbeistand sämtliche
Verträge mit Dritten?
Stehen allen Mitarbeitern zur
angemessenen Erfüllung von
Serviceaufgaben entsprechend definierte
Richtlinien und Verfahren zur Verfügung?
Verträge mit Dritten werden vom
Rechtsbeistand von Amazon den Anforderungen
entsprechend geprüft.
Richtlinien und Verfahren wurden vom AWSTeam für Informationssicherheit gemäß dem
COBIT-Rahmenwerk, der Norm DIN ISO/IEC
27001 und den PCI DSS-Vorgaben festgelegt.
Verfahrensma
nagement
33
Dokumentation
OP-02.1
Steht Informationssystemdokumentation
(z. B. Administrator- und
Benutzerhandbücher,
Architekturdiagramme usw.) befugten
Mitarbeitern zur Verfügung, um
sicherzustellen, dass Konfiguration,
Installation und Betrieb des
Informationssystems ordnungsgemäß
erfolgen?
Die Informationssystemdokumentation steht
AWS-Mitarbeitern intern auf der IntranetWebsite von Amazon zur Verfügung. Weitere
Verfahrensma
nagement
Kapazitäts/Ressourcenpla
nung
Verfahrensma
nagement
Verfahrensma
nagement
Gerätewartung
OP-03.1
Dokumentieren Sie den Grad der
Überbuchung von Systemen (Netzwerk,
Speicher, Arbeitsspeicher, E/A usw.) und
die entsprechenden Szenarien?
OP-03.2
Schränken Sie die Nutzung der vom
Hypervisor gebotenen Funktionen zur
Überbuchung von Arbeitsspeicher ein?
OP-04.1
Bietet Ihre Cloud-Lösung bei Verwenden
einer virtuellen Infrastruktur hardwareunabhängige Rückspeicher- und
Wiederherstellungsfunktionen?
Bieten Sie bei Verwenden einer virtuellen
Infrastruktur Mandanten die Möglichkeit,
eine virtuelle Maschine zeitpunktbezogen
wiederherzustellen?
Ermöglichen Sie bei Verwenden einer
virtuellen Infrastruktur das Herunterladen
von Images virtueller Maschinen und
Portieren zu einem neuen Cloud-Anbieter?
Werden bei Verwenden einer virtuellen
Infrastruktur Images virtueller Maschinen
Kunden so zur Verfügung gestellt, dass der
Kunde diese Images an seinen eigenen
standortexternen Speicherort replizieren
kann?
Bietet Ihre Cloud-Lösung hardware/software-unabhängige Rückspeicher- und
Wiederherstellungsfunktionen?
Mithilfe der EBS Snapshot-Funktionalität können
Kunden Images virtueller Maschinen jederzeit
erstellen und wiederherstellen. Kunden können
ihre AMIs exportieren und diese lokal oder bei
einem anderen Anbieter nutzen (wofür ggf.
Softwarelizenzeinschränkungen gelten). Weitere
RI-01.1
Ist Ihre Organisation durch einen Dritten
gegen Verluste versichert?
AWS bietet Kunden bei Verlusten, die sie
aufgrund von Ausfällen erleiden, eine Vergütung
gemäß der SLA von AWS.
RI-01.2
Sehen die Service Level Agreements (SLAs)
Ihrer Organisation eine Vergütung von
Mandanten bei Verlusten vor, die sie
aufgrund von Unterbrechungen oder
Ausfällen in Ihrer Infrastruktur erleiden?
RI-02.1
Sind formelle Risikobewertungen im
Einklang mit dem unternehmensweit
geltenden Rahmenwerk und erfolgen diese
mindestens jährlich oder in geplanten
Abständen zur Bestimmung der
Wahrscheinlichkeit und Auswirkungen
aller erkannten Risiken mithilfe qualitativer
und quantitativer Methoden?
Verfahrensma
nagement
OP-04.2
Verfahrensma
nagement
OP-04.3
Verfahrensma
nagement
OP-04.4
Verfahrensma
nagement
OP-04.5
Risikomanage
ment
Programm
Risikomanage
ment
Risikomanage
ment
Risikomanage
ment
34
Bewertungen
Juli 2012
RI-02.2
Werden die Wahrscheinlichkeit und
Auswirkungen von immanenten und
Restrisiken unter Berücksichtigung
sämtlicher Risikokategorien (z. B.
Prüfergebnisse, Analyse auf Bedrohungen
und Schwachstellen und Compliance mit
Vorschriften) unabhängig bestimmt?
AWS veröffentliche keine Vorgehensweisen beim
Kapazitätsmanagement. AWS veröffentlicht
Service Level Agreements (SLAs) für Services zur
Bekanntgabe der Leistungsvorgaben, zu deren
Erfüllung sich das Unternehmen verpflichtet.
27001 hat AWS ein umfassendes Programm für
das Management und die Entschärfung von
Risiken entwickelt.
Weitere Details zum AWS-Rahmenwerk zum
Risikomanagement finden Sie im AWSWhitepaper "Risiko und Compliance" unter
Risikomanage
ment
Entschärfung/Ak
zeptanz
RI-03.1
Werden Risiken basierend auf
unternehmensweit festgelegten Kriterien
in Übereinstimmung mit angemessenen
Zeitrahmen für die Behebung auf
akzeptable Stufen entschärft?
Juli 2012
27001, Anhang A, Abschnitt 4.2 hat AWS ein
umfassendes Programm für das Management
und die Entschärfung von Risiken entwickelt.
RI-03.2
Risikomanage
ment
Risikomanage
ment
Auswirkungen
von
Richtlinienänder
ungen
Zugriff durch
Dritte
RI-04.1
RI-05.1
RI-05.2
RI-05.3
RI-05.4
Versionsmana
gement
35
Neuentwicklung
/Beschaffung
Erfolgt eine Nachbesserung basierend auf
unternehmensweit festgelegten Kriterien
in Übereinstimmung mit angemessenen
Zeitrahmen auf akzeptable Stufen?
Führen die Ergebnisse von
Risikobewertungen zu Aktualisierungen
von Sicherheitsrichtlinien, Verfahren,
Standards und Kontrollen, um zu
gewährleisten, dass diese maßgeblich und
wirkungsvoll bleiben?
Bieten Sie bei mehrfachen
Funktionsausfällen eine Möglichkeit der
Notfallwiederherstellung?
Überwachen Sie die Betriebskontinuität
bei vorgelagerten Anbietern im Falle eines
Ausfalls bei einem Anbieter?
Verfügen Sie bei jedem Service, von dem
Sie abhängig sind, über mehr als einen
Anbieter?
Bieten Sie Zugriff auf Übersichten zur
Betriebsredundanz und -kontinuität für die
Services, von denen Sie abhängig sind?
RI-05.5
Bieten Sie Mandanten die Möglichkeit,
einen Systemausfall zu deklarieren?
RI-05.6
Bieten Sie Mandanten eine Möglichkeit
zum Auslösen eines Failovers?
RI-05.7
Geben Sie Ihren Mandanten Ihre Pläne zu
Betriebsredundanz und -kontinuität
bekannt?
Gibt es Richtlinien und Verfahren für die
Genehmigung seitens der
Geschäftsführung zur Entwicklung oder
Beschaffung neuer Anwendungen,
Systeme, Datenbanken,
Infrastrukturkomponenten, Services,
betrieblicher Abläufe und Anlagen?
RM01.1
Im AWS-Whitepaper "Risiko und Compliance"
(siehe: http://aws.amazon.com/security) finden
Sie weitere Details zum AWS-Programm für das
Risikomanagement.
Aktualisierungen an Sicherheitsrichtlinien,
Verfahren, Standards und Kontrollen von AWS
erfolgen jährlich in Übereinstimmung mit der
Norm DIN ISO/IEC 27001.
Anhang A, Abschnitt 5.1 weitere Informationen.
AWS bietet den Kunden ein Höchstmaß an
Flexibilität. Es stehen ihnen mehrere
geografische Regionen und mehrere Availability
Zones innerhalb jeder dieser Regionen zur
Verfügung, um Instances anzulegen und Daten
zu speichern. Jede dieser Availability Zones ist als
unabhängige Ausfallzone angelegt. Bei einem
Funktionsausfall wird der Kundendatenverkehr
von dem vom Ausfall betroffenen Bereich zu
einem anderen umgeleitet. Weitere Details
finden Sie im SOC 1 Type 2-Bericht von AWS. In
der Norm DIN ISO/IEC 27001, Anhang A,
Abschnitt 11. 2 finden Sie zusätzliche Details.
27001 verfügt AWS über Verfahren für die
Verwaltung der Neuentwicklung von Ressourcen.
Zertifizierung erhalten. Weitere Informationen
finden Sie zudem im SOC 1 Type 2-Bericht von
Juli 2012
AWS.
Versionsmana
gement
Versionsmana
gement
Versionsmana
gement
Produktionsänd
erungen
Qualitätstests
Ausgelagerte
Entwicklungsauf
gaben
Versionsmana
gement
Versionsmana
gement
Installation
nicht
autorisierter
Software
RM02.1
RM03.1
Bieten Sie Mandanten Dokumentation mit
Beschreibungen Ihrer Verfahren für das
Management von Produktionsänderungen
und ihrer Rollen/Rechte/Zuständigkeiten
darin?
Stellen Sie Ihren Mandanten
Dokumentation zur Verfügung, in der Ihr
Qualitätssicherungsprozess beschrieben
wird?
RM04.1
Gibt es Kontrollen, die sicherstellen, dass
bei der gesamten Software-Entwicklung
Qualitätsstandards befolgt werden?
RM04.2
Gibt es Kontrollen, die sicherstellen, dass
bei ausgelagerten SoftwareEntwicklungsaufträgen Schwachstellen im
Quellcode erkannt werden?
RM05.1
Gibt es Kontrollen zum Einschränken und
Überwachen der Installation nicht
autorisierter Software auf Ihren Systemen?
Der SOC 1 Type 2-Bericht von AWS bietet eine
Übersicht über die eingerichteten Kontrollen für
das Änderungsmanagement in der AWSUmgebung.
Darüber hinaus finden Sie in der Norm DIN
ISO/IEC 27001 in Anhang A, Abschnitt 12.5
weitere Details. AWS wurde von einem
unabhängigen Prüfer geprüft und hat als
erhalten.
AWS berücksichtigt Qualitätsstandards im
Rahmen seiner Systementwicklungsprozesse in
Übereinstimmung mit der Norm DIN ISO/IEC
27001.
AWS lagert die Entwicklung von Software
generell nicht aus. AWS berücksichtigt
Qualitätsstandards im Rahmen seiner
Systementwicklungsprozesse in
Übereinstimmung mit der Norm DIN ISO/IEC
27001.
Verfahren in Bezug auf Schadsoftware sind in
Einklang mit der Norm DIN ISO/IEC 27001.
Weitere Details finden Sie im SOC 1 Type 2Bericht von AWS.
36
Ausfallsicherh
eit
Ausfallsicherh
eit
Managementpr
ogramm
Gibt es Richtlinien, Prozesse und Verfahren
in Bezug auf Betriebskontinuität und
Notfallwiederherstellung zum Minimieren
der Auswirkungen eines eingetretenen
risikobehafteten Ereignisses und werden
diese Mandanten ordnungsgemäß
kommuniziert?
RS-02.1
Versorgen Sie Mandanten laufend mit
transparenten Berichten zu Ihrer Erfüllung
von Service Level Agreements (SLAs)?
Ausfallsicherh
eit
RS-02.2
Ausfallsicherh
eit
RS-02.3
Stellen Sie Ihren Mandanten auf Standards
basierende Metriken zur
Informationssicherheit (CSA, CAMM usw.)
zur Verfügung?
Versorgen Sie Kunden laufend mit
transparenten Berichten zu Ihrer Erfüllung
von SLAs?
Ausfallsicherh
eit
Analyse von
Auswirkungen
RS-01.1
Planung der
Betriebskontinui
tät
Ausfallsicherh
eit
Ausfallsicherh
eit
Ausfallsicherh
eit
Testen der
Betriebskontinui
tät
Umweltrisiken
RS-03.1
Bieten Sie Mandanten geografisch
ausfallsichere Hosting-Optionen?
RS-03.2
Bieten Sie Mandanten eine Möglichkeit
des Failovers von Infrastrukturservices zu
anderen Anbietern?
RS-04.1
RS-05.1
Werden Betriebskontinuitätspläne in
geplanten Abständen oder bei
wesentlichen Organisations- oder
Umgebungsänderungen getestet, um ihre
Effektivität laufend sicherzustellen?
Ist physischer Schutz gegen Schäden
aufgrund natürlicher Ereignisse und
Katastrophen sowie vorsätzlicher Angriffe
vorgesehen und konzipiert und stehen
Gegenmaßnahmen bereit?
Juli 2012
Die AWS-Richtlinien und -Pläne zur
Betriebskontinuität wurden in Übereinstimmung
mit DIN ISO/IEC 27001-Normen entwickelt und
getestet.
In der Norm DIN ISO/IEC 27001, Anhang A,
Abschnitt 14.1 und im SOC 1-Bericht von AWS
finden Sie weitere Details zu AWS und
Betriebskontinuität.
Amazon CloudWatch ermöglicht die
Überwachung der AWS-Cloud-Ressourcen und
der Anwendungen, die Kunden in AWS
ausführen. Unter
http://aws.amazon.com/cloudwatch finden Sie
weitere Details. AWS veröffentlicht außerdem in
seiner Übersicht zum Servicestatus stets neueste
Informationen zur Verfügbarkeit seiner Services.
Siehe status.aws.amazon.com.
Rechenzentren wurden in Clustern in
verschiedenen Regionen auf der Welt errichtet.
AWS bietet den Kunden ein Höchstmaß an
Flexibilität. Es stehen ihnen mehrere
geografische Regionen und mehrere Availability
Zones innerhalb jeder dieser Regionen zur
Verfügung, um Instances anzulegen und Daten
zu speichern. Kunden sollten ihre AWS-Nutzung
so gestalten, dass mehrere Regionen und
Availability Zones genutzt werden.
Die AWS-Pläne zur Betriebskontinuität wurden in
Übereinstimmung mit DIN ISO/IEC 27001Normen entwickelt und getestet.
Abschnitt 14.1 und im SOC 1-Bericht von AWS
finden Sie weitere Details zu AWS und
Betriebskontinuität.
AWS-Rechenzentren verfügen über physischen
Schutz gegen Umweltrisiken. Der physische
Schutz von AWS gegen Umweltrisiken wurde von
einem unabhängigen Prüfer bestätigt und als in
Übereinstimmung mit bewährten Methoden
gemäß DIN ISO/IEC 27002 zertifiziert.
Abschnitt 9.1 und im SOC 1 Type 2-Bericht von
AWS finden Sie weitere Details.
37
Ausfallsicherh
eit
Standorte von
Rechenzentren
RS-06.1
Befinden sich Ihre Rechenzentren
eventuell an Orten, die mit hoher
Wahrscheinlichkeit großen Umweltrisiken
(Überschwemmungen, Wirbelstürme,
Erdbeben, Vulkanausbrüche usw.)
ausgesetzt sind?
Juli 2012
AWS-Rechenzentren verfügen über physischen
Schutz gegen Umweltrisiken. Kunden von AWSServices können ihre Daten in mehreren
geografischen Regionen sowie mehreren
Availability Zones flexibel speichern. Kunden
sollten ihre AWS-Nutzung so gestalten, dass
mehrere Regionen und Availability Zones genutzt
werden.
Abschnitt 9.1 und im SOC 1 Type 2-Bericht von
AWS finden Sie weitere Details.
Ausfallsicherh
eit
Stromausfälle in
Anlagen
RS-07.1
Sind Sicherheitsmechanismen und
Redundanzen vorhanden, um Anlagen
gegen Serviceunterbrechungen zu
schützen (z. B. Strom- und
Netzwerkausfälle)?
AWS-Anlagen sind in Einklang mit der Norm DIN
ISO/IEC 27001 gegen Ausfälle geschützt. AWS
Der SOC 1 Type 2-Bericht von AWS bietet
weitere Details zu den vorhandenen Kontrollen
zum Minimieren der Auswirkungen einer
Fehlfunktion oder einer physischen Katastrophe
auf Computer- und Rechenzentrumsanlagen.
Ausfallsicherh
eit
Energieversorgu
ng/Telekommun
ikation
Ausfallsicherh
eit
Sicherheitsarc
hitektur
Voraussetzunge
n des
Kundenzugriffs
RS-08.1
Stellen Sie Mandanten Dokumentation zu
den Transportrouten ihrer Daten zwischen
Ihren Systemen zur Verfügung?
RS-08.2
Können Mandanten bestimmen, wie ihre
Daten transportiert werden und durch
welche Rechtsprechungsbezirke?
SA-01.1
Werden alle identifizierten Sicherheits-,
vertraglichen und gesetzlichen Vorgaben
für den Kundenzugriff vertraglich geregelt,
bevor Kunden Zugriff auf Daten,
Ressourcen und Informationssysteme
gewährt wird?
Weitere Informationen finden Sie außerdem im
AWS-Kunden geben an, in welcher Region sich
ihre Daten und Server physisch befinden sollen.
einzuhalten. Weitere Details finden Sie im SOC 1
Type 2-Bericht von AWS. Kunden können
außerdem ihren Netzwerkpfad zu AWS-Anlagen
auswählen, so z. B. auch über dedizierte, private
Netzwerke, in denen der Kunden das Routing des
Datenverkehrs steuert.
AWS-Kunden sind weiter dafür zuständig, dass
ihre Nutzung von AWS in Übereinstimmung mit
geltenden Gesetzen und Vorschriften erfolgt.
AWS kommuniziert sein Sicherheits- und
Kontrollumfeld seinen Kunden mithilfe von
Branchenzertifizierungen und Bescheinigungen
durch Dritte (siehe
http://aws.amazon.com/security) und stellt
Kunden Zertifizierungen, Berichte und andere
wichtige Dokumentation direkt zur Verfügung.
38
Juli 2012
Sicherheitsarc
hitektur
Benutzeranmeld
einformationen
SA-02.1
Sicherheitsarc
hitektur
SA-02.2
Sicherheitsarc
hitektur
SA-02.3
Sicherheitsarc
hitektur
SA-02.4
Sicherheitsarc
hitektur
SA-02.5
Sicherheitsarc
hitektur
SA-02.6
Sicherheitsarc
hitektur
SA-02.7
Sicherheitsarc
hitektur
39
Datensicherheit
/-integrität
SA-03.1
Unterstützen Sie die Nutzung von bzw.
Integration mit bei Kunden vorhandenen
Lösungen für einmaliges Anmelden bei
Ihrem Service?
Nutzen Sie offene Standards zum
Delegieren von
Authentifizierungsmöglichkeiten an Ihre
Mandanten?
Unterstützen Sie
Identitätsverbundstandards (SAML, SPML,
WS-Federation usw.) als Möglichkeit der
Authentifizierung/Autorisierung von
Benutzern?
Bieten Sie eine Funktion zur
Richtliniendurchsetzung (z. B. XACML) zum
Durchsetzen regionaler gesetzlicher oder
richtlinienbezogener Einschränkungen
beim Benutzerzugriff?
Verfügen Sie über ein
Identitätsmanagementsystem, das eine
sowohl rollen- als auch kontextbasierte
Berechtigung für Daten, d. h. eine
Klassifizierung von Daten für einen
Mandanten, ermöglicht?
Bieten Sie Mandanten für den
Benutzerzugriff sehr sichere (Multifaktor-)
Authentifizierungsoptionen (digitale
Zertifikate, Token, Biometrie usw.)?
Erlauben Sie Mandanten die Nutzung von
Drittanbieterservices für den
Identitätsnachweis?
Der AWS-Service Identity and Access
Management (IAM) bietet einen
Identitätsverbund mit der AWS Management
Console. Die Multifaktor-Authentifizierung ist
eine optionale Funktion, die Kunden nutzen
können. Auf der AWS-Website
(http://aws.amazon.com/mfa) finden Sie weitere
Details.
Ist Ihre Datensicherheitsarchitektur
branchenüblich? (Beispiele: CDSA,
MULITSAFE, CSA Trusted Cloud
Architectural Standard, FedRAMP
CAESARS)
Die Datensicherheitsarchitektur von AWS wurde
unter Berücksichtigung branchenweit führenden
Methoden konzipiert.
Juli 2012
Sicherheitsarc
hitektur
SA-04.1
Befolgen Sie branchenübliche Standards
(BSIMM-Benchmarks [Build Security in
Maturity Model], Open Group ACS Trusted
Technology Provider Framework, NIST
usw.) zum Gewährleisten von Sicherheit
bei Ihrer System-/Software-Entwicklung?
Sicherheitsarc
hitektur
SA-04.2
Sicherheitsarc
hitektur
SA-04.3
Nutzen Sie vor der Überführung in die
Produktion ein automatisiertes Tool zur
Quellcodeanalyse zum Erkennen von
Schwachstellen im Code?
Vergewissern Sie sich, dass alle Ihre
Softwarelieferanten branchenübliche
Standards hinsichtlich Sicherheit bei der
System-/Software-Entwicklung befolgen?
Sicherheitsarc
hitektur
Sicherheitsarc
hitektur
Anwendungssic
herheit
Datenintegrität
Produktionsund
Testumgebunge
n
Sicherheitsarc
hitektur
Sicherheitsarc
hitektur
40
SA-05.1
SA-06.1
SA-06.2
MultifaktorAuthentifizierun
g von RemoteBenutzern
SA-07.1
Sind Routinen für die Integrität der Einund Ausgabe von Daten (d. h.
Abstimmungs- und
Bearbeitungsüberprüfungen) für
Anwendungsschnittstellen und
Datenbanken implementiert, um manuelle
oder systemgesteuerte
Verarbeitungsfehler oder
Datenbeschädigungen zu verhindern?
Stellen Sie Mandanten im Rahmen Ihres
Saas- bzw. PaaS-Angebots getrennte
Umgebungen für Produktions- und
Testprozesse zur Verfügung?
IaaS-Angebots Anleitungen zum Erstellen
geeigneter Produktions- und
Testumgebungen zur Verfügung?
Ist für alle Remote-Benutzer eine
Multifaktor-Authentifizierung erforderlich?
Der Systementwicklungsprozess von AWS
orientiert sich an branchenweit bewährten
Methoden. Darunter fallen formale DesignÜberprüfungen durch das Sicherheitsteam von
AWS, die Modellierung von Bedrohungen und
die Ausführung von Risikoanalysen. Weitere
Sicherheitsverfahren".
Die im SOC 1 Type 2-Bericht von AWS
beschriebenen Datenintegritätskontrollen
sorgen in angemessenem Maß dafür, dass
Datenintegrität in allen Phasen, einschließlich
Übertragung, Speicherung und Verarbeitung,
gewährleistet ist.
weitere Informationen. AWS wurde von einem
erhalten.
AWS haben weiter die Möglichkeit, Produktionsund Testumgebungen zu erstellen und zu
verwalten, für die sie zuständig bleiben. Die
AWS-Website bietet Anleitungen zum Erstellen
einer Umgebung unter Einsatz von AWS-Services
(siehe
http://aws.amazon.com/documentation/).
Die Multifaktor-Authentifizierung ist eine
optionale Funktion, die Kunden nutzen können.
Auf der AWS-Website
(http://aws.amazon.com/mfa) finden Sie weitere
Details.
Juli 2012
Sicherheitsarc
hitektur
Netzwerksicher
heit
SA-08.1
IaaS-Angebots Anleitungen zum Erstellen
einer geeigneten abgestuften
Sicherheitsarchitektur mithilfe Ihrer
virtualisierten Lösung zur Verfügung?
Die AWS-Website
http://aws.amazon.com/documentation/ bietet
in einer Vielzahl von Whitepaper Anleitungen
zum Erstellen einer abgestuften
Sicherheitsarchitektur.
Sicherheitsarc
hitektur
Segmentierung
SA-09.1
Sind System- und Netzwerkumgebungen
logisch voneinander getrennt, damit die
Anforderungen an die Unternehmens- und
Kundensicherheit erfüllt sind?
logisch voneinander getrennt, damit
gesetzliche, regulatorische und
vertragliche Vorgaben eingehalten
werden?
AWS-Kunden bleiben zur Erfüllung ihrer
definierten Vorgaben für das Management ihrer
eigenen Netzwerksegmentierung zuständig.
Sicherheitsarc
hitektur
SA-09.2
Sicherheitsarc
hitektur
SA-09.3
Sicherheitsarc
hitektur
SA-09.4
Sicherheitsarc
hitektur
Funksicherheit
SA-10.1
Sicherheitsarc
hitektur
SA-10.2
Sicherheitsarc
hitektur
SA-10.3
Sicherheitsarc
hitektur
41
Gemeinsam
genutzte
Netzwerke
SA-11.1
logisch voneinander getrennt, damit die
Trennung von Produktions- und
Testumgebungen gewährleistet ist?
logisch voneinander getrennt, damit
Schutz und Isolierung sensibler Daten
gewährleistet sind?
Sind Richtlinien und Verfahren definiert
und Mechanismen implementiert, um die
Netzwerkumgebung zu schützen, und
konfiguriert, um nicht autorisierten
Datenverkehr einzuschränken?
und Mechanismen implementiert, um
sicherzustellen, dass ordnungsgemäße
Sicherheitseinstellungen mit sehr starker
Verschlüsselung für die Authentifizierung
und Übertragung aktiviert sind, die die
Standardeinstellungen der Hersteller
ersetzen? (Beispiele:
Verschlüsselungsschlüssel, Kennwörter,
SNMP Community-Zeichenfolgen usw.)
und Mechanismen implementiert, um
Netzwerkumgebungen zu schützen und
das Vorhandensein nicht autorisierter
Netzwerkgeräte zu erkennen, um diese
angemessen schnell vom Netzwerk zu
trennen?
Ist der Zugriff auf Systeme mit gemeinsam
genutzter Netzwerkinfrastruktur in
Übereinstimmung mit
Sicherheitsrichtlinien, -verfahren und standards auf autorisierte Mitarbeiter
beschränkt? Gibt es für Netzwerke, die mit
externen Entitäten gemeinsam genutzt
werden, einen dokumentierten Plan mit
Einzelheiten zu den ausgleichenden
Maßnahmen zum Trennen des
Netzwerkdatenverkehrs zwischen
Organisationen?
Intern befolgt die AWS-Netzwerk-Segmentierung
die DIN ISO/IEC 27001-Normen. In der Norm DIN
ISO/IEC 27001 finden Sie in Anhang A,
erhalten.
Zum Schutz der AWS-Netzwerkumgebung sind
Richtlinien, Verfahren und Mechanismen
definiert. Weitere Details finden Sie im SOC 1
Type 2-Bericht von AWS.
weitere Informationen. AWS wurde von einem
erhalten.
Der Zugriff auf kritische Ressourcen wie Services,
Hosts und Netzwerkgeräte ist streng geregelt
und muss im unternehmenseigenen
Berechtigungsverwaltungssystem von Amazon
explizit gewährt werden. Der AWS SOC 1 Type 2Bericht bietet weitere Details zu den spezifischen
Kontrollmaßnahmen von AWS.
ISO/IEC 27001 in Anhang A, Abschnitt 11 weitere
Informationen. AWS wurde von einem
Juli 2012
erhalten.
Sicherheitsarc
hitektur
Uhrsynchronisie
rung
SA-12.1
Nutzen Sie ein synchronisiertes
Zeitserviceprotokoll (z. B. NTP), um für alle
Systeme einen gemeinsamen Zeitbezug
sicherzustellen?
In Übereinstimmung mit den DIN ISO/IEC 27001Normen nutzen AWS-Informationssysteme über
NTP (Network Time Protocol) synchronisierte
Systemuhren.
Sicherheitsarc
hitektur
Sicherheitsarc
hitektur
Identifizierung
von Geräten
Prüfungsprotok
ollierung/Erken
nung von
Eindringversuch
en
SA-13.1
SA-14.1
Sicherheitsarc
hitektur
SA-14.2
Sicherheitsarc
hitektur
SA-14.3
Sicherheitsarc
hitektur
Sicherheitsarc
hitektur
42
Code für
Mobilgeräte
SA-15.1
SA-15.2
Wird eine automatische Identifizierung
von Geräten als Methode zur
Verbindungsauthentifizierung genutzt, um
die Integrität der
Verbindungsauthentifizierung basierend
auf dem bekannten Gerätestandort zu
bestätigen?
Sind Tools für Dateiintegrität (Host) und
zum Erkennen von Eindringversuchen in
das Netzwerk (IDS) implementiert, um eine
schnelle Erkennung, Ursachenanalyse und
Reaktion auf Vorfälle zu erleichtern?
Ist der physische und logische
Benutzerzugriff auf Prüfprotokolle auf
autorisierte Mitarbeiter begrenzt?
Können Sie nachweisen, dass Ihre
Kontrollen/Architektur/Prozesse
ordnungsgemäß auf Vorschriften und
Standards abgestimmt sind?
Wird der Code für Mobilgeräte vor seiner
Installation und Nutzung autorisiert und
die Codekonfiguration überprüft, um
sicherzustellen, dass der für Mobilgeräte
autorisierte Code gemäß einer
unmissverständlich definierten
Sicherheitsrichtlinie arbeitet?
Wird die Ausführung von nicht
autorisiertem Code für Mobilgeräte
verhindert?
AWS führt die Identifizierung von Geräten in
Einklang mit der Norm DIN ISO/IEC 27001 durch.
Das AWS-Programm für die Reaktion auf Vorfälle
(Erkennung, Untersuchung, Reaktion) ist in
spezifischen Kontrollmaßnahmen von AWS.
Das Whitepaper "Amazon Web Services –
Übersicht über Sicherheitsverfahren" (siehe
http://aws.amazon.com/security) bietet weitere
Details.
AWS erlaubt Kunden die Verwaltung von Clientund mobilen Anwendungen entsprechend ihren
Anforderungen.
Juli 2012
ANHANG B – GLOSSAR DER VERWENDETEN BEGRIFFE
Authentifizierung: Authentifizierung ist der Vorgang zur Bestimmung, ob jemand oder etwas auch wirklich der oder das
ist, was er oder es zu sein vorgibt.
Amazon EC2-Standorte bestehen aus Regionen und Availability Zones. Availability Zones sind eigenständige Standorte,
die so entwickelt wurden, dass sie von Fehlern in anderen Availability Zones isoliert sind. Sie bieten eine kostengünstige
Netzwerkverbindung mit geringer Verzögerungszeit zu anderen Availability Zones in derselben Region.
DSS: Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit geltender Standard für
Informationssicherheit, der vom Payment Card Industry Security Standards Council zusammengestellt und betreut wird.
Amazon Elastic Block Store (EBS) bietet Datenträger für die Speicherung auf Blockebene zur Verwendung mit Amazon
EC2 Instances. Amazon-EBS-Datenträger ermöglichen die Speicherung außerhalb der Instanz, die unabhängig vom Status
einer Instanz besteht.
FISMA: Der Federal Information Security Management Act von 2002. Das Gesetz fordert von allen US-Bundesbehörden
die Entwicklung, Dokumentation und Implementierung eines behördenweiten Programms zum Gewährleisten von
Sicherheit der Informationen und Informationssysteme, die den Betrieb und die Ressourcen der Behörde unterstützen,
was auch diejenigen betrifft, die von einer anderen Behörde, einem Auftragnehmer oder einer anderen Quelle
bereitgestellt oder verwaltet werden.
FIPS 140-2: Die Federal Information Processing Standard (FIPS) Publication 140-2 ist ein Sicherheitsstandard der USRegierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche
Informationen schützen.
GLBA: Der Gramm–Leach–Bliley Act (GLB oder GLBA), auch Financial Services Modernization Act von 1999 genannt,
bestimmt Vorgaben für Finanzinstitute hinsichtlich u. a. der Preisgabe nicht öffentlicher Kundeninformationen und des
Schutzes vor Bedrohungen der Sicherheit und Datenintegrität.
HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 fordert die Festlegung nationaler
Standards für elektronische Transaktionen im Gesundheitswesen und nationale Kennungen für Anbieter, Versicherer
und Mitarbeiter. In den Vorschriften unter "Administration Simplification" werden auch die Sicherheit und der
Datenschutz von Patientendaten berücksichtigt. Die Standards dienen der Verbesserung der Effizienz und Effektivität
des US-Gesundheitssystems durch den elektronischen Austausch von Daten.
Hypervisor: Ein Hypervisor, auch Virtual Machine Monitor (VMM) genannt, ist eine Virtualisierungssoftware für
Software-/Hardware-Plattformen, dank der mehrere Betriebssysteme gleichzeitig auf einem Host-Computer ausgeführt
werden können.
IAM: Identity and Access Management (AWS IAM) ermöglicht einem Kunden, mehrere Benutzerkonten zu erstellen und
deren Berechtigungen innerhalb seines AWS-Kontos zu verwalten.
ITAR: International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels) ist eine Sammlung
von US-Bundesvorschriften zur Kontrolle des Exports und Imports von für die Verteidigung benötigten Artikeln und
Services in der United States Munitions List (USML). US-Bundesbehörden und deren Auftragnehmer müssen ITAR
einhalten und den Zugriff auf geschützte Daten beschränken.
43
Juli 2012
ISAE 3402: International Standards for Assurance Engagements No. 3402 (ISAE 3402) ist der internationale Standard für
Prüfberichte. Dieser wurde auf Grundlage von Empfehlungen des IAASB (International Auditing and Assurance Standards
Board), einer für die Ausarbeitung von Standards zuständigen Abteilung des IFAC (International Federation of
Accountants), entwickelt. ISAE 3402 ist mittlerweile der weltweit anerkannte Standard für Prüfberichte für
Dienstleistungsunternehmen.
DIN ISO/IEC 27001: DIN ISO/IEC 27001 ist eine Norm für Informationssicherheits-Managementsysteme, die von der
International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC)
veröffentlicht wurde. DIN ISO/IEC 27001 spezifiziert formell Anforderungen an ein Managementsystem mit dem Ziel, die
Informationssicherheit unter die explizite Kontrolle des Managements zu bringen. Da es sich um eine formelle
Spezifikation handelt, müssen bestimmte Anforderungen erfüllt sein. Organisationen, die vorgeben, DIN ISO/IEC 27001
zu befolgen, können geprüft und als mit der Norm konform zertifiziert werden.
NIST: National Institute of Standards and Technology. Diese US-Behörde legt den Anforderungen von Branchen- oder
Bundesprogrammen entsprechend detaillierte Sicherheitsstandards fest. Für Compliance mit FISMA müssen Behörden
NIST-Standards einhalten.
Objekt: Die Grundeinheiten, die in Amazon S3 gespeichert sind. Objekte bestehen aus Objekt- und Metadaten. Die
Datenteile sind für Amazon S3 unverständlich. Metadaten bestehen aus mehreren Name/Wert-Paaren, die das Objekt
beschreiben. Dazu gehören Standard-Metadaten wie das Datum der letzten Aktualisierung und Standard-HTTPMetadaten wie der Content-Type. Der Entwickler kann zudem die Kundenmetadaten zum Zeitpunkt der Speicherung des
Objekts festlegen.
PCI (Payment Card Industry): Bezieht sich auf das Payment Card Industry Security Standards Council, ein unabhängig
Gremium, das von American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International mit
dem Ziel ins Leben gerufen wurde, den Datensicherheitsstandard für die Kreditkartenbranche (PCI DSS) zu betreuen und
weiterzuentwickeln.
QSA: Die Benennung Payment Card Industry (PCI) Qualified Security Assessor (QSA) wird vom PCI Security Standards
Council den Personen zugewiesen, die bestimmte Qualifizierungsanforderungen erfüllen und für Bewertungen der PCICompliance autorisiert sind.
SAS 70: Statement on Auditing Standards No. 70: Service Organizations ist ein von den Auditing Standards Board des
American Institute of Certified Public Accountants (AICPA) ausgestellter Prüfbericht. SAS 70 bietet Prüfern von
Dienstleistungsunternehmen Anleitungen zum Bewerten der internen Kontrollen eines Dienstleistungsunternehmens
(wie AWS) und Ausstellen eines dazugehörigen Prüfberichts. SAS 70 bietet außerdem Anleitungen für Bilanzprüfer von
Entitäten, die mit einem oder mehreren Dienstleistungsunternehmen zusammenarbeiten. Der SAS 70-Bericht wurde
durch den Service Organization Controls 1-Bericht (SOC 1) ersetzt.
Service:Software oder Datenverarbeitungsfunktionalität, die über ein Netzwerk (z. B. EC2, S3, VPC) zur Verfügung
gestellt wird.
Service Level Agreement (SLA): Ein Service Level Agreement ist Teil eines Servicevertrags, in dem der Grad des Service
formal definiert wird. Die SLA dient zur Bezugnahme auf die vertraglich vereinbarte Lieferzeit (des Service) oder
Leistung.
44
Juli 2012
SOC 1: Der Service Organization Controls 1 (SOC 1) Type II-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70,
Service Organizations-Bericht oder SSAE 16-Bericht genannt) ist eine umfassend anerkannte Bilanzprüfungsvorschrift
des American Institute of Certified Public Accountants (AICPA). Der internationale Standard wird als International
Standards for Assurance Engagements No. 3402 (ISAE 3402) bezeichnet.
SSAE 16: Das Statement on Standards for Attestation Engagements No. 16 (SSAE 16) ist ein von den Auditing Standards
Board (ASB) des American Institute of Certified Public Accountants (AICPA) veröffentlichter Bescheinigungsstandard. Der
Standard gilt für die Beauftragung von Serviceprüfern mit der Erstellung eines Berichts zu Kontrollen in Organisationen,
die Unternehmen Services bereitstellen, bei denen die Kontrollen eines Serviceanbieters voraussichtlich für die interne
Kontrolle der Finanzberichterstattung eines Unternehmens relevant sind. SSAE 16 ersetzt das Statement on Auditing
Standards No. 70 (SAS 70) für Berichtszeiträume von Serviceprüfern, die am bzw. nach dem 15.06.2011 enden.
Virtuelle Instance: Sobald ein AMI erstellt wurde, wird das sich daraus ergebende ausgeführte System als Instance
bezeichnet. Alle Instances, die auf demselben AMI basieren, sind anfangs identisch. Sämtliche Informationen, die auf
ihnen gespeichert sind, gehen verloren, wenn die Instance beendet wird oder ausfällt.
45
Juli 2012
Version Juli 2012
 Überarbeitungen des Inhalts und Aktualisierung des Abschnitts zur Zertifizierung
 Hinzufügung des CSA Consensus Assessments Initiative-Fragebogens (Anhang A)
Version Januar 2012
 Kleinere Überarbeitungen des Inhalts basierend auf der Aktualisierung des Abschnitts zur Zertifizierung
 Kleinere grammatikalische Überarbeitungen
Version Dezember 2011
 Änderung am Abschnitt "Zertifizierungen und Bescheinigungen von Dritten" aufgrund von SOC 1/SSAE 16,
FISMA Moderate, International Traffic in Arms Regulations und FIPS 140-2
 Hinzufügung der S3-Verschlüsselung auf Serverseite
 Hinzufügung weiterer Themen zu Cloud Computing-Problematiken
Version Mai 2011
Erstversion
Hinweise
© 2010-2012 Amazon.com, Inc. Amazon.com, Inc. oder Tochtergesellschaften. Dieses Dokument wird nur zu
Informationszwecken zur Verfügung gestellt. Es stellt das aktuelle AWS-Produktangebot zum Zeitpunkt der
Veröffentlichung dar. Änderungen vorbehalten. Die Kunden sind verantwortlich für ihre eigene Interpretation der in
diesem Dokument zur Verfügung gestellten Informationen und für die Nutzung der AWS-Produkte oder -Services. Diese
werden alle ohne Mängelgewähr und ohne jegliche Garantie, weder ausdrücklich noch stillschweigend, bereitgestellt.
Dieses Dokument gibt keine Garantien, Gewährleistungen, vertragliche Verpflichtungen, Bedingungen oder
Zusicherungen von AWS, seinen Partnern, Zulieferern oder Lizenzgebern. Die Verantwortung und Haftung von AWS
gegenüber seinen Kunden werden durch AWS-Vereinbarungen geregelt. Dieses Dokument gehört, weder ganz noch
teilweise, nicht zu den Vereinbarung von AWS mit seinen Kunden und ändert diese Vereinbarungen auch nicht.
46

"Amazon Web Services: Risiko und Compliance"

Transcription

Similar documents

Nationaler IT-Gipfel 2015

Amazon Web Services: Risiko und Compliance

AWS Sicherheit Best Practices

Sicherheit der Adobe Creative Cloud für Teams – Überblick

Checkliste zur Überprüfung der Sicherheit bei Nutzung von AWS

Drucken - expert

Die Schloss-Arkaden in Braunschweig

Die ELSTER-Datenbank

Vollständigen Artikel als PDF herunterladen - All

Projektmanagement, E-Commerce, Architektur, Internet / Intranet

Schnelleinstieg AUSWERTUNGEN ONLINE - Agenda

kunde. Wehrwissenschaftliche Rundschau. Offizielle