Proaktive Compliance ist eine tägliche Aufgabe

Beim Wechsel zu einem Cloud-Anbieter, insbesondere wenn eine serverlose Infrastruktur übernommen wird, wird die Prüfungsaufgabe zu einer viel größeren Verantwortung. Die Anzahl der genutzten Dienste und Infrastrukturkomponenten nimmt drastisch zu, und die Nutzung vieler dieser Dienste ist entscheidend für eine erfolgreiche Cloud-Migration. Sich ausschließlich auf grundlegende Dienste wie EC2 und S3 zu verlassen, ohne higher level services zu nutzen, lässt einige mögliche Kosten- und Produktivitätsverbesserungen ungenutzt.

Proaktives auditing

Audit muss proaktiv und nicht nur reaktiv durchgeführt werden. Jährlich externe Unternehmen mit Pen-Tests zu beauftragen und die bestehende Infrastruktur zu überprüfen, ist keine Lösung für die heutigen Sicherheitsanforderungen an Cloud-Infrastrukturen. Dies ist definitiv ein Teil der Lösung, jedoch en nur ein Teil und nicht die Gesamtlösung.

Durch Code-Infrastruktur müssen wir bereits eine überprüfbare Definition haben, die mit Hilfe von Werkzeugen überprüft werden kann. Jede Änderung in der Infrastruktur sollte überprüft werden, genauso wie wir jede Änderung in unserem Anwendungscode testen würden. Diese Prüfungen sind unsere erste Verteidigungslinie. Nachdem die Änderungen zusammengeführt und über eine automatisierte Pipeline bereitgestellt wurden, erfolgt die Überprüfung durch unseren Cloud-Anbieter.

AWS Audit Manager

Mit Tools wie AWS Config oder Azure Policy können wir ein Inventar unserer Cloud-Ressourcen erstellen. In weiteren Beiträgen wird erklärt, wie dieses Inventar nützlich sein kann. Darüber hinaus müssen Regeln eingeführt werden, um unser Inventar zu bewerten und sicherzustellen, dass alle Ressourcen konform sind. Nun, da wir über unsere Konformität Bescheid wissen, besteht die Schwierigkeit darin, diese Konformität auch korrekt zu kommunizieren.

Zu oft haben wir Teams gesehen, die diese Informationen in ihren Systemen haben, aber die Informationen nicht für interne Diskussionen genutzt werden, da sie nicht regelmäßig gesammelt werden. Dienste wie AWS Audit Manager helfen hier, indem sie alle Compliance-Daten in einem geeigneten Format sammeln, das weitergeleitet und mit den Teams und der Geschäftsführung geteilt werden kann.

Fazit

All dies schafft ein gemeinsames Verständnis dafür, wo die Probleme liegen, um sie in weiterer Folge zu priorisieren und durch die Pipelines und automatisierten Tools so früh wie möglich zu erkennen. Während die Einhaltung der Vorschriften in der Vergangenheit alle paar Monate überprüft wurde, sollte sie heute in die tägliche Arbeit in der Cloud integriert und proaktiv sein.

Wenn Sie Fragen zu diesem Thema haben, stehen Ihnen unsere Experten gerne zur Verfügung.