# Sicheres Betreiben Ihrer Workloads
<a name="operating-your-workload-securely"></a>

Das sichere Betreiben von Workloads deckt den gesamten Lebenszyklus einer Workload ab, vom Design über die Erstellung bis hin zur Ausführung und zur laufenden Verbesserung. Eine der Möglichkeiten zur Verbesserung Ihrer Fähigkeit, sicher in der Cloud zu arbeiten, ist ein organisatorischer Ansatz für die Governance. Governance ist die Art und Weise, wie Entscheidungen konsequent geleitet werden, ohne dass sie allein vom guten Urteilsvermögen der beteiligten Personen abhängen. Ihr Governance-Modell und -Prozess ist die Art und Weise, wie Sie die Frage beantworten: „Woher weiß ich, dass die Kontrollziele für eine bestimmte Workload erfüllt werden und für diese Workload angemessen sind?“ Ein einheitlicher Ansatz für die Entscheidungsfindung beschleunigt die Bereitstellung von Workloads und trägt dazu bei, die Messlatte für die Sicherheitskapazität in Ihrem Unternehmen höher zu legen. 

Um Ihre Workload sicher zu betreiben, müssen Sie in allen Sicherheitsbereichen übergreifende bewährte Methoden anwenden. Wenden Sie die Anforderungen und Prozesse, die Sie im Bereich Operational Excellence auf Organisations- und Workload-Ebene definiert haben, auf alle Bereiche an. Wenn Sie über AWS- und Branchenempfehlungen sowie Bedrohungsinformationen auf dem Laufenden bleiben, können Sie Ihr Bedrohungsmodell und Ihre Kontrollziele weiterentwickeln. Die Automatisierung von Sicherheitsprozessen, Tests und Validierung hilft Ihnen, Ihre Sicherheitsvorgänge zu skalieren. 

Die Automatisierung ermöglicht die Konsistenz und Wiederholbarkeit von Prozessen. Menschen sind in vielen Dingen gut, aber immer wieder das Gleiche zu tun, ohne Fehler zu machen, gehört nicht dazu. Selbst bei gut geschriebenen Runbooks besteht die Gefahr, dass die Mitarbeiter sich wiederholende Aufgaben nicht konsequent ausführen. Dies gilt vor allem dann, wenn die Mitarbeiter verschiedene Aufgaben haben und dann auf ungewohnte Alarme reagieren müssen. Die Automatisierung hingegen reagiert jedes Mal auf dieselbe Weise. Der beste Weg zur Bereitstellung von Anwendungen ist die Automatisierung. Der Code, mit dem die Bereitstellung ausgeführt wird, kann getestet und dann zur Durchführung der Bereitstellung verwendet werden. Dies erhöht das Vertrauen in den Veränderungsprozess und verringert das Risiko einer fehlgeschlagenen Veränderung. 

Um zu überprüfen, ob die Konfiguration Ihren Kontrollzielen entspricht, testen Sie die Automatisierung und die bereitgestellte Anwendung zunächst in einer Nicht-Produktionsumgebung. Auf diese Weise können Sie die Automatisierung testen, um nachzuweisen, dass sie alle Schritte korrekt ausgeführt hat. Außerdem erhalten Sie frühzeitiges Feedback im Entwicklungs- und Bereitstellungszyklus, was die Nacharbeit reduziert. Um die Wahrscheinlichkeit von Bereitstellungsfehlern zu verringern, sollten Sie Konfigurationsänderungen durch Code und nicht durch Personen vornehmen. Wenn Sie eine Anwendung erneut bereitstellen müssen, wird dies durch die Automatisierung erheblich erleichtert. Wenn Sie zusätzliche Kontrollziele definieren, können Sie diese einfach zur Automatisierung für alle Workloads hinzufügen.

Anstatt dass die Eigentümer der einzelnen Workloads in die für ihre Workloads spezifische Sicherheit investieren müssen, sparen Sie Zeit durch die Nutzung gemeinsamer Funktionen und Komponenten. Einige Beispiele für Services, die von mehreren Teams genutzt werden können, sind der Prozess der AWS-Kontoerstellung, die zentrale Identität von Personen, die gemeinsame Konfiguration der Protokollierung sowie die Erstellung von AMI- und Container-Basis-Images. Dieser Ansatz kann Entwicklern dabei helfen, die Zykluszeiten für die Workloads zu verkürzen und die Ziele der Sicherheitskontrolle konsequent einzuhalten. Wenn die Teams kohärenter arbeiten, können Sie die Kontrollziele validieren und den Beteiligten besser über Ihre Kontrollsituation und Risikolage berichten.

**Topics**
+ [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Verringern des Umfangs der Sicherheitsverwaltung](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -features](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 Identifizieren und Validieren von Kontrollzielen
<a name="sec_securely_operate_control_objectives"></a>

 Entsprechend Ihren Compliance-Anforderungen und Risiken, die aus Ihrem Bedrohungsmodell identifiziert werden, können Sie die Kontrollziele und Kontrollen ableiten und validieren, die Sie für Ihre Workload benötigen. Die laufende Validierung von Kontrollzielen und Kontrollen hilft Ihnen, die Effektivität der Risikominderung zu messen. 

 **Gewünschtes Ergebnis:** Die Kontrollziele Ihres Unternehmens sind klar definiert und auf Ihre Compliance-Anforderungen abgestimmt. Kontrollen werden durch Automatisierung und Richtlinien implementiert und durchgesetzt und kontinuierlich auf ihre Wirksamkeit bei der Erreichung Ihrer Ziele überprüft. Die Belege für die Wirksamkeit sowohl zu einem bestimmten Zeitpunkt als auch über einen bestimmten Zeitraum hinweg sind jederzeit für Prüfer abrufbar. 

 **Typische Anti-Muster:** 
+  Regulatorische Anforderungen, Markterwartungen und Branchenstandards für verlässliche Sicherheit sind in Ihrem Unternehmen nicht hinreichend vertraut. 
+  Ihr Framework für die Cybersicherheit und Ihre Kontrollziele sind nicht an den Anforderungen Ihres Unternehmens ausgerichtet. 
+  Die Implementierung der Kontrollen ist nicht messbar auf Ihre Kontrollziele ausgerichtet. 
+  Sie verwenden keine Automatisierung zur Berichterstattung über die Wirksamkeit Ihrer Kontrollen. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Es gibt zahlreiche gängige Frameworks für die Cybersicherheit, die die Grundlage für Ihre Sicherheitskontrollziele bilden können. Berücksichtigen Sie die regulatorischen Anforderungen, die Markterwartungen und die Branchenstandards für Ihr Unternehmen, um festzustellen, welches Framework Ihre Anforderungen am besten erfüllt. Beispiele hierfür sind u. a. [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/), [HITRUST](https://aws.amazon.com/compliance/hitrust/), [PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/), [ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) und [NIST SP 800-53](https://aws.amazon.com/compliance/nist/). 

 Für die von Ihnen festgelegten Kontrollziele sollten Sie verstehen, wie die von Ihnen in Anspruch genommenen AWS-Services Ihnen helfen, diese Ziele zu erreichen. Unter [AWS Artifact](https://aws.amazon.com/artifact/) finden Sie Dokumentationen und Berichte, die auf Ihre Zielframeworks abgestimmt sind. Darin wird der Verantwortungsbereich von AWS beschrieben. Ferner können Sie dort Anleitungen erhalten, in denen der verbleibende Umfang, für den Sie verantwortlich sind, beschrieben wird. Weitere servicespezifische Anleitungen, die sich an verschiedenen Regelwerken orientieren, finden Sie unter [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 Während Sie die Kontrollen zur Erreichung Ihrer Ziele definieren, kodifizieren Sie die Durchsetzung mithilfe von präventiven Kontrollen und automatisieren die Abschwächung mithilfe von detektivischen Kontrollen. Verhindern Sie nicht konforme Ressourcenkonfigurationen und Aktionen in AWS Organizations mithilfe von [Service-Kontrollrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Implementieren Sie Regeln in [AWS Config](https://aws.amazon.com/config/) zur Überwachung und Berichterstattung über nicht konforme Ressourcen und wechseln Sie dann zu einem Durchsetzungsmodell, sobald Sie von deren Verhalten überzeugt sind. Wenn Sie vordefinierte und verwaltete Regeln bereitstellen möchten, die sich an Ihren Cybersicherheits-Rahmenbedingungen orientieren, sollten Sie die Verwendung von [AWS Security Hub CSPM-Standards](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) als erste Wahl in Betracht ziehen. Der Standard „Foundational Service Best Practices (FSBP)“ von AWS und der CIS-AWS-Foundations-Benchmark sind gute Ausgangspunkte mit Kontrollen, die auf zahlreiche Ziele ausgerichtet sind, die in mehreren Standardframeworks gemeinsam genutzt werden. In Fällen, in denen Security Hub CSPM nicht intrinsisch die gewünschten Kontrollmeldungen verfügt, kann es durch [AWS Config-Konformitätspakete](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) ergänzt werden. 

 Verwenden Sie [APN-Partnerpakete](https://aws.amazon.com/partners/programs/gsca/bundles/), die vom Global Security and Compliance Acceleration (GSCA)-Team von AWS empfohlen werden, um bei Bedarf Unterstützung von Sicherheitsberatern, Beratungsagenturen, Beweissammlungs- und Berichtssystemen, Prüfern und anderen ergänzenden Services zu erhalten. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Bewerten Sie gängige Frameworks für Cybersicherheit und richten Sie Ihre Kontrollziele an den ausgewählten Frameworks aus. 

1.  Beschaffen Sie sich mithilfe von AWS Artifact einschlägige Unterlagen über Leitlinien und Verantwortlichkeiten für Ihr Framework. Machen Sie sich klar, welche Teile der Compliance in den AWS-Bereich des Modells der gemeinsamen Verantwortung fallen und für welche Teile Sie verantwortlich sind. 

1.  Verwenden Sie SCPs, Ressourcenrichtlinien, Rollenvertrauensrichtlinien und andere Maßnahmen für den Integritätsschutz, um nicht konforme Ressourcenkonfigurationen und Aktionen zu verhindern. 

1.  Evaluieren Sie die Implementierung von Security-Hub-CSPM-Standards und AWS Config-Konformitätspaketen, die mit Ihren Kontrollzielen übereinstimmen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC03-BP01 Definieren von Zugriffsanforderungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Verstehen Ihres Schemas zur Datenklassifizierung](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Bewerten der Governance-Anforderungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Bewerten der Compliance-Anforderungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Verwenden von Richtlinien und Referenzarchitekturen](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Zugehörige Dokumente:** 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Zugehörige Tools:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen
<a name="sec_securely_operate_updated_threats"></a>

 Bleiben Sie auf dem Laufenden über die neuesten Bedrohungen und Abhilfemaßnahmen, indem Sie Veröffentlichungen zu Bedrohungsdaten und Datenfeeds der Branche auf Aktualisierungen verfolgen. Prüfen Sie Angebote für verwaltete Services, die automatisch auf der Grundlage der neuesten Bedrohungsdaten aktualisiert werden. 

 **Gewünschtes Ergebnis:** Sie bleiben auf dem Laufenden, da die Branchenpublikationen mit den neuesten Bedrohungen und Empfehlungen aktualisiert werden.  Sie nutzen die Automatisierung, um potenzielle Schwachstellen und Gefährdungen zu erkennen, während Sie neue Bedrohungen identifizieren. Sie ergreifen Maßnahmen zur Eindämmung dieser Bedrohungen.  Sie übernehmen AWS-Services, die automatisch mit den neuesten Bedrohungsdaten aktualisiert werden. 

 **Typische Anti-Muster:** 
+  Kein zuverlässiger und wiederholbarer Mechanismus, um über die neuesten Bedrohungsdaten informiert zu sein 
+  Manuelle Bestandsführung Ihres Technologieportfolios, Ihrer Workloads und Abhängigkeiten, was menschliches Eingreifen im Hinblick auf potenzielle Schwachstellen und Gefährdungen erfordert 
+  Fehlende Mechanismen zur Aktualisierung Ihrer Workloads und Abhängigkeiten auf die neuesten verfügbaren Versionen, die bekannte Bedrohungsabwehrmaßnahmen bieten 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Verwendung von Bedrohungsdatenquellen, um auf dem Laufenden zu bleiben, verringert das Risiko, wichtige Änderungen in der Bedrohungslandschaft zu verpassen, die sich auf Ihr Unternehmen auswirken können.  Wenn Sie Ihre Workloads und deren Abhängigkeiten automatisiert auf potenzielle Schwachstellen oder Gefährdungen prüfen, diese erkennen und beheben, können Sie Risiken im Vergleich zu manuellen Alternativen schnell und vorhersehbar eindämmen.  Dies trägt dazu bei, Zeit und Kosten im Zusammenhang mit der Behebung von Schwachstellen zu kontrollieren. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Verfolgen Sie vertrauenswürdige Veröffentlichungen zu Bedrohungsdaten, um über die Bedrohungslandschaft auf dem Laufenden zu bleiben.  Konsultieren Sie die Wissensdatenbank von [MITRE ATT&CK](https://attack.mitre.org/). Hier finden Sie Dokumentationen über bekannte gegnerische Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs). Informieren Sie sich in der MITRE-Liste [Common Vulnerabilities and Exposures](https://cve.org/) (CVE) über bekannte Schwachstellen in Produkten, auf die Sie angewiesen sind. Verstehen Sie kritische Risiken für Webanwendungen mit dem populären Projekt [OWASP Top 10](https://owasp.org/www-project-top-ten/) des Open Worldwide Application Security Project (OWASP). 

 Bleiben Sie auf dem Laufenden über AWS-Sicherheitsereignisse und empfohlene Abhilfemaßnahmen mit AWS-[Sicherheitsberichten für CVEs](https://aws.amazon.com/security/security-bulletins/). 

 Um den Gesamtaufwand für die Aktualisierung zu reduzieren, sollten Sie AWS-Services nutzen. Diese beziehen die neue Bedrohungsdaten im Laufe der Zeit automatisch ein.  Zum Beispiel behält [Amazon GuardDuty](https://aws.amazon.com/guardduty/) den Überblick über die Bedrohungsdaten der Branche, um anormale Verhaltensweisen und Bedrohungssignaturen in Ihren Konten zu erkennen.  [Amazon Inspector](https://aws.amazon.com/inspector/) hält automatisch eine Datenbank mit den CVEs auf dem neuesten Stand. Diese Datenbank wird für die kontinuierlichen Scan-Features verwendet.  Sowohl [AWS WAF](https://aws.amazon.com/waf/) als auch [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) bieten verwaltete Regelgruppen, die automatisch aktualisiert werden, wenn neue Bedrohungen auftauchen. 

 Informationen zum automatisierten Flottenmanagement und Patching finden Sie unter [Säule „Operative Exzellenz“ – Well-Architected-Framework](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) 

## Implementierungsschritte
<a name="implementation-steps"></a>
+  Abonnieren Sie Updates für Bedrohungsinformationen, die für Ihr Unternehmen und Ihre Branche relevant sind. Abonnieren Sie die AWS-Sicherheitsberichte. 
+  Erwägen Sie die Einführung von Services, die neue Bedrohungsdaten automatisch einbeziehen, wie Amazon GuardDuty und Amazon Inspector. 
+  Erstellen Sie eine Flottenmanagement- und Patching-Strategie, die sich an den bewährten Methoden der der Säule „Operative Exzellenz“ des Well-Architected-Framework“ orientiert. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 Bewerten der Bedrohungsszenarien](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 Implementieren eines Prozesses für die kontinuierliche Verbesserung](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 Verringern des Umfangs der Sicherheitsverwaltung
<a name="sec_securely_operate_reduce_management_scope"></a>

 Ermitteln Sie, ob Sie Ihren Sicherheitsumfang reduzieren können, indem Sie AWS-Services verwenden, die die Verwaltung bestimmter Kontrollen in AWS verlagern (*verwaltete Services*). Mit diesen Services können Sie Ihre Wartungsaufgaben im Bereich Sicherheit reduzieren, z. B. die Bereitstellung der Infrastruktur, die Einrichtung von Software, Patches oder Sicherungen. 

 **Gewünschtes Ergebnis:** Sie berücksichtigen den Umfang Ihrer Sicherheitsverwaltung bei der Auswahl von AWS-Services für Ihre Workload. Die Kosten für den Verwaltungsaufwand und die Wartungsaufgaben (die Gesamtbetriebskosten (Total Cost of Ownership, TCO) werden gegen die Kosten der von Ihnen ausgewählten Services abgewogen. Hinzu kommen weitere Überlegungen im Rahmen von Well-Architected. Sie integrieren die Kontroll- und Compliance-Dokumentation von AWS in Ihre Kontrollbewertungs- und Verifizierungsverfahren. 

 **Typische Anti-Muster:** 
+  Bereitstellung von Workloads ohne gründliches Verständnis des Modells der geteilten Verantwortung für die von Ihnen ausgewählten Services 
+  Hosten von Datenbanken und anderen Technologien auf virtuellen Maschinen, ohne einen entsprechenden verwalteten Service evaluiert zu haben 
+  Nichtberücksichtigung von Sicherheitsverwaltungsaufgaben bei den Gesamtbetriebskosten des Hostings von Technologien auf virtuellen Maschinen im Vergleich zu verwalteten Serviceoptionen 

 **Vorteile der Nutzung dieser bewährten Methode:** Der Einsatz von verwalteten Services kann Ihren Gesamtaufwand für die Verwaltung der betrieblichen Sicherheitskontrollen verringern, was Ihre Sicherheitsrisiken und Gesamtbetriebskosten reduzieren kann. Die Zeit, die Sie sonst für bestimmte Sicherheitsaufgaben aufwenden müssten, können Sie in Aufgaben investieren, die Ihrem Unternehmen einen größeren Nutzen bringen. Verwaltete Services können auch den Umfang Ihrer Compliance-Anforderungen reduzieren, indem sie einige Kontrollanforderungen in AWS verlagern. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Es gibt mehrere Möglichkeiten, wie Sie die Komponenten Ihrer Workload in AWS integrieren können. Die Installation und der Betrieb von Technologien auf Amazon-EC2-Instances erfordert häufig, dass Sie den größten Teil der gesamten Sicherheitsverantwortung übernehmen. Um den Aufwand für die Durchführung bestimmter Kontrollen zu verringern, sollten Sie von AWS verwaltete Services identifizieren, die den Umfang Ihrer Seite des Modells der geteilten Verantwortung verringern, und verstehen, wie Sie diese in Ihrer bestehenden Architektur nutzen können. Beispiele sind die Verwendung von [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) für die Bereitstellung von Datenbanken, [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) oder [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) für die Orchestrierung von Containern oder die Verwendung von [Serverless-Optionen](https://aws.amazon.com/serverless/). Überlegen Sie bei der Entwicklung neuer Anwendungen, welche Services dazu beitragen können, den Zeit- und Kostenaufwand für die Implementierung und Verwaltung von Sicherheitskontrollen zu reduzieren. 

 Auch Compliance-Anforderungen können bei der Auswahl von Services eine Rolle spielen. Verwaltete Services können die Einhaltung einiger Anforderungen in AWS verlagern. Sprechen Sie mit Ihrem Compliance-Team darüber, inwieweit es sich mit der Prüfung der von Ihnen betriebenen und verwalteten Services und der Annahme von Kontrollerklärungen in den entsprechenden Audit-Berichten von AWS wohl fühlt. Sie können die in [AWS Artifact](https://aws.amazon.com/artifact/) gefundenen Audit-Artefakte Ihren Prüfern oder Regulierungsbehörden als Nachweis für AWS-Sicherheitskontrollen vorlegen. Sie können beim Design Ihrer Architektur auch die Hinweise zur Verantwortung verwenden, die in einigen AWS-Audit-Artefakten enthalten sind, zusammen mit den [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). Dieser Leitfaden hilft Ihnen, die zusätzlichen Sicherheitskontrollen zu bestimmen, die Sie einrichten sollten, um die spezifischen Anwendungsfälle Ihres Systems zu unterstützen. 

 Wenn Sie verwaltete Services nutzen, sollten Sie mit dem Prozess der Aktualisierung ihrer Ressourcen auf neuere Versionen vertraut sein (z. B. die Aktualisierung der Version einer von Amazon RDS verwalteten Datenbank oder einer Laufzeit einer Programmiersprache für eine AWS Lambda-Funktion). Auch wenn der verwaltete Service diesen Vorgang für Sie durchführt, sind Sie für die Konfiguration des Zeitpunkts der Aktualisierung und die Auswirkungen auf Ihren Betrieb selbst verantwortlich. Tools wie [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) können Ihnen helfen, diese Updates in Ihren Umgebungen zu verfolgen und zu verwalten. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Bewerten Sie die Komponenten Ihrer Workload, die durch einen verwalteten Service ersetzt werden können. 

   1.  Wenn Sie eine Workload zu AWS migrieren, sollten Sie den geringeren Verwaltungsaufwand (Zeit und Kosten) und die Verringerung des Risikos berücksichtigen, wenn Sie folgende Optionen für Ihren Workload bewerten: Hostwechsel, Faktorwechsel, Plattformwechsel, erneute Erstellung oder Ersatz. Manchmal können zusätzliche Investitionen zu Beginn einer Migration auf lange Sicht erhebliche Einsparungen bringen. 

1.  Ziehen Sie die Implementierung von verwalteten Services wie Amazon RDS in Betracht, anstatt Ihre eigenen Technologiebereitstellungen zu installieren und zu verwalten. 

1.  Verwenden Sie die Anleitung zur Verantwortung in AWS Artifact, um die Sicherheitskontrollen zu bestimmen, die Sie für Ihre Workload einrichten sollten. 

1.  Führen Sie ein Inventar der genutzten Ressourcen und halten Sie sich über neue Services und Ansätze auf dem Laufenden, um neue Möglichkeiten zur Reduzierung des Umfangs zu ermitteln. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [PERF02-BP01 Auswählen der besten Datenverarbeitungsoptionen für Ihre Workload](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 Verwenden eines speziell entwickelten Datenspeichers, der die Datenzugriffs- und Speicheranforderungen am besten unterstützt](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 Verwenden verwalteter Services](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **Zugehörige Dokumente:** 
+  [Planned lifecycle events for AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **Zugehörige Tools:** 
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Zugehörige Videos:** 
+  [How do I migrate to an Amazon RDS or Aurora MySQL DB instance using AWS DMS?](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2.023 - Manage resource lifecycle events at scale with AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen
<a name="sec_securely_operate_automate_security_controls"></a>

 Wenden Sie bei der Entwicklung und Bereitstellung von Sicherheitskontrollen, die in Ihren AWS-Umgebungen Standard sind, moderne DevOps-Verfahren an.  Definieren Sie Standard-Sicherheitskontrollen und -konfigurationen mithilfe von Infrastructure as Code (IaC)-Vorlagen, erfassen Sie Änderungen in einem Versionskontrollsystem, testen Sie Änderungen als Teil einer CI/CD-Pipeline und automatisieren Sie die Bereitstellung von Änderungen in Ihren AWS-Umgebungen. 

 **Gewünschtes Ergebnis:** IaC-Vorlagen erfassen standardisierte Sicherheitskontrollen und übergeben sie an ein Versionskontrollsystem.  CI/CD-Pipelines sind an Stellen vorhanden, die Änderungen erkennen und das Testen und Bereitstellen Ihrer AWS-Umgebungen automatisieren.  Mechanismen zum Integritätsschutz erkennen und warnen vor Fehlkonfigurationen in Vorlagen, bevor die Bereitstellung erfolgt.  Workloads werden in Umgebungen bereitgestellt, in denen Standardkontrollen vorhanden sind.  Die Teams können genehmigte Servicekonfigurationen über einen Selfservice-Mechanismus bereitstellen.  Die Strategien zur Gewährleistung der Sicherheit bei der Sicherung und Wiederherstellung von Kontrollkonfigurationen, Skripten und zugehörigen Daten sind etabliert. 

 **Typische Anti-Muster:** 
+  Manuelle Änderungen an Ihren Standard-Sicherheitskontrollen über eine Webkonsole oder eine Befehlszeilenschnittstelle. 
+  Sich darauf verlassen, dass die einzelnen Workload-Teams die von einem zentralen Team festgelegten Kontrollen manuell umsetzen. 
+  Sich auf ein zentrales Sicherheitsteam verlassen, das auf Anfrage eines Workload-Teams Kontrollen auf Workload-Ebene bereitstellt. 
+  Erlauben, dass dieselben Personen oder Teams Automatisierungsskripte für die Sicherheitskontrolle entwickeln, testen und bereitstellen, ohne dass eine angemessene Aufgabentrennung oder gegenseitige Kontrolle stattfindet.  

 **Vorteile der Nutzung dieser bewährten Methode:** Die Verwendung von Vorlagen zur Definition Ihrer Standard-Sicherheitskontrollen ermöglicht es Ihnen, Änderungen im Laufe der Zeit mithilfe eines Versionskontrollsystems zu verfolgen und zu vergleichen.  Der Einsatz von Automatisierung zum Testen und Bereitstellen von Änderungen schafft Standardisierung und Vorhersehbarkeit, erhöht die Chancen auf eine erfolgreiche Bereitstellung und reduziert manuelle, sich wiederholende Aufgaben.  Durch die Bereitstellung eines Selfservice-Mechanismus für Workload-Teams zur Bereitstellung genehmigter Services und Konfigurationen wird das Risiko von Fehlkonfigurationen und Missbrauch verringert. Das hilft ihnen auch dabei, Kontrollen früher in den Entwicklungsprozess einzubauen. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wenn Sie die in [SEC01-BP01 Trennen von Workloads mithilfe von Konten](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) beschriebenen Methoden befolgen, erhalten Sie am Ende mehrere AWS-Konten-Konten für verschiedene Umgebungen, die Sie mit AWS Organizations verwalten.  Auch wenn jede dieser Umgebungen und Workloads unterschiedliche Sicherheitskontrollen erfordert, können Sie einige Sicherheitskontrollen in Ihrer Organisation standardisieren.  Beispiele hierfür sind die Integration zentraler Identitätsanbieter, die Definition von Netzwerken und Firewalls und die Konfiguration von Standardorten für die Speicherung und Analyse von Protokollen.  Analog zur Anwendung von *Infrastructure as Code* (IaC) zur Anwendung der gleichen strikten Vorgehensweise bei der Entwicklung von Anwendungscode auf die Bereitstellung der Infrastruktur können Sie IaC auch zur Definition und Bereitstellung Ihrer Standard-Sicherheitskontrollen verwenden. 

 Definieren Sie Ihre Sicherheitskontrollen nach Möglichkeit deklarativ, wie z. B. in [AWS CloudFormation](https://aws.amazon.com/cloudformation/), und speichern Sie sie in einem Versionskontrollsystem.  Nutzen Sie DevOps-Methoden, um die Bereitstellung Ihrer Kontrollen zu automatisieren und so besser vorhersehbare Releases, automatisierte Tests mit Tools wie [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) und die Erkennung von Abweichungen zwischen Ihren bereitgestellten Kontrollen und der gewünschten Konfiguration zu ermöglichen.  Sie können Services wie [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/) und [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) verwenden, um eine CI/CD-Pipeline zu erstellen. Berücksichtigen Sie die Hinweise in [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html), um diese Services in eigenen Konten separat von anderen Bereitstellungspipelines zu konfigurieren. 

 Sie können auch Vorlagen definieren, um die Definition und Bereitstellung von AWS-Konten, Services und Konfigurationen zu standardisieren.  Diese Technik ermöglicht es einem zentralen Sicherheitsteam, diese Definitionen zu verwalten und sie den Workload-Teams über einen Selfservice-Ansatz zur Verfügung zu stellen.  Eine Möglichkeit, dies zu erreichen, ist die Verwendung von [Service Catalog](https://aws.amazon.com/servicecatalog/), wo Sie Vorlagen als *Produkte* veröffentlichen können, die Workload-Teams in ihre eigenen Pipeline-Bereitstellungen einbinden können.  Wenn Sie [AWS Control Tower](https://aws.amazon.com/controltower/) verwenden, sind einige Vorlagen und Kontrollen als Ausgangspunkt verfügbar.  Control Tower bietet zudem die Funktion [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), mit der Workload-Teams neue AWS-Konten-Konten unter Verwendung der von Ihnen definierten Standards erstellen können.  Mit dieser Funktion sind Sie nicht mehr auf ein zentrales Team angewiesen, das neue Konten genehmigt und anlegt, wenn diese von Ihren Workload-Teams als notwendig erachtet werden.  Sie benötigen diese Konten möglicherweise, um verschiedene Workload-Komponenten zu isolieren, z. B. aufgrund ihrer Funktion, der Sensibilität der verarbeiteten Daten oder ihres Verhaltens. 

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  Legen Sie fest, wie Sie Ihre Vorlagen in einem Versionskontrollsystem speichern und pflegen wollen. 

1.  Erstellen Sie CI/CD-Pipelines zum Testen und Bereitstellen Ihrer Vorlagen.  Definieren Sie Tests, um zu prüfen, ob Fehlkonfigurationen vorliegen und ob die Vorlagen den Standards Ihres Unternehmens entsprechen. 

1.  Erstellen Sie einen Katalog mit standardisierten Vorlagen für Workload-Teams zur Bereitstellung von AWS-Konten und -Services gemäß Ihren Anforderungen. 

1.  Implementieren Sie sichere Sicherungs- und Wiederherstellungsstrategien für die Konfiguration Ihrer Kontrollen, Skripte und zugehörigen Daten. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [OPS05-BP01 Verwendung von Versionskontrolle](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Einsatz von Systemen zur Build- und Bereitstellungsverwaltung](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Automatisieren von Änderungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Einführen von Methoden, die schnelle Verbesserungen für die Nachhaltigkeit ermöglichen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Zugehörige Dokumente:** 
+  [Organisieren Sie Ihre AWS-Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Zugehörige Beispiele:** 
+  [Automate account creation, and resource provisioning using Service Catalog, AWS Organizations, and AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Strengthen the DevOps pipeline and protect data with AWS Secrets Manager, AWS KMS, and AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Zugehörige Tools:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Landing Zone Accelerator in AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells
<a name="sec_securely_operate_threat_model"></a>

 Führen Sie Bedrohungsmodellierungen zur Identifizierung und Pflege eines aktuellen Registers potenzieller Bedrohungen und entsprechender Abhilfemaßnahmen für Ihre Workload durch. Priorisieren Sie Ihre Bedrohungen und passen Sie Ihre Sicherheitskontrollen an, um zu verhindern, zu erkennen und zu reagieren. Überarbeiten und halten Sie diese Methoden im Kontext Ihrer Workload und der sich entwickelnden Sicherheitslandschaft aktuell. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 **Was versteht man unter Bedrohungsmodellierung?** 

 „Bedrohungsmodellierung dient der Identifizierung, Kommunikation und dem Verständnis von Bedrohungen und Abhilfemaßnahmen im Kontext des Schutzes von etwas Wertvollem.“ – [The Open Web Application Security Project (OWASP) über Bedrohungsmodellierung für Anwendungen](https://owasp.org/www-community/Threat_Modeling) 

 **Wozu dient die Bedrohungsmodellierung?** 

 Systeme sind komplex und werden mit der Zeit immer komplexer und leistungsfähiger. Gleichzeitig liefern sie immer mehr geschäftlichen Wert und verbessern die Kundenzufriedenheit und ‑bindung. Dies bedeutet, dass Entscheidungen zum IT-Design immer mehr Anwendungsfälle berücksichtigen müssen. Diese Komplexität und die zunehmende Zahl der Anwendungsfälle macht unstrukturierte Konzepte ineffektiv, wenn es um das Erkennen und Bekämpfen von Bedrohungen geht. Stattdessen wird ein systematisches Konzept benötigt, das die potenziellen Bedrohungen für ein System aufführen und Abhilfemaßnahmen benennen und priorisieren kann, um sicherzustellen, dass die begrenzten Ressourcen einer Organisation in maximaler Weise in der Lage sind, die Sicherheitslage des Systems insgesamt zu verbessern. 

 Die Bedrohungsmodellierung dient zum Aufbau eines solchen systematischen Konzepts, damit Probleme frühzeitig im Designprozess erkannt und angegangen werden können, so lange Abhilfemaßnahmen noch mit niedrigen relativen Kosten und geringem Aufwand verbunden sind, was später im Lebenszyklus nicht mehr der Fall ist. Dieses Konzept entspricht dem Branchenprinzip des [*Shift-Left*-Sicherheitsansatzes](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Letztendlich ist die Bedrohungsmodellierung in den Risikomanagementprozess einer Organisation integriert und hilft mit einem auf Bedrohungen ausgerichteten Konzept bei Entscheidungen dazu, welche Kontrollmechanismen zu implementieren sind. 

 **Wann sollte eine Bedrohungsmodellierung durchgeführt werden?** 

 Beginnen Sie mit der Bedrohungsmodellierung so früh wie möglich im Lebenszyklus Ihrer Workload. Dies gibt Ihnen die benötigte Flexibilität im Umgang mit den identifizierten Bedrohungen. Wie bei Softwarebugs gilt auch hier: Je früher Sie Bedrohungen identifizieren, desto kostengünstiger ist es, sie zu beheben. Ein Bedrohungsmodell ist ein lebendiges Dokument, dass stetig weiterentwickelt werden sollte, während sich Ihre Workloads verändern. Überprüfen Sie regelmäßig Ihre Bedrohungsmodelle, vor allem bei größeren Änderungen, bei Änderungen der Bedrohungslandschaft, oder wenn Sie neue Features oder Services einführen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 **Wie wird die Bedrohungsmodellierung durchgeführt?** 

 Es gibt viele verschiedene Möglichkeiten zur Durchführung von Bedrohungsmodellierungen. Ähnlich wie bei Programmiersprachen gibt es Vor- und Nachteile und Sie sollten den Ansatz wählen, der für Sie am besten funktioniert. Ein Konzept besteht darin, mit [Shostack’s 4 Question Frame for Threat Modeling](https://github.com/adamshostack/4QuestionFrame) zu beginnen, das aus offenen Fragen besteht, die Ihre Bedrohungsmodellierung strukturieren: 

1.  **Woran arbeiten wir?** 

    Diese Frage dient dazu, das von Ihnen aufgebaute System sowie die sicherheitsrelevanten Details zu diesem System zu verstehen. Für die Beantwortung dieser Frage ist es üblich, ein Modell oder Diagramm zur Visualisierung dessen aufzustellen, was aufgebaut wird, etwa in Gestalt eines [Datenflussdiagramms](https://en.wikipedia.org/wiki/Data-flow_diagram). Das Aufschreiben von Annahmen und wichtigen Details zum System hilft ebenfalls beim Verständnis des Umfangs. Dadurch können sich alle, die zum Bedrohungsmodell beitragen, auf dasselbe konzentrieren und zeitraubende Umwege über irrelevante Themen (wie etwa veraltete Versionen des Systems) vermeiden. Wenn Sie beispielsweise eine Web-Anwendung erstellen, ist es wahrscheinlich nicht relevant, sich um die Bedrohungsmodellierung im Zusammenhang mit der Bootsequenz für Browser-Clients in vertrauenswürdigen Betriebssystemen zu kümmern, da Sie darauf ohnehin keinen Einfluss haben. 

1.  **Was kann schief gehen?** 

    Hier identifizieren Sie die Bedrohungen für Ihr System. Bedrohungen sind versehentliche oder beabsichtigte Handlungen oder Ereignisse, die unerwünschte Folgen haben und die Sicherheit Ihres Systems beeinträchtigen können. Ohne ein klares Verständnis dessen, was schief gehen kann, haben Sie keine Möglichkeit, etwas dagegen zu unternehmen. 

    Es gibt keine kanonische Liste dessen, was schief gehen kann. Die Erstellung dieser Liste erfordert Brainstorming und die Zusammenarbeit all Ihrer Teammitglieder und der [relevanten Beteiligten](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) an der Bedrohungsmodellierung. Sie können das Brainstorming unterstützen, indem Sie ein Modell zur Identifizierung von Bedrohungen verwenden, z. B. [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), das verschiedene Kategorien zur Bewertung anbietet: Spoofing, Manipulation, Zurückweisung, Offenlegung von Informationen, Denial of Service und Erhöhung der Berechtigung. Dazu sollten Sie zur Inspiration vorhandene Listen und Forschungsergebnisse heranziehen, etwa die [OWASP Top 10](https://owasp.org/www-project-top-ten/), den [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/) und den eigenen Bedrohungskatalog Ihrer Organisation. 

1.  **Wie gehen wir damit um?** 

    Wie schon bei der vorherigen Frage gibt es auch hier keine kanonische Liste möglicher Abhilfemaßnahmen. Die Inputs für diesen Schritt sind die identifizierten Bedrohungen, Akteure und Verbesserungsbereiche aus dem vorherigen Schritt. 

    Sicherheit und Compliance unterliegen der [geteilten Verantwortung zwischen Ihnen und AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Der Frage „Wie gehen wir damit um?“ sollte unbedingt die Frage „Wer ist für die Maßnahmen verantwortlich?“ angeschlossen werden. Das Verständnis der Verantwortungsverteilung zwischen Ihnen und AWS hilft Ihnen bei der Anpassung der Bedrohungsmodellierung an die Abhilfemaßnahmen, die Ihrer Kontrolle unterliegen und in der Regel aus einer Kombination aus AWS-Servicekonfigurationsoptionen und Ihren eigenen systemspezifischen Abhilfemaßnahmen bestehen. 

    Für den AWS-Teil der geteilten Verantwortung werden Sie feststellen, dass [AWS-Services in den Bereich vieler Compliance-Programme fallen](https://aws.amazon.com/compliance/services-in-scope/). Diese Programme helfen Ihnen, sich mit den zuverlässigen Kontrollmöglichkeiten bei AWS zur Sicherheitswahrung und Compliance in der Cloud vertraut zu machen. Die Audit-Berichte dieser Programme stehen für AWS-Kunden von [AWS Artifact](https://aws.amazon.com/artifact/) zum Download zur Verfügung. 

    Unabhängig davon, welche AWS-Services Sie nutzen, gibt es immer ein Element der Kundenverantwortung, und an diese Verantwortungen angepasste Abhilfemaßnahmen sollten Teil Ihres Bedrohungsmodells sein. Für Sicherheitskontrollabhilfen für die AWS-Services selbst sollten Sie die Implementierung von Sicherheitskontrollen über Domains hinweg erwägen, einschließlich Domains wie Identitäts- und Zugriffsmanagement (Authentifizierung und Autorisierung), Datenschutz (im Ruhezustand und während der Übertragung), Infrastruktursicherheit, Protokollierung und Überwachung. Die Dokumentation für jeden AWS-Service enthält ein [spezielles Sicherheitskapitel](https://docs.aws.amazon.com/security/) mit Anleitungen zu den Sicherheitskontrollen, die Abhilfemaßnahmen unterstützen können. Wichtig ist, dass Sie den Code, den Sie schreiben, und dessen Abhängigkeiten berücksichtigen und an Kontrollen denken, die Sie für den Umgang mit den damit verbundenen Bedrohungen implementieren können. Bei diesen Kontrollen könnte es sich um Dinge wie [Eingabevalidierung](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [Sitzungsabwicklung](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) und [Umgang mit Grenzen](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow) handeln. Oft ist der Löwenanteil der Bedrohungen mit benutzerdefiniertem Code verbunden, konzentrieren Sie sich also besonders darauf. 

1.  **Haben wir gute Arbeit geleistet?** 

    Ihr Team und die Organisation verfolgen das Ziel, die Qualität der Bedrohungsmodelle und die Geschwindigkeit zu verbessern, mit der Sie die Bedrohungsmodellierung im Laufe der Zeit durchführen. Diese Verbesserungen werden durch eine Kombination von Praxis, Lernen, Lehren und Prüfen ermöglicht. Um dies zu vertiefen und praktisch umzusetzen, sollten Sie und Ihr Team den Trainingskurs zum Thema [Korrekte Bedrohungsmodellierung für Builder](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) oder den dazugehörigen [Workshop](https://catalog.workshops.aws/threatmodel/en-US) absolvieren. Wenn Sie nach Anleitungen zur Integration der Bedrohungsmodellierung in den Anwendungsentwicklungslebenszyklus Ihrer Organisation suchen, beachten Sie auch den Beitrag zum Thema [Bedrohungsmodellierungskonzepte](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) im AWS-Blog zu Sicherheit. 

 **Threat Composer** 

 Zur Unterstützung und Anleitung bei der Erstellung von Bedrohungsmodellen können Sie das [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer)-Tool verwenden, das darauf ausgerichtet ist, bei der Erstellung von Bedrohungsmodellen die Zeit bis zur Wertschöpfung zu verkürzen. Das Tool hilft Ihnen bei den folgenden Aufgaben: 
+  Verfassen nützlicher, an [Bedrohungsgrammatik](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) ausgerichtete Bedrohungsanweisungen, die in einem natürlichen, nicht-linearen Arbeitsablauf funktionieren. 
+  Generieren Sie ein für Menschen lesbares Bedrohungsmodell. 
+  Generieren Sie ein maschinenlesbares Bedrohungsmodell, damit Sie Bedrohungsmodelle wie Code behandeln können. 
+  Mit dem Insights-Dashboard können Sie schnell Bereiche identifizieren, in denen die Qualität und die Abdeckung verbessert werden müssen. 

 Für weitere Informationen rufen Sie Threat Composer auf und wechseln Sie zum systemdefinierten **Beispielarbeitsbereich**. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Verringern des Umfangs der Sicherheitsverwaltung](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -features](sec_securely_operate_implement_services_features.md) 

 **Zugehörige Dokumente:** 
+  [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS-Blog zum Thema Sicherheit) 
+ [ NIST: Guide to Data-Centric System Threat modeling ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Zugehörige Videos:** 
+ [AWS Summit ANZ 2021 - How to approach threat modeling ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2.022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Zugehörige Schulungen:** 
+ [Threat modeling the right way for builders – virtuelle AWS Skill Builder-Schulung zum Selbststudium](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [Threat modeling the right way for builders – AWS Workshop](https://catalog.workshops.aws/threatmodel)

 **Zugehörige Tools:** 
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -features
<a name="sec_securely_operate_implement_services_features"></a>

 Bewerten und implementieren Sie Sicherheitsservices und -features von AWS und AWS-Partnern, mit denen Sie die Sicherheitsstrategie für Ihre Workload weiterentwickeln können.  

 **Gewünschtes Ergebnis:** Sie verfügen über eine Standardmethode, die Sie über neue Features und Services informiert, die von AWS und AWS-Partnern veröffentlicht werden. Sie bewerten, wie sich diese neuen Funktionen auf das Design der aktuellen und neuen Kontrollen für Ihre Umgebungen und Workloads auswirken. 

 **Typische Anti-Muster:** 
+  Sie abonnieren keine Blogs und RSS-Feeds von AWS, um schnell von relevanten neuen Features und Servicesn zu erfahren 
+  Sie verlassen sich auf Nachrichten und Updates über Sicherheitsservices und Features aus zweiter Hand 
+  Sie halten AWS-Benutzer in Ihrer Organisation nicht dazu an, sich über die neuesten Updates zu informieren 

 **Vorteile der Nutzung dieser bewährten Methode:** Indem Sie sich über neue Sicherheitsservices und Features auf dem Laufenden halten, können Sie fundierte Entscheidungen über die Implementierung von Kontrollen in Ihren Cloud-Umgebungen und Workloads treffen. Diese Quellen tragen dazu bei, das Bewusstsein für die sich entwickelnde Sicherheitslandschaft zu schärfen und zu zeigen, wie AWS-Services zum Schutz vor neuen und aufkommenden Bedrohungen genutzt werden können.   

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 AWS informiert Kunden über neue Sicherheitsservices und Features über verschiedene Kanäle: 
+  [AWS Neuerungen bei](https://aws.amazon.com/new) 
+  [AWS News Blog](https://aws.amazon.com/blogs/aws/) 
+  [AWS Blog zum Thema Sicherheit](https://aws.amazon.com/blogs/security/) 
+  [AWS Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Überblick über die -Dokumentation](https://aws.amazon.com/documentation/) 

 Sie können ein Thema der [AWS Daily Feature Updates](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/) mit Amazon Simple Notification Service (Amazon SNS) abonnieren, um eine umfassende tägliche Zusammenfassung der Updates zu erhalten. Einige Sicherheitsservices wie [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html) bieten ihre eigenen SNS-Themen an, um über neue Standards, Erkenntnisse und andere Aktualisierungen für diese speziellen Services informiert zu bleiben. 

 Neue Services und Features werden auch auf [Konferenzen, Veranstaltungen und Webinaren](https://aws.amazon.com/events/), die jedes Jahr rund um den Globus stattfinden, angekündigt und im Detail beschrieben. Besonders interessant ist dabei die jährliche Sicherheitskonferenz [AWS re:Inforce](https://reinforce.awsevents.com/) und die breiter angelegte Konferenz [AWS re:Invent](https://reinvent.awsevents.com/). In den bereits erwähnten AWS-Nachrichtenkanälen werden diese Konferenzankündigungen über Sicherheit und andere Services geteilt, und Sie können sich Deep Dive Breakout Sessions online auf dem YouTube-Kanal [AWS Events](https://www.youtube.com/c/AWSEventsChannel) ansehen. 

 Sie können auch Ihr [AWS-Konto-Team](https://aws.amazon.com/startups/learn/meet-your-aws-account-team) nach den neuesten Updates und Empfehlungen für Sicherheitsservices fragen. Sie können Ihr Team über das [Verkaufssupport-Formular](https://aws.amazon.com/contact-us/sales-support/) erreichen, wenn Ihnen dessen direkte Kontaktinformationen nicht vorliegen. Gleichermaßen erhalten Sie, wenn Sie [AWS Enterprise-Support](https://aws.amazon.com/premiumsupport/plans/enterprise/) abonniert haben, wöchentliche Updates von Ihrem Technical Account Manager (TAM) und können ein regelmäßiges Review-Meeting mit ihm vereinbaren. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Abonnieren Sie die verschiedenen Blogs und Bulletins mit Ihrem bevorzugten RSS-Reader oder die SNS-Thema Daily Features Updates. 

1.  Überlegen Sie, welche AWS-Veranstaltungen Sie besuchen sollten, um sich aus erster Hand über neue Features und Services zu informieren. 

1.  Vereinbaren Sie Besprechungen mit Ihrem AWS-Konto-Team für alle Fragen zur Aktualisierung von Sicherheitsservices und -features. 

1.  Ziehen Sie in Erwägung, den Enterprise Support zu abonnieren, um regelmäßige Konsultationen mit einem Technical Account Manager (TAM) zu erhalten. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [PERF01-BP01 Informieren über verfügbare Cloud-Services und -Features](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 Verfolgen neuer Serviceversionen](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)