Compliance und Risiko
Mehr Sicherheit „einfach mal ausprobieren“
Am 27. Juli findet unser Security Immersion Day 2022 gemeinsam mit unseren Partnern AWS und tecRacer in Berlin statt. Wir sprachen im Vorfeld mit den Referenten, was die Teilnehmer dort erwartet.
Sebastian Gust, Partner Solutions Architect, AWS
Frage: Worum geht es in deiner Session?
Sebastian: Ich werde vor allem die Grundlagen und Best Practices der Cloud Security aus der Perspektive von AWS vorstellen, unter anderem das Shared Responsibility-Modell. Dabei nehmen wir unseren Kunden einen Teil der Verantwortung ab, gerade wenn es um die physikalische Sicherheit von Servern und Datacenter geht. Doch gleichzeitig müssen sich auch die Kunden zum Teil weiter um ihre Sicherheit kümmern. Beispielsweise können und wollen ihnen ja nicht vorschreiben, wie sie ihre Server konfigurieren sollen. Natürlich lassen wir sie dabei aber nicht allein: Gerade an diesem Punkt setzen ja unsere Security-Partner wie Trend Micro an, die die AWS Security-Funktionen mit ihren Lösungen ergänzen und die Sicherheit damit komplettieren.
Frage: Du hast das Shared Responsibility-Modell erwähnt. Warum tun sich so viele Unternehmen noch immer schwer damit?
Sebastian: Die Herausforderung liegt für die meisten Kunden weniger im Verständnis als vielmehr in der Umsetzung. Sie sind sich des Problems bewusst, wissen aber oftmals nicht, wie sie ihren Teil am besten erfüllen können und auf welche Anbieter und Tools sie setzen sollten. Gleichzeitig ist es wichtig, das Thema zu besprechen und die Verantwortlichkeiten klar zu definieren – gerade auch im Zusammenhang mit Konzepten wie Managed Services wie z.B. dem Elastic Container Service, wo wir dem Kunden etwas mehr Verantwortung abnehmen. Natürlich sind dabei auch unsere Partner und ihre Beratungskompetenz gefragt.
Frage: Welchen Mehrwert bietet die Veranstaltung für die Teilnehmer?
Sebastian: Mit unserer Event Engine bieten wir den Teilnehmern eine „Spielumgebung“, in der sie verschiedene Funktionen ausprobieren können. Wir sehen in der Praxis, dass viele Kunden in ihren eigenen Accounts dazu leider keine Gelegenheit haben. Dabei ist es gar nicht schwer, seine Security mit wenigen Einstellungen auf ein neues Level zu bringen, wenn man ein paar Best Practices befolgt. Und genau das können die Teilnehmer beim Immersion Day testen – ganz ohne zusätzliches Budget beantragen zu müssen, zusätzliche Accounts zu deployen, oder Angst zu haben, etwas falsch zu machen.
Michael Claaßen, Senior Cloud Security Architect, Trend Micro
Frage: Worum geht es in deiner Session?
Michael: Wir werden uns unter anderem mit Cloud Security Posture Management befassen: Wie können wir mit unserer Lösung helfen, die Best Practices der Cloud Provider umzusetzen? Und wie können Unternehmen damit gewisse Frameworks und Compliance-Richtlinien erfüllen? Das Ganze behandeln wir nicht nur theoretisch, sondern vor allem praktisch zum selbst Ausprobieren in der AWS Event Engine.
Frage: Wo siehst du in diesem Bereich die größten Pain Points für Unternehmen?
Michael: Diese liegen zum einen im Thema Integration und Automation, also der Frage, wie Kunden eine möglichst umfassende Übersicht über ihr Sicherheitsniveau erhalten können, ohne alles manuell selbst machen zu müssen. Zum anderen stellt die große Zahl an Frameworks und das entsprechende Wissen, wie Fehlkonfigurationen möglichst schnell behoben werden können, für viele eine Herausforderung dar.
Frage: Welchen Mehrwert bietet die Veranstaltung für die Teilnehmer?
Michael: Aus dem praktischen Teil erhalten die Teilnehmer einen dedizierten Report mit allen Schritten, wie sie ihre Umgebung schützen können. Damit können sie dieselben Maßnahmen auch in ihrer eigenen Umgebung umsetzen und ihre Sicherheit erhöhen.
Gernot Glawe, Senior Cloud Consultant, tecRacer
Frage: Worum geht es in deiner Session?
Gernot: Wir hören immer „mehr Security“, aber die meisten Kunden wollen sich erst zum Ende eines AWS Projektes damit beschäftigen. Das ist paradox! Last uns diesen Widerspruch auflösen! TecRacer führt Well Architected Reviews durch. Daher kann ich aus der Erfahrung mit echten Projekten berichten, an welchen Stellen der Schuh am meisten drückt. Und ich zeige, dass ein „Shift Left“ – also eine frühere Einbindung von Security-Maßnahmen – am Ende Geld spart. Dabei ist Sicherheit nichts abstraktes, sondern es gibt konkrete Leitfäden und Hilfsmittel, die angewendet werden sollten. Bei den Maßnahmen kann tecRacer helfen, bei den Hilfsmitteln Trend Micro.
Frage: Du hast das "Well Architected Review" erwähnt - Was ist das und was bedeutet es für den Kunden?
Gernot: Das Well Architected Framework ist ein Leitfaden dafür, wie man gute Architekturen auf AWS baut. Dabei ist Sicherheit ein wichtiger Pfeiler. Um Architekturen überprüfen zu lassen, wird ein Review durch Well Architected Partner durchgeführt. Dabei entstehen konkrete Handlungsvorschläge, was besser gebaut werden kann und insbesondere, welche Sicherheits-Schwachstellen deine AWS Architektur hat.
Frage: Welchen Mehrwert bietet die Veranstaltung für die Teilnehmer?
Gernot: Die Relevanz des Pfeilers „Sicherheit“ aus dem Well Architected Framework wird anhand realer Beispiele gezeigt, Dadurch wird das Well Architected Framework besser greifbar. Ich will die Meinung von „das ist zu theoretisch und betrifft mich nicht“ wandeln – hin zu „das ist konkret anwendbar und betrifft mich auf jeden Fall“.
Möchten Sie ebenfalls an unserem Cloud Security Immersion Day am 27. Juli in Berlin teilnehmen? Melden Sie sich hier kostenlos an!