Menü
Amazon Web Services
Allgemeine Referenz (Version 1.0)

Richtlinien zur AWS-Sicherheitsprüfung

Sie sollten Ihre Sicherheitskonfiguration regelmäßig überprüfen, um sich zu vergewissern, dass diese Ihren aktuellen geschäftlichen Anforderungen genügt. Eine solche Prüfung bietet Ihnen die Möglichkeit, nicht mehr benötigte IAM-Benutzer, -Rollen, -Gruppen und -Richtlinien zu entfernen und darüber hinaus sicherzustellen, dass Ihre Benutzer und Software nur die Berechtigungen haben, die sie benötigen.

Im Folgenden finden Sie Richtlinien für die systematische Überprüfung und Überwachung Ihrer AWS-Ressourcen für bewährte Sicherheitsmethoden.

Wann sollten Sie eine Sicherheitsprüfung durchführen?

Sie sollten Ihre Sicherheitskonfiguration in den folgenden Situationen überprüfen:

  • In regelmäßigen Abständen. Als bewährte Sicherheitsmethode sollten Sie die in diesem Dokument beschriebenen Schritte in regelmäßigen Abständen durchführen.

  • Wenn es in Ihrer Organisation Veränderungen gibt, z. B. Personen sie verlassen.

  • Wenn Sie einen oder mehrere AWS-Services nicht mehr nutzen. Dies ist wichtig, damit Berechtigungen entfernt werden, die Benutzer unter Ihrem Konto nicht mehr benötigen.

  • Wenn Sie Software in Ihren Konten hinzugefügt oder entfernt haben, z. B. Anwendungen in Amazon EC2-Instances, AWS OpsWorks-Stacks, AWS CloudFormation-Vorlagen usw.

  • Wenn Sie vermuten, dass eine unberechtigte Person auf Ihr Konto zugegriffen hat.

Allgemeine Richtlinien für die Sicherheitsprüfung

Befolgen Sie bei der Prüfung der Sicherheitskonfiguration Ihres Kontos die folgenden Richtlinien:

  • Seien Sie gründlich. Schauen Sie sich alle Aspekte der Sicherheitskonfiguration an, einschließlich der Funktionen, die Sie möglicherweise nicht regelmäßig verwenden.

  • Stellen Sie keine Annahmen an. Wenn Sie mit bestimmten Aspekten Ihrer Sicherheitskonfiguration nicht vertraut sind (z. B. den Grund für eine bestimmte Richtlinie oder Rolle nicht kennen), gehen Sie der geschäftlichen Anforderung nach, bis Sie alles Nötige wissen.

  • Halten Sie die Dinge einfach. Um die Überwachung (und Verwaltung) einfacher zu gestalten, verwenden Sie IAM-Gruppen, konsistente Benennungen und einfache Richtlinien.

Überprüfen der Anmeldeinformationen für Ihr AWS-Konto

Führen Sie die folgenden Schritte aus, wenn Sie die Anmeldeinformationen Ihres AWS-Kontos überprüfen:

  1. Wenn Sie für Ihr Konto keine Stammzugriffsschlüssel verwenden, entfernen Sie sie. Wir empfehlen nachdrücklich, für die tägliche Arbeit mit AWS keine Stammzugriffsschlüssel zu verwenden. Erstellen Sie stattdessen IAM-Benutzer.

  2. Wenn Sie die Zugriffsschlüssel für Ihr Konto beibehalten müssen, rotieren Sie sie regelmäßig.

Überprüfen Ihrer IAM-Benutzer

Führen Sie die folgenden Schritte aus, wenn Sie Ihre vorhandenen IAM-Benutzer überprüfen wollen:

  1. Löschen Sie Benutzer, die nicht aktiv sind.

  2. Entfernen Sie Benutzer aus Gruppen, denen Sie nicht angehören müssen.

  3. Überprüfen Sie die Richtlinien, die den Gruppen zugewiesen sind, denen der Benutzer angehört. Siehe Tipps für die Überprüfung der IAM-Richtlinien.

  4. Löschen Sie die Sicherheitsanmeldeinformationen, die der Benutzer nicht benötigt oder die möglicherweise kompromittiert wurden. So braucht z. B. ein IAM-Benutzer, der für eine Anwendung verwendet wird, kein Passwort (dies ist nur erforderlich, um sich auf AWS-Websites anzumelden). Analog dazu gilt: Wenn ein Benutzer keine Zugriffsschlüssel verwendet, gibt es keinen Grund, dass er welche haben muss. Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer und Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

    Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle IAM-Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Für Passwörter und Zugriffsschlüssel zeigt der Bericht an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde. Anmeldeinformationen, die in der letzten Zeit nicht verwendet wurden, könnten entfernt werden. Weitere Informationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto im IAM-Benutzerhandbuch.

  5. Rotieren (ändern) Sie die Sicherheitsanmeldeinformationen Ihrer Benutzer in regelmäßigen Abständen – bzw. sofort, wenn sie einer nicht autorisierten Person offengelegt wurden. Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer und Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

Überprüfen Ihrer IAM-Gruppen

Führen Sie die folgenden Schritte aus, wenn Sie Ihre IAM-Gruppen überprüfen:

  1. Löschen Sie unbenutzte Gruppen.

  2. Überprüfen Sie die Benutzer in den einzelnen Gruppen und entfernen Sie die Benutzer, die dort nicht hingehören. Siehe Überprüfen Ihrer IAM-Benutzer weiter oben.

  3. Überprüfen Sie die Richtlinien für die Gruppe. Siehe Tipps für die Überprüfung der IAM-Richtlinien.

Überprüfen Ihrer IAM-Rollen

Führen Sie die folgenden Schritte aus, wenn Sie Ihre IAM-Rollen überprüfen:

  1. Löschen Sie Rollen, die nicht verwendet werden.

  2. Überprüfen Sie die Vertrauensrichtlinie der Rolle. Stellen Sie sicher, dass Sie wissen, wer der Prinzipal ist und warum das Konto bzw. der Benutzer dieser Rolle zugeordnet werden muss.

  3. Überprüfen Sie die Zugriffsrichtlinie der Rolle, um sicherzugehen, dass der Person, die diese Rolle übernimmt, die richtigen Berechtigungen gewährt werden – siehe Tipps für die Überprüfung der IAM-Richtlinien.

Überprüfen Ihrer IAM-Anbieter für SAML oder OpenID Connect (OIDC)

Wenn Sie eine IAM-Entität zum Einrichten von Vertrauensstellungen mit einem SAML- oder OIDC-Identitätsanbieter erstellt haben, führen Sie diese Schritte aus:

  1. Löschen Sie unbenutzte Anbieter.

  2. Laden Sie die AWS-Metadatendokumente zu jedem SAML-Anbieter herunter und prüfen Sie diese, um sicherzustellen, dass die Dokumente Ihre aktuellen geschäftlichen Anforderungen erfüllen. Sie können auch die neuesten Metadatendokumente von den SAML-Identitätsanbietern abrufen, zu denen Sie Vertrauensstellungen einrichten möchten, und den Anbieter in IAM aktualisieren.

Überprüfen Ihrer mobilen Apps

Wenn Sie eine mobile App erstellt haben, die Anforderungen an AWS sendet, führen Sie folgende Schritte aus:

  1. Stellen Sie sicher, dass die mobile App keine eingebetteten Zugriffsschlüssel enthält, auch nicht in verschlüsseltem Speicher.

  2. Rufen Sie die temporären Anmeldeinformationen für die App mithilfe der APIs ab, die für diesen Zweck entwickelt wurden. Wir empfehlen die Verwendung von Amazon Cognito zum Verwalten von Benutzeridentitäten in Ihrer App. Dieser Service ermöglicht Ihnen die Authentifizierung von Benutzern, die die Anmeldung über Amazon, Facebook, Google oder einen beliebigen OpenID Connect-kompatiblen (OIDC) Anbieter nutzen. Anschließend können Sie den Amazon Cognito-Anbieter für Anmeldeinformationen verwenden, um Anmeldeinformationen zu verwalten, die Ihre App für Anforderungen an AWS nutzt.

    Wenn Ihre mobile App keine Authentifizierung über eine Anmeldung mit Amazon, Facebook, Google oder einem anderen OIDC-kompatiblen Identitätsanbieter unterstützt, können Sie einen Proxy-Server erstellen, der temporäre Anmeldeinformationen für Ihre App ausgibt.

Überprüfen Ihrer Amazon EC2-Sicherheitskonfiguration

Führen Sie die folgenden Schritte für jede AWS-Region aus:

  1. Löschen Sie Amazon EC2-Schlüsselpaare, die nicht verwendet werden bzw. möglicherweise Personen außerhalb Ihrer Organisation bekannt sind.

  2. Überprüfen Sie Ihre Amazon EC2-Sicherheitsgruppen:

    • Entfernen Sie Sicherheitsgruppen, die Ihre Anforderungen nicht mehr erfüllen.

    • Entfernen Sie Regeln von den Sicherheitsgruppen, die Ihre Anforderungen nicht mehr erfüllen. Stellen Sie sicher, dass Sie wissen, warum die Ports, Protokolle und IP-Adressbereiche, die sie zulassen, erlaubt wurden.

  3. Beenden Sie Instances, mit denen keine geschäftliche Anforderung erfüllt wird oder die möglicherweise von jemandem außerhalb Ihrer Organisation für nicht genehmigte Zwecke gestartet wurde. Denken Sie daran: Wenn eine Instance mit einer Rolle gestartet wird, können die Anwendungen, die auf dieser Instance ausgeführt werden, mit den über diese Rolle gewährten Berechtigungen auf AWS-Ressourcen zugreifen.

  4. Brechen Sie Spot-Instance-Anforderungen ab, die keine geschäftliche Anforderung erfüllen oder möglicherweise von jemandem außerhalb Ihrer Organisation erstellt wurden.

  5. Überprüfen Sie Ihre Auto Scaling-Gruppen und -Konfigurationen. Fahren Sie alle herunter, die Ihre Anforderungen nicht mehr erfüllen oder möglicherweise von jemandem außerhalb Ihrer Organisation konfiguriert wurden.

Überprüfen der AWS-Richtlinien in anderen Services

Überprüfen Sie die Berechtigungen für Services, die ressourcenbasierte Richtlinien verwenden oder andere Sicherheitsmechanismen unterstützen. Stellen Sie in jedem Fall sicher, dass nur Benutzer und Rollen mit einem aktuellen geschäftlichen Bedarf Zugriff auf die Ressourcen des Service haben und dass die Berechtigungen, die für die Ressourcen gewährt werden, dem Prinzip der minimal zur Erfüllung geschäftlicher Anforderungen benötigten Rechte folgen.

Überwachen von Aktivitäten in Ihrem AWS-Konto

Befolgen Sie diese Richtlinien, um AWS-Aktivitäten zu überwachen:

  • Aktivieren Sie AWS CloudTrail in jedem Konto und verwenden Sie es in jeder unterstützten Region.

  • Überprüfen Sie in regelmäßigen Abständen die CloudTrail-Protokolldateien. (CloudTrail arbeitet mit verschiedenen Partnern zusammen, die Tools zum Lesen und Analysieren von Protokolldateien bereitstellen.)

  • Aktivieren Sie die Amazon S3-Bucket-Protokollierung,, um Anforderungen an jeden Bucket zu überwachen.

  • Wenn Sie der Meinung sind, dass Ihr Konto unbefugterweise genutzt wurde, achten Sie besonders auf temporäre Anmeldeinformationen, die erteilt wurden. Wenn temporäre Anmeldeinformationen erteilt wurden, die Sie nicht kennen, deaktivieren Sie die zugehörigen Berechtigungen.

  • Aktivieren Sie Gebührenlimit-Warnungen in jedem Konto und definieren Sie einen Kostenschwellenwert, der Sie informiert, wenn Ihre Kosten die übliche Nutzung überschreiten.

Tipps für die Überprüfung der IAM-Richtlinien

Die Richtlinien sind sehr wirkungsvoll und nuanciert. Deshalb ist es wichtig, die Berechtigungen genau zu kennen, die von jeder Richtlinie gewährt werden. Beachten Sie die folgenden Hinweise, wenn Sie Ihre Richtlinien überprüfen:

  • Als bewährte Methode sollten Sie Richtlinien Gruppen und nicht einzelnen Benutzern zuordnen. Wenn ein einzelner Benutzer über eine Richtlinie verfügt, müssen Sie nachvollziehen können, warum der Benutzer die Richtlinie benötigt.

  • Stellen Sie sicher, dass IAM-Benutzer, -Gruppen und -Rollen nur über die Berechtigungen verfügen, die sie brauchen.

  • Verwenden Sie IAM Policy Simulator zum Testen von Richtlinien, die Benutzern oder Gruppen zugeordnet sind.

  • Denken Sie daran, dass sich die Berechtigungen eines Benutzers aus allen geltenden Richtlinien ergeben – Benutzerrichtlinien, Gruppenrichtlinien und ressourcenbasierte Richtlinien (für Amazon S3-Buckets, Amazon SQS, Amazon SNS-Themen oder AWS KMS-Schlüssel). Es ist wichtig, alle für einen Benutzer geltenden Richtlinien zu untersuchen und zu wissen, welche Berechtigungen einem einzelnen Benutzer gewährt wurden.

  • Beachten Sie Folgendes: Wenn einem Benutzer erlaubt wird, IAM-Benutzer, -Gruppen, -Rollen oder -Richtlinien zu erstellen und eine Richtlinie der Prinzipalentität zuzuweisen, erhält er dadurch Berechtigungen für alle Ressourcen unter Ihrem Konto. Benutzer, die Richtlinien erstellen und sie einem Benutzer, einer Gruppe oder einer Rolle zuweisen dürfen, können sich auch selbst jede erdenklichen Berechtigungen erteilen. Vergeben Sie generell keine IAM-Berechtigungen mit uneingeschränktem Zugriff auf die Ressourcen unter Ihrem Konto an Benutzer oder Rollen, denen Sie nicht vertrauen. Die folgende Liste enthält IAM-Berechtigungen, die Sie sorgfältig prüfen sollten:

    • iam:PutGroupPolicy

    • iam:PutRolePolicy

    • iam:PutUserPolicy

    • iam:CreatePolicy

    • iam:CreatePolicyVersion

    • iam:AttachGroupPolicy

    • iam:AttachRolePolicy

    • iam:AttachUserPolicy

  • Stellen Sie sicher, dass Richtlinien keine Zugriffsberechtigungen für Services erteilen, die Sie nicht nutzen. Wenn Sie beispielsweise von AWS verwaltete Richtlinien verwenden, stellen Sie sicher, dass die Richtlinien, die in Ihrem Konto verwendet werden, nur für Services gelten, die Sie tatsächlich nutzen. Um herauszufinden, welche von AWS verwalteten Richtlinien unter Ihrem Konto verwendet werden, verwenden Sie die GetAccountAuthorizationDetails IAM-API (AWS CLI-Befehl: aws iam get-account-authorization-details).

  • Wenn die Richtlinie einem Benutzer erlaubt, eine Amazon EC2-Instance zu starten, wird möglicherweise auch die Aktion iam:PassRole zugelassen. Wenn dies der Fall ist, sollten explizit die Rollen aufgelistet werden, die der Benutzer für die Amazon EC2-Instance vergeben kann.

  • Überprüfen Sie sorgfältig alle Werte für das Action- oder Resource-Element, das * enthält. Es ist eine bewährte Methode, Allow nur Zugriff auf die Aktionen und Ressourcen zu gewähren, die Benutzer wirklich benötigen. Im Folgenden sind jedoch einige Gründe aufgeführt, warum es angemessen sein kann, * in einer Richtlinie zu verwenden:

    • Die Richtlinie erteilt administrative Berechtigungen.

    • Das Platzhalterzeichen wird der Einfachheit halber für eine Reihe ähnlicher Aktionen verwendet (z. B. Describe*). Sie sollten alle Aktionen kennen, die auf diese Weise referenziert werden.

    • Das Platzhalterzeichen wird verwendet, um eine Klasse von Ressourcen oder einen Ressourcenpfad anzugeben (z. B. arn:aws:iam::account-id:users/division_abc/*). Sie können Zugriff auf alle Ressourcen in dieser Klasse oder in diesem Pfad erteilen.

    • Ein Serviceaktion unterstützt keine Berechtigungen auf Ressourcenebene. Die einzige Wahl für eine Ressource ist *.

  • Prüfen Sie die Richtliniennamen, um sicherzustellen, dass sie den Zweck der Richtlinie wiedergeben. So könnte beispielsweise eine Richtlinie einen Namen haben, der "schreibgeschützt" enthält, tatsächlich gewährt sie jedoch Schreib- oder Änderungsrechte.

Weitere Informationen

Weitere Informationen zur Verwaltung von IAM-Ressourcen finden Sie unter:

Weitere Informationen zu Amazon EC2 finden Sie hier:

Weitere Informationen zur Überwachung eines AWS-Kontos finden Sie in der re:Invent 2013-Präsentation "Intrusion Detection in the Cloud" (Video, Präsentation im PDF-Format). Sie können auch ein Python-Beispielprogramm herunterladen, das zeigt, wie Sie die Funktionen der Sicherheitsüberprüfung automatisieren.