Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Plattformtechnik
Bauen Sie mit verpackten, wiederverwendbaren Cloud-Produkten eine sichere, konforme Cloud-Umgebung mit mehreren Konten auf.
Um Innovationen durch die Unterstützung von Entwicklungsteams zu unterstützen, muss sich die Plattform schnell anpassen, um mit den Anforderungen des Unternehmens Schritt zu halten. (Sehen Sie sich die Geschäftsperspektive AWS von CAF an.) Dabei muss es flexibel genug sein, um sich an die Anforderungen des Produktmanagements anzupassen, starr genug, um Sicherheitseinschränkungen einzuhalten, und schnell genug sein, um betriebliche Anforderungen zu erfüllen. Dieser Prozess erfordert den Aufbau einer konformen Cloud-Umgebung mit mehreren Konten mit erweiterten Sicherheitsfunktionen und verpackten, wiederverwendbaren Cloud-Produkten.
Eine effektive Cloud-Umgebung ermöglicht es Ihren Teams, auf einfache Weise neue Konten bereitzustellen und gleichzeitig sicherzustellen, dass diese Konten den Unternehmensrichtlinien entsprechen. Ein kuratiertes Angebot an Cloud-Produkten ermöglicht es Ihnen, bewährte Verfahren zu kodifizieren, hilft Ihnen bei der Verwaltung und trägt dazu bei, die Geschwindigkeit und Konsistenz Ihrer Cloud-Implementierungen zu erhöhen. Setzen Sie Ihre Best-Practice-Pläne sowie Ihre detektiven und präventiven Schutzmaßnahmen ein. Integrieren Sie Ihre Cloud-Umgebung in Ihre bestehende Landschaft, um die gewünschten Hybrid-Cloud-Anwendungsfälle zu ermöglichen.
Automatisieren Sie den Workflow zur Kontobereitstellung und verwenden Sie mehrere Konten, um Ihre Sicherheits- und Governance-Ziele zu erreichen. Richten Sie Konnektivität zwischen Ihren lokalen und Cloud-Umgebungen sowie zwischen verschiedenen Cloud-Konten ein. Implementieren Sie einen Verbund
Evaluieren und zertifizieren Sie Cloud-Dienste für die Nutzung in Übereinstimmung mit Unternehmensstandards und Konfigurationsmanagement. Verpacken und verbessern Sie kontinuierlich Unternehmensstandards in Form von Self-Service-Produkten und nutzbaren Services. Nutzen Sie Infrastructure as Code (IaC)
Um die in den folgenden Abschnitten erörterten Aufgaben zu erledigen, müssen Sie Fähigkeiten und Teams aufbauen, um Ihr Unternehmen in Richtung moderner Plattformtechnik weiterzuentwickeln. Technische Einzelheiten finden Sie im AWS Whitepaper Establishing your Cloud Foundation on.
Starten
Baue eine landing zone und setze Leitplanken ein
Zu Beginn Ihrer Reise zu ausgereifter Plattformtechnik müssen Sie zunächst Ihre landing zone mit detektiven und präventiven Leitplanken einrichten, wie in der Plattformarchitekturfunktion definiert. Leitplanken stellen sicher, dass Unternehmensstandards nicht verletzt werden, wenn Anwendungsbesitzer Cloud-Ressourcen verbrauchen. Mit diesem Mechanismus automatisieren Sie den Workflow zur Kontobereitstellung, sodass Sie mehrere Konten verwenden können, die Ihren Sicherheits- und Governance-Zielen entsprechen.
Authentifizierung einrichten
Implementieren Sie Identitätsmanagement und Zugriffskontrolle
Stellen Sie Ihr Netzwerk bereit
Richten Sie entsprechend Ihren Plattformarchitekturentwürfen ein zentrales Netzwerkkonto ein, um den ein- und ausgehenden Datenverkehr zu und von Ihrer Umgebung zu kontrollieren. Wir empfehlen Ihnen, Ihre Netzwerke so zu gestalten, dass die Konnektivität zwischen Ihrem lokalen Netzwerk und Ihren AWS Umgebungen, zum und vom Internet und zwischen Ihren Umgebungen schnell bereitgestellt wird. AWS Durch die Zentralisierung Ihres Netzwerkmanagements können Sie Netzwerkkontrollen einsetzen, um Netzwerke und Konnektivität in Ihrer gesamten Umgebung mithilfe präventiver und reaktiver Kontrollen zu isolieren.
Sammeln, aggregieren und schützen Sie Ereignis- und Protokolldaten
Verwenden Sie die CloudWatch kontoübergreifende Observability von Amazon. Es bietet eine einheitliche Oberfläche zum Suchen, Visualisieren und Analysieren von Kennzahlen, Protokollen und Traces in Ihren verknüpften Konten und macht Kontogrenzen überflüssig.
Wenn Ihr Unternehmen spezielle Compliance-Anforderungen an die zentrale Protokollkontrolle und Sicherheit stellt, sollten Sie die Einrichtung eines eigenen Protokollarchivkontos in Betracht ziehen. Dies bietet ein zentrales, verschlüsseltes Repository speziell für Protokolldaten. Verbessern Sie die Sicherheit dieses Archivs, indem Sie die Verschlüsselungsschlüssel regelmäßig wechseln.
Implementieren Sie robuste Richtlinien zum Schutz sensibler Protokolldaten und verwenden Sie bei Bedarf Maskierungstechniken. Verwenden Sie die Protokollaggregation für Compliance-, Sicherheits- und Auditprotokolle und stellen Sie sicher, dass strenge Schutzmaßnahmen und Identitätskonstrukte verwendet werden, um unbefugte Änderungen an Protokollkonfigurationen zu verhindern.
Richten Sie Kontrollen ein
Stellen Sie gemäß den Definitionen aus Sicht von AWS CAF Security grundlegende Sicherheitsfunktionen
Implementieren Sie Cloud-Finanzmanagement
Implementieren Sie gemäß der AWS CAF Governance-Perspektive Kostenzuweisungs-Tags und Cost Categories AWS , die die Tagging-Strategie Ihres Unternehmens mit der finanziellen Rechenschaftspflicht für die Cloud-Nutzung in Einklang bringen. AWS Mithilfe von Cost Categories können Sie Cloud-Gebühren internen Kostenstellen in Rechnung stellen oder anzeigen, indem Sie Tools wie AWS Cost Explorer
Vorab
Bauen Sie die Automatisierung der Infrastruktur auf
Bevor Sie fortfahren, sollten Sie Cloud-Services für die Nutzung entsprechend Ihrer Plattformarchitektur bewerten und zertifizieren. Verpacken Sie anschließend Unternehmensstandards in Form von bereitstellbaren Produkten und nutzbaren Services, verbessern Sie diese kontinuierlich und verwenden Sie Infrastructure as Code (IaC), um Konfigurationen deklarativ zu definieren. Die Infrastrukturautomatisierung ahmt Softwareentwicklungszyklen nach, indem sie den Zugriff auf bestimmte Dienste in jedem Konto mit rollenbasierter Zugriffskontrolle (RBAC) oder attributebasierter Zugriffskontrolle (ABAC) ermöglicht. Implementieren Sie eine Methode zur schnellen Bereitstellung neuer Konten und passen Sie sie an Ihre Service- und Incident-Management-Funktionen an, indem Sie Self-Service-Funktionen nutzen oder entwickeln. APIs Automatisieren Sie die Netzwerkintegration und IP-Zuweisung bei der Erstellung von Konten, um die Einhaltung von Vorschriften und die Netzwerksicherheit zu gewährleisten. Integrieren Sie neue Konten in Ihre IT-Servicemanagement-Lösung (ITSM), indem Sie native Konnektoren verwenden, die für den Betrieb konfiguriert sind. AWS Aktualisieren Sie Ihre Playbooks und Runbooks nach Bedarf.
Stellen Sie zentrale Observability-Dienste bereit
Um eine effektive Cloud-Observability zu erreichen, sollte Ihre Plattform die Suche und Analyse von lokalen und zentralen Protokolldaten in Echtzeit unterstützen. Wenn Ihr Betrieb skaliert, ist die Fähigkeit Ihrer Plattform, Logs, Metriken und Traces zu indizieren, zu visualisieren und zu interpretieren, entscheidend, um Rohdaten in umsetzbare Erkenntnisse umzuwandeln.
Durch die Korrelation von Protokollen, Metriken und Traces können Sie umsetzbare Schlussfolgerungen ziehen und gezielte, fundierte Antworten entwickeln. Legen Sie Regeln fest, die proaktive Reaktionen auf Sicherheitsereignisse oder -muster ermöglichen, die in Ihren Protokollen, Metriken oder Traces identifiziert wurden. Stellen Sie bei der Erweiterung Ihrer AWS Lösungen sicher, dass Ihre Überwachungsstrategie parallel skaliert wird, um Ihre Beobachtungsmöglichkeiten aufrechtzuerhalten und zu verbessern.
Implementieren Sie Systemmanagement und AMI-Governance
Organizations, die Amazon Elastic Compute Cloud (Amazon EC2) -Instances in großem Umfang nutzen, benötigen betriebliche Tools, um Instances in großem Umfang verwalten zu können. Software-Asset-Management, Erkennung und Reaktion auf Endgeräte, Inventarverwaltung, Schwachstellenmanagement und Zugriffsmanagement sind grundlegende Funktionen für viele Unternehmen. Diese Funktionen werden häufig über Softwareagenten bereitgestellt, die auf Instanzen installiert sind. Entwickeln Sie eine Fähigkeit, Agenten und andere benutzerdefinierte Konfigurationen in Amazon Machine Images (AMIs) zu verpacken und diese den Nutzern der Cloud-Plattform AMIs zur Verfügung zu stellen. Setzen Sie präventive und detektive Kontrollen ein, die deren Verwendung regeln. AMIs AMIs sollte Tools enthalten, die die Verwaltung von EC2 Instances mit langer Laufzeit in großem Umfang ermöglichen, insbesondere für veränderbare EC2 Amazon-Workloads, die nicht regelmäßig neue AMIs verbrauchen. Sie können sie AWS Systems Managerin großem Umfang einsetzen, um Agenten-Upgrades zu automatisieren, Systeminventar zu sammeln, remote auf EC2 Instances zuzugreifen und Sicherheitslücken im Betriebssystem zu patchen.
Verwaltung der Verwendung von Anmeldeinformationen
Implementieren Sie gemäß der Perspektive AWS von CAF Security Rollen und temporäre Anmeldeinformationen. Verwenden Sie Tools, um den Fernzugriff auf Instanzen oder lokale Systeme mithilfe eines vorinstallierten Agenten zu verwalten, ohne Geheimnisse zu speichern. Reduzieren Sie die Abhängigkeit von langfristigen Anmeldeinformationen und suchen Sie in Ihren IaC-Vorlagen nach fest codierten Anmeldeinformationen. Wenn Sie keine temporären Anmeldeinformationen verwenden können, verwenden Sie programmatische Tools wie Anwendungstoken und Datenbankkennwörter, um die Rotation und Verwaltung von Anmeldeinformationen zu automatisieren. Kodifizieren Sie Benutzer, Gruppen und Rollen, indem Sie bei IaC das Prinzip der geringsten Rechte verwenden, und verhindern Sie mithilfe von Guardrails die manuelle Erstellung von Identitätskonten.
Richten Sie Sicherheitstools ein
Tools zur Sicherheitsüberwachung sollten eine detaillierte Sicherheitsüberwachung für Infrastruktur, Anwendungen und Workloads unterstützen und aggregierte Ansichten für die Musteranalyse bereitstellen. Wie bei allen anderen Sicherheitsmanagement-Tools sollten Sie Ihre XDR-Tools (Extended Detection and Response) so erweitern, dass sie Funktionen bereitstellen, mit denen Sie die Sicherheit Ihrer Anwendungen, Ressourcen und Umgebungen gemäß den AWS in der CAF Security-Perspektive definierten Anforderungen bewerten, erkennen, darauf reagieren und Abhilfemaßnahmen treffen können.AWS
Excel
Identifizieren und verteilen Sie Identitätskonstrukte mithilfe von Automatisierung
Kodifizieren und versionieren Sie Identitätskonstrukte wie Rollen, Richtlinien und Vorlagen mit IaC-Tools. Verwenden Sie Tools zur Richtlinienvalidierung, um nach Sicherheitswarnungen, Fehlern, allgemeinen Warnungen, vorgeschlagenen Änderungen an Ihren IAM-Richtlinien und anderen Ergebnissen zu suchen. Implementieren und entfernen Sie gegebenenfalls Identitätskonstrukte, die automatisch temporären Zugriff auf die Umgebung ermöglichen, und verhindern Sie die Bereitstellung durch Personen, die die Konsole verwenden.
Fügen Sie Erkennungs- und Warnmeldungen für anomale Muster in allen Umgebungen hinzu
Analysieren Sie Umgebungen proaktiv auf bekannte Sicherheitslücken und fügen Sie die Erkennung ungewöhnlicher Ereignis- und Aktivitätsmuster hinzu. Überprüfen Sie die Ergebnisse und geben Sie den Plattformarchitekturteams Empfehlungen für Änderungen, die zu mehr Effizienz und Innovation führen.
Analysieren und modellieren Sie Bedrohungen
Implementieren Sie eine kontinuierliche Überwachung und Messung anhand von Branchen- und Sicherheitsstandards gemäß den Anforderungen aus Sicht von AWS CAF Security. Stellen Sie bei der Implementierung Ihres Instrumentierungsansatzes fest, welche Arten von Ereignisdaten und Informationen für Ihre Sicherheitsmanagementfunktionen am besten geeignet sind. Diese Überwachung umfasst mehrere Angriffsvektoren, einschließlich der Nutzung von Diensten. Ihre Sicherheitsgrundlagen sollten umfassende Funktionen für sichere Protokollierung und Analyse in Ihren Umgebungen mit mehreren Konten beinhalten, einschließlich der Möglichkeit, Ereignisse aus mehreren Quellen zu korrelieren. Vermeiden Sie Änderungen an dieser Konfiguration mit spezifischen Kontrollen und Schutzmaßnahmen.
Erfassen, überprüfen und verfeinern Sie kontinuierlich Genehmigungen
Erfassen Sie Änderungen an Identitätsrollen und -berechtigungen und implementieren Sie Warnmeldungen, wenn Detective Guardrails Abweichungen von Ihrem erwarteten Konfigurationsstatus feststellen. Verwenden Sie aggregierte Tools und Tools zur Mustererkennung, um Ihre zentrale Erfassung von Ereignissen zu überprüfen und die Berechtigungen nach Bedarf zu verfeinern.
Wählen Sie Ihre Plattformkennzahlen aus, messen Sie sie und verbessern Sie sie kontinuierlich
Um einen erfolgreichen Plattformbetrieb zu ermöglichen, sollten Sie umfassende Kennzahlen erstellen und regelmäßig überprüfen. Stellen Sie sicher, dass sie den Unternehmenszielen und den Bedürfnissen der Stakeholder entsprechen. Verfolgen Sie sowohl die Plattformleistung als auch die Verbesserungskennzahlen und kombinieren Sie betriebliche Parameter wie Patch, Backup und Compliance anhand von Indikatoren für die Teamfähigkeit und die Akzeptanz der Tools.
Nutzen Sie die CloudWatchkontenübergreifende Beobachtbarkeit für ein effizientes Kennzahlenmanagement. Dieser Service optimiert die Datenaggregation und -visualisierung, um fundierte Entscheidungen und gezielte Verbesserungen zu ermöglichen. Verwenden Sie diese Kennzahlen als Erfolgsindikatoren und Triebkräfte für Veränderungen, um ein Umfeld der kontinuierlichen Verbesserung zu fördern.
