Proaktive Kontrollen - AWS Präskriptive Leitlinien
ZieleProzessAnwendungsfälleTechnologieGeschäftsergebnisse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Proaktive Kontrollen

Proaktive Kontrollen sind Sicherheitskontrollen, die die Erstellung von nicht konformen Ressourcen verhindern sollen. Diese Kontrollen können die Anzahl der Sicherheitsereignisse reduzieren, die durch reaktive und detektivische Kontrollen behandelt werden. Diese Kontrollen stellen sicher, dass die bereitgestellten Ressourcen konform sind, bevor sie bereitgestellt werden; daher gibt es kein Erkennungsereignis, das eine Reaktion oder Abhilfe erfordert.

Sie könnten z. B. eine detektivische Kontrolle anwenden, die Sie benachrichtigt, wenn ein Amazon Simple Storage Service (Amazon S3)-Bucket öffentlich zugänglich wird. Sie könnten auch über eine reaktive Kontrolle verfügen, die das Problem behebt. Obwohl diese beiden Kontrollen bereits vorhanden sind, können Sie eine weitere Schutzebene hinzufügen, indem Sie eine proaktive Kontrolle hinzufügen. Durch die proaktive Steuerung kann verhindert werden AWS CloudFormation, dass Updates für alle S3-Buckets erstellt werden, für die der öffentliche Zugriff aktiviert ist. Bedrohungsakteure könnten diese Kontrolle immer noch umgehen und Ressourcen außerhalb von einsetzen oder ändern CloudFormation. In diesem Fall würden die detektiven und reaktiven Kontrollen das Sicherheitsereignis beheben.

Lesen Sie die folgenden Informationen zu dieser Art von Kontrolle:

Ziele

  • Proaktive Kontrollen helfen Ihnen dabei, Ihre Sicherheitsvorgänge und Qualitätsprozesse zu verbessern.

  • Proaktive Kontrollen könnne Ihnen bei der Einhaltung von Sicherheitsrichtlinien, Standards und gesetzlichen Vorschriften oder Compliance-Verpflichtungen helfen.

  • Proaktive Kontrollen können die Erstellung von nicht konformen Ressourcen verhindern.

  • Proaktive Kontrollen können die Anzahl der Sicherheitserkenntnisse reduzieren.

  • Proaktive Kontrollen bieten eine weitere Schutzebene gegen Bedrohungsakteure, die präventive Kontrollen umgehen und versuchen, nicht konforme Ressourcen bereitzustellen.

  • In Kombination mit präventiven, detektivischen und reaktiven Kontrollen können proaktive Kontrollen Ihnen helfen, potenzielle Sicherheitsvorfälle zu bewältigen.

Prozess

Proaktive Kontrollen ergänzen präventive Kontrollen. Proaktive Kontrollen verringern das Sicherheitsrisiko Ihres Unternehmens und erzwingen die Bereitstellung von konformen Ressourcen. Diese Kontrollen bewerten die Konformität von Ressourcen, bevor diese erstellt oder aktualisiert werden. Proaktive Kontrollen werden in der Regel mithilfe von CloudFormation Hooks implementiert. Wenn die Ressource die Validierung durch die proaktive Kontrolle nicht besteht, können Sie entweder die Bereitstellung der Ressource ablehnen oder eine Warnmeldung ausgeben. Im Folgenden finden Sie einige Tipps und bewährte Methoden für den Aufbau proaktiver Kontrollen:

  • Stellen Sie sicher, dass proaktive Kontrollen den Compliance-Anforderungen Ihres Unternehmens entsprechen.

  • Stellen Sie sicher, dass proaktive Kontrollen den bewährten Sicherheitsmethoden für den jeweiligen Service entsprechen.

  • Verwenden Sie CloudFormation StackSets oder eine andere Lösung, um proaktive Kontrollen für mehrere AWS-Regionen Konten bereitzustellen.

  • Stellen Sie sicher, dass die Warn- oder Fehlermeldung, die mit einer proaktiven Kontrolle verbunden ist, eindeutig und klar ist. Dies hilft Entwicklern, den Grund zu verstehen, warum die Ressource die Bewertung nicht bestanden hat.

  • Beginnen Sie bei der Erstellung neuer proaktiver Kontrollen im Beobachtungsmodus. Das bedeutet, dass Sie eine Warnmeldung senden, anstatt die Bereitstellung der Ressource fehlschlagen zu lassen. Dies hilft Ihnen, die Auswirkungen der proaktiven Kontrolle zu verstehen.

  • Aktivieren Sie die Protokollierung in Amazon CloudWatch Logs für proaktive Kontrollen.

  • Wenn Sie den Aufruf einer bestimmten proaktiven Steuerung überwachen müssen, verwenden Sie eine EventBridge Amazon-Regel und abonnieren Sie Aufrufereignisse für den CloudFormation Hook.

Anwendungsfälle

  • Verhindern der Bereitstellung nicht konformer Ressourcen

  • Erfüllung von Compliance-Anforderungen

  • Verbessern der Codequalität durch Erzwingen der Behebung eines Sicherheitsproblems vor der Bereitstellung

  • Verringern der mit der Behebung von Sicherheitsproblemen nach der Bereitstellung verbundenen betrieblichen Ausfallzeiten

Technologie

CloudFormation Hooks

AWS CloudFormationhilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten. CloudFormation Hooks bewerten proaktiv die Konfiguration Ihrer CloudFormation Ressourcen, bevor sie bereitgestellt werden. Wenn nicht konforme Ressourcen gefunden werden, wird ein Fehlerstatus zurückgegeben. Je nach Hook-Fehlermodus CloudFormation kann der Vorgang fehlschlagen oder es wird eine Warnung angezeigt, die es dem Benutzer ermöglicht, mit der Bereitstellung fortzufahren. Sie können verfügbare Hooks verwenden oder Ihre eigenen entwickeln.

AWS Control Tower

AWS Control Towerhilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und befolgt dabei die vorgeschriebenen Best Practices. AWS Control Tower bietet vorkonfigurierte proaktive Steuerungen, die Sie in Ihrer landing zone aktivieren können. Wenn Ihre landing zone mit eingerichtet ist AWS Control Tower, können Sie diese optionalen proaktiven Steuerungen als Ausgangspunkt für Ihre Organisation verwenden. Sie können bei Bedarf zusätzliche, benutzerdefinierte proaktive Kontrollen CloudFormation einbauen.

Geschäftsergebnisse

Weniger menschlicher Aufwand und Fehler

Proaktive Kontrollen verringern das Risiko menschlicher Fehler, die zur Bereitstellung von nicht konformen Ressourcen führen. Sie verringern auch den menschlichen Aufwand in späteren Phasen des Entwicklungszyklus, da sie die Entwickler dazu bringen, die Ressourcensicherheit vor der Bereitstellung zu berücksichtigen. Damit wird die Praxis der Linksverschiebung auf den Aufbau sicherer Ressourcen angewandt, weil sie Compliance früher im Entwicklungszyklus erzwingt.

Geringere Kosten

Es ist im Allgemeinen teurer, ein Sicherheitsproblem nach der Bereitstellung zu beheben. Das Erkennen und Beheben von Problemen zu einem früheren Zeitpunkt im Entwicklungszyklus senkt die Entwicklungskosten.

Zeitersparnis

Da proaktive Kontrollen die Bereitstellung nicht konformer Ressourcen verhindern, reduzieren sie die Zeit, die Sie für die Prüfung und Behebung von Sicherheitsproblemen aufwenden. Sie verringern auch die Anzahl der Sicherheitserkenntnisse, die bei detektivischen Kontrollen erst später im Entwicklungszyklus festgestellt würden.

Einhaltung gesetzlicher Vorschriften

Wenn Ihre Organisation interne oder branchenspezifische Vorschriften einhalten muss, können proaktive Kontrollen Ihnen dabei helfen, konform zu bleiben und Strafen für Verstöße zu vermeiden.

Reduzierung des Risikos

Proaktive Kontrollen helfen Entwicklern dabei, konforme und sicherere Ressourcen bereitzustellen, sodass proaktive Kontrollen das Sicherheitsrisiko für Ihre Organisation verringern.