Thema 5: Richten Sie einen Datenperimeter ein - AWS Präskriptive Leitlinien
Zugehörige bewährte Methoden:Umsetzung dieses ThemasIch beobachte dieses Thema

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Thema 5: Richten Sie einen Datenperimeter ein

Die acht wichtigsten Strategien werden behandelt

Beschränken Sie die Administratorrechte

Bei einem Datenperimeter handelt es sich um eine Reihe präventiver Schutzmaßnahmen in Ihrer AWS Umgebung, die sicherstellen, dass nur vertrauenswürdige Identitäten auf vertrauenswürdige Ressourcen von erwarteten Netzwerken zugreifen. Diese Leitplanken dienen als ständige Grenzen, die dazu beitragen, Ihre Daten über eine Vielzahl von Ressourcen hinweg zu schützen. AWS-Konten Diese organisationsweiten Schutzmaßnahmen ersetzen nicht Ihre bestehenden, fein abgestuften Zugriffskontrollen. Stattdessen tragen sie zur Verbesserung Ihrer Sicherheitsstrategie bei, indem sie sicherstellen, dass alle AWS Identity and Access Management (IAM-) Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten.

Sie können einen Datenperimeter einrichten, indem Sie Richtlinien verwenden, die den Zugriff von außerhalb der Unternehmensgrenzen verhindern. Diese werden in der Regel innerhalb der Organisation erstellt. AWS Organizations Die drei wichtigsten Perimeterautorisierungsbedingungen, die für die Einrichtung eines Datenperimeters verwendet werden, sind:

  • Vertrauenswürdige Identitäten — Principals (IAM-Rollen oder -Benutzer) in Ihrem Namen oder AWS-Services die in Ihrem AWS-Konten Namen handeln.

  • Vertrauenswürdige Ressourcen — Ressourcen, die sich in Ihrem Besitz befinden AWS-Konten oder von denen, die in Ihrem Namen AWS-Services handeln, verwaltet werden.

  • Erwartete Netzwerke — Ihre lokalen Rechenzentren und virtuellen privaten Clouds (VPCs) oder die Netzwerke, die in Ihrem Namen AWS-Services handeln.

Erwägen Sie die Implementierung von Datengrenzen zwischen Umgebungen mit unterschiedlichen Datenklassifizierungen wie OFFICIAL:SENSITIVE oder oder PROTECTED oder unterschiedlichen Risikostufen wie Entwicklung, Test oder Produktion. Weitere Informationen finden Sie unter Aufbau eines Datenperimeters auf AWS (AWS Whitepaper) und Einrichtung eines Datenperimeters auf AWS: Überblick (Blogbeitrag).AWS

Verwandte Best Practices im AWS Well-Architected Framework

Umsetzung dieses Themas

Implementieren Sie Identitätskontrollen

  • Erlauben Sie nur vertrauenswürdigen Identitäten den Zugriff auf Ihre Ressourcen — Verwenden Sie ressourcenbasierte Richtlinien mit den Bedingungsschlüsseln und. aws:PrincipalOrgID aws:PrincipalIsAWSService Dadurch können nur Prinzipale aus Ihrer AWS Organisation und von AWS auf Ihre Ressourcen zugreifen.

  • Nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zulassen — Verwenden Sie VPC-Endpunktrichtlinien mit den Bedingungsschlüsseln aws:PrincipalOrgID und. aws:PrincipalIsAWSService Dadurch können nur Principals aus Ihrer AWS Organisation und von AWS bis über VPC-Endpunkte auf Dienste zugreifen.

Implementieren Sie Ressourcenkontrollen

  • Erlauben Sie Ihren Identitäten, nur auf vertrauenswürdige Ressourcen zuzugreifen — Verwenden Sie Dienststeuerungsrichtlinien (SCPs) mit dem Bedingungsschlüsselaws:ResourceOrgID. Dadurch können Ihre Identitäten nur auf Ressourcen in Ihrer AWS Organisation zugreifen.

  • Zugriff auf vertrauenswürdige Ressourcen nur von Ihrem Netzwerk aus zulassen — Verwenden Sie VPC-Endpunktrichtlinien mit dem Bedingungsschlüsselaws:ResourceOrgID. Dadurch können Ihre Identitäten nur über VPC-Endpunkte, die Teil Ihrer Organisation sind, auf Dienste zugreifen. AWS

Implementieren Sie Netzwerksteuerungen

  • Identitäten nur Zugriff auf Ressourcen aus erwarteten Netzwerken erlauben — Verwenden Sie diese Option SCPs zusammen mit den Bedingungsschlüsseln aws:SourceIpaws:SourceVpc,aws:SourceVpce, undaws:ViaAWSService. Auf diese Weise können Ihre Identitäten nur von erwarteten IP-Adressen und VPC-Endpunkten aus auf Ressourcen zugreifen. VPCs AWS-Services

  • Erlauben Sie den Zugriff auf Ihre Ressourcen nur von erwarteten Netzwerken aus — Verwenden Sie ressourcenbasierte Richtlinien mit den Bedingungsschlüsselnaws:SourceIp,,, undaws:SourceVpc. aws:SourceVpce aws:ViaAWSService aws:PrincipalIsAWSService Dies ermöglicht den Zugriff auf Ihre Ressourcen nur von erwarteten IPs, von erwarteten VPCs VPC-Endpunkten aus AWS-Services, durch oder wenn die aufrufende Identität eine ist. AWS-Service

Ich beobachte dieses Thema

Überwachen Sie die Richtlinien

  • Implementieren Sie Überprüfungsmechanismen SCPs, IAM-Richtlinien und VPC-Endpunktrichtlinien

Implementieren Sie die folgenden Regeln AWS Config

  • SERVICE_VPC_ENDPOINT_ENABLED