Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Thema 5: Richten Sie einen Datenperimeter ein
Die acht wichtigsten Strategien werden behandelt
Beschränken Sie die Administratorrechte
Bei einem Datenperimeter handelt es sich um eine Reihe präventiver Schutzmaßnahmen in Ihrer AWS Umgebung, die sicherstellen, dass nur vertrauenswürdige Identitäten auf vertrauenswürdige Ressourcen von erwarteten Netzwerken zugreifen. Diese Leitplanken dienen als ständige Grenzen, die dazu beitragen, Ihre Daten über eine Vielzahl von Ressourcen hinweg zu schützen. AWS-Konten Diese unternehmensweiten Schutzmaßnahmen ersetzen nicht Ihre bestehenden, fein abgestuften Zugriffskontrollen. Stattdessen tragen sie zur Verbesserung Ihrer Sicherheitsstrategie bei, indem sie sicherstellen, dass alle AWS Identity and Access Management (IAM) Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten.
Sie können einen Datenperimeter einrichten, indem Sie Richtlinien verwenden, die den Zugriff von außerhalb der Unternehmensgrenzen verhindern. Diese werden in AWS Organizations der Regel innerhalb der Organisation erstellt. Die drei wichtigsten Perimeterautorisierungsbedingungen, die für die Einrichtung eines Datenperimeters verwendet werden, sind:
-
Vertrauenswürdige Identitäten — Prinzipale (IAMRollen oder Benutzer) innerhalb von Ihnen oder in Ihrem Namen AWS-Konten AWS-Services handelnde Personen.
-
Vertrauenswürdige Ressourcen — Ressourcen, die Ihnen gehören AWS-Konten oder die von Ihnen verwaltet werden, indem sie in Ihrem Namen AWS-Services handeln.
-
Erwartete Netzwerke — Ihre lokalen Rechenzentren und virtuellen privaten Clouds (VPCs) oder die Netzwerke, die in Ihrem Namen AWS-Services handeln.
Erwägen Sie die Implementierung von Datengrenzen zwischen Umgebungen mit unterschiedlichen Datenklassifizierungen wie OFFICIAL:SENSITIVE
oder oder PROTECTED
oder unterschiedlichen Risikostufen wie Entwicklung, Test oder Produktion. Weitere Informationen finden Sie unter Aufbau eines Datenperimeters auf AWS (AWS Whitepaper) und Einrichtung eines Datenperimeters auf AWS:
Verwandte Best Practices im AWS Well-Architected Framework
Umsetzung dieses Themas
Implementieren Sie Identitätskontrollen
-
Erlauben Sie nur vertrauenswürdigen Identitäten den Zugriff auf Ihre Ressourcen — Verwenden Sie ressourcenbasierte Richtlinien mit den Bedingungsschlüsseln und.
aws:PrincipalOrgID
aws:PrincipalIsAWSService
Dadurch können nur Prinzipale aus Ihrer AWS Organisation und von AWS auf Ihre Ressourcen zugreifen. -
Nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zulassen — Verwenden Sie VPCEndpunktrichtlinien mit den Bedingungsschlüsseln
aws:PrincipalOrgID
und.aws:PrincipalIsAWSService
Dadurch können nur Prinzipale aus Ihrer AWS Organisation und aus dem Unternehmen über AWS Endpunkte auf Dienste zugreifenVPC.
Implementieren Sie Ressourcenkontrollen
-
Erlauben Sie Ihren Identitäten, nur auf vertrauenswürdige Ressourcen zuzugreifen — Verwenden Sie Dienststeuerungsrichtlinien (SCPs) mit dem Bedingungsschlüssel
aws:ResourceOrgID
. Dadurch können Ihre Identitäten nur auf Ressourcen in Ihrer AWS Organisation zugreifen. -
Erlauben Sie den Zugriff auf vertrauenswürdige Ressourcen nur von Ihrem Netzwerk aus — Verwenden Sie VPC Endpunktrichtlinien mit dem Bedingungsschlüssel
aws:ResourceOrgID
. Dadurch können Ihre Identitäten nur über VPC Endgeräte auf Dienste zugreifen, die Teil Ihrer AWS Organisation sind.
Implementieren Sie Netzwerksteuerungen
-
Identitäten nur Zugriff auf Ressourcen aus erwarteten Netzwerken erlauben — Verwenden Sie diese Option SCPs zusammen mit den Bedingungsschlüsseln
aws:SourceIp
aws:SourceVpc
,aws:SourceVpce
, undaws:ViaAWSService
. Dadurch können Ihre Identitäten nur von erwarteten IP-Adressen und VPC Endpunkten aus auf Ressourcen zugreifen. VPCs AWS-Services -
Erlauben Sie den Zugriff auf Ihre Ressourcen nur von erwarteten Netzwerken aus — Verwenden Sie ressourcenbasierte Richtlinien mit den Bedingungsschlüsseln
aws:SourceIp
,,aws:SourceVpc
,aws:SourceVpce
und.aws:ViaAWSService
aws:PrincipalIsAWSService
Dies ermöglicht den Zugriff auf Ihre Ressourcen nur von erwartetenIPs, von erwarteten VPC Endpunkten ausVPCs, durch AWS-Services oder wenn es sich bei der anrufenden Identität um eine handelt. AWS-Service
Ich beobachte dieses Thema
Überwachen Sie die Richtlinien
-
Implementieren Sie Mechanismen zur ÜberprüfungSCPs, IAM Richtlinien und VPC Endpunktrichtlinien
Implementieren Sie die folgenden AWS Config Regeln
-
SERVICE_VPC_ENDPOINT_ENABLED