Empfehlungen zur Sicherheitskontrolle zum Schutz von Daten

Das AWS Well-Architected Framework unterteilt die bewährten Methoden zum Schutz von Daten in drei Kategorien: Datenklassifizierung, Schutz ruhender Daten und Schutz von Daten bei der Übertragung. Die Sicherheitskontrollen in diesem Abschnitt können Ihnen dabei helfen, bewährte Methoden für den Datenschutz zu implementieren. Diese grundlegenden bewährten Methoden sollten vorhanden sein, bevor Sie Workloads in der Cloud entwerfen. Sie verhindern einen falschen Umgang mit Daten und helfen Ihnen, organisatorische, regulatorische und Compliance-Verpflichtungen zu erfüllen. Verwenden Sie die Sicherheitskontrollen in diesem Abschnitt, um bewährte Methoden für den Datenschutz zu implementieren.

Identifizieren und klassifizieren Sie Daten auf Workload-Ebene

Datenklassifizierung ist ein Prozess zur Identifizierung und Kategorisierung der Daten in Ihrem Netzwerk auf der Grundlage ihrer Kritikalität und Sensitivität. Sie ist eine wichtige Komponente jeder Strategie für das Management von Cybersecurity-Risiken, da sie Ihnen hilft, die geeigneten Schutz- und Aufbewahrungskontrollen für die Daten zu bestimmen. Durch die Datenklassifizierung wird häufig die Häufigkeit von Datenduplizierungen reduziert. Dadurch können Speicher- und Backup-Kosten gesenkt und Suchvorgänge beschleunigt werden.

Wir empfehlen Ihnen, sich mit der Art und Klassifizierung der Daten, die Ihr Workload verarbeitet, mit den zugehörigen Geschäftsprozessen, dem Speicherort der Daten und dem Eigentümer der Daten vertraut zu machen. Die Datenklassifizierung hilft Workload-Besitzern dabei, Standorte zu identifizieren, an denen vertrauliche Daten gespeichert werden, und zu bestimmen, wie auf diese Daten zugegriffen und sie gemeinsam genutzt werden sollen. Tags sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation der AWS Ressourcen dienen. Tags können dabei helfen, Ressourcen zu verwalten, zu identifizieren, zu organisieren, zu suchen und zu filtern.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Datenklassifizierung in AWS Whitepapers

• Identifizieren Sie die Daten innerhalb Ihres Workloads im AWS Well-Architected Framework

Richten Sie Kontrollen für jede Datenklassifizierungsebene ein

Definieren Sie Datenschutzkontrollen für jede Klassifizierungsebene. Verwenden Sie beispielsweise empfohlene Kontrollen, um Daten zu sichern, die als öffentlich eingestuft sind, und schützen Sie sensible Daten mit zusätzlichen Kontrollen. Verwenden Sie Mechanismen und Tools, die den direkten Zugriff auf oder die manuelle Verarbeitung von Daten reduzieren oder ganz vermeiden. Die Automatisierung der Datenidentifikation und -klassifizierung reduziert das Risiko von Fehlklassifizierungen, falscher Handhabung, Änderung oder menschlichem Versagen.

Erwägen Sie beispielsweise, Amazon Macie zu verwenden, um Amazon Simple Storage Service (Amazon S3) -Buckets nach sensiblen Daten wie personenbezogenen Daten (PII) zu durchsuchen. Außerdem können Sie die Erkennung von unbeabsichtigtem Datenzugriff automatisieren, indem Sie VPC Flow Logs in Amazon Virtual Private Cloud (Amazon VPC) verwenden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Definieren Sie Datenschutzkontrollen im AWS Well-Architected Framework

• Automatisieren Sie die Identifizierung und Klassifizierung im AWS Well-Architected Framework

• AWS Die Referenzarchitektur zum Datenschutz (AWS PRA) in AWS präskriptiven Leitlinien

• Erkennung sensibler Daten mit Amazon Macie in der Macie-Dokumentation

• Protokollierung von IP-Verkehr mithilfe von VPC Flow Logs in der Amazon VPC-Dokumentation

• Gängige Techniken zur Erkennung von PHI- und PII-Daten mithilfe des AWS-Services AWS ForIndustries-Blogs

Daten im Ruhezustand verschlüsseln

Daten im Ruhezustand sind Daten, die sich stationär in Ihrem Netzwerk befinden, z. B. Daten, die sich im Speicher befinden. Die Implementierung von Verschlüsselung und geeigneten Zugriffskontrollen für ruhende Daten trägt dazu bei, das Risiko eines unbefugten Zugriffs zu verringern. Verschlüsselung ist ein Rechenprozess, bei dem Klartextdaten, die für Menschen lesbar sind, in Chiffretext umgewandelt werden. Sie benötigen einen Verschlüsselungsschlüssel, um den Inhalt wieder in Klartext zu entschlüsseln, sodass er verwendet werden kann. In der können Sie AWS Key Management Service (AWS KMS) verwenden AWS Cloud, um kryptografische Schlüssel zu erstellen und zu kontrollieren, die zum Schutz Ihrer Daten beitragen.

Wie unter beschrieben, empfehlen wirRichten Sie Kontrollen für jede Datenklassifizierungsebene ein, eine Richtlinie zu erstellen, die festlegt, welche Art von Daten verschlüsselt werden muss. Geben Sie Kriterien an, nach denen bestimmt wird, welche Daten verschlüsselt und welche Daten mit einer anderen Technik wie Tokenisierung oder Hashing geschützt werden sollen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Konfiguration der Standardverschlüsselung in der Amazon S3 S3-Dokumentation

• Standardverschlüsselung für neue EBS-Volumes und Snapshot-Kopien in der Amazon-Dokumentation EC2

• Verschlüsseln von Amazon Aurora Aurora-Ressourcen in der Amazon Aurora Aurora-Dokumentation

• Einführung in die kryptografischen Details von AWS KMS in der Dokumentation AWS KMS

• Erstellung einer unternehmensweiten Verschlüsselungsstrategie für gespeicherte Daten in AWS Prescriptive Guidance

• Erzwingen Sie die Verschlüsselung im Ruhezustand im AWS Well-Architected Framework

• Weitere spezifische AWS-Services Informationen zur Verschlüsselung finden Sie in der AWS Dokumentation zu diesem Dienst

Verschlüsseln Sie Daten während der Übertragung

Daten während der Übertragung sind Daten, die sich aktiv durch Ihr Netzwerk bewegen, z. B. zwischen Netzwerkressourcen. Verschlüsseln Sie alle Daten während der Übertragung mithilfe sicherer TLS-Protokolle und Cipher Suites. Der Netzwerkverkehr zwischen den Ressourcen und dem Internet muss verschlüsselt werden, um unbefugten Zugriff auf die Daten zu verhindern. Verwenden Sie nach Möglichkeit TLS, um den Netzwerkverkehr in Ihrer internen AWS Umgebung zu verschlüsseln.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• HTTPS für die Kommunikation zwischen Zuschauern und CloudFront in der CloudFront Amazon-Dokumentation erforderlich

• AWS PrivateLink -Dokumentation

• Erzwingen Sie die Verschlüsselung bei der Übertragung im AWS Well-Architected Framework

• Weitere spezifische AWS-Services Informationen zur Verschlüsselung finden Sie in der AWS Dokumentation zu diesem Dienst

Sperren Sie den öffentlichen Zugriff auf Amazon EBS-Snapshots

Amazon Elastic Block Store (Amazon EBS) bietet Speichervolumes auf Blockebene zur Verwendung mit Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Sie können die Daten auf Ihren Amazon EBS-Volumes auf Amazon S3 sichern, indem Sie point-in-time Schnappschüsse erstellen. Sie können Snapshots öffentlich mit allen anderen teilen AWS-Konten, oder Sie können sie privat mit einer von Ihnen angegebenen Person AWS-Konten teilen.

Wir empfehlen, Amazon EBS-Snapshots nicht öffentlich zu teilen. Dadurch könnten versehentlich vertrauliche Daten offengelegt werden. Wenn Sie einen Snapshot teilen, gewähren Sie anderen Zugriff auf die Daten im Snapshot. Teilen Sie Snapshots nur mit Personen, denen Sie all diese Daten anvertrauen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Einen Schnappschuss in der EC2 Amazon-Dokumentation teilen

• Amazon EBS-Snapshots sollten in der Dokumentation nicht öffentlich wiederherstellbar sein AWS Security Hub

• ebs-snapshot-public-restorable-schauen Sie in der Dokumentation nach AWS Config

Sperren Sie den öffentlichen Zugriff auf Amazon RDS-Snapshots

Amazon Relational Database Service (Amazon RDS) unterstützt Sie bei der Einrichtung, dem Betrieb und der Skalierung einer relationalen Datenbank in der. AWS Cloud Amazon RDS erstellt und speichert automatische Backups Ihrer Datenbank-Instance (DB) oder Ihres Multi-AZ-DB-Clusters während des Backup-Fensters Ihrer DB-Instance. Amazon RDS erstellt einen Snapshot für das Speichervolume der DB-Instance, damit die gesamte DB-Instance gesichert wird und nicht nur einzelne Datenbanken. Sie können einen manuellen Snapshot teilen, um den Snapshot zu kopieren oder eine DB-Instance daraus wiederherzustellen.

Wenn Sie einen Snapshot als öffentlich freigeben, stellen Sie sicher, dass keine der Daten im Snapshot privat oder vertraulich ist. Wenn ein Snapshot öffentlich geteilt wird, erhält AWS-Konten jeder Zugriff auf die Daten. Dies kann zu einer unbeabsichtigten Offenlegung der Daten in Ihrer Amazon RDS-Instance führen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Einen DB-Snapshot in der Amazon RDS-Dokumentation teilen

• rds-snapshots-public-prohibitedin der AWS Config Dokumentation

• Der RDS-Snapshot sollte in der Security Hub Hub-Dokumentation privat sein

Sperren Sie den öffentlichen Zugriff auf Amazon RDS, Amazon Redshift und Ressourcen AWS DMS

Sie können Amazon RDS-DB-Instances, Amazon Redshift Redshift-Cluster und AWS Database Migration Service (AWS DMS) Replikations-Instances so konfigurieren, dass sie öffentlich zugänglich sind. Wenn der publiclyAccessible Feldwert lautettrue, sind diese Ressourcen öffentlich zugänglich. Wenn der öffentliche Zugriff gewährt wird, kann dies zu unnötigem Datenverkehr, Datenlecks oder Datenlecks führen. Wir empfehlen, den öffentlichen Zugriff auf diese Ressourcen nicht zuzulassen.

Wir empfehlen Ihnen, AWS Config Regeln oder Security Hub-Steuerelemente zu aktivieren, um zu erkennen, ob Amazon RDS-DB-Instances, AWS DMS Replikations-Instances oder Amazon Redshift Redshift-Cluster öffentlichen Zugriff zulassen.

Anmerkung

Die Einstellungen für den öffentlichen Zugriff für AWS DMS Replikations-Instances können nach der Bereitstellung der Instance nicht geändert werden. Um die Einstellung für den öffentlichen Zugriff zu ändern, löschen Sie die aktuelle Instanz und erstellen Sie sie anschließend neu. Wenn Sie sie neu erstellen, wählen Sie nicht die Option Öffentlich zugänglich aus.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• AWS DMS Replikationsinstanzen sollten in der Security Hub Hub-Dokumentation nicht öffentlich sein

• RDS-DB-Instances sollten den öffentlichen Zugriff in der Security Hub Hub-Dokumentation verbieten

• Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff in der Security Hub Hub-Dokumentation verbieten

• rds-instance-public-access-schauen Sie in der Dokumentation nach AWS Config

• dms-replication-not-publicin der Dokumentation AWS Config

• redshift-cluster-public-access-schauen Sie in der AWS Config Dokumentation nach

• Ändern einer Amazon RDS-DB-Instance in der Amazon RDS-Dokumentation

• Ändern eines Clusters in der Amazon Redshift Redshift-Dokumentation

Blockieren Sie den öffentlichen Zugriff auf Amazon S3 S3-Buckets

Es ist eine bewährte Methode für Amazon S3 S3-Sicherheit, um sicherzustellen, dass Ihre Buckets nicht öffentlich zugänglich sind. Stellen Sie sicher, dass Ihr Bucket nicht öffentlich ist, sofern Sie nicht ausdrücklich verlangen, dass jemand im Internet in der Lage ist, Ihren Bucket zu lesen oder in ihn zu schreiben. Dies trägt zum Schutz der Integrität und Sicherheit der Daten bei. Sie können AWS Config Regeln und Security Hub-Steuerelemente verwenden, um zu überprüfen, ob Ihre Amazon S3 S3-Buckets dieser Best Practice entsprechen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Bewährte Methoden zur Amazon S3 S3-Sicherheit in der Amazon S3 S3-Dokumentation

• Die Einstellung S3 Block Public Access sollte in der Security Hub Hub-Dokumentation aktiviert sein

• S3-Buckets sollten den öffentlichen Lesezugriff in der Security Hub Hub-Dokumentation verbieten

• S3-Buckets sollten öffentlichen Schreibzugriff in der Security Hub Hub-Dokumentation verbieten

• bucket-public-read-prohibited s3-Regel in der Dokumentation AWS Config

• s3- bucket-public-write-prohibited in der AWS Config Dokumentation

MFA zum Löschen von Daten in kritischen Amazon S3 S3-Buckets anfordern

Wenn Sie in Amazon-S3-Buckets mit S3-Versioning arbeiten, können Sie optional eine weitere Sicherheitsebene hinzufügen, indem Sie einen Bucket konfigurieren, um MFA (multi-factor authentication) delete zu aktivieren. In diesem Fall muss der Bucket-Eigentümer zwei Authentifizierungsformen in jede Anforderung aufnehmen, um eine Version zu löschen oder den Versioning-Status des Buckets zu ändern. Wir empfehlen, diese Funktion für Buckets zu aktivieren, die Daten enthalten, die für Ihr Unternehmen von entscheidender Bedeutung sind. Dadurch kann ein versehentliches Löschen von Buckets und Daten verhindert werden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Konfiguration von MFA Delete in der Amazon S3 S3-Dokumentation

Amazon OpenSearch Service-Domains in einer VPC konfigurieren

Amazon OpenSearch Service ist ein verwalteter Service, der Sie bei der Bereitstellung, dem Betrieb und der Skalierung unterstützt OpenSearch Cluster in der AWS Cloud. Amazon OpenSearch Service unterstützt OpenSearch und Legacy Elasticsearch Open-Source-Software (OSS). Amazon OpenSearch Service-Domains, die in einer VPC bereitgestellt werden, können über das private AWS Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration verbessert Ihre Sicherheitslage, indem sie den Zugriff auf die Daten während der Übertragung einschränkt. Wir empfehlen, dass Sie Amazon OpenSearch Service-Domains nicht an öffentliche Subnetze anhängen und dass die VPC gemäß den Best Practices konfiguriert wird.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC in der Amazon OpenSearch Service-Dokumentation

• opensearch-in-vpc-onlyin der Dokumentation AWS Config

• OpenSearch Domänen sollten sich in der Security Hub Hub-Dokumentation in einer VPC befinden

Konfigurieren Sie Warnmeldungen für das Löschen AWS KMS key

AWS Key Management Service (AWS KMS) Schlüssel können nicht wiederhergestellt werden, nachdem sie gelöscht wurden. Wenn ein KMS-Schlüssel gelöscht wird, können Daten, die unter diesem Schlüssel noch verschlüsselt sind, dauerhaft nicht wiederhergestellt werden. Wenn Sie den Zugriff auf die Daten behalten möchten, müssen Sie die Daten vor dem Löschen des Schlüssels entschlüsseln oder mit einem neuen KMS-Schlüssel erneut verschlüsseln. Löschen Sie einen KMS-Schlüssel nur, wenn Sie sicher sind, dass Sie ihn nicht mehr benötigen.

Wir empfehlen Ihnen, einen CloudWatch Amazon-Alarm zu konfigurieren, der Sie benachrichtigt, wenn jemand das Löschen eines KMS-Schlüssels initiiert. Da das Löschen eines KMS-Schlüssels zerstörerisch und potenziell gefährlich ist, AWS KMS müssen Sie eine Wartezeit festlegen und das Löschen auf 7—30 Tage planen. Dies bietet Ihnen die Möglichkeit, den geplanten Löschvorgang zu überprüfen und ihn gegebenenfalls abzubrechen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Das Löschen von Schlüsseln wird in der Dokumentation geplant und storniert AWS KMS

• In der Dokumentation wird ein Alarm erstellt, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht AWS KMS

• AWS KMS keys sollte nicht unbeabsichtigt in der Security Hub Hub-Dokumentation gelöscht werden

Sperren Sie den öffentlichen Zugriff auf AWS KMS keys

Wichtige Richtlinien sind die wichtigste Methode zur Steuerung des Zugriffs auf AWS KMS keys. Jeder KMS-Schlüssel besitzt genau eine Schlüsselrichtlinie. Wenn Sie anonymen Zugriff auf KMS-Schlüssel zulassen, kann dies zu einem Verlust vertraulicher Daten führen. Wir empfehlen Ihnen, alle öffentlich zugänglichen KMS-Schlüssel zu identifizieren und ihre Zugriffsrichtlinien zu aktualisieren, um zu verhindern, dass unsignierte Anfragen an diese Ressourcen gestellt werden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Bewährte Sicherheitsmethoden finden Sie AWS Key Management Service in der Dokumentation AWS KMS

• Änderung einer wichtigen Richtlinie in der AWS KMS Dokumentation

• Bestimmung des Zugriffs auf AWS KMS keys in der AWS KMS Dokumentation

Konfigurieren Sie Load Balancer-Listener für die Verwendung sicherer Protokolle

Elastic Load Balancing verteilt den eingehenden Anwendungsdatenverkehr automatisch auf mehrere Ziele. Sie konfigurieren Ihren Load Balancer für eingehenden Datenverkehr, indem Sie einen oder mehrere Listener angeben. Ein Listener ist ein Prozess, der mit dem Protokoll und dem Port, das bzw. den Sie konfigurieren, Verbindungsanforderungen prüft. Jeder Load Balancer-Typ unterstützt unterschiedliche Protokolle und Ports:

• Application Load Balancer treffen Routing-Entscheidungen auf Anwendungsebene und verwenden HTTP- oder HTTPS-Protokolle.

• Network Load Balancer treffen Routing-Entscheidungen auf der Transportschicht und verwenden die Protokolle TCP, TLS, UDP oder TCP_UDP.

• Classic Load Balancer treffen Routing-Entscheidungen entweder auf der Transportschicht (mithilfe von TCP- oder SSL-Protokollen) oder auf der Anwendungsebene (mithilfe von HTTP- oder HTTPS-Protokollen).

Wir empfehlen, immer die Protokolle HTTPS oder TLS zu verwenden. Diese Protokolle stellen sicher, dass der Load Balancer für die Verschlüsselung und Entschlüsselung des Datenverkehrs zwischen dem Client und dem Ziel verantwortlich ist.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Listener für Ihre Application Load Balancer in der Elastic Load Balancing Balancing-Dokumentation

• Listener für Ihren Classic Load Balancer in der Elastic Load Balancing Balancing-Dokumentation

• Listener für Ihre Network Load Balancer in der Elastic Load Balancing Balancing-Dokumentation

• Stellen Sie in Prescriptive Guidance sicher, dass AWS Load Balancer sichere Listener-Protokolle verwenden AWS

• elb-tls-https-listeners-nur in der Dokumentation AWS Config

• Classic Load Balancer Balancer-Listener sollten in der Security Hub Hub-Dokumentation mit HTTPS- oder TLS-Terminierung konfiguriert werden

• Der Application Load Balancer sollte in der Security Hub Hub-Dokumentation so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden