AWS Checkliste für bewährte SRA-Praktiken - AWS Präskriptive Leitlinien
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMIAM Access AnalyzerAmazon DetectiveAWS Firewall ManagerAmazon InspectorAmazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS Reaktion auf SicherheitsvorfälleAWS Audit Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Checkliste für bewährte SRA-Praktiken

Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen.

In diesem Abschnitt werden die Best Practices für AWS SRA, die in diesem Leitfaden beschrieben werden, in einer Checkliste zusammengefasst, die Sie beim Aufbau Ihrer Version der Sicherheitsarchitektur befolgen können. AWS Verwenden Sie diese Liste als Referenz und nicht als Ersatz für die Lektüre des Leitfadens. Die Checkliste ist gruppiert AWS-Service nach. Wenn Sie Ihre bestehende AWS Umgebung anhand der SRA-Checkliste für bewährte Methoden programmgesteuert überprüfen möchten, können Sie AWS SRA Verify verwenden.

SRA Verify ist ein Tool zur Sicherheitsbewertung, mit dem Sie beurteilen können, ob Ihr Unternehmen die SRA in mehreren Regionen AWS einhält. AWS-Konten Es orientiert sich direkt an den AWS SRA-Empfehlungen, indem es automatisierte Prüfungen bereitstellt, mit denen Ihre Implementierung anhand der AWS SRA-Richtlinien validiert wird. Mit dem Tool können Sie überprüfen, ob Ihre Sicherheitsdienste gemäß der Referenzarchitektur ordnungsgemäß konfiguriert sind. Es bietet detaillierte Ergebnisse und umsetzbare Schritte zur Problembehebung, um sicherzustellen, dass Ihre AWS Umgebung den bewährten Sicherheitsmethoden entspricht. SRA Verify ist so konzipiert, dass es AWS CodeBuild im Auditkonto der Organisation (Security Tooling) ausgeführt wird. Sie können es auch lokal ausführen oder mithilfe der SRA Verify-Bibliothek erweitern.

Anmerkung

SRA Verify enthält Prüfungen für mehrere Dienste, enthält jedoch möglicherweise nicht für alle Aspekte des AWS SRA eine Prüfung. Weitere Informationen finden Sie in den Leitfäden in der AWS SRA-Bibliothek.

AWS Organizations

  • AWS Organizations ist mit allen Funktionen aktiviert.

  • Dienststeuerungsrichtlinien (SCPs) werden verwendet, um Richtlinien zur Zugriffskontrolle für IAM-Prinzipale zu definieren.

  • Ressourcenkontrollrichtlinien (RCPs) werden verwendet, um Richtlinien für die Zugriffskontrolle für AWS Ressourcen zu definieren.

  • Deklarative Richtlinien werden verwendet, um Ihre gewünschte Konfiguration für eine bestimmte Größe in Ihrem gesamten Unternehmen zentral AWS-Service zu deklarieren und durchzusetzen.

  • Drei grundlegende Konten (Sicherheit, Infrastruktur und Workload) OUs werden für die Gruppierung von Mitgliedskonten eingerichtet, die grundlegende Dienste bereitstellen.

  • Das Security Tooling-Konto wird unter der Security OU erstellt. Dieses Konto ermöglicht die zentrale Verwaltung von AWS Sicherheitsdiensten und anderen Sicherheitstools von Drittanbietern.

  • Das Log Archive-Konto wird unter der Security OU erstellt. Dieses Konto stellt ein streng kontrolliertes zentrales Protokoll-Repository mit Anwendungsprotokollen AWS-Services und Anwendungsprotokollen bereit.

  • Das Netzwerkkonto wird unter der Infrastruktur-OU erstellt. Dieses Konto verwaltet das Gateway zwischen Ihrer Anwendung und dem breiteren Internet. Es isoliert die Netzwerkdienste, die Konfiguration und den Betrieb von den Workloads, der Sicherheit und anderen Infrastrukturen der einzelnen Anwendungen.

  • Das Shared Service-Konto wird unter der Infrastruktur-OU erstellt. Dieses Konto unterstützt die Dienste, die mehrere Anwendungen und Teams verwenden, um ihre Ergebnisse zu erzielen.

  • Das Anwendungskonto wird unter der Workloads OU erstellt. Dieses Konto hostet die primäre Infrastruktur und die Dienste für den Betrieb und die Wartung einer Unternehmensanwendung. Dieses Handbuch bietet eine Darstellung, aber in der Praxis wird es mehrere Konten OUs und Mitgliedskonten geben, die nach Anwendungen, Entwicklungsumgebungen und anderen Sicherheitsaspekten getrennt sind.

  • Alternative Kontaktinformationen für Abrechnung, Betrieb und Sicherheit für alle Mitgliedskonten sind konfiguriert.

AWS CloudTrail

  • Es ist ein Organisationspfad konfiguriert, der die Übermittlung von CloudTrail Verwaltungsereignissen im Verwaltungskonto und in allen Mitgliedskonten einer AWS Organisation ermöglicht.

  • Der Organisationspfad ist als regionsübergreifender Pfad konfiguriert.

  • Der Organization Trail ist so konfiguriert, dass Ereignisse aus globalen Ressourcen erfasst werden.

  • Zusätzliche Pfade zur Erfassung bestimmter Datenereignisse werden nach Bedarf konfiguriert, um sensible AWS Ressourcenaktivitäten zu überwachen.

  • Das Security Tooling-Konto ist als delegierter Administrator des Organisationstrails eingerichtet.

  • Der Organization Trail ist so konfiguriert, dass er automatisch für alle neuen Mitgliedskonten aktiviert wird.

  • Der Organization Trail ist so konfiguriert, dass Protokolle in einem zentralen S3-Bucket veröffentlicht werden, der im Log Archive-Konto gehostet wird.

  • Für den Organization Trail ist die Überprüfung der Protokolldateien aktiviert, um die Integrität der Protokolldateien zu überprüfen.

  • Der Organization Trail ist zur Aufbewahrung von CloudWatch Protokollen in Logs integriert.

  • Der Organization Trail wird mithilfe eines vom Kunden verwalteten Schlüssels verschlüsselt.

  • Der zentrale S3-Bucket, der für das Protokoll-Repository im Log Archive-Konto verwendet wird, ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt.

  • Der zentrale S3-Bucket, der für das Log-Repository im Log Archive-Konto verwendet wird, ist aus Gründen der Unveränderlichkeit mit S3 Object Lock konfiguriert.

  • Die Versionierung ist für den zentralen S3-Bucket aktiviert, der für das Log-Repository im Log Archive-Konto verwendet wird.

  • Für den zentralen S3-Bucket, der für das Protokoll-Repository im Log Archive-Konto verwendet wird, ist eine Ressourcenrichtlinie definiert, die das Hochladen von Objekten nur anhand des Organisationstrails über die Ressource Amazon Resource Name (ARN) einschränkt.

AWS Security Hub CSPM

  • Security Hub CSPM ist für alle Mitgliedskonten und das Verwaltungskonto aktiviert.

  • AWS Config ist für alle Mitgliedskonten als Voraussetzung für Security Hub CSPM aktiviert.

  • Das Security Tooling-Konto ist als delegierter Administrator von Security Hub CSPM eingerichtet.

  • Amazon GuardDuty und Amazon Detective haben dasselbe delegierte Administratorkonto wie Security Hub CSPM, um eine reibungslose Serviceintegration zu gewährleisten.

  • Die zentrale Konfiguration wird verwendet, um Security Hub CSPM über mehrere AWS-Konten und hinweg einzurichten und zu verwalten. AWS-Regionen

  • Alle OU- und Mitgliedskonten werden vom delegierten Administrator von Security Hub CSPM als zentral verwaltet eingestuft.

  • Security Hub CSPM wird automatisch für alle neuen Mitgliedskonten aktiviert.

  • Security Hub CSPM wird automatisch für die Konfiguration neuer Standards aktiviert.

  • Die CSPM-Ergebnisse von Security Hub aus allen Regionen werden in einer einzigen Heimatregion zusammengefasst.

  • Die CSPM-Ergebnisse von Security Hub aus allen Mitgliedskonten werden im Security Tooling-Konto zusammengefasst.

  • Der FSBP-Standard (AWS Foundational Best Practices) in Security Hub CSPM ist für alle Mitgliedskonten aktiviert.

  • Der CIS AWS Foundation Benchmark-Standard in Security Hub CSPM ist für alle Mitgliedskonten aktiviert.

  • Andere Security Hub CSPM-Standards sind je nach Bedarf aktiviert.

  • Eine Security Hub CSPM-Automatisierungsregel wird verwendet, um Ergebnisse mit Ressourcenkontext anzureichern.

  • Die automatische Reaktions- und Problembehebungsfunktion von Security Hub CSPM wird verwendet, um benutzerdefinierte EventBridge Regeln zu erstellen, um automatische Maßnahmen gegen bestimmte Ergebnisse zu ergreifen.

AWS Config

  • Der AWS Config Rekorder ist für alle Mitgliedskonten und das Verwaltungskonto aktiviert.

  • Der AWS Config Rekorder ist für alle Regionen aktiviert.

  • Der S3-Bucket für den AWS Config Lieferkanal ist im Log Archive-Konto zentralisiert.

  • Das AWS Config delegierte Administratorkonto ist auf das Security Tooling-Konto festgelegt.

  • AWS Config hat einen Organisationsaggregator eingerichtet. Der Aggregator umfasst alle Regionen.

  • AWS Config Konformitätspakete werden vom delegierten Administratorkonto aus einheitlich für alle Mitgliedskonten bereitgestellt.

  • AWS Config Regelergebnisse werden automatisch an Security Hub CSPM gesendet.

Amazon GuardDuty

  • GuardDuty Der Detektor ist für alle Mitgliedskonten und das Verwaltungskonto aktiviert.

  • GuardDuty Der Detektor ist für alle Regionen aktiviert.

  • GuardDuty Der Detektor wird automatisch für alle neuen Mitgliedskonten aktiviert.

  • GuardDuty Die delegierte Verwaltung ist auf das Security Tooling-Konto festgelegt.

  • GuardDuty grundlegende Datenquellen wie CloudTrail Verwaltungsereignisse, VPC-Flussprotokolle und Route 53 Resolver-DNS-Abfrageprotokolle sind aktiviert.

  • GuardDuty S3-Schutz ist aktiviert.

  • GuardDuty Der Malware-Schutz für EBS-Volumes ist aktiviert.

  • GuardDuty Der Malware-Schutz für S3 ist aktiviert.

  • GuardDuty Der RDS-Schutz ist aktiviert.

  • GuardDuty Lambda-Schutz ist aktiviert.

  • GuardDuty Der EKS-Schutz ist aktiviert.

  • GuardDuty EKS Runtime Monitoring ist aktiviert.

  • GuardDuty Die erweiterte Bedrohungserkennung ist aktiviert.

  • GuardDuty Die Ergebnisse werden zur Aufbewahrung in einen zentralen S3-Bucket im Log Archive-Konto exportiert.

IAM

  • IAM-Benutzer werden nicht verwendet.

  • Die zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten wird durchgesetzt.

  • Die zentrale Aufgabe für privilegierte Root-Benutzer für das Verwaltungskonto wird vom delegierten Administrator durchgesetzt.

  • Die zentrale Verwaltung des Root-Zugriffs wird an das Security Tooling-Konto delegiert.

  • Alle Root-Anmeldeinformationen für Mitgliedskonten werden entfernt.

  • Alle AWS-Konto Passwortrichtlinien für Mitglieder und Verwaltung entsprechen den Sicherheitsstandards der Organisation. 

  • Der IAM Access Advisor wird verwendet, um die zuletzt verwendeten Informationen für IAM-Gruppen, Benutzer, Rollen und Richtlinien zu überprüfen.

  • Berechtigungsgrenzen werden verwendet, um die maximal möglichen Berechtigungen für IAM-Rollen einzuschränken.

IAM Access Analyzer

  • IAM Access Analyzer ist für alle Mitgliedskonten und das Verwaltungskonto aktiviert.

  • Der delegierte Administrator von IAM Access Analyzer ist auf das Security Tooling-Konto eingestellt.

  • Der externe Zugriffsanalysator von IAM Access Analyzer ist mit der Vertrauenszone der Organisation in jeder Region konfiguriert.

  • Der externe Zugriffsanalysator von IAM Access Analyzer ist mit der Vertrauenszone für Konten in jeder Region konfiguriert.

  • Der interne Zugriffsanalysator von IAM Access Analyzer ist mit der Vertrauenszone der Organisation in jeder Region konfiguriert.

  • Der interne Zugriffsanalysator von IAM Access Analyzer ist mit der Vertrauenszone für Konten in jeder Region konfiguriert.

  • Der IAM Access Analyzer Analyzer Analyzer für ungenutzten Zugriff für das aktuelle Konto wird erstellt.

  • Der IAM Access Analyzer Analyzer für ungenutzten Zugriff für die aktuelle Organisation wird erstellt.

Amazon Detective

  • Detective ist für alle Mitgliedskonten aktiviert.

  • Detective ist automatisch für alle neuen Mitgliedskonten aktiviert.

  • Detective ist für alle Regionen aktiviert.

  • Der delegierte Detective Administrator ist auf das Security Tooling-Konto eingestellt.

  • Der delegierte CSPM-Administrator Detective und Security Hub ist auf dasselbe Security Tooling-Konto eingestellt. GuardDuty

  • Detective ist in Security Lake für die Speicherung und Analyse von Rohprotokollen integriert.

  • Detective ist GuardDuty für die Erfassung von Erkenntnissen integriert.

  • Detective nimmt Amazon EKS-Auditprotokolle zur Analyse auf.

  • Detective nimmt die CSPM-Protokolle von Security Hub zur Analyse auf.

AWS Firewall Manager

  • Die Sicherheitsrichtlinien von Firewall Manager sind festgelegt.

  • Der delegierte Administrator von Firewall Manager ist auf das Security Tooling-Konto eingestellt.

  • AWS Config ist als Voraussetzung aktiviert.

  • Es werden mehrere Firewall Manager Manager-Administratoren mit eingeschränktem Geltungsbereich pro OU, Konto und Region eingerichtet.

  • Eine Firewall Manager AWS WAF Manager-Sicherheitsrichtlinie ist definiert.

  • Eine AWS WAF zentrale Protokollierungsrichtlinie von Firewall Manager ist definiert.

  • Eine Firewall Manager Shield Advanced-Sicherheitsrichtlinie ist definiert.

  • Eine Sicherheitsrichtlinie für Firewall Manager Manager-Sicherheitsgruppen ist definiert.

Amazon Inspector

  • Amazon Inspector ist für alle Mitgliedskonten aktiviert.

  • Amazon Inspector wird automatisch für jedes neue Mitgliedskonto aktiviert.

  • Der von Amazon Inspector delegierte Administrator ist auf das Security Tooling-Konto eingestellt.

  • Die Suche nach EC2 Sicherheitslücken in Amazon Inspector ist aktiviert.

  • Das Scannen nach Sicherheitslücken in ECR-Bildern in Amazon Inspector ist aktiviert.

  • Die Amazon Inspector Lambda-Funktion und der Layer-Schwachstellen-Scan sind aktiviert.

  • Das Scannen von Amazon Inspector Lambda-Code ist aktiviert.

  • Das Sicherheitsscannen von Amazon Inspector ist aktiviert.

Amazon Macie

  • Macie ist für die entsprechenden Mitgliedskonten aktiviert.

  • Macie wird automatisch für entsprechende neue Mitgliedskonten aktiviert.

  • Der delegierte Macie-Administrator ist auf das Security Tooling-Konto eingestellt.

  • Die Ergebnisse von Macie werden in einen zentralen S3-Bucket im Log-Archive-Konto exportiert.

  • S3-Buckets, in denen Macie-Ergebnisse gespeichert werden, werden mit einem vom Kunden verwalteten Schlüssel verschlüsselt.

  • Die Macie-Richtlinie und die Klassifizierungsrichtlinie werden in Security Hub CSPM veröffentlicht.

Amazon Security Lake

  • Die Security Lake-Organisationskonfiguration ist aktiviert.

  • Der delegierte Security Lake-Administrator ist auf das Security Tooling-Konto eingestellt.

  • Die Security Lake-Organisationskonfiguration ist für neue Mitgliedskonten aktiviert.

  • Das Security Tooling-Konto ist als Abonnent für den Datenzugriff eingerichtet, um die Analyse von Protokollen durchzuführen.

  • Das Security Tooling-Konto ist als Abonnent für Datenabfragen eingerichtet, um die Analyse von Protokollen durchzuführen.

  • Eine CloudTrail Verwaltungsprotokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Eine VPC-Flow-Protokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Eine Route 53-Protokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • CloudTrail Das Datenereignis für eine S3-Protokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Eine Lambda-Ausführungsprotokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Eine Amazon EKS-Audit-Protokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Eine Security Hub Hub-Ergebnisprotokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Eine AWS WAF Protokollquelle ist für Security Lake in allen oder bestimmten aktiven Mitgliedskonten aktiviert.

  • Die SQS-Warteschlangen von Security Lake im delegierten Administratorkonto sind mit einem vom Kunden verwalteten Schlüssel verschlüsselt.

  • Die Security Lake SQS-Warteschlange für unzustellbare Briefe im delegierten Administratorkonto ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt.

  • Der Security Lake S3-Bucket ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt.

  • Der Security Lake S3-Bucket verfügt über eine Ressourcenrichtlinie, die den direkten Zugriff nur durch Security Lake einschränkt.

AWS WAF

  • Alle CloudFront Distributionen sind verknüpft mit. AWS WAF

  • Alle Amazon API Gateway APIs Gateway-REST-Dateien sind verknüpft mit AWS WAF.

  • Alle Application Load Balancer sind verknüpft mit AWS WAF.

  • Alle AWS AppSync GraphQL APIs sind verknüpft mit AWS WAF.

  • Alle Amazon Cognito Cognito-Benutzerpools sind verknüpft mit AWS WAF.

  • Alle AWS App Runner Dienste sind verknüpft mit AWS WAF.

  • Alle AWS Verified Access Instanzen sind verknüpft mit AWS WAF.

  • Alle AWS Amplify Anwendungen sind verknüpft mit AWS WAF.

  • AWS WAF Die Protokollierung ist aktiviert.

  • AWS WAF Protokolle werden in einem S3-Bucket im Log Archive-Konto zentralisiert.

AWS Shield Advanced

  • Das Shield Advanced-Abonnement ist aktiviert und so eingestellt, dass es für alle Anwendungskonten mit öffentlich zugänglichen Ressourcen automatisch verlängert wird.

  • Shield Advanced ist für alle CloudFront Distributionen konfiguriert.

  • Shield Advanced ist für alle Application Load Balancer konfiguriert.

  • Shield Advanced ist für alle Network Load Balancer konfiguriert.

  • Shield Advanced ist für alle von Route 53 gehosteten Zonen konfiguriert.

  • Shield Advanced ist für alle Elastic IP-Adressen konfiguriert.

  • Shield Advanced ist für alle Global Accelerators konfiguriert.

  • CloudWatch Alarme werden für CloudFront und Route 53-Ressourcen konfiguriert, die durch Shield Advanced geschützt sind.

  • Der Zugriff auf das Shield Response Team (SRT) ist konfiguriert.

  • Das proaktive Engagement von Shield Advanced ist aktiviert.

  • Die proaktiven Engagement-Kontakte von Shield Advanced sind konfiguriert.

  • Für geschützte Shield Advanced-Ressourcen ist eine benutzerdefinierte AWS WAF Regel konfiguriert.

  • Bei geschützten Shield Advanced-Ressourcen ist die automatische Risikominderung auf Anwendungsebene DDo S aktiviert.

AWS Reaktion auf Sicherheitsvorfälle

  • AWS Security Incident Response ist für die gesamte AWS Organisation aktiviert.

  • Der delegierte AWS Security Incident Response-Administrator ist auf das Security Tooling-Konto eingestellt.

  • Der Workflow zur proaktiven Reaktion und Alert-Triaging ist aktiviert.

  • AWS Maßnahmen zur Eindämmung durch das Customer Incident Response Team (CIRT) sind autorisiert.

AWS Audit Manager

  • Audit Manager ist für alle Mitgliedskonten aktiviert.

  • Audit Manager wird automatisch für neue Mitgliedskonten aktiviert.

  • Der delegierte Administrator von Audit Manager ist auf das Security Tooling-Konto eingestellt.

  • AWS Config ist als Voraussetzung für Audit Manager aktiviert.

  • Ein vom Kunden verwalteter Schlüssel wird für Daten verwendet, die in Audit Manager gespeichert sind.

  • Das Standardziel für Bewertungsberichte ist konfiguriert.