Wenden Sie Sicherheitsservices in Ihrer gesamten AWS-Organisation an - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenden Sie Sicherheitsservices in Ihrer gesamten AWS-Organisation an

Wie in einemvoriger Abschnittsuchen Kunden nach einer zusätzlichen Möglichkeit, über alle AWS-Sicherheitsservices nachzudenken und diese strategisch zu organisieren. Der heute gebräuchlichste organisatorische Ansatz besteht darin, Sicherheitsdienste nach Hauptfunktionen zu gruppieren — je nach den einzelnen Diensten.tut. Die Sicherheitsperspektive des AWS CAF listet neun funktionale Funktionen auf, darunter Identitäts- und Zugriffsmanagement, Infrastrukturschutz, Datenschutz und Bedrohungserkennung. Die Kombination von AWS-Services mit diesen funktionalen Funktionen ist eine praktische Methode, um Implementierungsentscheidungen in jedem Bereich zu treffen. Wenn Sie sich beispielsweise das Identitäts- und Zugriffsmanagement ansehen, sind IAM und IAM Identity Center Services, die in Betracht gezogen werden sollten. Bei der Entwicklung Ihres Ansatzes zur Bedrohungserkennung hat Amazon GuardDuty könnte deine erste Überlegung sein.

Als Ergänzung zu dieser funktionalen Ansicht können Sie Ihre Sicherheit auch mit einer übergreifenden, strukturellen Ansicht betrachten. Das bedeutet nicht nur die Frage: „Welche AWS-Services sollte ich verwenden, um meine Identitäten, meinen logischen Zugriff oder Mechanismen zur Bedrohungserkennung zu kontrollieren und zu schützen?“ können Sie auch fragen: „Welche AWS-Services sollte ich in meiner gesamten AWS-Organisation anwenden?  Welche Schutzschichten sollte ich einrichten, um die Amazon EC2 EC2-Instances im Kern meiner Anwendung zu schützen?“ In dieser Ansicht ordnen Sie AWS-Services und -Features Layern in Ihrer AWS-Umgebung zu. Einige Services und Funktionen eignen sich hervorragend für die Implementierung von Kontrollen in Ihrer gesamten AWS-Organisation. Beispielsweise ist das Blockieren des öffentlichen Zugriffs auf Amazon S3 S3-Buckets eine spezifische Kontrolle auf dieser Ebene. Dies sollte vorzugsweise bei der Stammorganisation erfolgen, anstatt Teil der individuellen Kontoeinrichtung zu sein. Andere Services und Funktionen eignen sich am besten zum Schutz einzelner Ressourcen innerhalb eines AWS-Kontos. Ein Beispiel für diese Kategorie ist die Implementierung einer untergeordneten Zertifizierungsstelle (CA) in einem Konto, das private TLS-Zertifikate erfordert. Eine weitere ebenso wichtige Gruppierung besteht aus Services, die sich auf die virtuelle Netzwerkebene Ihrer AWS-Infrastruktur auswirken. Das folgende Diagramm zeigt sechs Ebenen in einer typischen AWS-Umgebung: AWS-Organisation, Organisationseinheit (OU), Konto, Netzwerkinfrastruktur, Prinzipals und -Ressourcen.


        Sechs Ebenen in einer AWS-Umgebung

Das Verständnis der Services in diesem strukturellen Kontext, einschließlich der Kontrollen und Schutzmaßnahmen auf jeder Ebene, hilft Ihnen bei der Planung und Implementierung einer defense-in-depth Strategie in Ihrer gesamten AWS-Umgebung. Mit dieser Perspektive können Sie Fragen von oben nach unten beantworten (z. B. „Welche Services verwende ich, um Sicherheitskontrollen in meiner gesamten AWS-Organisation zu implementieren?“) und von unten nach oben (z. B. „Welche Dienste verwalten die Kontrollen auf dieser EC2-Instance?“). In diesem Abschnitt gehen wir die Elemente einer AWS-Umgebung durch und identifizieren die zugehörigen Sicherheitsdienste und -funktionen. Natürlich verfügen einige AWS-Services über umfangreiche Funktionen und unterstützen mehrere Sicherheitsziele. Diese Services können mehrere Elemente Ihrer AWS-Umgebung unterstützen.

Zur besseren Übersicht geben wir eine kurze Beschreibung, wie einige der Dienste zu den angegebenen Zielen passen. Dienächster Abschnittenthält weitere Erläuterungen zu den einzelnen Services innerhalb der einzelnen AWS-Konten.

Organisationsweit oder mehrere Konten

Auf der obersten Ebene gibt es AWS-Services und -Funktionen, die darauf ausgelegt sind, Governance- und Kontrollfunktionen oder Leitplanken über mehrere Konten in einer AWS-Organisation (einschließlich der gesamten Organisation oder bestimmter OUs) hinweg anzuwenden. Service-Kontrollrichtlinien (Service Control Policies, SCPs) sind ein gutes Beispiel für eine IAM-Funktion, die eine präventive AWS-organisationsweite Leitplanke bietet. Ein weiteres Beispiel ist AWS CloudTrail, das die Überwachung durch einOrganisation-Pfaddie alle Ereignisse für alle AWS-Konten in dieser AWS-Organisation protokolliert. Dieser umfassende Pfad unterscheidet sich von einzelnen Trails, die in jedem Konto erstellt werden können. Ein drittes Beispiel ist der AWS Firewall Manager, mit dem Sie mehrere Ressourcen über alle Konten in Ihrer AWS-Organisation hinweg konfigurieren, anwenden und verwalten können: AWS-WAF-Regeln, AWS-WAF-Classic-Regeln, AWS Shield Advanced-Schutzmaßnahmen, Amazon Virtual Private Cloud (Amazon VPC) -Sicherheitsgruppen, AWS-Netzwerk-Firewall-Richtlinien und Amazon Route 53 Resolver DNS-Firewallrichtlinien. 

Die in der folgenden Abbildung mit einem Sternchen (*) markierten Dienste haben einen doppelten Geltungsbereich: organisationsweit und kontoorientiert. Diese Dienste überwachen grundlegend die Sicherheit innerhalb eines einzelnen Kontos oder helfen dabei, sie zu kontrollieren. Sie unterstützen jedoch auch die Möglichkeit, ihre Ergebnisse aus mehreren Konten in einem unternehmensweiten Konto zusammenzufassen, um eine zentrale Sichtbarkeit und Verwaltung zu gewährleisten. Erwägen Sie zur besseren Übersicht SCPs, die für eine gesamte Organisationseinheit, ein AWS-Konto oder eine AWS-Organisation gelten. Im Gegensatz dazu können Sie Amazon konfigurieren und verwalten GuardDuty sowohl auf Kontoebene (wo individuelle Ergebnisse generiert werden) als auch auf AWS-Organisationsebene (mithilfe der Funktion für delegierte Administratoren), wo die Ergebnisse insgesamt angezeigt und verwaltet werden können.


          Organisationsweite und kontoorientierte Sicherheitsservices

AWS-Konten

Innerhalb von OUs gibt es Services, die dazu beitragen, mehrere Arten von Elementen innerhalb eines AWS-Kontos zu schützen. Beispielsweise wird AWS Secrets Manager in der Regel von einem bestimmten Konto aus verwaltet und schützt Ressourcen (wie Datenbankanmeldeinformationen oder Authentifizierungsinformationen), Anwendungen und AWS-Services in diesem Konto. AWS IAM Access Analyzer kann so konfiguriert werden, dass Ergebnisse generiert werden, wenn Principals außerhalb des AWS-Kontos auf bestimmte Ressourcen zugreifen können. Wie im vorherigen Abschnitt erwähnt, können viele dieser Services auch innerhalb von AWS Organizations konfiguriert und verwaltet werden, sodass sie über mehrere Konten hinweg verwaltet werden können. Diese Services sind im Diagramm mit einem Sternchen (*) gekennzeichnet. Sie machen es auch einfacher, Ergebnisse aus mehreren Konten zu aggregieren und diese auf ein einziges Konto zu übertragen. Dies gibt einzelnen Anwendungsteams die Flexibilität und Transparenz, um Sicherheitsanforderungen zu verwalten, die für ihre Arbeitslast spezifisch sind, und ermöglicht gleichzeitig Governance und Transparenz für zentralisierte Sicherheitsteams. Amazon GuardDuty ist ein Beispiel für einen Service. GuardDutyüberwacht Ressourcen und Aktivitäten, die mit einem einzelnen Konto verknüpft sind, und GuardDuty Erkenntnisse aus mehreren Mitgliedskonten (z. B. allen Konten in einer AWS-Organisation) können von einem delegierten Administratorkonto aus gesammelt, eingesehen und verwaltet werden.


          Sicherheitsservices, die mehrere Arten von Elementen innerhalb eines AWS-Kontos schützen

 

Virtuelles Netzwerk, Rechenleistung und Inhaltsbereitstellung

Da der Netzwerkzugriff für die Sicherheit so wichtig ist und die Recheninfrastruktur ein grundlegender Bestandteil vieler AWS-Workloads ist, gibt es viele AWS-Sicherheitsservices und -Funktionen, die für diese Ressourcen reserviert sind. Amazon Inspector ist beispielsweise ein Schwachstellen-Management-Service, der Ihre AWS-Workloads kontinuierlich nach Schwachstellen durchsucht. Diese Scans beinhalten Netzwerkerreichbarkeitsprüfungen, die angeben, dass in Ihrer Umgebung zulässige Netzwerkpfade zu Amazon EC2 EC2-Instances vorhanden sind. Amazon Virtual Private Cloud(Amazon VPC) ermöglicht es Ihnen, ein virtuelles Netzwerk zu definieren, in dem Sie AWS-Ressourcen starten können. Dieses virtuelle Netzwerk ist einem herkömmlichen Netzwerk sehr ähnlich und bietet eine Vielzahl von Funktionen und Vorteilen. Mit VPC-Endpunkten können Sie Ihre VPC privat mit unterstützten AWS-Services und Endpunktservices verbinden, die über AWS betrieben werden PrivateLink ohne einen Pfad zum Internet zu benötigen. Das folgende Diagramm zeigt Sicherheitsdienste, die sich auf die Netzwerk-, Rechner- und Content Delivery-Infrastruktur konzentrieren.


          Sicherheitsservices, die sich auf Netzwerk-, Rechner- oder Content Delivery-Infrastruktur konzentrieren

Principals und Ressourcen

AWS-Prinzipale und AWS-Ressourcen (zusammen mit IAM-Richtlinien) sind die grundlegenden Elemente des Identitäts- und Zugriffsmanagements in AWS. Ein authentifizierter Prinzipal in AWS kann Aktionen durchführen und auf AWS-Ressourcen zugreifen. Ein Prinzipal kann als Root-Benutzer eines AWS-Kontos und IAM-Benutzer authentifiziert werden, oder indem Sie eine Rolle übernehmen.

Anmerkung

Erstellen Sie keine persistenten API-Schlüssel, die dem AWS-Root-Benutzerkonto zugeordnet sind. Der Zugriff auf das Stammkonto sollte nur auf dasAufgaben, die einen Root-Benutzer benötigen, und dann nur durch einen strengen Ausnahmeprozess. Best Practices zum Schutz des Root-Benutzers Ihres Kontos finden Sie in derAWS-Dokumentation.

Eine AWS-Ressource ist ein Objekt, das in einem AWS-Service vorhanden ist und mit der Sie arbeiten können. Beispiele sind eine EC2-Instance, eine AWS CloudFormation -Stack, ein Amazon Simple Notification Service (Amazon SNS) Thema und ein S3-Bucket. IAM-Richtlinien sind Objekte, die Berechtigungen definieren, wenn sie mit einem IAM-Prinzipal (Benutzer, Gruppe oder Rolle) oder einer AWS-Ressource verknüpft sind. Identitätsbasierte Richtlinien sind Richtliniendokumente, die Sie einem Prinzipal (Rollen, Benutzer und Benutzergruppen) zuweisen, um zu steuern, welche Aktionen für welche Ressourcen und unter welchen Bedingungen ausgeführt werden können. Ressourcenbasierte Richtlinien sind Richtliniendokumente, die Sie an eine Ressource wie z. B. einen S3-Bucket anfügen. Diese Richtlinien erteilen dem angegebenen Prinzipal die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert die Bedingungen für diese Berechtigung. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. DieIAM-Ressourcenbefasst sich eingehender mit den Arten von IAM-Richtlinien und deren Verwendung.

Um die Dinge in dieser Diskussion einfach zu halten, listen wir die AWS-Sicherheitsdienste und -funktionen für IAM-Prinzipale auf, die in erster Linie dazu dienen, auf Kontoprinzipalen zu arbeiten oder sich bei ihnen zu bewerben. Wir behalten diese Einfachheit bei und erkennen gleichzeitig die Flexibilität und Breite der Auswirkungen von IAM-Berechtigungsrichtlinien an. Eine einzelne Anweisung in einer Richtlinie kann Auswirkungen auf mehrere Arten von AWS-Entitäten haben. Obwohl beispielsweise eine auf IAM identitätsbasierte Richtlinie einem IAM-Prinzipal zugeordnet ist und Berechtigungen (allow, deny) für diesen Principal definiert, definiert die Richtlinie implizit auch Berechtigungen für die angegebenen Aktionen, Ressourcen und Bedingungen. Auf diese Weise kann eine identitätsbasierte Richtlinie ein wichtiges Element bei der Definition von Berechtigungen für eine Ressource sein.

Das folgende Diagramm veranschaulicht die AWS-Sicherheitsservices und -Funktionen für AWS-Prinzipale. Identitätsbasierte Richtlinien werden an IAM-Benutzer, -Gruppen oder -Rollen angefügt. Mit diesen Richtlinien können Sie festlegen, welche Aktionen diese Identität durchführen darf (ihre Berechtigungen). Eine IAM-Sitzungsrichtlinie ist eineInlinerichtliniedie Benutzer in der Sitzung bestehen, wenn sie die Rolle übernehmen. Sie können die Richtlinie selbst übergeben oder Ihren Identity Broker so konfigurieren, dass er die Richtlinie einfügt, wenn IhrIdentitäten verbinden sich in AWS. Auf diese Weise können Ihre Administratoren die Anzahl der Rollen reduzieren, die sie erstellen müssen, da mehrere Benutzer dieselbe Rolle übernehmen können und dennoch über eindeutige Sitzungsberechtigungen verfügen. Der IAM Identity Center-Service ist in AWS Organizations und AWS-API-Operationen integriert und hilft Ihnen bei der Verwaltung des SSO-Zugriffs und der Benutzerberechtigungen für Ihre AWS-Konten in AWS Organizations.


          AWS-Sicherheitsservices und -Funktionen für Kundenbetreuer

Das folgende Diagramm zeigt Dienste und Funktionen für Kontoressourcen. Ressourcenbasierten Richtlinien sind an eine Ressource angefügt. Beispielsweise können Sie ressourcenbasierte Richtlinien an S3-Buckets, Amazon Simple Queue Service (Amazon SQS) -Warteschlangen, VPC-Endpunkte und AWS-KMS-Verschlüsselungsschlüssel anfügen. Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf die Ressource hat und welche Aktionen ausgeführt werden können. S3-Bucket-Richtlinien, AWS-KMS-Schlüsselrichtlinien und VPC-Endpunktrichtlinien sind ressourcenbasierte Richtlinien. AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Konten, wie S3-Buckets oder IAM-Rollen, die mit einer externen Entität geteilt werden, zu identifizieren. Dies hilft Ihnen, unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten zu identifizieren, was ein Sicherheitsrisiko darstellt. Mit AWS Config können Sie die Konfigurationen der unterstützten AWS-Ressourcen in Ihren AWS-Konten beurteilen, prüfen und beurteilen. AWS Config überwacht und zeichnet kontinuierlich die AWS-Ressourcenkonfigurationen auf und wertet aufgezeichnete Konfigurationen automatisch anhand der gewünschten Konfigurationen aus.


          AWS-Sicherheitsservices und -Funktionen für Kontoressourcen