Security OU — Security Tooling-Konto - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security OU — Security Tooling-Konto

Das folgende Diagramm zeigt die AWS-Sicherheitsdienste, die im Security Tooling-Konto konfiguriert sind.


      Sicherheitsdienste für Security Tooling-Konto

Das Security Tooling-Konto ist für den Betrieb von Sicherheitsdiensten, die Überwachung von AWS-Konten und die Automatisierung von Sicherheitswarnungen und -reaktionen vorgesehen. Die Sicherheitsziele umfassen:

  • Stellen Sie ein dediziertes Konto mit kontrolliertem Zugriff bereit, um den Zugriff auf die Sicherheitsleitplanken, die Überwachung und Reaktion zu verwalten.

  • Pflegen Sie die entsprechende zentrale Sicherheitsinfrastruktur, um Sicherheitsbetriebsdaten zu überwachen und die Rückverfolgbarkeit zu Erkennung, Untersuchung und Reaktion sind wichtige Bestandteile des Sicherheitslebenszyklus und können zur Unterstützung eines Qualitätsprozesses, einer gesetzlichen oder Compliance-Verpflichtung sowie zur Identifizierung und Reaktion auf Bedrohungen verwendet werden.

  • Weitere Unterstützung a defense-in-depth Organisationsstrategie, indem Sie eine weitere Kontrollebene über die entsprechende Sicherheitskonfiguration und -vorgänge wie Verschlüsselungsschlüssel und Sicherheitsgruppeneinstellungen behalten. Dies ist ein Konto, in dem Sicherheitsoperatoren arbeiten. Schreib-/Auditrollen zum Anzeigen von organisationsweiten AWS-Informationen sind typisch, wohingegen Schreib- und Änderungsrollen in ihrer Anzahl begrenzt, streng kontrolliert, überwacht und protokolliert sind.

Überlegungen zum Design
  • Der AWS Control Tower benennt das Konto unter der Security OUPrüfungskontoStandardmäßig. Sie können das Konto während der Einrichtung des AWS Control Tower umbenennen.

  • Es kann angebracht sein, mehr als ein Security Tooling-Konto zu haben. Beispielsweise werden die Überwachung und Reaktion auf Sicherheitsereignisse häufig einem dedizierten Team zugewiesen. Die Netzwerksicherheit kann ein eigenes Konto und eigene Rollen in Zusammenarbeit mit der Cloud-Infrastruktur oder dem Netzwerkteam rechtfertigen. Solche Spaltungen behalten das Ziel, zentralisierte Sicherheitsenklaven zu trennen, und betonen die Aufgabentrennung, die geringsten Privilegien und die potenzielle Einfachheit von Teamaufgaben weiter. Wenn Sie den AWS Control Tower verwenden, schränkt dies die Erstellung zusätzlicher AWS-Konten unter der Security OU ein.

Delegierter Administrator für Sicherheitsdienste

Das Security Tooling-Konto dient als Administratorkonto für Sicherheitsdienste, die in einer Administrator-/Mitgliederstruktur in allen AWS-Konten verwaltet werden. Wie bereits erwähnt, erfolgt dies über die delegierte Administratorfunktion von AWS Organizations. Services in der AWS SRA, dieunterstützt derzeit delegierten Administratorumfassen AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, AWS Detective, AWS Audit Manager, Amazon Inspector und AWS Systems Manager. Ihr Sicherheitsteam verwaltet die Sicherheitsfunktionen dieser Dienste und überwacht alle sicherheitsspezifischen Ereignisse oder Erkenntnisse.

IAM Identity Center unterstützt die delegierte Verwaltung für ein Mitgliedskonto. AWS SRA verwendet das Shared Services-Konto als delegiertes Administratorkonto für IAM Identity Center, wie später imIAM Identity Centerdes Shared Services-Kontos.

AWS Security Hub

Der AWS Security Hub liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS. So können Sie Ihre -Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche abgleichen. Security Hub sammelt Sicherheitsdaten aus Ihren gesamten integrierten Services von AWS, unterstützten Produkten von Drittanbietern und anderen benutzerdefinierten Sicherheitsprodukten, die Sie möglicherweise verwenden. Sie hilft Ihnen, Ihre Sicherheitstrends kontinuierlich zu überwachen und zu analysieren und Sicherheitsprobleme mit höchster Priorität zu identifizieren.

Security Hub lässt sich in AWS Organizations integrieren, um das Sicherheitsmanagement für alle Ihre bestehenden und future Konten in Ihrer AWS-Organisation zu vereinfachen. Für das delegierte Security Hub-Administratorkonto (in diesem Fall Security Tooling) ist Security Hub automatisch aktiviert und kann die AWS-Konten auswählen, die als Mitgliedskonten aktiviert werden sollen. Das delegierte Security Hub-Administratorkonto kann auch Ergebnisse anzeigen, Erkenntnisse einsehen und Details von allen Mitgliedskonten kontrollieren. Sie können zusätzlich eine Aggregationsregion innerhalb des delegierten Administratorkontos festlegen, um Ihre Ergebnisse über Ihre Konten und Ihre verknüpften Regionen hinweg zu zentralisieren. Ihre Ergebnisse werden kontinuierlich und bidirektional zwischen dem Aggregator Region und allen anderen Regionen synchronisiert.

Security Hub unterstützt Integrationen in verschiedene AWS-Services. Amazon GuardDuty, AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager, Amazon Inspector und AWS Systems Manager Patch Manager können Erkenntnisse an Security Hub weitergeben. Darüber hinaus können Sie vom Security Hub zu Amazon Detective wechseln, um ein Amazon zu untersuchen GuardDuty Fundes. Security Hub empfiehlt, die delegierten Administratorkonten für diese Dienste (sofern vorhanden) aufeinander abzustimmen, um eine reibungslosere Integration zu gewährleisten. Wenn Sie beispielsweise keine Administratorkonten zwischen Detective und Security Hub abgleichen, funktioniert das Umschalten von Ergebnissen zu Detective nicht. 

Sie können Security Hub mit demNetwork Access Analyzer-Funktion von Amazon VPC zur kontinuierlichen Überwachung der Konformität Ihrer AWS-Netzwerkkonfiguration. Auf diese Weise können Sie unerwünschten Netzwerkzugriff blockieren und verhindern, dass Ihre kritischen Ressourcen von außen zugreifen. Weitere Details zur Architektur und Implementierung finden Sie im AWS-Blog-BeitragKontinuierliche Überprüfung der Netzwerkkonformität mit Amazon VPC Network Access Analyzer und AWS Security Hub

Zusätzlich zur Überwachung unterstützt Security Hub die Integration mit Amazon EventBridge um die Behebung bestimmter Funde zu automatisieren. Sie können benutzerdefinierte Aktionen definieren, die bei Eingang eines Fundes ausgeführt werden. Sie können beispielsweise benutzerdefinierte Aktionen konfigurieren, damit Ergebnisse an ein Ticketing-System oder ein automatisiertes Behebungssystem gesendet werden. Weitere Diskussionen und Beispiele finden Sie in diesen beiden AWS-Blogbeiträgen: Automatisierte Reaktion und Behebung mit AWS Security HubundSo stellen Sie die AWS-Lösung für Security Hub Automated Response und Remediation bereit

Security Hub verwendet service-verknüpfte AWS Config-Regeln, um die meisten seiner Sicherheitsüberprüfungen für Kontrollen durchzuführen. Um diese Steuerelemente zu unterstützen,AWS Config muss für alle Konten aktiviert sein— einschließlich des Administratorkontos (oder des delegierten Administratorkontos) und der Mitgliedskonten — in jeder AWS-Region, in der Security Hub aktiviert ist. 

Überlegungen zum Design
  • Zusätzlich zu den spezifischen, verwalteten AWS Config-Regeln, die Security Hub verwendet, können Sie die Automatisierung verwenden, um andere AWS Config-Regeln in Security Hub zu importieren, sodass Ihre AWS Config-Regeln zusammen mit Ihren anderen Sicherheitsergebnissen angezeigt werden. Auf diese Weise können Sie AWS Config-Regeln einfacher verwenden, um die kontinuierliche Einhaltung aller Ihrer AWS-Konten sicherzustellen. Weitere Informationen finden Sie im Blog-Posting.So importieren Sie Bewertungen von AWS Config-Regeln als Ergebnisse in Security Hub

  • Wenn ein Compliance-Standard wie PCI-DSS bereits in Security Hub vorhanden ist, ist der vollständig verwaltete Security Hub Hub-Dienst der einfachste Weg, ihn zu operationalisieren. Wenn Sie jedoch Ihren eigenen Compliance- oder Sicherheitsstandard zusammenstellen möchten, der Sicherheits-, Betriebs- oder Kostenoptimierungsprüfungen beinhalten kann, bieten die AWS Config-Konformitätspakete eine vereinfachte Methode für diese Anpassung. (Weitere Informationen zu AWS Config und Conformance Packs finden Sie im.AWS ConfigAbschnitts.)

AWS GuardDuty

Amazon GuardDuty ist ein Service zur Erkennung von Bedrohungen, der kontinuierlich auf bösartige Aktivitäten und nicht autorisiertes Verhalten überwacht, um Ihre AWS-Konten und Workloads zu schützen. Sie müssen immer geeignete Protokolle für Überwachungs- und Prüfungszwecke erfassen und speichern, aber Amazon GuardDutyzieht unabhängige Datenströme direkt aus AWS CloudTrail, Amazon VPC-Flow-Protokolle und AWS-DNS-Protokolle. Sie müssen weder Amazon S3 S3-Bucket-Richtlinien verwalten noch die Art und Weise ändern, wie Sie Ihre Logs sammeln und speichern. GuardDuty Berechtigungen werden als dienstverknüpfte Rollen verwaltet, die Sie jederzeit widerrufen können, indem Sie GuardDuty. Dies erleichtert die Aktivierung des Dienstes ohne komplexe Konfiguration und eliminiert das Risiko, dass eine IAM-Berechtigungsänderung oder eine Änderung der S3-Bucket-Richtlinie den Betrieb des Dienstes beeinträchtigt.

GuardDuty wird in allen Konten über AWS Organizations aktiviert, und alle Ergebnisse können von den entsprechenden Sicherheitsteams in der GuardDuty delegiertes Administratorkonto (in diesem Fall das Security Tooling-Konto). 

Wenn AWS Security Hub aktiviert ist, GuardDuty Ergebnisse fließen automatisch an Security Hub. Wenn Amazon Detective aktiviert ist, GuardDuty Befunde sind im Erfassungsprozess des Detective-Protokolls enthalten. GuardDuty und Detective unterstützen dienstübergreifende Benutzer-Workflows, bei denen GuardDutystellt Links von der Konsole bereit, die Sie von einem ausgewählten Ergebnis zu einer Detektivseite weiterleiten, die kuratierte Visualisierungen zur Untersuchung dieses Ergebnisses enthält. Sie können zum Beispiel auch integrieren GuardDuty mit Amazon EventBridge Bewährte Methoden für GuardDuty, wie beispielsweiseAutomatisieren von Antworten auf neue GuardDuty Befunde.

AWS Config

AWS Config ist ein Service, mit dem Sie die Konfigurationen der unterstützten AWS-Ressourcen in Ihren AWS-Konten bewerten, prüfen und beurteilen können. AWS Config überwacht und zeichnet kontinuierlich die AWS-Ressourcenkonfigurationen auf und wertet aufgezeichnete Konfigurationen automatisch anhand der gewünschten Konfigurationen aus. Sie können AWS Config auch in andere Services integrieren, um die Schwerarbeit in automatisierten Prüf- und Überwachungspipelines zu erledigen. Beispielsweise kann AWS Config in AWS Secrets Manager auf Änderungen einzelner Secrets überwachen. 

AWS Config muss für jedes Mitgliedskonto in der AWS-Organisation und für jede AWS-Region aktiviert sein, in der Ressourcen enthalten sind, die Sie schützen möchten. Sie können die AWS Config-Regeln für alle Konten in Ihrer AWS-Organisation zentral verwalten (z. B. erstellen, aktualisieren und löschen). Über das delegierte Administratorkonto von AWS Config können Sie einen gemeinsamen Satz von AWS Config-Regeln für alle Konten bereitstellen und Konten angeben, für die keine AWS Config-Regeln erstellt werden sollen. Das delegierte Administratorkonto von AWS Config kann außerdem Ressourcenkonfigurations- und Compliance-Daten aus allen Mitgliedskonten aggregieren, um eine einzige Ansicht bereitzustellen. Durchsetzen der Governance mithilfe der APIs aus dem delegierten Administratorkonto, indem Sie sicherstellen, dass die zugrunde liegenden AWS Config-Regeln nicht von Mitgliedskonten Ihrer AWS-Organisation geändert werden können.

EINConformance Packist eine Sammlung von AWS Config-Regeln und -Korrekturaktionen für, die als einzelne Entität in einem Konto und einer Region oder in einer Organisation in AWS Organizations bereitgestellt werden können. Conformance Packs werden erstellt, indem eine YAML-Vorlage erstellt wird, die die Liste der von AWS Config verwalteten oder benutzerdefinierten Regeln und Korrekturmaßnahmen enthält. Um mit der Bewertung Ihrer AWS-Umgebung zu beginnen, verwenden Sie eine derBeispielvorlagen für Konformitätspakete

AWS Config lässt sich in AWS Security Hub integrieren, um die Ergebnisse der von AWS Config verwalteten und benutzerdefinierten Regelauswertungen als Ergebnisse an Security Hub zu senden. 

AWS Config-Regeln können in Verbindung mit AWS Systems Manager verwendet werden, um nicht konforme Ressourcen effektiv zu korrigieren. Sie verwenden den AWS Systems Manager Explorer, um den Konformitätsstatus der AWS Config-Regeln in Ihren AWS-Konten in allen AWS-Regionen zu erfassen, und verwenden dannDokumente zur Automatisierung von Systems Manager (Runbooks)um Ihre nicht konformen AWS Config-Regeln zu lösen. Details zur Implementierung finden Sie im BlogbeitragKorrigieren Sie nicht konforme AWS-Konfigurationsregeln mit AWS Systems Manager Automation Automation-Runbooks

Wenn Sie den AWS Control Tower zur Verwaltung Ihrer AWS-Organisation verwenden, wird dieser bereitgestellteine Reihe von AWS Config-Regeln als Leitplanken für Detektive(als obligatorisch, dringend empfohlen oder wahlweise oder wahlweise ist). Mit diesen Leitlinien können Sie Ihre Ressourcen steuern und die Compliance über alle Konten in Ihrer AWS-Organisation hinweg überwachen. Diese AWS-Config-Regeln verwenden automatisch eineaws-control-tower-Tag mit einem Wert vonmanaged-by-control-tower.

Überlegungen zum Entwurf
  • AWS Config streamt Benachrichtigungen über Konfiguration und Konformitätsänderungen an Amazon EventBridge. Dies bedeutet, dass Sie die nativen Filterfunktionen in EventBridge um AWS Config-Ereignisse zu filtern, sodass Sie bestimmte Arten von Benachrichtigungen an bestimmte Ziele weiterleiten können. Sie können beispielsweise Konformitätsbenachrichtigungen für bestimmte Regeln oder Ressourcentypen an bestimmte E-Mail-Adressen senden oder Benachrichtigungen über Konfigurationsänderungen an ein externes Tool für IT-Servicemanagement (ITSM) oder eine Konfigurationsmanagementdatenbank (CMDB) weiterleiten. Weitere Informationen finden Sie im Blog-Posting.Bewährte Methoden für AWS Config.

Amazon Macie

Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der Machine Learning und Musterabgleich verwendet, um Ihre sensiblen Daten in AWS zu erkennen und zu schützen. Sie müssen die Art und Klassifizierung der Daten, die Ihr Workload verarbeitet, verstehen, um sicherzustellen, dass die entsprechenden Kontrollen durchgesetzt werden. Macie automatisiert die Erkennung sensibler Daten im großen Maßstab. Mit Macie können Sie verschiedene vertrauliche Inhaltserkennungs- und Datenklassifizierungsaufgaben für Objekte in Amazon S3 ausführen. Macie ist in allen Konten über AWS Organizations aktiviert. Principals, die über die entsprechenden Berechtigungen im delegierten Administratorkonto verfügen (in diesem Fall das Security Tooling-Konto), können Macie in jedem Konto aktivieren oder aussetzen, vertrauliche Datenermittlungsaufträge für Buckets erstellen, die den Mitgliedskonten gehören, und alle Ergebnisse der Richtlinien für alle Mitgliedskonten anzeigen. Ergebnisse sensibler Daten können nur von dem Konto angezeigt werden, das den Job für sensible Ergebnisse erstellt hat. Weitere Informationen finden Sie unterVerwalten mehrerer Konten in Amazon Maciein der Macie-Dokumentation.

Die Ergebnisse von Macie werden zur Überprüfung und Analyse an den AWS Security Hub weitergeleitet. Macie integriert EventBridge zur Erleichterung der automatisierten Reaktion auf Erkenntnisse wie Warnungen, Feeds für SIEM-Systeme (Security Information and Event Management) sowie automatische Fehlerbehebung.

Überlegungen zum Design
  • Wenn S3-Objekte mit einem von Ihnen verwalteten AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt sind, können Sie diesem KMS-Schlüssel die dienstverknüpfte Macie-Rolle als Schlüsselbenutzer hinzufügen, damit Macie die Daten scannen kann.

  • Macie ist für das Scannen von Objekten in Amazon S3 optimiert. Daher kann jeder von Macie unterstützte Objekttyp, der in Amazon S3 (dauerhaft oder vorübergehend) platziert werden kann, auf vertrauliche Daten gescannt werden. Das bedeutet, dass Daten aus anderen Quellen — zum Beispielregelmäßige Snapshot-Exporte von Amazon Relational Database Service (Amazon RDS) oder Amazon Aurora Aurora-Datenbanken,exportierte Amazon-DynamoDB-Tabellen, oder extrahierte Textdateien aus nativen Anwendungen oder Drittanbieteranwendungen — können auf Amazon S3 verschoben und von Macie ausgewertet werden.

AWS IAM Access Analyzer

Mit AWS IAM Access Analyzer können Sie die Ressourcen in Ihrer AWS-Organisation und in Ihren Konten identifizieren, z. B. Amazon S3 S3-Buckets oder IAM-Rollen, die für eine externe Entität freigegeben werden. Diese detektivische Kontrolle hilft Ihnen, unbeabsichtigten Zugriff auf Ihre Daten und Ressourcen zu identifizieren, was ein Sicherheitsrisiko darstellt.

Access Analyzer wird im Security Tooling-Konto über die delegierte Administratorfunktion in AWS Organizations bereitgestellt. Der delegierte Administrator verfügt über Berechtigungen zum Erstellen und Verwalten von Analysatoren mit der AWS-Organisation als Vertrauenszone. Die Ergebnisse von Access Analyzer werden automatisch an Security Hub weitergeleitet. Access Analyzer sendet auch ein Ereignis an EventBridge für jedes generiertes Ergebnis, wenn sich der Status eines vorhandenen Ergebnisses ändert und wenn ein Fund gelöscht wird. EventBridge kann diese Ereignisse weiter an Benachrichtigungs- oder Behebungsstreams weiterleiten. 

Überlegungen zum Entwurf
  • Um Ergebnisse im Kontobereich zu erhalten (wobei das Konto als vertrauenswürdige Grenze dient), erstellen Sie in jedem Mitgliedskonto einen Analysator für den Kontobereich. Dies kann im Rahmen der Kontopipeline erfolgen. Account-spezifische Ergebnisse fließen auf Ebene des Mitgliedskontos in Security Hub ein. Von dort fließen sie zum delegierten Security Hub-Administratorkonto (Security Tooling).

AWS Firewall Manager

AWS Firewall Manager trägt zum Schutz Ihres Netzwerks bei, indem es Ihre Verwaltungs- und Wartungsaufgaben für AWS WAF, AWS Shield Advanced, Amazon VPC-Sicherheitsgruppen, AWS Network Firewall und Route 53 Resolver DNS Firewall über mehrere Konten und Ressourcen hinweg vereinfacht. Mit Firewall Manager richten Sie Ihre AWS WAF-Firewallregeln, Shield Advanced-Schutzmaßnahmen, Amazon VPC-Sicherheitsgruppen, AWS-Netzwerk-Firewalls und DNS-Firewallregelgruppenzuordnungen nur einmal ein. Danach wendet der Service die Regeln und Schutzmaßnahmen automatisch auf Ihre Konten und Ressourcen an, selbst wenn Sie diese erst später hinzufügen.

Firewall Manager ist besonders nützlich, wenn Sie Ihre gesamte AWS-Organisation schützen möchten, anstatt nur eine kleine Anzahl von bestimmten Konten und Ressourcen, oder wenn Sie häufig neue Ressourcen hinzufügen, die Sie schützen möchten. Firewall Manager verwendet Sicherheitsrichtlinien, mit denen Sie eine Reihe von Konfigurationen definieren können, einschließlich relevanter Regeln, Schutzmaßnahmen und Aktionen, die bereitgestellt werden müssen, sowie der Konten und Ressourcen (gekennzeichnet durch Tags), die ein- oder ausgeschlossen werden sollen. Sie können granulare und flexible Konfigurationen erstellen und gleichzeitig die Steuerung auf eine große Anzahl von Konten und VPCs skalieren. Diese Richtlinien setzen die Regeln, die Sie konfigurieren, automatisch und konsistent durch, auch wenn neue Konten und Ressourcen erstellt werden. Der Firewall Manager ist in allen Konten über AWS Organizations aktiviert, und die Konfiguration und Verwaltung werden von den entsprechenden Sicherheitsteams im delegierten Firewall-Manager-Administratorkonto (in diesem Fall das Security Tooling-Konto) durchgeführt. 

Aktivieren Sie AWS Config für jede AWS-Region, in der Ressourcen enthalten sind, die Sie schützen möchten. Wenn Sie AWS Config nicht für alle Ressourcen aktivieren möchten, müssen Sie es für Ressourcen aktivieren, die mitdie Art der Firewall-Manager-Richtlinien, die Sie verwenden. Wenn Sie sowohl AWS Security Hub als auch Firewall Manager verwenden, sendet Firewall Manager Ihre Ergebnisse automatisch an Security Hub. Firewall Manager erstellt Ergebnisse für Ressourcen, die nicht den Compliance-Anforderungen entsprechen, sowie für erkannte Angriffe und sendet die Ergebnisse an Security Hub. Wenn Sie eine Firewall Manager Manager-Richtlinie für AWS WAF einrichten, können Sie die Protokollierung in Web Access Control Lists (Web ACLs) für alle im Umfang befindlichen Konten zentral aktivieren und die Protokolle unter einem einzigen Konto zentralisieren. 

Überlegungen zum Entwurf
  • Kontomanager einzelner Mitgliedskonten in der AWS-Organisation können zusätzliche Kontrollen (wie AWS-WAF-Regeln und Amazon VPC-Sicherheitsgruppen) in den Firewall Manager Managed Services entsprechend ihren speziellen Bedürfnissen konfigurieren.

Amazon EventBridge

Amazon EventBridge ist ein Serverless-Ereignisbus-Service, über den Sie Ihre Anwendungen einfach mit Daten aus verschiedenen Quellen verbinden können. Es wird häufig in der Sicherheitsautomatisierung eingesetzt. Sie können Routing-Regeln einrichten, um festzulegen, wohin Ihre Daten gesendet werden, um Anwendungsarchitekturen zu erstellen, die in Echtzeit auf alle Ihre Datenquellen reagieren. Sie können einen benutzerdefinierten Ereignisbus erstellen, um Ereignisse aus Ihren benutzerdefinierten Anwendungen zu empfangen, und zusätzlich den Standard-Ereignisbus in jedem Konto verwenden. Sie können im Security Tooling-Konto einen Ereignisbus erstellen, der sicherheitsspezifische Ereignisse von anderen Konten in der AWS-Organisation empfangen kann. Durch die Verknüpfung von AWS Config-Regeln können GuardDutyund Security Hub mit EventBridgeerstellen Sie eine flexible, automatisierte Pipeline für das Routing von Sicherheitsdaten, das Auslösen von Warnmeldungen und die Verwaltung von Maßnahmen zur Behebung von Problemen. 

Überlegungen zum Design
  • EventBridge ist in der Lage, Ereignisse an eine Reihe verschiedener Ziele weiterzuleiten. Ein wertvolles Muster für die Automatisierung von Sicherheitsaktionen besteht darin, bestimmte Ereignisse mit einzelnen AWS Lambda Lambda-Respondern zu verbinden, die entsprechende Maßnahmen ergreifen. Beispielsweise können Sie unter bestimmten Umständen EventBridge um ein öffentliches S3-Bucket-Ergebnis an einen Lambda-Responder weiterzuleiten, der die Bucket-Richtlinie korrigiert und die öffentlichen Berechtigungen entfernt. Diese Responder können in Ihre investigativen Playbooks und Runbooks integriert werden, um die Reaktionsaktivitäten zu koordinieren.

  • Eine bewährte Methode für ein erfolgreiches Sicherheitsteam besteht darin, den Fluss von Sicherheitsereignissen und -ergebnissen in ein Benachrichtigungs- und Workflowsystem wie ein Ticketsystem, ein Bug-/Issue-System oder ein anderes SIEM-System (Security Information and Event Management) zu integrieren. Dadurch entfällt der Workflow von E-Mails und statischen Berichten und hilft Ihnen, Ereignisse oder Ergebnisse weiterzuleiten, zu eskalieren und zu verwalten. Die flexiblen Routing-Fähigkeiten in EventBridge sind ein mächtiger Enabler für diese Integration.

Amazon Detective

Amazon Detective unterstützt Ihre reaktionsfähige Sicherheitskontrollstrategie, indem es Ihren Sicherheitsanalysten die einfache Analyse, Untersuchung und die schnelle Identifizierung der Ursache von Sicherheitsergebnissen oder verdächtigen Aktivitäten erleichtert. Detective extrahiert automatisch zeitbasierte Ereignisse wie Anmeldeversuche, API-Aufrufe und Netzwerkverkehr aus AWS CloudTrailLogs zu und Amazon VPC-Flussprotokolle. Detective konsumiert diese Ereignisse mithilfe unabhängiger Streams von CloudTrail Logs zu und Amazon VPC-Flussprotokolle. Detective verwendet maschinelles Lernen und Visualisierung, um eine einheitliche, interaktive Ansicht des Verhaltens Ihrer Ressourcen und der Interaktionen zwischen ihnen im Laufe der Zeit zu erstellen — dies wird alsVerhaltens-Diagramm. Sie können das Verhaltensdiagramm untersuchen, um unterschiedliche Aktionen wie fehlgeschlagene Anmeldeversuche oder verdächtige API-Aufrufe zu untersuchen.

Detective nimmt auch Ergebnisse auf, die von Amazon erkannt wurden GuardDuty. Wenn ein Konto Detective aktiviert, wird es zum Administratorkonto für das Verhaltensdiagramm. Bevor Sie versuchen, Detective zu aktivieren, stellen Sie sicher, dass Ihr Konto für registriert ist GuardDuty für mindestens 48 Stunden. Wenn Sie diese Anforderung nicht erfüllen, können Sie Detective nicht aktivieren.

Detective integriert mit AWS Organizations. Das Org Management-Konto delegiert ein Mitgliedskonto als Detektiv-Administratorkonto. In der AWS SRA ist dies das Security Tooling-Konto. Das Detective-Administratorkonto kann automatisch alle aktuellen Mitgliedskonten in der Organisation als Detektiv-Mitgliedskonten aktivieren und auch neue Mitgliedskonten hinzufügen, wenn sie der AWS-Organisation hinzugefügt werden. Detektiv-Administratorkonten haben auch die Möglichkeit, Mitgliedskonten, die sich derzeit nicht in der AWS-Organisation befinden, aber in derselben Region liegen, einzuladen, ihre Daten zum Verhaltensdiagramm des Hauptkontos beizutragen. Wenn ein Mitgliedskonto die Einladung annimmt und aktiviert ist, beginnt Detective damit, die Daten des Mitgliedskontos aufzunehmen und in dieses Verhaltensdiagramm zu extrahieren.

Überlegungen zum Entwurf
  • Sie können zu Detective-Suchprofilen von der GuardDuty und AWS Security Hub. Diese Links können dazu beitragen, den Ermittlungsprozess zu rationalisieren. Ihr Konto muss das Administratorkonto sowohl für Detective als auch für den Dienst sein, von dem Sie wechseln (GuardDuty oder Security Hub). Wenn die primären Konten für die Dienste identisch sind, funktionieren die Integrationslinks nahtlos.

AWS Audit Manager

Der AWS Audit Manager hilft Ihnen, Ihre AWS-Nutzung kontinuierlich zu überprüfen, um zu vereinfachen, wie Sie Audits verwalten und Compliance sowie Branchenstandards einhalten. Sie ermöglicht es Ihnen, von der manuellen Erfassung, Überprüfung und Verwaltung von Nachweisen zu einer Lösung überzugehen, die die Erfassung von Nachweisen automatisiert, eine einfache Möglichkeit bietet, die Quelle von Prüfnachweisen zu verfolgen, die Zusammenarbeit im Team zu ermöglichen und die Sicherheit und Integrität von Beweismitteln zu verwalten. Wenn es Zeit für eine Prüfung ist, hilft Audit Manager Ihnen, Stakeholder-Reviews Ihrer Steuerelemente zu verwalten.

Mit Audit Manager können Sie prüfenvorgefertigte Frameworkswie der Benchmark des Center for Internet Security (CIS), der CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) und der Payment Card Industry Data Security Standard (PCI DSS). Außerdem können Sie Ihre eigenen Frameworks mit standardmäßigen oder benutzerdefinierten Steuerelementen erstellen, die auf Ihren spezifische Anforderungen für interne Audits.

Der Audit Manager sammelt vier Arten von Nachweisen. Drei Arten von Nachweisen werden automatisiert: Nachweise zur Konformitätsprüfung von AWS Config und AWS Security Hub, Beweise für Managementereignisse von AWS CloudTrailund Konfigurationsnachweise von AWS service-to-service API-Aufrufe. Für Beweise, die nicht automatisiert werden können, können Sie mit Audit Manager manuelle Nachweise hochladen.

Anmerkung

Der Audit Manager hilft bei der Sammlung von Nachweisen, die für die Überprüfung der Einhaltung bestimmter Compliance-Standards und Vorschriften relevant sind. Sie bewertet jedoch nicht Ihre Einhaltung. Daher enthalten die durch Audit Manager gesammelten Nachweise möglicherweise keine Details Ihrer betrieblichen Prozesse, die für Audits erforderlich sind. Der Audit Manager ist kein Ersatz für Rechtsberater oder Compliance-Experten. Wir empfehlen Ihnen, die Dienste eines externen Gutachters in Anspruch zu nehmen, der für die Compliance-Rahmenbedingungen zertifiziert ist, anhand derer Sie bewertet werden.

Audit Manager Manager-Bewertungen können über mehrere Konten in Ihren AWS-Organisationen ausgeführt werden. Audit Manager sammelt und konsolidiert Nachweise in einem delegierten Administratorkonto in AWS Organizations. Diese Auditfunktion wird hauptsächlich von Compliance- und internen Auditteams verwendet und erfordert nur Lesezugriff auf Ihre AWS-Konten.

Überlegungen zum Design
  • Audit Manager ergänzt andere AWS-Sicherheitsservices wie Security Hub und AWS Config, um bei der Implementierung eines Risikomanagement-Frameworks zu helfen. Audit Manager bietet unabhängige Funktionen zur Risikoabsicherung, während Security Hub Ihnen hilft, Ihr Risiko zu überwachen, und die AWS Config Konformitätspakete helfen, Ihre Risiken zu managen. Prüfungsfachleute, die mit demDrei-Linien-Modellentwickelt von derInstitut der internen Prüfer (IIA)sollten Sie beachten, dass diese Kombination von AWS-Services Ihnen hilft, die drei Verteidigungslinien abzudecken. Weitere Informationen zu finden Sie im zweiten TeilBlog-Serieim Blog „AWS Cloud Operations & Migrations“.

  • Damit Audit Manager Security Hub Hub-Beweise sammeln kann, muss das delegierte Administratorkonto für beide Dienste dasselbe AWS-Konto sein. Aus diesem Grund ist das Security Tooling-Konto in der AWS SRA der delegierte Administrator für Audit Manager.

AWS Artifact

AWS Artifact wird im Security Tooling-Konto gehostet, um die Compliance-Artefaktmanagement-Funktionalität aus dem AWS Org Management-Konto zu delegieren. Diese Delegierung ist wichtig, da wir empfehlen, dass Sie das AWS Org Management-Konto nicht für Bereitstellungen verwenden, sofern dies nicht unbedingt erforderlich ist. Delegieren Sie stattdessen Bereitstellungen an Mitgliedskonten. Da die Verwaltung von Audit-Artefakten von einem Mitgliedskonto aus erfolgen kann und die Funktion eng mit den Sicherheits- und Compliance-Teams abgestimmt ist, wird das Security Tooling-Konto als delegiertes Administratorkonto für AWS Artifact ausgewiesen. Sie können AWS Artifact-Berichte verwenden, um AWS-Sicherheits- und Compliance-Dokumente wie AWS-ISO-Zertifizierungen, Payment Card Industry (PCI) und System- und Organisationskontrollen (SOC) -Berichte herunterzuladen. Sie können diese Funktion nur auf AWS Identity and Access Management (IAM) -Rollen beschränken, die sich auf Ihre Audit- und Compliance-Teams beziehen, sodass diese diese Berichte nach Bedarf herunterladen, überprüfen und externen Prüfern zur Verfügung stellen können. Sie können außerdem bestimmte IAM-Rollen so einschränken, dass sie über IAM-Richtlinien nur auf bestimmte AWS Artifact-Berichte zugreifen können. Beispiele für IAM-Richtlinien finden Sie im.AWS Artifact Dokumentation.

Überlegungen zum Entwurf
  • Wenn Sie sich für ein dediziertes AWS-Konto für Prüf- und Compliance-Teams entscheiden, können Sie AWS Artifact in einem Sicherheitsüberwachungskonto hosten, das vom Security Tooling-Konto getrennt ist. AWS-Artefaktberichte belegen, dass ein Unternehmen einen dokumentierten Prozess befolgt oder eine bestimmte Anforderung erfüllt. Audit-Artefakte werden während des gesamten Lebenszyklus der Systementwicklung gesammelt und archiviert und können als Nachweis für interne oder externe Audits und Bewertungen verwendet werden.

AWS KMS

AWS Key Management Service (AWS KMS) hilft Ihnen bei der Erstellung und Verwaltung kryptografischer Schlüssel und bei der Kontrolle ihrer Verwendung in einer Vielzahl von AWS-Services und in Ihren Anwendungen. AWS KMS ist ein sicherer und robuster Dienst, der Hardwaresicherheitsmodule zum Schutz kryptografischer Schlüssel verwendet. Es folgt den branchenüblichen Lebenszyklusprozessen für wichtige Materialien wie Lagerung, Rotation und Zugriffskontrolle von Schlüsseln. AWS KMS kann Ihre Daten mit Verschlüsselungs- und Signaturschlüsseln schützen und kann sowohl für die serverseitige als auch für die clientseitige Verschlüsselung über dasAWS Encryption SDK. Aus Gründen des Schutzes und der Flexibilität unterstützt AWS KMS drei Arten von Schlüsseln: vom Kunden verwaltete Schlüssel, von AWS verwaltete Schlüssel und AWS-eigene Schlüssel. Kundenverwaltete Schlüssel sind AWS KMS KMS-Schlüssel in Ihrem AWS-Konto, die Sie erstellen, besitzen und verwalten. Von AWS verwaltete Schlüssel sind AWS KMS-Schlüssel in Ihrem Konto, die von einem in AWS KMS integrierten AWS-Service für Sie erstellt, verwaltet und verwendet werden. Schlüssel im Besitz von AWS sind eine Sammlung von AWS KMS KMS-Schlüssel, die ein AWS-Service besitzt und für die Verwendung in mehreren AWS-Konten verwaltet. Weitere Informationen zum Verwenden von KMS-Schlüsseln finden Sie im.AWS KMS KMS-DokumentationundKryptografische Details.

Eine Bereitstellungsoption besteht darin, die Verantwortung der KMS-Schlüsselverwaltung auf ein einzelnes Konto zu zentralisieren und gleichzeitig die Fähigkeit zur Verwendung von Schlüsseln im Anwendungskonto nach Anwendungsressourcen mithilfe einer Kombination aus Schlüssel- und IAM-Richtlinien zu delegieren. Dieser Ansatz ist sicher und einfach zu verwalten, aber Sie können auf Hürden stoßen, da AWS KMS-Drosselungslimits, Konto-Servicelimits und das Sicherheitsteam mit operativen Schlüsselverwaltungsaufgaben überschwemmt wird. Eine weitere Bereitstellungsoption ist ein dezentrales Modell, bei dem Sie es AWS KMS ermöglichen, sich in mehreren Konten zu befinden, und Sie ermöglichen den Verantwortlichen für die Infrastruktur und die Arbeitslasten in einem bestimmten Konto, ihre eigenen Schlüssel zu verwalten. Dieses Modell gibt Ihren Workload-Teams mehr Kontrolle, Flexibilität und Flexibilität bei der Verwendung von Verschlüsselungsschlüsseln. Es hilft auch, API-Limits zu vermeiden, begrenzt den Wirkungsbereich auf nur ein AWS-Konto und vereinfacht Reporting, Auditing und andere Compliance-bezogene Aufgaben. In einem dezentralen Modell ist es wichtig, Leitplanken bereitzustellen und durchzusetzen, damit die dezentralen Schlüssel auf die gleiche Weise verwaltet werden und die Verwendung von KMS-Schlüsseln gemäß den festgelegten Best Practices und Richtlinien überprüft wird. Weitere Informationen zu finden Sie im WhitepaperBewährte Methoden für den AWS Key Management Service. AWS SRA empfiehlt ein verteiltes Schlüsselverwaltungsmodell, bei dem sich die KMS-Schlüssel lokal innerhalb des Kontos befinden, in dem sie verwendet werden. Wir empfehlen, für alle kryptografischen Funktionen die Verwendung eines einzigen Schlüssels in einem Konto zu vermeiden. Schlüssel können basierend auf Funktions- und Datenschutzanforderungen erstellt werden, um das Prinzip der geringsten Zugriffsrechte durchzusetzen. In einigen Fällen wurden die Verschlüsselungsberechtigungen von den Entschlüsselungsberechtigungen getrennt gehalten, und Administratoren verwalteten Lebenszyklusfunktionen, konnten jedoch keine Daten mit den von ihnen verwalteten Schlüsseln verschlüsseln oder entschlüsseln. 

Im Security Tooling-Konto wird AWS KMS verwendet, um die Verschlüsselung von zentralen Sicherheitsdiensten wie dem AWS zu verwalten CloudTrail Organisationspfad, der von der AWS-Organisation verwaltet wird.

ACM Private CA

Die AWS Certificate Manager Private Certificate Authority (ACM Private CA) ist ein verwalteter privater CA-Dienst, mit dem Sie den Lebenszyklus Ihrer privaten TLS-Zertifikate für EC2-Instances, Container, IoT-Geräte und lokale Ressourcen sicher verwalten können. Es ermöglicht verschlüsselte TLS-Kommunikation mit laufenden Anwendungen. Mit ACM Private CA können Sie eine eigene CA-Hierarchie erstellen (eine Stammzertifizierungsstelle über untergeordnete Zertifizierungsstellen bis hin zu Endentitätszertifikaten) und Zertifikate für die Authentifizierung von internen Benutzern, Computern, Anwendungen, Services, Servern und anderen Geräten sowie zum Signieren von Computercode ausstellen. Zertifikate, die von einer privaten Zertifizierungsstelle ausgestellt werden, sind nur innerhalb Ihrer AWS-Organisation vertrauenswürdig, nicht im Internet.

Eine Public-Key-Infrastruktur (PKI) oder ein Sicherheitsteam kann für die Verwaltung der gesamten PKI-Infrastruktur verantwortlich sein. Dies beinhaltet die Verwaltung und Erstellung der privaten CA. Es muss jedoch eine Bestimmung geben, die es Workload-Teams ermöglicht, ihre Zertifikatsanforderungen selbst zu erfüllen. Die AWS SRA stellt eine zentralisierte CA-Hierarchie dar, in der die Stammzertifizierungsstelle innerhalb des Security Tooling-Kontos gehostet wird. Auf diese Weise können Sicherheitsteams strenge Sicherheitskontrollen durchsetzen, da die Stammzertifizierungsstelle die Grundlage der gesamten PKI ist. Die Erstellung privater Zertifikate von der privaten CA wird jedoch an Anwendungsentwicklungsteams delegiert, indem die CA mithilfe von AWS Resource Access Manager (AWS RAM) an ein Anwendungskonto weitergegeben wird. AWS RAM verwaltet die für die kontoübergreifende Freigabe erforderlichen Berechtigungen. Dadurch entfällt die Notwendigkeit einer privaten Zertifizierungsstelle in jedem Konto und eine kostengünstigere Art der Bereitstellung. Weitere Informationen über den Workflow und die Implementierung finden Sie im Blog-Posting.So verwenden Sie AWS RAM, um Ihr ACM Private CA kontoübergreifend zu teilen.

Anmerkung

ACM hilft Ihnen auch bei der Bereitstellung, Verwaltung und Bereitstellung öffentlicher TLS-Zertifikate für die Verwendung mit AWS-Services. Um diese Funktionalität zu unterstützen, muss sich ACM in dem AWS-Konto befinden, das das öffentliche Zertifikat verwenden würde. Dies wird später in diesem Handbuch in derAnwendungskontoAbschnitts erstellt.

Überlegungen zum Design
  • Mit ACM Private CA können Sie eine Hierarchie von Zertifizierungsstellen mit bis zu fünf Ebenen erstellen. Sie können auch mehrere Hierarchien erstellen, jede mit einem eigenen Stamm. Die ACM-CA-Hierarchie sollte dem PKI-Design Ihres Unternehmens entsprechen. Beachten Sie jedoch, dass eine Erhöhung der CA-Hierarchie die Anzahl der Zertifikate im Zertifizierungspfad erhöht, was wiederum die Validierungszeit eines Entity-Zertifikats verlängert. Eine klar definierte CA-Hierarchie bietet Vorteile wie eine detaillierte Sicherheitskontrolle, die für jede Zertifizierungsstelle geeignet ist, die Delegierung einer untergeordneten Zertifizierungsstelle an eine andere Anwendung, was zu einer Aufteilung der administrativen Aufgaben führt, die Verwendung von CA mit begrenztem widerruflichem Vertrauen, die Möglichkeit, verschiedene Gültigkeitszeiträume zu definieren, und Fähigkeit, Pfadbeschränkungen durchzusetzen. Idealerweise befinden sich Ihre Stammzertifizierungsstellen und untergeordneten Zertifizierungsstellen in getrennten AWS-Konten. Weitere Informationen über die Planung einer CA-Hierarchie mit ACM Private CA finden Sie in derDokumentation zur ACM-Zertifizierungsstelleder BlogbeitragSo sichern Sie eine ACM Private CA-Hierarchie im Unternehmensmaßstab für die Automobil- und Fertigungsindustrie.

  • ACM Private CA kann in Ihre bestehende CA-Hierarchie integriert werden, sodass Sie die Automatisierung und die native AWS-Integrationsfähigkeit von ACM in Verbindung mit der vorhandenen Vertrauensbasis, die Sie heute verwenden, nutzen können. Sie können eine untergeordnete CA in ACM Private CA erstellen, die von einer übergeordneten CA vor Ort gesichert wird. Weitere Informationen zur Implementierung finden Sie unterInstallieren eines untergeordneten CA-Zertifikats, das von einer externen übergeordneten CA signiert wurdein der ACM Private CA-Dokumentation.

Amazon Inspector

Amazon Inspector ist ein automatisierter Schwachstellen-Management-Service, der Amazon EC2 und Container-Workloads kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkfreigabe durchsucht. 

Amazon Inspector bewertet Ihre Umgebung während des gesamten Lebenszyklus Ihrer Ressourcen kontinuierlich, indem es Ressourcen automatisch scannt, wenn Sie Änderungen an ihnen vornehmen. Zu den Ereignissen, die das erneute Scannen einer Ressource auslösen, gehören die Installation eines neuen Pakets auf einer EC2-Instance, die Installation eines Patches und die Veröffentlichung eines neuen CVE-Berichts (Common Vulnerabilities and Exposures), der sich auf die Ressource auswirkt. Wenn eine offene Sicherheitsanfälligkeit erkannt wird, berechnet Amazon Inspector einen Amazon Inspector-Risikowert durch Korrelation up-to-date CVE-Informationen mit zeitlichen und Umweltfaktoren wie Netzwerkzugänglichkeit und Verwertbarkeitsinformationen liefern kontextbezogene Erkenntnisse. 

Die Ergebnisse der Netzwerkerreichbarkeit von Amazon Inspector bewerten die Zugänglichkeit Ihrer EC2-Instances zu oder von VPC-Edges wie Internet-Gateways, VPC-Peering-Verbindungen oder Virtual Private Networks (VPNs) über ein virtuelles Gateway. Mit diesen Regeln lässt sich die Überwachung Ihrer AWS-Netzwerke leichter automatisieren und kann leichter identifiziert werden, an welcher Stelle der Netzwerkzugriff auf Ihre EC2-Instances über falsch verwaltete Sicherheitsgruppen, Zugriffskontrolllisten (ACLs), Internet-Gateways usw. falsch konfiguriert sein könnte. Weitere Informationen finden Sie im .Amazon Inspector-Dok.

AWS Systems Manager Agents (SSM-Agenten) sind für das Scannen von Sicherheitslücken von EC2-Instances erforderlich. Für die Netzwerkerreichbarkeit von EC2-Instances oder das Scannen von Sicherheitslücken bei Container-Images in Amazon Elastic Container Registry (Amazon ECR) sind keine Agenten erforderlich. 

Amazon Inspector ist in AWS Organizations integriert und unterstützt die delegierte Administration. In der AWS SRA wird das Security Tooling-Konto zum delegierten Administratorkonto für Amazon Inspector gemacht.

Überlegungen zum Design
  • Amazon Inspector wird automatisch in AWS Security Hub integriert, wenn beide Dienste aktiviert sind. Sie können diese -Integration verwenden, um alle Erkenntnisse aus Amazon Inspector an Security Hub zu senden, der diese Erkenntnisse dann in die Analyse Ihres Sicherheitsnivels einbeziehen.

  • Amazon Inspector exportiert Ergebnisse automatisch an Amazon EventBridge, und optional in einen Amazon-S3-Bucket (Amazon Simple Storage Service). Um aktive Ergebnisse in einen S3-Bucket zu exportieren, benötigen Sie einen KMS-Schlüssel, den Amazon Inspector zum Verschlüsseln von Ergebnissen verwenden kann, und einen S3-Bucket mit Berechtigungen, die Amazon Inspector das Hochladen von Objekten ermöglichen. EventBridge Integration ermöglicht es Ihnen, Ergebnisse im Rahmen Ihrer bestehenden Sicherheits- und Compliance-Workflows nahezu in Echtzeit zu überwachen und zu verarbeiten. EventBridge Ereignisse werden zusätzlich zu dem Mitgliedskonto, von dem sie stammen, im delegierten Amazon Inspector-Administratorkonto veröffentlicht.

Bereitstellung allgemeiner Sicherheitsdienste für alle AWS-Konten

DieWenden Sie Sicherheitsservices in Ihrer gesamten AWS-Organisation anIn diesem Abschnitt wurden Sicherheitsdienste hervorgehoben, die ein AWS-Konto schützen, und es wurde darauf hingewiesen, dass viele dieser Dienste auch innerhalb von AWS Organizations konfiguriert und verwaltet werden können. Einige dieser Dienste sollten in allen Konten bereitgestellt werden, und Sie werden sie in der AWS SRA sehen. Dies ermöglicht einen konsistenten Satz von Leitplanken und bietet eine zentrale Überwachung, Verwaltung und Governance in Ihrer gesamten AWS-Organisation. 

Security Hub GuardDuty, AWS Config, Access Analyzer und AWS CloudTrail Organisationspfade werden in allen Konten angezeigt. Die ersten drei unterstützen die Funktion „delegierter Administrator“, die zuvor imVerwaltungskonto, vertrauenswürdiger Zugriff und delegierte AdministratorenAbschnitts erstellt. CloudTrail verwendet derzeit einen anderen Aggregationsmechanismus.

Die AWS SRAGitHubCode-Repositorybietet eine Beispielimplementierung für die Aktivierung von Security Hub, GuardDuty, AWS Config, Firewall Manager und CloudTrail Die Organisation verfolgt alle Ihre Konten, einschließlich des AWS Org Management-Kontos.

Überlegungen zum Design
  • Bestimmte Kontokonfigurationen können zusätzliche Sicherheitsdienste erfordern. Konten, die S3-Buckets verwalten (Anwendungs- und Protokollarchiv-Konten), sollten beispielsweise auch Amazon Macie einschließen und erwägen, CloudTrail S3-Datenereignisprotokollierung in diesen allgemeinen Sicherheitsdiensten. (Macie unterstützt die delegierte Administration mit zentraler Konfiguration und Überwachung.) Ein anderes Beispiel ist Amazon Inspector, das nur für Konten gilt, die entweder EC2-Instances oder Amazon ECR-Images hosten.

  • Zusätzlich zu den zuvor in diesem Abschnitt beschriebenen Services umfasst die AWS SRA zwei sicherheitsorientierte Services, AWS Detective und AWS Audit Manager, die die Integration von AWS Organizations und die delegierten Administratorfunktionen unterstützen. Diese sind jedoch nicht in den empfohlenen Diensten für das Account-Baselining enthalten, da wir festgestellt haben, dass diese Dienste in den folgenden Szenarien am besten verwendet werden:

    • Sie haben ein dediziertes Team oder eine Gruppe von Ressourcen, die diese Funktionen ausführen. Detective wird am besten von Sicherheitsanalystenteams eingesetzt, und Audit Manager ist Ihren internen Audit- oder Compliance-Teams hilfreich.

    • Sie möchten sich auf ein Kernset von Tools konzentrieren wie GuardDuty und Security Hub zu Beginn Ihres Projekts und bauen Sie dann darauf auf, indem Sie Dienste nutzen, die zusätzliche Funktionen bieten.