Verhinderung von unberechtigtem Zugriff und Datenexfiltration - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verhinderung von unberechtigtem Zugriff und Datenexfiltration

Laut dem Bericht über die Kosten eines Datenschutzverstoßes im Jahr 2022 (Bericht des Ponemon Institute) beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf USD4 0,3 Millionen. Für Halbleiterunternehmen ist der Schutz geistigen Eigentums (IP) von entscheidender Bedeutung. Der Verlust von geistigem Eigentum durch unbefugten Zugriff kann zu finanziellen Verlusten, Reputationsschäden oder sogar regulatorischen Konsequenzen führen. Diese potenziellen Folgen machen die Kontrolle des Zugriffs auf die Daten und des Datenflusses zu kritischen Aspekten eines gut durchdachten Entwurfs.

Zu den wichtigsten Überlegungen zur Sicherung Ihrer Daten gehören:

  • Benutzerauthentifizierung für den Zugriff auf die sichere Entwicklungsumgebung

  • Benutzerautorisierung für den Zugriff auf Daten innerhalb der sicheren Entwicklungsumgebung

  • Protokollierung aller Übertragungen in und aus der sicheren Entwicklungsumgebung

  • Architektur sicherer Datenflüsse zwischen Umgebungen

  • Verschlüsselung von Daten während der Übertragung und im Ruhezustand

  • Begrenzung und Protokollierung des ausgehenden Netzwerkverkehrs

Konfigurieren von Berechtigungen

AWS Identity and Access Management (IAM) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem es kontrolliert, wer authentifiziert und autorisiert ist, diese zu verwenden. Standardmäßig wird jede Aktion implizit verweigert, sofern sie nicht ausdrücklich erlaubt ist. AWS Sie verwalten den Zugriff in, AWS indem Sie Richtlinien erstellen. Mithilfe von Richtlinien können Sie detailliert definieren, welche Benutzer auf welche Ressourcen zugreifen können und welche Aktionen sie mit diesen Ressourcen ausführen können. Eine AWS bewährte Methode besteht darin, Berechtigungen mit den geringsten Rechten anzuwenden. Das bedeutet, dass Sie Benutzern nur die Berechtigungen gewähren, die sie für die Ausführung ihrer Aufgaben benötigen. Weitere Informationen finden Sie in der IAM-Dokumentation in den folgenden Abschnitten:

Benutzer authentifizieren

Es hat sich AWS bewährt, von menschlichen Benutzern zu verlangen, dass sie einen Verbund mit einem Identitätsanbieter verwenden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können. Der empfohlene Service für die Zentralisierung des Zugriffs Ihrer Benutzermitarbeiter ist AWS IAM Identity Center. Dieser Service hilft Ihnen dabei, die Identitäten Ihrer Mitarbeiter sicher zu erstellen oder zu verknüpfen und deren Zugriff anwendungsübergreifend AWS-Konten zentral zu verwalten. IAM Identity Center kann mithilfe von SAML 2.0, Open ID Connect (OIDCIdPs) oder OAuth 2.0 einen Verbund mit externen Identitätsanbietern () herstellen, um eine nahtlose Integration und Benutzerverwaltung zu gewährleisten. Weitere Informationen finden Sie unter Identitätsverbund in AWS (AWS Marketing) und Identitätsanbieter und -föderation (IAM-Dokumentation).

Sie können Benutzer auch authentifizieren und autorisieren, indem AWS Directory ServiceSie Benutzer und Gruppen verwalten, die in einem Verzeichnis wie Active Directory definiert sind. In der sicheren Entwicklungsumgebung können Sie Linux-Dateiberechtigungen verwenden, um den Datenzugriff innerhalb der Virtual Private Cloud (VPC) zu autorisieren und einzuschränken. Verwenden Sie VPC-Endpunkte, um den Zugriff auf das öffentliche Internet zu ermöglichen, AWS-Services ohne das öffentliche Internet zu durchqueren. Verwenden Sie Endpunktrichtlinien, um einzuschränken, welche AWS Prinzipale den Endpunkt verwenden können, und verwenden Sie identitätsbasierte Richtlinien, um den Zugriff zu beschränken. AWS-Services

Datenübertragung

AWS bietet mehrere Möglichkeiten, lokale Daten in die Cloud zu migrieren. Es ist üblich, die Daten zunächst in Amazon Simple Storage Service (Amazon S3) zu speichern. Amazon S3 ist ein cloudbasierter Objektspeicherservice, mit dem Sie beliebige Datenmengen speichern, schützen und abrufen können. Es bietet eine Bandbreite von bis zu 25 Gbit/s bei der Übertragung von Daten zu oder von einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance. Es bietet auch regionsübergreifende Datenreplikation und Datenklassifizierung. In Amazon S3 gespeicherte Daten können als Replikationsquelle dienen. Sie können es verwenden, um neue Dateisysteme zu erstellen oder Daten auf EC2 Instances zu übertragen. Sie können Amazon S3 als Backend eines AWS verwalteten, POSIX-kompatiblen Dateisystems (Portable Operating System Interface) für Halbleiter-Tools und -Flows verwenden.

Ein weiterer AWS Speicherservice ist Amazon FSx, der Dateisysteme anbietet, die branchenübliche Konnektivitätsprotokolle unterstützen und hohe Verfügbarkeit und Replikation in allen Bereichen AWS-Regionen bieten. Zu den gängigen Optionen für die Halbleiterindustrie gehören Amazon FSx für NetApp ONTAP, Amazon FSx für Lustre und Amazon FSx für OpenZFS. Die skalierbaren, leistungsstarken Dateisysteme von Amazon FSx eignen sich gut für die lokale Speicherung von Daten in der sicheren Entwicklungsumgebung.

AWS empfiehlt, dass Sie AWS zunächst die Speicheranforderungen für Ihre Halbleiter-Workloads definieren und dann den geeigneten Datenübertragungsmechanismus identifizieren. AWS empfiehlt AWS DataSyncdie Verwendung zur Übertragung von Daten von lokalen Standorten zu AWS. DataSync ist ein Online-Datenübertragungs- und Erkennungsdienst, mit dem Sie Dateien oder Objektdaten zu, von und zwischen AWS Speicherdiensten verschieben können. Je nachdem, ob Sie selbstverwaltete Speichersysteme oder einen Speicheranbieter wie z. B. verwenden, können Sie die Konfiguration so konfigurieren NetApp, DataSync dass das Verschieben und Replizieren von Daten in Ihre sichere Entwicklungsumgebung über das Internet oder über das Internet beschleunigt wird. AWS Direct Connect DataSync kann Ihre Dateisystemdaten und Metadaten wie Eigentum, Zeitstempel und Zugriffsberechtigungen übertragen. Wenn Sie Dateien zwischen FSx für ONTAP und NetApp ONTAP übertragen, AWS empfiehlt die Verwendung von. NetApp SnapMirror Amazon FSx unterstützt Verschlüsselung im Ruhezustand und bei der Übertragung. Verwenden Sie AWS CloudTrailund andere dienstspezifische Protokollierungsfunktionen, um alle API-Aufrufe und die damit verbundenen Datenübertragungen zu protokollieren. Zentralisieren Sie Protokolle in einem speziellen Konto und wenden Sie detaillierte Zugriffsrichtlinien für einen unveränderlichen Verlauf an.

AWS bietet zusätzliche Dienste zur Steuerung des Datenflusses, einschließlich anwendungsorientierter Netzwerk-Firewalls wie Amazon Route 53 Resolver DNS-Firewall und AWS Network FirewallWeb-Proxys. AWS WAF Steuern Sie den Datenfluss innerhalb der Umgebung, indem Sie die Netzwerksegmentierung mit Sicherheitsgruppen, Netzwerkzugriffskontrolllisten und VPC-Endpunkten in Amazon Virtual Private Cloud (Amazon VPC), Network Firewall, Transit-Gateway-Routentabellen und Servicesteuerungsrichtlinien () durchsetzen. SCPs AWS Organizations Protokollieren Sie den gesamten Netzwerkverkehr zentral mithilfe von VPC Flow Logs und den verfügbaren Feldern der Versionen 2—5 von VPC Flow Logs.

Verschlüsseln von Daten

Verschlüsseln Sie alle Daten im Ruhezustand mithilfe von AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüsseln oder. AWS CloudHSM Erstellen und verwalten Sie detaillierte Richtlinien für wichtige Ressourcen. Weitere Informationen finden Sie unter Erstellen einer unternehmensweiten Verschlüsselungsstrategie für Daten im Ruhezustand.

Verschlüsseln Sie Daten während der Übertragung, indem Sie mindestens TLS 1.2 mit einer branchenüblichen 256-Bit-Verschlüsselung des Advanced Encryption Standard (AES-256) durchsetzen.

Verwaltung des ausgehenden Netzwerkverkehrs

Wenn die sichere Entwicklungsumgebung Internetzugang erfordert, sollte der gesamte ausgehende Internetverkehr protokolliert und über einen Durchsetzungspunkt auf Netzwerkebene eingeschränkt werden, z. B. über die Network Firewall oder Squid, einen Open-Source-Proxy. VPC-Endpunkte und der Internet-Proxy schützen vor unbefugter Datenexfiltration durch Benutzer. Dies ist wichtig, um den Zugriff auf Daten innerhalb der sicheren Entwicklungsumgebung und nur innerhalb der VPC zu ermöglichen.

Schließlich können Sie Network Access Analyzer, eine Funktion von Amazon VPC, verwenden, um die Netzwerksegmentierung zu validieren und potenzielle Netzwerkpfade zu identifizieren, die Ihren spezifizierten Anforderungen nicht entsprechen.

Durch die Kombination mehrerer Sicherheitskontrollen können Sie einen robusten Datenperimeter einrichten und durchsetzen. Weitere Informationen finden Sie unter Aufbau eines Datenperimeters auf. AWS