Beispiel für ein Cloud-Team: VPC-Konfigurationen ändern

Das Cloud-Team ist dafür verantwortlich, Sicherheitsfeststellungen zu analysieren und zu korrigieren, die gemeinsame Trends aufweisen, wie z. B. Änderungen der AWS Standardeinstellungen, die möglicherweise nicht zu Ihrem Anwendungsfall passen. Diese Ergebnisse wirken sich in der Regel auf viele AWS-Konten unserer Ressourcen aus, z. B. VPC-Konfigurationen, oder sie beinhalten eine Einschränkung, die für die gesamte Umgebung gelten sollte. In den meisten Fällen nimmt das Cloud-Team manuelle, einmalige Änderungen vor, z. B. das Hinzufügen oder Aktualisieren einer Richtlinie.

Nachdem Ihr Unternehmen eine AWS Umgebung für einige Zeit genutzt hat, stellen Sie möglicherweise fest, dass sich eine Reihe von Anti-Pattern-Angriffen herausbilden. Ein Anti-Pattern ist eine häufig verwendete Lösung für ein wiederkehrendes Problem, bei dem die Lösung kontraproduktiv, ineffektiv oder weniger wirksam als eine Alternative ist. Als Alternative zu diesen Anti-Pattern kann Ihr Unternehmen umgebungsweite Einschränkungen verwenden, die effektiver sind, wie z. B. AWS Organizations Service Control Policies (SCPs) oder IAM Identity Center-Berechtigungssätze. SCPs und Berechtigungssätze können zusätzliche Einschränkungen für Ressourcentypen vorsehen, z. B. verhindern, dass Benutzer einen öffentlichen Amazon Simple Storage Service (Amazon S3) -Bucket konfigurieren. Obwohl es verlockend sein kann, alle möglichen Sicherheitskonfigurationen einzuschränken, gibt es Richtliniengrößenbeschränkungen für SCPs und Berechtigungssätze. Wir empfehlen einen ausgewogenen Ansatz für präventive und detektive Kontrollen.

Im Folgenden sind einige Kontrollen aus dem FSBP-Standard ( AWS Security Hub Foundational Security Best Practices) aufgeführt, für die das Cloud-Team möglicherweise verantwortlich ist:

• [EC2.2] Die VPC-Standardsicherheitsgruppe sollte eingehenden und ausgehenden Datenverkehr nicht zulassen

• [EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

• [EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren

• [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

• [Config.1] AWS Config sollte aktiviert sein

In diesem Beispiel befasst sich das Cloud-Team mit einem Ergebnis für die FSBP-Steuerung EC2.2. In der Dokumentation zu diesem Steuerelement wird empfohlen, nicht die Standardsicherheitsgruppe zu verwenden, da sie einen breiten Zugriff über die Standardregeln für eingehende und ausgehende Nachrichten ermöglicht. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, wird empfohlen, die Regeleinstellungen zu ändern, um den eingehenden und ausgehenden Verkehr einzuschränken. Um dieses Problem effizient zu lösen, sollte das Cloud-Team etablierte Mechanismen verwenden, um die Sicherheitsgruppenregeln für alle VPCs zu ändern, da jede VPC über diese Standardsicherheitsgruppe verfügt. In den meisten Fällen verwalten Cloud-Teams VPC-Konfigurationen mithilfe von AWS Control TowerAnpassungen oder einem IaC-Tool (Infrastructure as Code) wie oder. HashiCorp TerraformAWS CloudFormation