Dokumentieren und zentralisieren Sie Architekturdiagramme - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dokumentieren und zentralisieren Sie Architekturdiagramme

Um schnell und präzise auf ein Sicherheitsereignis reagieren zu können, müssen Sie wissen, wie Ihre Systeme und Netzwerke aufgebaut sind. Das Verständnis dieser internen Muster ist nicht nur wichtig für die Reaktion auf Vorfälle, sondern auch für die Überprüfung der Konsistenz zwischen den Anwendungen, auf denen die Muster basieren, gemäß bewährten Methoden. Sie sollten auch sicherstellen, dass diese Dokumentation auf dem neuesten Stand ist und regelmäßig gemäß neuen Architekturmustern aktualisiert wird. Sie sollten Dokumentationen und interne Repositorien entwickeln, in denen unter anderem folgende Elemente detailliert beschrieben werden:

  • AWS Kontostruktur — Sie müssen wissen:

    • Wie viele AWS Konten haben Sie?

    • Wie sind diese AWS Konten organisiert?

    • Wer sind die Geschäftsinhaber der AWS Konten?

    • Verwenden Sie Service Control-Richtlinien (SCPs)? Falls ja, mit welchen organisatorischen Leitplanken werden diese umgesetzt? SCPs

    • Beschränken Sie die Regionen und Dienste, die genutzt werden können?

    • Welche Unterschiede gibt es zwischen Geschäftsbereichen und Umgebungen (dev/test/prod)?

  • AWS Servicemuster

    • Welche AWS Dienste nutzen Sie?

    • Was sind die am häufigsten genutzten AWS Dienste?

  • Architekturmuster

    • Welche Cloud-Architekturen verwenden Sie?

  • AWS Authentifizierungsmuster

    • Wie authentifizieren sich Ihre Entwickler normalerweise? AWS

    • Verwenden Sie IAM-Rollen oder Benutzer (oder beides)? Ist Ihre Authentifizierung mit einem Identity Provider (IdP) AWS verbunden?

    • Wie ordnen Sie eine IAM-Rolle oder einen IAM-Benutzer einem Mitarbeiter oder System zu?

    • Wie wird der Zugriff gesperrt, wenn jemand nicht mehr autorisiert ist?

  • AWS Autorisierungsmuster

    • Welche IAM-Richtlinien verwenden Ihre Entwickler?

    • Verwenden Sie ressourcenbasierte Richtlinien?

  • Protokollierung und Überwachung

    • Welche Protokollierungsquellen verwenden Sie und wo werden sie gespeichert?

    • Aggregieren Sie AWS CloudTrail Logs? Falls ja, wo werden sie gespeichert?

    • Wie fragt man CloudTrail Logs ab?

    • Haben Sie Amazon GuardDuty aktiviert?

    • Wie greifen Sie auf GuardDuty Ergebnisse zu (z. B. Konsole, Ticketsystem, SIEM)?

    • Werden Ergebnisse oder Ereignisse in einem SIEM zusammengefasst?

    • Werden Tickets automatisch erstellt?

    • Welche Tools stehen zur Verfügung, um Protokolle für eine Untersuchung zu analysieren?

  • Netzwerktopologie

    • Wie sind Geräte, Endpunkte und Verbindungen in Ihrem Netzwerk physisch oder logisch angeordnet?

    • Wie verbindet sich Ihr Netzwerk mit? AWS

    • Wie wird der Netzwerkverkehr zwischen Umgebungen gefiltert?

  • Externe Infrastruktur

    • Wie werden nach außen gerichtete Anwendungen bereitgestellt?

    • Welche AWS Ressourcen sind öffentlich zugänglich?

    • Welche AWS Konten enthalten Infrastrukturen, die nach außen gerichtet sind?

    • Welche DDo S- oder externe Filterung gibt es?

Die Dokumentation interner technischer Diagramme und Prozesse erleichtert den Incident-Response-Analysten die Arbeit und hilft ihnen, sich schnell das institutionelle Wissen anzueignen, um auf ein Sicherheitsereignis zu reagieren. Eine gründliche Dokumentation der internen technischen Prozesse vereinfacht nicht nur Sicherheitsuntersuchungen, sondern dient auch der Rationalisierung und Bewertung der Prozesse.