SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung
Konfigurieren Sie die Protokollierung in der gesamten Workload, einschließlich Anwendungsprotokolle, Ressourcenprotokolle und AWS-Serviceprotokolle. Stellen Sie beispielsweise sicher, dass AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty und AWS Security Hub für alle Konten in Ihrer Organisation aktiviert sind.
Eine grundlegende Vorgehensweise besteht darin, eine Reihe von Erkennungsmechanismen auf Kontoebene einzurichten. Diese grundlegenden Mechanismen dienen der Aufzeichnung und Erkennung einer Vielzahl von Aktionen für alle Ressourcen in Ihrem Konto. Sie ermöglichen es Ihnen, eine umfassende Aufklärungsfunktion mit Optionen wie automatisierten Korrekturen und Partnerintegrationen zu erstellen, um Funktionen hinzuzufügen.
In AWS sind folgende Services in dieser Basisgruppe enthalten:
AWS CloudTrail
stellt den Ereignisverlauf Ihrer AWS-Kontoaktivität bereit, einschließlich Aktionen über die AWS Management Console, AWS SDKs, Befehlszeilentools und andere AWS-Services. AWS Config
überwacht und zeichnet Ihre AWS-Ressourcenkonfigurationen auf. Darüber hinaus ermöglicht es Ihnen, die Auswertung und Korrektur der gewünschten Konfigurationen zu automatisieren. Amazon GuardDuty
ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. AWS Security Hub
bietet einen zentralen Ort, an dem Ihre Sicherheitswarnungen oder Ergebnisse von mehreren AWS-Services und optionalen Produkten von Drittanbietern aggregiert, organisiert und priorisiert werden. So erhalten Sie einen umfassenden Überblick über Sicherheitswarnungen und den Compliance-Status.
Aufbauend auf der Grundlage der Kontoebene, bieten viele wichtige AWS-Services, z. B.
Amazon Virtual Private Cloud Console (Amazon VPC)
Für Amazon Elastic Compute Cloud (Amazon EC2)-Instances und anwendungsbasierte Protokollierung, die nicht von AWS-Services stammen, besteht die Möglichkeit zur Speicherung und Analyse von Protokollen mit Amazon CloudWatch Logs
Neben dem Erfassen und Aggregieren von Protokollen ist auch das Extrahieren aussagekräftiger Informationen aus dem enormen Umfang an Protokollen und Ereignisdaten wichtig, die von modernen, komplexen Architekturen generiert werden. Weitere Informationen finden Sie auf der Registerkarte Überwachung im Whitepaper zur Säule der Zuverlässigkeit . Protokolle können selbst sensible Daten enthalten, entweder wenn Anwendungsdaten fälschlicherweise den Weg in Protokolldateien gefunden haben, die der CloudWatch Logs-Agent erfasst, oder wenn die regionsübergreifende Protokollierung für die Protokollaggregation konfiguriert ist und es gesetzliche Vorgaben zum grenzüberschreitenden Versand bestimmter Informationen gibt.
Eine Möglichkeit besteht darin, AWS Lambda-Funktionen zu nutzen, welche von Protokollen angestoßen werden. So können Protokolldaten gefiltert und verkleinert werden, bevor sie an einen zentralen Protokollierungsstandort weitergeleitet werden, z. B. einen Amazon Simple Storage Service (Amazon S3)-Bucket. Die nicht bearbeiteten Protokolle können in einem lokalen Bucket aufbewahrt werden, bis eine „angemessene Zeit“ vergangen ist (wie von der Gesetzgebung und Ihrem Rechtsteam festgelegt). Ab diesem Zeitpunkt kann eine Amazon S3-Lebenszyklusregel sie automatisch löschen. Protokolle können in Amazon S3 weiter geschützt werden, indem Sie Amazon S3 Object Lockwo Sie Objekte mit einem WORM-Modell (Write-Once-Read-Many) speichern können.
Risikostufe, wenn diese Best Practice nicht eingeführt wird: Hoch
Implementierungsleitfaden
-
Aktivierung der Protokollierung von AWS-Services: Aktivieren Sie die Protokollierung von AWS-Services entsprechend Ihren Anforderungen. Die Protokollierungsfunktionen umfassen Folgendes: Amazon VPC Flow Logs, Elastic Load Balancing (ELB)-Protokolle, Amazon S3-Bucket-Protokolle, CloudFront-Zugriffsprotokolle, Amazon Route 53-Abfrageprotokolle und Amazon Relational Database Service (Amazon RDS)-Protokolle.
-
Bewerten und aktivieren Sie die Protokollierung von betriebssystem- und anwendungsspezifischen Protokollen, um verdächtiges Verhalten zu erkennen.
-
Angemessene Kontrollen für Protokolle anwenden: Protokolle können vertrauliche Informationen enthalten und nur autorisierte Benutzer sollten Zugriff darauf haben. Erwägen Sie, die Berechtigungen auf Amazon S3-Buckets und CloudWatch Logs-Protokollgruppen einzuschränken.
-
Konfigurieren Amazon GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen für E-Mails mithilfe der Übung.
-
Konfigurieren eines benutzerdefinierten Prüfprotokolls in CloudTrail: Durch das Konfigurieren eines Prüfprotokolls können Sie Protokolle über den Standardzeitraum hinaus speichern und analysieren.
-
Aktivieren AWS Config: AWS Config bietet Ihnen einen detaillierten Überblick über die Konfiguration der AWS-Ressourcen in Ihrem AWS-Konto. Hierzu zählt auch, wie die Ressourcen zueinander in Verbindung stehen und wie sie in der Vergangenheit konfiguriert wurden. So können Sie erkennen, wie sich die Konfigurationen und Beziehungen mit der Zeit ändern.
-
Aktivieren AWS Security Hub: Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen, Ihre Compliance mit den Standards und Best Practices der Sicherheitsbranche zu überprüfen. Security Hub erfasst Sicherheitsdaten von allen AWS-Konten, AWS-Services und unterstützten Produkten von Drittanbieterpartnern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.
Ressourcen
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele:
