Implementierungsleitfaden Implementierungsschritte Ressourcen

SEC01-BP01 Trennen von Workloads mithilfe von Konten

Sorgen Sie mit einer Mehrkonten-Strategie für wirksamen Integritätsschutz und Isolierungen zwischen Umgebungen (etwa Produktion, Entwicklung und Test) sowie Workloads. Die Trennung auf Kontoebene wird nachdrücklich angeraten, da diese für die wirksame Isolierung für Sicherheits-, Fakturierungs- und Zugriffszwecke sorgt.

Gewünschtes Ergebnis: eine Kontostruktur, die Cloud-Operationen, nicht zusammengehörige Workloads und Umgebungen in separaten Konten voneinander isoliert, sodass die Sicherheit in der gesamten Cloud-Infrastruktur verbessert wird.

Typische Anti-Muster:

Platzierung mehrerer nicht zusammengehöriger Workloads mit unterschiedlicher Datensensitivität in einem einzigen Konto
schlecht definierte Organizational Unit (OU, Organisationseinheit)-Struktur

Vorteile der Nutzung dieser bewährten Methode:

geringere Auswirkungen bei versehentlichen Zugriffen auf einen Workload
zentrale Verwaltung des Zugriffes auf AWS-Services, Ressourcen und Regionen
Wahrung der Sicherheit der Cloud-Infrastruktur durch Richtlinien und die zentralisierte Verwaltung von Sicherheitsservices
automatisierte Kontoerstellung und Wartungsprozesse
zentralisierte Prüfung Ihrer Infrastruktur auf Compliance- und regulatorische Anforderungen

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: hoch

Implementierungsleitfaden

AWS-Konten bieten eine Sicherheitsisolierungsgrenze zwischen Workloads oder Ressourcen, die auf unterschiedlichen Sensitivitätsstufen operieren. AWS bietet Tools, mit denen Sie Ihre umfangreichen Cloud-Workloads über eine Mehrkonten-Strategie verwalten und so die Isolierungsgrenze nutzen können. Für Erläuterungen der Konzepte, Muster und der Implementierung einer Mehrkonten-Strategie auf AWS siehe Organisation Ihrer AWS-Umgebung mit mehreren Konten.

Wenn Sie mehrere AWS-Konten zentral verwalten, sollten Ihre Konten in einer gemäß den Ebenen der Organisationseinheiten (OUs) definierten Hierarchie organisiert sein. Dadurch können Sicherheitskontrollen anhand der OUs und der Mitgliedskonten organisiert und auf diese angewendet werden, was eine konsistente präventive Kontrolle der Mitgliedskonten in der Organisation ermöglicht. Die Sicherheitskontrollen werden weitergegeben, sodass Sie nach verfügbaren Berechtigungen für Mitgliedskonten auf unteren Ebenen der OU-Hierarchie filtern können. Ein gutes Design macht sich diese Weitergabe zunutze, um die Anzahl und die Komplexität der Sicherheitsrichtlinien, die für die erwünschten Sicherheitskontrollen für jedes Mitgliedskonto erforderlich sind, zu reduzieren.

AWS Organizations und AWS Control Tower sind zwei Services, mit denen Sie diese Mehrkontenstruktur in Ihrer AWS-Umgebung implementieren und verwalten können. AWS Organizations ermöglicht die Organisation von Konten in einer von einer oder mehreren Ebenen von OUs definierten Hierarchie, wobei jede OU eine Anzahl von Mitgliedskonten enthält. Service-Kontrollrichtlinien (SCPs) ermöglichen einem Organisationsadministrator die Einrichtung detaillierter präventiver Kontrollen für Mitgliedskonten und AWS Config kann verwendet werden, um proaktive und erkennende Kontrollen für Mitgliedskonten zu aktivieren. Viele AWS-Services lassen sich in AWS Organizations integrieren und bieten so delegierte administrative Kontrollen und führen servicespezifische Aufgaben für alle Mitgliedskonten in der Organisation durch.

Über AWS Organizations hinaus ermöglicht AWS Control Tower die Einrichtung bewährter Methoden mit einem Klick für eine Mehrkonten-AWS-Umgebung mit einer Landing Zone. Die Landing Zone ist der Einstiegspunkt für die Mehrkonten-Umgebung, eingerichtet von Control Tower. Control Tower bietet verschiedene Vorteile gegenüber AWS Organizations. Hier sind drei Vorteile, die die Kontoverwaltung verbessern:

integrierter verpflichtender Integritätsschutz, der automatisch auf für die Organisation zugelassene Konten angewendet wird
optionaler Integritätsschutz, der für einen bestimmten Satz von OUs aktiviert und deaktiviert werden kann
AWS Control Tower Account Factory bietet eine automatisierte Bereitstellung von Konten mit vorab genehmigten Baselines und Konfigurationsoptionen innerhalb Ihrer Organisation.

Implementierungsschritte

Entwurf einer OU-Struktur: Eine korrekt gestaltete OU-Struktur reduziert den Verwaltungsaufwand für die Erstellung und Wahrung von Service-Kontrollrichtlinien und anderen Sicherheitskontrollen. Ihre OU-Struktur sollte an Ihre geschäftlichen Anforderungen, die Sensitivität der Daten und die Workload-Struktur angepasst sein.
Erstellen einer Landing Zone für Ihre Mehrkonten-Umgebung: Eine Landing Zone bietet eine konsistente Sicherheits- und Infrastrukturbasis, von der aus Ihre Organisation Workloads schnell entwickeln, starten und bereitstellen kann. Sie können eine individuell erstellte Landing Zone oder AWS Control Tower für die Orchestrierung Ihrer Umgebung verwenden.
Einrichtung von Integritätsschutz: Implementieren Sie konsistenten Integritätsschutz für Ihre Umgebung über Ihre Landing Zone. AWS Control Tower bietet eine Liste verpflichtender und optionaler Kontrollen, die bereitgestellt werden können. Verpflichtende Kontrollen werden automatisch bereitgestellt, wenn Control Tower implementiert wird. Überprüfen Sie die Liste nachdrücklich empfohlener sowie optionaler Kontrollen und implementieren Sie diejenigen, die Ihren Anforderungen entsprechen.
Einschränken des Zugriffs auf neu hinzugefügte Regionen: Für neue AWS-Regionen werden IAM-Ressourcen, z. B. Benutzer und Rollen, nur an die von Ihnen angegebenen Regionen weitergegeben. Dieser Vorgang kann über die Konsole durchgeführt werden, wenn Sie Control Tower verwenden, oder durch die Anpassung von IAM-Berechtigungsrichtlinien in AWS Organizations.
Erwägen der Verwendung von AWSCloudFormation StackSets: StackSets helfen dabei, Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten und Regionen bereitzustellen.

Ressourcen

Zugehörige bewährte Methoden:

SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter

Zugehörige Dokumente:

AWS Control Tower
AWS Security Audit Guidelines (Richtlinien zur AWS-Sicherheitsprüfung)
IAM Best Practices (Bewährte Methoden für IAM)
Use CloudFormation StackSets to provision resources across multiple AWS-Konten and regions (Verwendung von CloudFormation StackSets zur Bereitstellung von Ressourcen für mehrere AWS-Konten und Regionen)
Organizations FAQ (Häufig gestellte Fragen zu Organisationen)
AWS Organizations terminology and concepts (AO-Terminologie und -Konzepte)
Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment (Bewährte Methoden für Service-Kontrollrichtlinien in einer AO-Mehrkonten-Umgebung)
AWS Account Management Reference Guide (Referenz zur Verwaltung von AWS-Konten)
Organizing Your AWS Environment Using Multiple Accounts (Organisieren der AWS-Umgebung mithilfe mehrerer Konten)

Zugehörige Videos:

Enable AWS adoption at scale with automation and governance(AWS-Übernahme in großem Umfang mit Automatisierung und Governance)
Security Best Practices the Well-Architected Way (Bewährte Sicherheitsmethoden mit durchdachter Architektur)
Building and Governing Multiple Accounts using AWS Control Tower (Aufbau und Verwaltung mehrerer Konten mit AWS Control Tower)
Enable Control Tower for Existing Organizations (Aktivierung von Control Tower für bestehende Organisationen)

Zugehörige Workshops:

Control Tower Immersion Day

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SICH 1 Wie können Sie Ihren Workload sicher betreiben?

SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften