SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation
Wenn die Anzahl der Workloads zunimmt, müssen Sie möglicherweise den Zugriff auf Ressourcen in diesen Workloads ausweiten oder diese Ressourcen mehrfach über mehrere Konten hinweg zugänglich machen. Möglicherweise haben Sie Konstrukte zur Untergliederung Ihrer Umgebung, etwa für Entwicklungs-, Test- und Produktionsumgebungen. Solche Trennungskonstrukte schränken Sie jedoch nicht in der Lage ein, sicher zu teilen. Durch die gemeinsame Nutzung sich überschneidender Ressourcen können Sie übermäßigen betrieblichen Aufwand reduzieren und eine konsistente Umgebung schaffen, ohne dass Sie raten müssen, was Sie vielleicht versäumt haben, wenn Sie eine Ressource mehrmals erstellen.
Gewünschtes Ergebnis: Vermeiden Sie den unbeabsichtigten Zugriff, indem Sie sichere Methoden verwenden, um Ressourcen innerhalb Ihrer Organisation zu teilen, und unterstützen Sie Ihre Initiative zur Verhinderung von Datenverlust. Reduzieren Sie Ihren organisatorischen Aufwand gegenüber der Verwaltung einzelner Komponenten, senken Sie die Zahl von Fehlern durch das manuelle mehrmalige Erstellen identischer Ressourcen, und steigern Sie die Skalierbarkeit Ihrer Workloads. Sie können von kürzeren Lösungszeiten in Szenarien mit mehreren Fehlerpunkten profitieren und Ihr Vertrauen in die Bestimmung erhöhen, wann eine Komponente nicht mehr benötigt wird. Verbindliche Anleitungen zur Analyse extern gemeinsam genutzter Ressourcen finden Sie unter SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs.
Typische Anti-Muster:
-
Fehlen eines Prozesses für die kontinuierliche Überwachung und die automatische Benachrichtigung bei unerwarteten externen Freigaben
-
Fehlen einer Basislinie dazu, was freigegeben werden sollte und was nicht
-
Die standardmäßige Verwendung einer sehr offenen Richtlinie, anstatt Ressourcen explizit freizugeben, wenn sie benötigt werden
-
Manuelle Erstellung grundlegender Ressourcen bei Bedarf, die sich überlappen
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Gestalten Sie Ihre Zugriffskontrollen und -muster so, dass die Nutzung freigegebener Ressourcen kontrolliert wird und nur mit vertrauenswürdigen Entitäten möglich ist. Überwachen Sie freigegebene Ressourcen, prüfen Sie kontinuierlich den Zugriff darauf und erhalten Sie Benachrichtigungen bei unangemessenen oder unerwarteten Freigaben. Lesen Sie Analysieren des öffentlichen und kontoübergreifenden Zugriffs, um eine Governance einzurichten, mit der Sie den externen Zugriff auf diejenigen Ressourcen beschränken können, die ihn benötigen, und um einen Prozess zur kontinuierlichen Überwachung und automatischen Warnung einzurichten.
Die kontoübergreifende gemeinsame Nutzung innerhalb von AWS Organizations wird durch eine Reihe von AWS-Services unterstützt, etwa AWS Security Hub, Amazon GuardDuty und AWS Backup. Diese Services ermöglichen die Freigabe von Daten für ein zentrales Konto, ihre Zugänglichkeit von einem zentralen Konto aus sowie die Verwaltung von Ressourcen und Daten von einem zentralen Konto aus. Beispielsweise kann AWS Security Hub Ergebnisse von einzelnen Konten auf ein zentrales Konto übertragen, wo Sie alle Ergebnisse einsehen können. AWS Backup kann eine Sicherungskopie einer Ressource kontoübergreifend freigeben. Sie können mit AWS Resource Access Manager
Um Ihr Konto so zu beschränken, dass nur Ressourcen innerhalb Ihrer Organisation gemeinsam genutzt werden, verwenden Sie Service-Kontrollrichtlinien (SCP), um den Zugriff auf externe Prinzipale zu verhindern. Kombinieren Sie bei der gemeinsamen Nutzung von Ressourcen identitätsbasierte Kontrollen und Netzwerkkontrollen, um einen Datenperimeter für Ihre Organisation zu schaffen, der zum Schutz vor unbeabsichtigtem Zugriff beiträgt. Ein Datenperimeter ist ein Satz von präventiven Maßnahmen zum Integritätsschutz, die dabei helfen, sicherzustellen, dass nur vertrauenswürdige Identitäten aus erwarteten Netzwerken auf vertrauenswürdige Ressourcen zugreifen. Diese Kontrollen begrenzen, welche Ressourcen gemeinsam genutzt werden, und verhindern die gemeinsame Nutzung oder Offenlegung von Ressourcen, die nicht zugelassen werden sollten. Als Teil Ihres Datenperimeters können Sie beispielsweise VPC-Endpunktrichtlinien und die AWS:PrincipalOrgId
-Bedingung verwenden, um sicherzustellen, dass die Identitäten, die auf Ihre Amazon S3-Buckets zugreifen, zu Ihrer Organisation gehören. Es ist wichtig zu beachten, dass SCPs nicht für servicebezogene Rollen oder AWS-Service-Prinzipale gelten.
Wenn Sie Amazon S3 verwenden, deaktivieren Sie ACLs für Ihren Amazon S3-Bucket und definieren Sie die Zugriffskontrolle mithilfe von IAM-Richtlinien. Zum Beschränken des Zugriffs auf Amazon-S3-Inhalte von Amazon CloudFront
In manchen Fällen möchten Sie möglicherweise die Freigabe von Ressourcen außerhalb Ihrer Organisation zulassen oder einer Drittpartei den Zugriff auf Ihre Ressourcen gewähren. Verbindliche Anleitungen zur Verwaltung von Berechtigungen für die externe gemeinsame Nutzung von Ressourcen finden Sie unter Verwaltung von Berechtigungen.
Implementierungsschritte
-
Verwenden Sie AWS Organizations.
AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer von Ihnen erstellten und zentral verwalteten Organisation konsolidieren können. Sie können Ihre Konten in Organisationseinheiten (OUs) gruppieren und jeder OU unterschiedliche Richtlinien zuweisen, um Ihre Budget-, Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie können auch steuern, wie AWS-Services für künstliche Intelligenz (KI) und Machine Learning (ML) Daten erfassen und speichern können, und die Mehrkonten-Verwaltung der mit Organizations integrierten AWS-Services verwenden.
-
Integrieren Sie AWS Organizations in AWS-Services.
Wenn Sie einen AWS-Service zur Ausführung von Aufgaben in Ihrem Namen in den Mitgliedskonten Ihrer Organisation verwenden, erstellt AWS Organizations in jedem Mitgliedskonto eine serviceverknüpfte IAM-Rolle für den jeweiligen Service. Sie sollten den vertrauenswürdigen Zugriff mit der AWS Management Console, den AWS-APIs oder der AWS CLI verwalten. Verbindliche Anleitungen zur Aktivierung des vertrauenswürdigen Zugriffs finden Sie unter Verwendung von AWS Organizations mit anderen AWS-Services und unter AWS-Services, die Sie mit Organizations verwenden können.
-
Richten Sie einen Datenperimeter ein.
Der AWS-Perimeter wird typischerweise als von AWS Organizations verwaltete Organisation repräsentiert. Zusammen mit On-Premises-Netzwerken und -Systemen ist der Zugriff auf AWS-Ressourcen das, was viele als den Perimeter von My AWS bezeichnen. Das Ziel des Perimeters besteht darin, zu überprüfen, ob der Zugriff erlaubt ist, wenn die Identität und die Ressource vertrauenswürdig sind und es sich um ein erwartetes Netzwerk handelt.
-
Definieren und implementieren Sie die Perimeter.
Folgen Sie für jede Autorisierungsbedingung den unter Perimeter-Implementierung im Whitepaper „Aufbau eines Perimeters in AWS“ beschriebenen Schritten. Verbindliche Anleitungen zum Schutz der Netzwerkschicht finden Sie unter Schutz von Netzwerken.
-
Sorgen Sie für kontinuierliche Überwachung und Benachrichtigung.
AWS Identity and Access Management Access Analyzer hilft bei der Identifizierung von Ressourcen in Ihrer Organisation und Ihren Konten, die mit externen Entitäten geteilt werden. Sie können IAM Access Analyzer in AWS Security Hub integrieren, um Ergebnisse für eine Ressource von IAM Access Analyzer an Security Hub zu senden und zu aggregieren, um den Sicherheitsstatus Ihrer Umgebung zu analysieren. Zur Integration müssen Sie in allen Regionen in allen Konten sowohl IAM Access Analyzer als auch Security Hub aktivieren. Sie können auch AWS-Config-Regeln verwenden, um die Konfiguration zu überprüfen, und die entsprechende Partei mithilfe von AWS Chatbot mit AWS Security Hub
warnen. Anschließend können Sie AWS Systems Manager-Automatisierungsdokumente verwenden, um Ressourcen zu korrigieren, die den Anforderungen nicht entsprechen. -
Eine verbindliche Anleitung zur kontinuierlichen Überwachung und Meldung von extern gemeinsam genutzten Ressourcen finden Sie unter Analysieren des öffentlichen und kontoübergreifenden Zugriffs.
-
-
Nutzen Sie die gemeinsame Nutzung von Ressourcen in AWS-Services und legen Sie entsprechende Einschränkungen fest.
Viele AWS-Services ermöglichen es Ihnen, Ressourcen mit einem anderen Konto gemeinsam zu nutzen oder eine Ressource in einem anderen Konto als Ziel zu verwenden, z. B. Amazon Machine Images (AMIs) und AWS Resource Access Manager (AWS RAM). Beschränken Sie die
ModifyImageAttribute
-API auf die Angabe der vertrauenswürdigen Konten, mit denen das AMI geteilt werden soll. Geben Sie bei der Verwendung von AWS RAM dieram:RequestedAllowsExternalPrincipals
-Bedingung an, um die gemeinsame Nutzung nur auf Ihre Organisation zu beschränken, sodass der Zugriff durch nicht vertrauenswürdige Identitäten verhindert wird. Verbindliche Hinweise und Überlegungen finden Sie unter Gemeinsame Nutzung von Ressourcen und externe Ziele. -
Verwenden Sie AWS RAM, um Inhalte sicher in einem Konto oder mit anderen AWS-Konten zu teilen.
AWS RAM
unterstützt die sichere Freigabe der Ressourcen, die Sie erstellt haben, an Rollen und Benutzer in Ihrem Konto sowie an andere AWS-Konten. In einer Mehrkonten-Umgebung ermöglicht AWS RAM die einmalige Erstellung einer Ressource und ihre Freigabe für andere Konten. Dies reduziert Ihren operationalen Aufwand und sorgt für Konsistenz, Transparenz und Prüfbarkeit durch Integrationen mit Amazon CloudWatch und AWS CloudTrail, die bei Verwendung eines kontoübergreifenden Zugriffs nicht möglich sind. Wenn Sie über Ressourcen verfügen, die Sie zuvor mithilfe einer ressourcenbasierten Richtlinie gemeinsam genutzt haben, können Sie die
PromoteResourceShareCreatedFromPolicy
-API oder eine gleichwertige Lösung verwenden, um die gemeinsame Nutzung auf eine vollständige AWS RAM-Ressourcenfreigabe hochzustufen.In manchen Fällen müssen Sie möglicherweise weitere Schritte unternehmen, um Ressourcen freizugeben. Um beispielsweise einen verschlüsselten Snapshot zu teilen, müssen Sie einen AWS KMS-Schlüssel freigeben.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Tools: