SEC06-BP05 Automatisieren des Datenverarbeitungsschutzes - AWS Well-Architected Framework

SEC06-BP05 Automatisieren des Datenverarbeitungsschutzes

Automatisieren Sie den Datenverarbeitungsschutz, um das Erfordernis menschlichen Eingreifens zu reduzieren. Nutzen Sie automatisierte Scans, um potenzielle Probleme in Ihren Datenverarbeitungsressourcen zu erkennen und mit automatisierten programmatischen Reaktionen oder Flottenmanagement-Vorgängen zu beheben.  Integrieren Sie die Automatisierung in Ihre CI/CD-Prozesse, um vertrauenswürdige Workloads mit aktuellen Abhängigkeiten bereitzustellen.

Gewünschtes Ergebnis: Automatisierte Systeme führen alle Scans und Patches von Datenverarbeitungsressourcen durch. Sie verwenden die automatische Überprüfung, um sicherzustellen, dass Software-Images und Abhängigkeiten aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Workloads werden automatisch auf aktuelle Abhängigkeiten geprüft und signiert, um die Vertrauenswürdigkeit in AWS-Datenverabeitungsumgebungen zu gewährleisten.  Automatisierte Abhilfemaßnahmen werden eingeleitet, wenn nicht konforme Ressourcen entdeckt werden. 

Typische Anti-Muster:

  • Verfolgen des Ansatzes einer unveränderlichen Infrastruktur, aber ohne eine Lösung für Notfall-Patches oder den Austausch von Produktionssystemen

  • Verwenden von Automatisierung, um falsch konfigurierte Ressourcen zu korrigieren, ohne dass ein manueller Überschreibungsmechanismus vorhanden ist  Es können Situationen entstehen, in denen Sie die Anforderungen anpassen müssen, und es kann sein, dass Sie die Automatisierungen aussetzen müssen, bis Sie diese Änderungen vorgenommen haben.

Vorteile der Nutzung dieser bewährten Methode: Die Automatisierung kann das Risiko des unbefugten Zugriffs und der Nutzung Ihrer Datenverarbeitungsressourcen verringern.  Sie hilft zu verhindern, dass Fehlkonfigurationen in Produktionsumgebungen gelangen, und Fehlkonfigurationen zu erkennen und zu beheben, wenn sie auftreten.  Die Automatisierung hilft auch bei der Erkennung von unbefugtem Zugriff und der Nutzung von Datenverarbeitungsressourcen, um Ihre Reaktionszeit zu verkürzen.  Dies wiederum kann den Gesamtumfang der Auswirkungen des Problems verringern.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Sie können die in den Methoden der Sicherheitssäule beschriebenen Automatisierungen zum Schutz Ihrer Datenverarbeitungsressourcen anwenden. In SEC06-BP01 Schwachstellenmanagement wird beschrieben, wie Sie Amazon Inspector sowohl in Ihren CI/CD-Pipelines als auch für die kontinuierliche Überprüfung Ihrer Laufzeitumgebungen auf bekannte CVEs (Common Vulnerabilities and Exposures) einsetzen können.  Sie können AWSSystems Manager verwenden, um Patches anzuwenden oder neue Images über automatisierte Runbooks bereitzustellen, damit Ihre Computerflotte stets mit der neuesten Software und den neuesten Bibliotheken ausgestattet ist.  Nutzen Sie diese Techniken, um den Bedarf an manuellen Prozessen und interaktivem Zugriff auf Ihre Datenverarbeitungsressourcen zu reduzieren.  Weitere Informationen finden Sie unter Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs.

Die Automatisierung spielt auch eine Rolle bei der Bereitstellung von Workloads, die vertrauenswürdig sind. Dies wird in SEC06-BP02 Bereitstellen von Datenverarbeitung über gehärtete Images und SEC06-BP04 Validieren der Softwareintegrität beschrieben.  Sie können Services wie EC2 Image Builder, AWS Signer, AWS CodeArtifact und Amazon Elastic Container Registry (ECR) verwenden, um gehärtete und genehmigte Images und Code-Abhängigkeiten herunterzuladen, zu überprüfen, zu erstellen und zu speichern.   Neben Inspector kann jeder von ihnen eine Rolle in Ihrem CI/CD-Prozess spielen, sodass Ihr Workload nur dann in die Produktion geht, wenn sichergestellt ist, dass seine Abhängigkeiten aktuell sind und aus vertrauenswürdigen Quellen stammen.  IIhr Workload ist außerdem signiert, damit AWS-Datenverarbeitungsumgebungen wie AWS Lambda und Amazon Elastic Kubernetes Service (EKS) überprüfen können, dass er nicht manipuliert wurde, bevor sie ihn ausführen.

Über diese präventiven Kontrollen hinaus können Sie die Automatisierung auch bei den detektivischen Kontrollen für Ihre Datenverarbeitungsressourcen einsetzen.  Ein Beispiel: AWS Security Hub bietet den Standard NIST 800-53 Rev. 5, der Prüfungen wie [EC2.8] EC2 instances should use Instance Metadata Service Version 2 (IMDSv2) enthält.  IMDSv2 verwendet die Techniken der Sitzungsauthentifizierung, des Blockierens von Anfragen, die einen X-Forwarded-For HTTP-Header enthalten, und eine Netzwerk-TTL von 1, um den von externen Quellen stammenden Datenverkehr zum Abrufen von Informationen über die EC2-Instance zu stoppen. Diese Prüfung in Security Hub kann erkennen, wenn EC2 Instances IMDSv1 verwenden und eine automatische Abhilfe einleiten. Weitere Informationen zur automatisierten Erkennung und zu Abhilfemaßnahmen finden Sie unter SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen.

Implementierungsschritte

  1. Automatisieren Sie die Erstellung sicherer, konformer und gehärteter AMIs mit EC2 Image Builder.  Sie können Images erstellen, die Kontrollen aus den Center for Internet Security (CIS)-Benchmarks oder Security Technical Implementation Guide (STIG)-Standards aus Basis- AWS und APN-Partner-Images enthalten.

  2. Automatische Konfigurationsverwaltung. Erzwingen und validieren Sie sichere Konfigurationen in Ihren Datenverarbeitungsressourcen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. 

    1. Automatisiertes Konfigurationsmanagement mit AWS Config

    2. Automatisiertes Sicherheits- und Compliance-Management mit AWS Security Hub

  3. Automatisieren Sie das Patchen oder Ersetzen von Amazon Elastic Compute Cloud (Amazon EC2)-Instances. AWS Systems Manager Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patchmanager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen.

  4. Automatisieren Sie das Scannen von Datenverarbeitungsressourcen auf häufige Schwachstellen und Gefährdungen (CVEs) und betten Sie Sicherheitsscan-Lösungen in Ihre Build-Pipeline ein.

  5. Ziehen Sie Amazon GuardDuty für die automatische Erkennung von Malware und Bedrohungen in Betracht, um Datenverarbeitungsressourcen zu schützen. GuardDuty kann außerdem mögliche Probleme identifizieren, wenn eine AWS Lambda-Funktion in Ihrer AWS-Umgebung aufgerufen wird. 

  6. Ziehen Sie AWS-Partnerlösungen in Betracht. AWS -Partner bieten branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos: