SEC06-BP05 Automatisieren des Datenverarbeitungsschutzes
Automatisieren Sie den Datenverarbeitungsschutz, um das Erfordernis menschlichen Eingreifens zu reduzieren. Nutzen Sie automatisierte Scans, um potenzielle Probleme in Ihren Datenverarbeitungsressourcen zu erkennen und mit automatisierten programmatischen Reaktionen oder Flottenmanagement-Vorgängen zu beheben. Integrieren Sie die Automatisierung in Ihre CI/CD-Prozesse, um vertrauenswürdige Workloads mit aktuellen Abhängigkeiten bereitzustellen.
Gewünschtes Ergebnis: Automatisierte Systeme führen alle Scans und Patches von Datenverarbeitungsressourcen durch. Sie verwenden die automatische Überprüfung, um sicherzustellen, dass Software-Images und Abhängigkeiten aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Workloads werden automatisch auf aktuelle Abhängigkeiten geprüft und signiert, um die Vertrauenswürdigkeit in AWS-Datenverabeitungsumgebungen zu gewährleisten. Automatisierte Abhilfemaßnahmen werden eingeleitet, wenn nicht konforme Ressourcen entdeckt werden.
Typische Anti-Muster:
-
Verfolgen des Ansatzes einer unveränderlichen Infrastruktur, aber ohne eine Lösung für Notfall-Patches oder den Austausch von Produktionssystemen
-
Verwenden von Automatisierung, um falsch konfigurierte Ressourcen zu korrigieren, ohne dass ein manueller Überschreibungsmechanismus vorhanden ist Es können Situationen entstehen, in denen Sie die Anforderungen anpassen müssen, und es kann sein, dass Sie die Automatisierungen aussetzen müssen, bis Sie diese Änderungen vorgenommen haben.
Vorteile der Nutzung dieser bewährten Methode: Die Automatisierung kann das Risiko des unbefugten Zugriffs und der Nutzung Ihrer Datenverarbeitungsressourcen verringern. Sie hilft zu verhindern, dass Fehlkonfigurationen in Produktionsumgebungen gelangen, und Fehlkonfigurationen zu erkennen und zu beheben, wenn sie auftreten. Die Automatisierung hilft auch bei der Erkennung von unbefugtem Zugriff und der Nutzung von Datenverarbeitungsressourcen, um Ihre Reaktionszeit zu verkürzen. Dies wiederum kann den Gesamtumfang der Auswirkungen des Problems verringern.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Sie können die in den Methoden der Sicherheitssäule beschriebenen Automatisierungen zum Schutz Ihrer Datenverarbeitungsressourcen anwenden. In SEC06-BP01 Schwachstellenmanagement wird beschrieben, wie Sie Amazon Inspector
Die Automatisierung spielt auch eine Rolle bei der Bereitstellung von Workloads, die vertrauenswürdig sind. Dies wird in SEC06-BP02 Bereitstellen von Datenverarbeitung über gehärtete Images und SEC06-BP04 Validieren der Softwareintegrität beschrieben. Sie können Services wie EC2 Image Builder
Über diese präventiven Kontrollen hinaus können Sie die Automatisierung auch bei den detektivischen Kontrollen für Ihre Datenverarbeitungsressourcen einsetzen. Ein Beispiel: AWS Security Hub
Implementierungsschritte
-
Automatisieren Sie die Erstellung sicherer, konformer und gehärteter AMIs mit EC2 Image Builder. Sie können Images erstellen, die Kontrollen aus den Center for Internet Security (CIS)-Benchmarks oder Security Technical Implementation Guide (STIG)-Standards aus Basis- AWS und APN-Partner-Images enthalten.
-
Automatische Konfigurationsverwaltung. Erzwingen und validieren Sie sichere Konfigurationen in Ihren Datenverarbeitungsressourcen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.
-
Automatisiertes Konfigurationsmanagement mit AWS Config
-
Automatisiertes Sicherheits- und Compliance-Management mit AWS Security Hub
-
-
Automatisieren Sie das Patchen oder Ersetzen von Amazon Elastic Compute Cloud (Amazon EC2)-Instances. AWS Systems Manager Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patchmanager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen.
-
Automatisieren Sie das Scannen von Datenverarbeitungsressourcen auf häufige Schwachstellen und Gefährdungen (CVEs) und betten Sie Sicherheitsscan-Lösungen in Ihre Build-Pipeline ein.
-
Ziehen Sie Amazon GuardDuty für die automatische Erkennung von Malware und Bedrohungen in Betracht, um Datenverarbeitungsressourcen zu schützen. GuardDuty kann außerdem mögliche Probleme identifizieren, wenn eine AWS Lambda-Funktion in Ihrer AWS-Umgebung aufgerufen wird.
-
Ziehen Sie AWS-Partnerlösungen in Betracht. AWS -Partner bieten branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos: