SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand
Nutzen Sie Automatisierung, um Daten im Ruhezustand zu validieren und zu kontrollieren. Nutzen Sie automatisierte Scans, um Fehlkonfigurationen Ihrer Datenspeicherlösungen zu erkennen, und führen Sie, wenn möglich, Abhilfemaßnahmen durch automatisierte programmatische Reaktionen durch. Integrieren Sie Automatisierung in Ihre CI/CD-Prozesse, um Fehlkonfigurationen des Datenspeichers zu erkennen, bevor sie in der Produktion bereitgestellt werden.
Gewünschtes Ergebnis: Automatisierte Systeme scannen und überwachen Datenspeicherorte auf falsch konfigurierte Steuerungen, unbefugten Zugriff und unerwartete Nutzung. Bei Erkennung falsch konfigurierter Speicherorte werden automatische Abhilfemaßnahmen initiiert. Automatisierte Prozesse erstellen Daten-Backups und speichern unveränderliche Kopien außerhalb der ursprünglichen Umgebung.
Typische Anti-Muster:
-
Keine Berücksichtigung von Optionen zur Aktivierung der Verschlüsselung in den Standardeinstellungen, sofern unterstützt.
-
Keine Berücksichtigung von Sicherheitsereignissen neben den betrieblichen Ereignissen bei der Formulierung einer automatisierten Backup- und Wiederherstellungsstrategie.
-
Keine Erzwingung der Einstellungen für den öffentlichen Zugriff auf Speicher-Services.
-
Keine Überwachung und Prüfung Ihrer Kontrollen zum Schutz von Daten im Ruhezustand.
Vorteile der Nutzung dieser bewährten Methode: Die Automatisierung trägt dazu bei, das Risiko falsch konfigurierter Datenspeicherorte zu vermeiden. Dadurch wird verhindert, dass Fehlkonfigurationen in Ihre Produktionsumgebungen gelangen. Diese bewährte Methode trägt außerdem dazu bei, gegebenenfalls vorhandene Fehlkonfigurationen zu erkennen und zu beheben.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Die Automatisierung zieht sich wie ein roter Faden durch die Praktiken zum Schutz Ihrer Daten im Ruhezustand. In SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen wird beschrieben, wie Sie die Konfiguration Ihrer Ressourcen mithilfe von IaC-Vorlagen (Infrastructure as Code) erfassen können – etwa mit AWS CloudFormation
Sie können die Einstellungen, die Sie in Ihren IaC-Vorlagen definieren, mithilfe von Regeln in AWS CloudFormation Guard auf Fehlkonfigurationen in Ihren CI/CD-Pipelines überprüfen. Mit AWS Config
Der Einsatz von Automatisierung als Teil Ihrer Strategie zur Verwaltung von Berechtigungen ist ebenfalls ein wesentlicher Bestandteil des automatisierten Datenschutzes. Unter SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen und SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen erfahren Sie, wie Sie Richtlinien für Zugriff mit den geringsten Rechten konfigurieren, die kontinuierlich von AWS Identity and Access Management Access Analyzer
Automatisierung spielt auch eine Rolle bei der Erkennung, ob sensible Daten an nicht autorisierten Orten gespeichert sind. Unter SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung wird beschrieben, wie Amazon Macie
Orientieren Sie sich an den Vorgehensweisen unter REL09 Sichern von Daten, um eine Strategie für eine automatisierte Datensicherung und -wiederherstellung zu entwickeln. Datensicherung und -wiederherstellung sind für die Wiederherstellung nach Sicherheitsereignissen ebenso wichtig wie für betriebliche Ereignisse.
Implementierungsschritte
-
Erfassen Sie die Datenspeicherkonfiguration in IaC-Vorlagen. Verwenden Sie automatische Prüfungen in Ihren CI/CD-Pipelines, um Fehlkonfigurationen zu erkennen.
-
Sie können diese Lösung für Ihre IaC-Vorlagen verwenden und mithilfe von CloudFormation Guard Vorlagen auf Fehlkonfigurationen überprüfen.
-
Verwenden Sie AWS Config
, um Regeln in einem proaktiven Auswertungsmodus auszuführen. Verwenden Sie diese Einstellung, um die Konformität einer Ressource vor der Erstellung als Schritt in Ihrer CI/CD-Pipeline zu prüfen.
-
-
Überwachen Sie Ressourcen auf Fehlkonfigurationen des Datenspeichers.
-
Konfigurieren Sie AWS Config
so, dass Datenspeicherressourcen auf Änderungen der Kontrollkonfigurationen überwacht und Warnungen generiert werden, um Abhilfemaßnahmen aufzurufen, wenn eine Fehlkonfiguration erkannt wird. -
Weitere Hinweise zu automatischen Abhilfemaßnahmen finden Sie unter SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen.
-
-
Überwachen und reduzieren Sie die Datenzugriffsberechtigungen kontinuierlich durch Automatisierung.
-
IAM Access Analyzer
kann kontinuierlich ausgeführt werden, um Warnungen zu generieren, wenn gegebenenfalls eine Reduzierung der Berechtigungen möglich ist.
-
-
Überwachen Sie anomales Datenzugriffsverhalten und geben Sie entsprechende Warnungen aus.
-
GuardDuty
überwacht sowohl bekannte Bedrohungssignaturen als auch Abweichungen vom Baseline-Verhalten beim Zugriff auf Datenspeicherressourcen wie EBS-Volumes, S3-Buckets und RDS-Datenbanken.
-
-
Überwachen Sie sensible Daten, die an unerwarteten Orten gespeichert sind, und geben Sie entsprechende Warnungen aus.
-
Verwenden Sie Amazon Macie
, um Ihre S3-Buckets kontinuierlich auf sensible Daten zu überprüfen.
-
-
Automatisieren Sie sichere und verschlüsselte Backups Ihrer Daten.
-
AWS Backup ist ein verwalteter Service, der verschlüsselte und sichere Backups verschiedener Datenquellen in AWS erstellt. Mit Elastic Disaster Recovery
können Sie vollständige Server-Workloads kopieren und einen kontinuierlichen Datenschutz mit einem in Sekunden gemessenen Recovery Point Objective (RPO) gewährleisten. Sie können beide Services so konfigurieren, dass sie zusammenarbeiten, um die Erstellung von Daten-Backups und das Kopieren der Daten an Failover-Standorte zu automatisieren. Dies kann dazu beitragen, dass Ihre Daten auch dann verfügbar bleiben, wenn sie durch betriebliche oder sicherheitsrelevante Ereignisse beeinträchtigt werden.
-
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Beispiele:
Zugehörige Tools: