SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand - AWS Well-Architected Framework

SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand

Nutzen Sie Automatisierung, um Daten im Ruhezustand zu validieren und zu kontrollieren.  Nutzen Sie automatisierte Scans, um Fehlkonfigurationen Ihrer Datenspeicherlösungen zu erkennen, und führen Sie, wenn möglich, Abhilfemaßnahmen durch automatisierte programmatische Reaktionen durch.  Integrieren Sie Automatisierung in Ihre CI/CD-Prozesse, um Fehlkonfigurationen des Datenspeichers zu erkennen, bevor sie in der Produktion bereitgestellt werden.

Gewünschtes Ergebnis: Automatisierte Systeme scannen und überwachen Datenspeicherorte auf falsch konfigurierte Steuerungen, unbefugten Zugriff und unerwartete Nutzung.  Bei Erkennung falsch konfigurierter Speicherorte werden automatische Abhilfemaßnahmen initiiert.  Automatisierte Prozesse erstellen Daten-Backups und speichern unveränderliche Kopien außerhalb der ursprünglichen Umgebung.

Typische Anti-Muster:

  • Keine Berücksichtigung von Optionen zur Aktivierung der Verschlüsselung in den Standardeinstellungen, sofern unterstützt.

  • Keine Berücksichtigung von Sicherheitsereignissen neben den betrieblichen Ereignissen bei der Formulierung einer automatisierten Backup- und Wiederherstellungsstrategie.

  • Keine Erzwingung der Einstellungen für den öffentlichen Zugriff auf Speicher-Services.

  • Keine Überwachung und Prüfung Ihrer Kontrollen zum Schutz von Daten im Ruhezustand.

Vorteile der Nutzung dieser bewährten Methode: Die Automatisierung trägt dazu bei, das Risiko falsch konfigurierter Datenspeicherorte zu vermeiden. Dadurch wird verhindert, dass Fehlkonfigurationen in Ihre Produktionsumgebungen gelangen. Diese bewährte Methode trägt außerdem dazu bei, gegebenenfalls vorhandene Fehlkonfigurationen zu erkennen und zu beheben. 

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden 

Die Automatisierung zieht sich wie ein roter Faden durch die Praktiken zum Schutz Ihrer Daten im Ruhezustand. In SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen wird beschrieben, wie Sie die Konfiguration Ihrer Ressourcen mithilfe von IaC-Vorlagen (Infrastructure as Code) erfassen können – etwa mit AWS CloudFormation.  Diese Vorlagen werden in ein Versionskontrollsystem übertragen und zur Bereitstellung von Ressourcen in AWS über eine CI/CD-Pipeline verwendet.  Diese Techniken gelten auch für die Automatisierung der Konfiguration Ihrer Datenspeicherlösungen (zum Beispiel für Verschlüsselungseinstellungen für Amazon-S3-Buckets).  

Sie können die Einstellungen, die Sie in Ihren IaC-Vorlagen definieren, mithilfe von Regeln in AWS CloudFormation Guard auf Fehlkonfigurationen in Ihren CI/CD-Pipelines überprüfen.  Mit AWS Config können Sie Einstellungen, die in CloudFormation oder anderen IaC-Tools noch nicht verfügbar sind, auf Fehlkonfigurationen überwachen.  Für Fehlkonfigurationen generierte Warnungen können automatisch behandelt werden, wie in SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen beschrieben.

Der Einsatz von Automatisierung als Teil Ihrer Strategie zur Verwaltung von Berechtigungen ist ebenfalls ein wesentlicher Bestandteil des automatisierten Datenschutzes. Unter SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen und SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen erfahren Sie, wie Sie Richtlinien für Zugriff mit den geringsten Rechten konfigurieren, die kontinuierlich von AWS Identity and Access Management Access Analyzer überwacht werden, um Erkenntnisse zu generieren, wenn die Berechtigung reduziert werden kann.  Neben der Automatisierung zur Überwachung von Berechtigungen können Sie Amazon GuardDuty für die Überwachung auf anomales Datenzugriffsverhalten für Ihre EBS-Volumes (über eine EC2-Instance) sowie für Ihre S3-Buckets und für unterstützte Amazon-Relational-Database-Service-Datenbanken konfigurieren.

Automatisierung spielt auch eine Rolle bei der Erkennung, ob sensible Daten an nicht autorisierten Orten gespeichert sind. Unter SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung wird beschrieben, wie Amazon Macie Ihre S3-Buckets auf unerwartete sensible Daten überwachen und Warnungen generieren kann, die eine automatisierte Reaktion initiieren können.

Orientieren Sie sich an den Vorgehensweisen unter REL09 Sichern von Daten, um eine Strategie für eine automatisierte Datensicherung und -wiederherstellung zu entwickeln. Datensicherung und -wiederherstellung sind für die Wiederherstellung nach Sicherheitsereignissen ebenso wichtig wie für betriebliche Ereignisse.

Implementierungsschritte

  1. Erfassen Sie die Datenspeicherkonfiguration in IaC-Vorlagen.  Verwenden Sie automatische Prüfungen in Ihren CI/CD-Pipelines, um Fehlkonfigurationen zu erkennen.

    1. Sie können diese Lösung für Ihre IaC-Vorlagen verwenden und mithilfe von CloudFormation Guard Vorlagen auf Fehlkonfigurationen überprüfen.

    2. Verwenden Sie AWS Config, um Regeln in einem proaktiven Auswertungsmodus auszuführen. Verwenden Sie diese Einstellung, um die Konformität einer Ressource vor der Erstellung als Schritt in Ihrer CI/CD-Pipeline zu prüfen.

  2. Überwachen Sie Ressourcen auf Fehlkonfigurationen des Datenspeichers.

    1. Konfigurieren Sie AWS Config so, dass Datenspeicherressourcen auf Änderungen der Kontrollkonfigurationen überwacht und Warnungen generiert werden, um Abhilfemaßnahmen aufzurufen, wenn eine Fehlkonfiguration erkannt wird.

    2. Weitere Hinweise zu automatischen Abhilfemaßnahmen finden Sie unter SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen.

  3. Überwachen und reduzieren Sie die Datenzugriffsberechtigungen kontinuierlich durch Automatisierung.

    1. IAM Access Analyzer kann kontinuierlich ausgeführt werden, um Warnungen zu generieren, wenn gegebenenfalls eine Reduzierung der Berechtigungen möglich ist.

  4. Überwachen Sie anomales Datenzugriffsverhalten und geben Sie entsprechende Warnungen aus.

    1. GuardDuty überwacht sowohl bekannte Bedrohungssignaturen als auch Abweichungen vom Baseline-Verhalten beim Zugriff auf Datenspeicherressourcen wie EBS-Volumes, S3-Buckets und RDS-Datenbanken.

  5. Überwachen Sie sensible Daten, die an unerwarteten Orten gespeichert sind, und geben Sie entsprechende Warnungen aus.

    1. Verwenden Sie Amazon Macie, um Ihre S3-Buckets kontinuierlich auf sensible Daten zu überprüfen.

  6. Automatisieren Sie sichere und verschlüsselte Backups Ihrer Daten.

    1. AWS Backup ist ein verwalteter Service, der verschlüsselte und sichere Backups verschiedener Datenquellen in AWS erstellt.  Mit Elastic Disaster Recovery können Sie vollständige Server-Workloads kopieren und einen kontinuierlichen Datenschutz mit einem in Sekunden gemessenen Recovery Point Objective (RPO) gewährleisten.  Sie können beide Services so konfigurieren, dass sie zusammenarbeiten, um die Erstellung von Daten-Backups und das Kopieren der Daten an Failover-Standorte zu automatisieren.  Dies kann dazu beitragen, dass Ihre Daten auch dann verfügbar bleiben, wenn sie durch betriebliche oder sicherheitsrelevante Ereignisse beeinträchtigt werden.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Beispiele:

Zugehörige Tools: