SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen - AWS Well-Architected Framework

SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen

Wenden Sie bei der Entwicklung und Bereitstellung von Sicherheitskontrollen, die in Ihren AWS-Umgebungen Standard sind, moderne DevOps-Verfahren an.  Definieren Sie Standard-Sicherheitskontrollen und -konfigurationen mithilfe von Infrastructure as Code (IaC)-Vorlagen, erfassen Sie Änderungen in einem Versionskontrollsystem, testen Sie Änderungen als Teil einer CI/CD-Pipeline und automatisieren Sie die Bereitstellung von Änderungen in Ihren AWS-Umgebungen.

Gewünschtes Ergebnis: IaC-Vorlagen erfassen standardisierte Sicherheitskontrollen und übergeben sie an ein Versionskontrollsystem.  CI/CD-Pipelines sind an Stellen vorhanden, die Änderungen erkennen und das Testen und Bereitstellen Ihrer AWS-Umgebungen automatisieren.  Mechanismen zum Integritätsschutz erkennen und warnen vor Fehlkonfigurationen in Vorlagen, bevor die Bereitstellung erfolgt.  Workloads werden in Umgebungen bereitgestellt, in denen Standardkontrollen vorhanden sind.  Die Teams können genehmigte Servicekonfigurationen über einen Selfservice-Mechanismus bereitstellen.  Die Strategien zur Gewährleistung der Sicherheit bei der Sicherung und Wiederherstellung von Kontrollkonfigurationen, Skripten und zugehörigen Daten sind etabliert.

Typische Anti-Muster:

  • Manuelle Änderungen an Ihren Standard-Sicherheitskontrollen über eine Webkonsole oder eine Befehlszeilenschnittstelle.

  • Sich darauf verlassen, dass die einzelnen Workload-Teams die von einem zentralen Team festgelegten Kontrollen manuell umsetzen.

  • Sich auf ein zentrales Sicherheitsteam verlassen, das auf Anfrage eines Workload-Teams Kontrollen auf Workload-Ebene bereitstellt.

  • Erlauben, dass dieselben Personen oder Teams Automatisierungsskripte für die Sicherheitskontrolle entwickeln, testen und bereitstellen, ohne dass eine angemessene Aufgabentrennung oder gegenseitige Kontrolle stattfindet. 

Vorteile der Nutzung dieser bewährten Methode: Die Verwendung von Vorlagen zur Definition Ihrer Standard-Sicherheitskontrollen ermöglicht es Ihnen, Änderungen im Laufe der Zeit mithilfe eines Versionskontrollsystems zu verfolgen und zu vergleichen.  Der Einsatz von Automatisierung zum Testen und Bereitstellen von Änderungen schafft Standardisierung und Vorhersehbarkeit, erhöht die Chancen auf eine erfolgreiche Bereitstellung und reduziert manuelle, sich wiederholende Aufgaben.  Durch die Bereitstellung eines Selfservice-Mechanismus für Workload-Teams zur Bereitstellung genehmigter Services und Konfigurationen wird das Risiko von Fehlkonfigurationen und Missbrauch verringert. Das hilft ihnen auch dabei, Kontrollen früher in den Entwicklungsprozess einzubauen.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel

Implementierungsleitfaden

Wenn Sie die in SEC01-BP01 Trennen von Workloads mithilfe von Konten beschriebenen Methoden befolgen, erhalten Sie am Ende mehrere AWS-Konten-Konten für verschiedene Umgebungen, die Sie mit AWS Organizations verwalten.  Auch wenn jede dieser Umgebungen und Workloads unterschiedliche Sicherheitskontrollen erfordert, können Sie einige Sicherheitskontrollen in Ihrer Organisation standardisieren.  Beispiele hierfür sind die Integration zentraler Identitätsanbieter, die Definition von Netzwerken und Firewalls und die Konfiguration von Standardorten für die Speicherung und Analyse von Protokollen.  Analog zur Anwendung von Infrastructure as Code (IaC) zur Anwendung der gleichen strikten Vorgehensweise bei der Entwicklung von Anwendungscode auf die Bereitstellung der Infrastruktur können Sie IaC auch zur Definition und Bereitstellung Ihrer Standard-Sicherheitskontrollen verwenden.

Definieren Sie Ihre Sicherheitskontrollen nach Möglichkeit deklarativ, wie z. B. in AWS CloudFormation, und speichern Sie sie in einem Versionskontrollsystem.  Nutzen Sie DevOps-Methoden, um die Bereitstellung Ihrer Kontrollen zu automatisieren und so besser vorhersehbare Releases, automatisierte Tests mit Tools wie AWS CloudFormation Guard und die Erkennung von Abweichungen zwischen Ihren bereitgestellten Kontrollen und der gewünschten Konfiguration zu ermöglichen.  Sie können Services wie AWS CodePipeline, AWS CodeBuild und AWS CodeDeploy verwenden, um eine CI/CD-Pipeline zu erstellen. Berücksichtigen Sie die Hinweise in Organizing Your AWS Environment Using Multiple Accounts, um diese Services in eigenen Konten separat von anderen Bereitstellungspipelines zu konfigurieren.

Sie können auch Vorlagen definieren, um die Definition und Bereitstellung von AWS-Konten, Services und Konfigurationen zu standardisieren.  Diese Technik ermöglicht es einem zentralen Sicherheitsteam, diese Definitionen zu verwalten und sie den Workload-Teams über einen Selfservice-Ansatz zur Verfügung zu stellen.  Eine Möglichkeit, dies zu erreichen, ist die Verwendung von Service Catalog, wo Sie Vorlagen als Produkte veröffentlichen können, die Workload-Teams in ihre eigenen Pipeline-Bereitstellungen einbinden können.  Wenn Sie AWS Control Tower verwenden, sind einige Vorlagen und Kontrollen als Ausgangspunkt verfügbar.  Control Tower bietet zudem die Funktion Account Factory, mit der Workload-Teams neue AWS-Konten-Konten unter Verwendung der von Ihnen definierten Standards erstellen können.  Mit dieser Funktion sind Sie nicht mehr auf ein zentrales Team angewiesen, das neue Konten genehmigt und anlegt, wenn diese von Ihren Workload-Teams als notwendig erachtet werden.  Sie benötigen diese Konten möglicherweise, um verschiedene Workload-Komponenten zu isolieren, z. B. aufgrund ihrer Funktion, der Sensibilität der verarbeiteten Daten oder ihres Verhaltens.

Implementierungsschritte

  1. Legen Sie fest, wie Sie Ihre Vorlagen in einem Versionskontrollsystem speichern und pflegen wollen.

  2. Erstellen Sie CI/CD-Pipelines zum Testen und Bereitstellen Ihrer Vorlagen.  Definieren Sie Tests, um zu prüfen, ob Fehlkonfigurationen vorliegen und ob die Vorlagen den Standards Ihres Unternehmens entsprechen.

  3. Erstellen Sie einen Katalog mit standardisierten Vorlagen für Workload-Teams zur Bereitstellung von AWS-Konten und -Services gemäß Ihren Anforderungen.

  4. Implementieren Sie sichere Sicherungs- und Wiederherstellungsstrategien für die Konfiguration Ihrer Kontrollen, Skripte und zugehörigen Daten.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Beispiele:

Zugehörige Tools: