SEC01-BP06 Automatisieren Sie die Implementierung von Standardsicherheitskontrollen

Wenden Sie bei der Entwicklung und Implementierung von Sicherheitskontrollen, die in Ihren Umgebungen zum Standard gehören, moderne DevOps Verfahren an. AWS  Definieren Sie standardmäßige Sicherheitskontrollen und -konfigurationen mithilfe von Infrastructure as Code (IaC) -Vorlagen, erfassen Sie Änderungen in einem Versionskontrollsystem, testen Sie Änderungen als Teil einer CI/CD-Pipeline und automatisieren Sie die Implementierung von Änderungen in Ihren Umgebungen. AWS

Gewünschtes Ergebnis: IaC-Vorlagen erfassen standardisierte Sicherheitskontrollen und übergeben sie an ein Versionskontrollsystem.  CI/CD-Pipelines befinden sich an Stellen, an denen Änderungen erkannt und das Testen und Bereitstellen Ihrer Umgebungen automatisiert werden. AWS  Mechanismen zum Integritätsschutz erkennen und warnen vor Fehlkonfigurationen in Vorlagen, bevor die Bereitstellung erfolgt.  Workloads werden in Umgebungen bereitgestellt, in denen Standardkontrollen vorhanden sind.  Die Teams können genehmigte Servicekonfigurationen über einen Selfservice-Mechanismus bereitstellen.  Die Strategien zur Gewährleistung der Sicherheit bei der Sicherung und Wiederherstellung von Kontrollkonfigurationen, Skripten und zugehörigen Daten sind etabliert.

Typische Anti-Muster:

• Manuelle Änderungen an Ihren Standard-Sicherheitskontrollen über eine Webkonsole oder eine Befehlszeilenschnittstelle.

• Sich darauf verlassen, dass die einzelnen Workload-Teams die von einem zentralen Team festgelegten Kontrollen manuell umsetzen.

• Sich auf ein zentrales Sicherheitsteam verlassen, das auf Anfrage eines Workload-Teams Kontrollen auf Workload-Ebene bereitstellt.

• Erlauben, dass dieselben Personen oder Teams Automatisierungsskripte für die Sicherheitskontrolle entwickeln, testen und bereitstellen, ohne dass eine angemessene Aufgabentrennung oder gegenseitige Kontrolle stattfindet. 

Vorteile der Nutzung dieser bewährten Methode: Die Verwendung von Vorlagen zur Definition Ihrer Standard-Sicherheitskontrollen ermöglicht es Ihnen, Änderungen im Laufe der Zeit mithilfe eines Versionskontrollsystems zu verfolgen und zu vergleichen.  Der Einsatz von Automatisierung zum Testen und Bereitstellen von Änderungen schafft Standardisierung und Vorhersehbarkeit, erhöht die Chancen auf eine erfolgreiche Bereitstellung und reduziert manuelle, sich wiederholende Aufgaben.  Durch die Bereitstellung eines Selfservice-Mechanismus für Workload-Teams zur Bereitstellung genehmigter Services und Konfigurationen wird das Risiko von Fehlkonfigurationen und Missbrauch verringert. Das hilft ihnen auch dabei, Kontrollen früher in den Entwicklungsprozess einzubauen.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel

Implementierungsleitfaden

Wenn Sie die unter SEC01-BP01 Separate Workloads mithilfe von Konten beschriebenen Verfahren befolgen, werden Sie am Ende mehrere AWS-Konten für verschiedene Umgebungen verwenden, die Sie verwalten. AWS Organizations Auch wenn jede dieser Umgebungen und Workloads unterschiedliche Sicherheitskontrollen erfordert, können Sie einige Sicherheitskontrollen in Ihrer Organisation standardisieren.  Beispiele hierfür sind die Integration zentraler Identitätsanbieter, die Definition von Netzwerken und Firewalls und die Konfiguration von Standardorten für die Speicherung und Analyse von Protokollen.  Analog zur Anwendung von Infrastructure as Code (IaC) zur Anwendung der gleichen strikten Vorgehensweise bei der Entwicklung von Anwendungscode auf die Bereitstellung der Infrastruktur können Sie IaC auch zur Definition und Bereitstellung Ihrer Standard-Sicherheitskontrollen verwenden.

Definieren Sie Ihre Sicherheitskontrollen nach Möglichkeit deklarativ, wie z. B. in AWS CloudFormation, und speichern Sie sie in einem Versionskontrollsystem.  Verwenden Sie DevOps Methoden, um die Implementierung Ihrer Steuerungen zu automatisieren, um besser vorhersehbare Versionen zu erzielen. Automatisieren Sie Tests mithilfe von Tools wie AWS CloudFormation Guardund erkennen Sie Abweichungen zwischen Ihren eingesetzten Steuerungen und Ihrer gewünschten Konfiguration.  Sie können Services wie AWS CodePipeline, AWS CodeBuild und AWS CodeDeploy verwenden, um eine CI/CD-Pipeline zu erstellen. Beachten Sie die Hinweise unter Organisieren Ihrer AWS Umgebung mithilfe mehrerer Konten, um diese Dienste in eigenen Konten zu konfigurieren, die von anderen Bereitstellungspipelines getrennt sind.

Sie können auch Vorlagen definieren, um die Definition und Bereitstellung AWS-Konten, Dienste und Konfigurationen zu standardisieren.  Diese Technik ermöglicht es einem zentralen Sicherheitsteam, diese Definitionen zu verwalten und sie den Workload-Teams über einen Selfservice-Ansatz zur Verfügung zu stellen.  Eine Möglichkeit, dies zu erreichen, ist die Verwendung von Service Catalog, wo Sie Vorlagen als Produkte veröffentlichen können, die Workload-Teams in ihre eigenen Pipeline-Bereitstellungen einbinden können.  Wenn Sie AWS Control Tower verwenden, sind einige Vorlagen und Kontrollen als Ausgangspunkt verfügbar.  Control Tower bietet zudem die Funktion Account Factory, mit der Workload-Teams neue AWS-Konten -Konten unter Verwendung der von Ihnen definierten Standards erstellen können.  Mit dieser Funktion sind Sie nicht mehr auf ein zentrales Team angewiesen, das neue Konten genehmigt und anlegt, wenn diese von Ihren Workload-Teams als notwendig erachtet werden.  Sie benötigen diese Konten möglicherweise, um verschiedene Workload-Komponenten zu isolieren, z. B. aufgrund ihrer Funktion, der Sensibilität der verarbeiteten Daten oder ihres Verhaltens.

Implementierungsschritte

1. Legen Sie fest, wie Sie Ihre Vorlagen in einem Versionskontrollsystem speichern und pflegen wollen.

2. Erstellen Sie CI/CD-Pipelines zum Testen und Bereitstellen Ihrer Vorlagen.  Definieren Sie Tests, um zu prüfen, ob Fehlkonfigurationen vorliegen und ob die Vorlagen den Standards Ihres Unternehmens entsprechen.

3. Erstellen Sie einen Katalog mit standardisierten Vorlagen, die Workload-Teams entsprechend Ihren Anforderungen bereitstellen AWS-Konten und Services bereitstellen können.

4. Implementieren Sie sichere Sicherungs- und Wiederherstellungsstrategien für die Konfiguration Ihrer Kontrollen, Skripte und zugehörigen Daten.

Ressourcen

Zugehörige bewährte Methoden:

• OPS05-BP01 Verwenden Sie die Versionskontrolle

• OPS05-BP04 Verwenden Sie Build- und Deployment-Management-Systeme

• REL08-BP05 Implementieren Sie Änderungen mit Automatisierung

• SUS06-BP01 Wenden Sie Methoden an, mit denen schnell Verbesserungen der Nachhaltigkeit eingeführt werden können

Zugehörige Dokumente:

• Organisieren Sie Ihre AWS Umgebung mithilfe mehrerer Konten

Zugehörige Beispiele:

• Automatisieren Sie die Kontoerstellung und die Bereitstellung von Ressourcen mithilfe von Service Catalog AWS Organizations, und AWS Lambda

• Stärken Sie die DevOps Pipeline und schützen Sie Daten mit AWS Secrets ManagerAWS KMS, und AWS Certificate Manager

Zugehörige Tools:

• AWS CloudFormation Guard

• Landezone Accelerator aktiviert AWS