SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation

Wenn die Anzahl der Workloads zunimmt, müssen Sie möglicherweise den Zugriff auf Ressourcen in diesen Workloads ausweiten oder diese Ressourcen mehrfach über mehrere Konten hinweg zugänglich machen. Möglicherweise haben Sie Konstrukte zur Untergliederung Ihrer Umgebung, etwa für Entwicklungs-, Test- und Produktionsumgebungen. Solche Trennungskonstrukte schränken Sie jedoch nicht in der Lage ein, sicher zu teilen. Durch die gemeinsame Nutzung sich überschneidender Ressourcen können Sie übermäßigen betrieblichen Aufwand reduzieren und eine konsistente Umgebung schaffen, ohne dass Sie raten müssen, was Sie vielleicht versäumt haben, wenn Sie eine Ressource mehrmals erstellen.

Gewünschtes Ergebnis: Minimierung unbeabsichtigter Zugriffe durch Verwendung sicherer Verfahren für die Freigabe von Ressourcen innerhalb Ihrer Organisation und die Unterstützung Ihrer Initiative zur Verhinderung von Datenverlusten. Reduzieren Sie Ihren organisatorischen Aufwand gegenüber der Verwaltung einzelner Komponenten, senken Sie die Zahl von Fehlern durch das manuelle mehrmalige Erstellen identischer Ressourcen, und steigern Sie die Skalierbarkeit Ihrer Workloads. Sie können von kürzeren Lösungszeiten in Szenarien mit mehreren Fehlerpunkten profitieren und Ihr Vertrauen in die Bestimmung erhöhen, wann eine Komponente nicht mehr benötigt wird. Anleitungen zur Analyse extern freigegebener Ressourcen finden Sie unter SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs.

Typische Anti-Muster:

• Fehlen eines Prozesses für die kontinuierliche Überwachung und die automatische Benachrichtigung bei unerwarteten externen Freigaben

• Fehlen einer Basislinie dazu, was freigegeben werden sollte und was nicht

• die standardmäßige Verwendung einer sehr offenen Richtlinie, anstatt Ressourcen explizit freizugeben, wenn sie benötigt werden

• manuelle Erstellung grundlegender Ressourcen bei Bedarf, die sich überlappen

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: mittel

Implementierungsleitfaden

Gestalten Sie Ihre Zugriffskontrollen und -muster so, dass die Nutzung freigegebener Ressourcen kontrolliert wird und nur mit vertrauenswürdigen Entitäten möglich ist. Überwachen Sie freigegebene Ressourcen, prüfen Sie kontinuierlich den Zugriff darauf und erhalten Sie Benachrichtigungen bei unangemessenen oder unerwarteten Freigaben. Lesen Sie Analysieren öffentlicher und kontoübergreifender Zugriffe, um Richtlinien einzurichten, die externe Zugriffe auf die Ressourcen beschränken, für die dies erforderlich ist, und um einen Prozess zur kontinuierlichen Überwachung und Benachrichtigung einzurichten.

Die kontoübergreifende Freigabe innerhalb von AWS Organizations wird von einer Reihe von AWS-Services unterstützt, wie etwa AWS Security Hub, Amazon GuardDuty und AWS Backup. Diese Services ermöglichen die Freigabe von Daten für ein zentrales Konto, ihre Zugänglichkeit von einem zentralen Konto aus sowie die Verwaltung von Ressourcen und Daten von einem zentralen Konto aus. Beispielsweise kann AWS Security Hub Ergebnisse von einzelnen Konten auf ein zentrales Konto übertragen, wo Sie alle Ergebnisse einsehen können. AWS Backup kann eine Sicherungskopie einer Ressource kontoübergreifend freigeben. Sie können mit AWS Resource Access Manager (AWS RAM) weitere verbreitete Ressourcen freigeben, wie etwa VPC-Subnetze und Transit Gateway-Anhänge, AWS Network Firewall oder Amazon SageMaker-Pipelines.

Um Ihr Konto darauf zu beschränken, Ressourcen nur innerhalb Ihrer Organisation freizugeben, verwenden Sie Service Control Policies (SCPs, Service-Kontrollrichtlinien), um den Zugriff auf externe Prinzipale zu verhindern. Kombinieren Sie bei der Freigabe von Ressourcen identitätsbasierte Kontrollen und Netzwerk-Kontrollen zur Erstellung eines Datenperimeters für Ihre Organisation zum Schutz gegen unbeabsichtigte Zugriffe. Ein Datenperimeter ist ein Satz von präventiven Maßnahmen zum Integritätsschutz, die dabei helfen, sicherzustellen, dass nur vertrauenswürdige Identitäten aus erwarteten Netzwerken auf vertrauenswürdige Ressourcen zugreifen. Diese Kontrollen begrenzen, welche Ressourcen gemeinsam genutzt werden, und verhindern die gemeinsame Nutzung oder Offenlegung von Ressourcen, die nicht zugelassen werden sollten. So können Sie Beispielsweise als Teil ihres Datenperimeters VPC-Endpunktrichtlinien und die Bedingung AWS:OrincipalOrgID verwenden, um sicherzustellen, dass die auf Ihre Amazon S3-Buckets zugreifenden Identitäten zu Ihrer Organisation gehören. Es ist wichtig zu wissen, dass SCPs nicht für serviceverknüpfte Rollen (LSR) oder AWS-Service-Prinzipale gelten.

Bei Verwendung von Amazon S3 sollten Sie ACLs für Ihren Amazon S3-Bucket deaktivieren und IAM-Richtlinien für die Einrichtung der Zugriffskontrollen verwenden. Für die Einschränkung des Zugriffs auf einen Amazon S3-Ursprung von Amazon CloudFront aus migrieren Sie von der Ursprungszugriffsidentität (OAI) zur Ursprungszugriffssteuerung (OAC), die zusätzliche Funktionen wie beispielsweise die serverseitige Verschlüsselung mit AWS Key Management Service unterstützt.

In manchen Fällen möchten Sie möglicherweise die Freigabe von Ressourcen außerhalb Ihrer Organisation zulassen oder einer Drittpartei den Zugriff auf Ihre Ressourcen gewähren. Präskriptive Anleitungen zur Verwaltung von Berechtigungen für die externe Freigabe von Ressourcen finden Sie unterBerechtigungsmanagement.

Implementierungsschritte

1. Nutzen Sie AWS Organizations.

   AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten zu einer zentral erstellten und verwalteten Organisation konsolidieren können. Sie können Ihre Konten in Organisationseinheiten (OUs) gruppieren und jeder OU unterschiedliche Richtlinien zuweisen, um Ihre Budget-, Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie können auch steuern, wie AWS-Services für künstliche Intelligenz (KI) und Machine Learning (ML) Daten erfassen und speichern können, und die Mehrkonten-Verwaltung der mit Organizations integrierten AWS-Services verwenden.

2. Integrieren Sie AWS Organizations mit AWS-Services.

   Wenn Sie einen AWS-Service zur Ausführung von Aufgaben in Ihrem Namen in den Mitgliedskonten Ihrer Organisation aktivieren, erstellt AWS Organizations eine serviceverknüpfte IAM-Rolle für den jeweiligen Service in jedem Mitgliedskonto. Sie sollten den vertrauenswürdigen Zugriff mit der AWS Management Console, den AWS-APIs oder der AWS CLI verwalten. Präskriptive Anleitungen zur Einrichtung vertrauenswürdigen Zugangs finden Sie unter Verwendung von AWS Organizations mit anderen AWS-Services und unter AWS-Services, die Sie mit Organizations verwenden können.

3. Richten Sie einen Datenperimeter ein.

   Der AWS-Perimeter wird typischerweise als von AWS Organizations verwaltete Organisation repräsentiert. Zusammen mit On-Premises-Netzwerken und -Systemen ist der Zugriff auf AWS-Ressourcen das, was viele als den Perimeter von My AWS bezeichnen. Das Ziel des Perimeters besteht darin, zu überprüfen, ob der Zugriff erlaubt ist, wenn die Identität und die Ressource vertrauenswürdig sind und es sich um ein erwartetes Netzwerk handelt.

   1. Definieren und implementieren Sie die Perimeter.

      Befolgen Sie die Schritte unter Perimeter-Implementierung im Whitepaper zum Thema „Aufbau eines Perimeters in AWS“ für jede Autorisierungsbedingung. Eine präskriptive Anleitung zum Schutz von Netzwerkebenen finden Sie unter Schutz von Netzwerken.

   2. Sorgen Sie für kontinuierliche Überwachung und Benachrichtigung.

      AWS Identity and Access Management Access Analyzer hilft bei der Identifizierung von Ressourcen in Ihrer Organisation und in Konten, die gemeinsam mit externen Entitäten genutzt werden. Sie können IAM Access Analyzer mit AWS Security Hub integrieren, um Ergebnisse für eine Ressource von IAM Access Analyzer zu Security Hub zu senden und zu aggregieren und so die Sicherheitssituation ihrer Umgebung zu analysieren. Aktivieren Sie für die Integration IAM Access Analyzer und Security Hub in jeder Region und in jedem Konto. Sie können auch mit AWS-Config-Regeln die Konfiguration prüfen und die jeweilige Partei mit AWS Chatbot mit AWS Security Hub benachrichtigen. Anschließend können Sie mit Automatisierungsdokumenten von AWS Systems Manager nicht-konforme Ressourcen reparieren.

   3. Präskriptive Anleitungen zur Überwachung und kontinuierlichen Beratung zu extern freigegebenen Ressourcen finden Sie unter Analyse des öffentlichen und kontoübergreifenden Zugriffs.

4. Verwenden Sie die Ressourcenfreigabe in AWS-Services, und sorgen Sie für entsprechende Einschränkungen.

   Viele AWS-Services erlauben die Freigabe von Ressourcen für ein anderes Konto oder die Ausrichtung auf eine Ressource in einem anderen Konto, wie etwa Amazon Machine Images (AMIs) und AWS Resource Access Manager (AWS RAM). Schränken Sie die ModifyImageAttribute-API auf die Angabe der vertrauenswürdigen Konten für die Freigabe des AMI ein. Geben Sie die Bedingung ram:RequestedAllowsExternalPrincipals bei Verwendung von AWS RAM an, um die Freigabe auf Ihre Organisation zu beschränken und Zugriffe von nicht vertrauenswürdigen Entitäten zu verhindern. Präskriptive Anleitungen und Überlegungen dazu finden Sie unter Ressourcenfreigabe und externe Ziele.

5. Verwenden Sie AWS RAM für sichere Freigaben in einem Konto oder mit anderen AWS-Konten.

   AWS RAM hilft bei der sicheren Freigabe der Ressourcen, die Sie erstellt haben, mit Rollen und Benutzern in Ihrem Konto sowie mit anderen AWS-Konten. In einer Mehrkonten-Umgebung ermöglicht AWS RAM die einmalige Erstellung einer Ressource und ihre Freigabe für andere Konten. Dies reduziert Ihren operationalen Aufwand und sorgt für Konsistenz, Transparenz und Prüfbarkeit durch Integrationen mit Amazon CloudWatch und AWS CloudTrail, die bei Verwendung eines kontoübergreifenden Zugriffs nicht möglich sind.

   Wenn Sie Ressourcen bereits mit einer ressourcenbasierten Richtlinie freigegeben haben, können Sie mit der PromoteResourceShareCreatedFromPolicy-API oder einem Äquivalent die Ressourcenfreigabe zu einer vollständigen AWS RAM-Ressourcenfreigabe erhöhen.

   In manchen Fällen müssen Sie möglicherweise weitere Schritte unternehmen, um Ressourcen freizugeben. So müssen Sie etwa für die Freigabe eines verschlüsselten Snapshots einen AWS KMS-Schlüssel freigeben.

Ressourcen

Zugehörige bewährte Methoden:

• SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs

• SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten

• SEC05-BP01 Erstellen von Netzwerkebenen

Zugehörige Dokumente:

• Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt

• Verwendung von Vertrauensrichtlinien mit IAM

• Erstellen von Datenperimetern auf AWS

• Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren

• AWS-Services, die Sie mit AWS Organizations verwenden können

• Einrichten eines Datenperimeters auf AWS: Zulassen ausschließlich vertrauenswürdiger Identitäten für den Zugriff auf Unternehmensdaten

Zugehörige Videos:

• Granular Access with AWS Resource Access Manager (Granulärer Zugriff mit AWS Resource Access Manager)

• Securing your data perimeter with VPC endpoints (Schutz Ihres Datenperimeters mit VPC-Endpunkten)

• Establishing a data perimeter onAWS(Einrichten eines Datenperimeters auf AWS)

Zugehörige Tools:

• Beispiele für eine Datenperimeterrichtlinie