SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand

Nutzen Sie die Automatisierung, um Daten im Ruhezustand zu validieren und zu kontrollieren.  Nutzen Sie automatisierte Scans, um Fehlkonfigurationen Ihrer Datenspeicherlösungen zu erkennen, und führen Sie, wenn möglich, Abhilfemaßnahmen durch automatisierte programmatische Reaktionen durch.  Integrieren Sie die Automatisierung in Ihre CI/CD-Prozesse, um Fehlkonfigurationen des Datenspeichers zu erkennen, bevor sie in der Produktion bereitgestellt werden.

Gewünschtes Ergebnis: Automatisierte Systeme scannen und überwachen Datenspeicher auf Fehlkonfigurationen der Kontrollen, unbefugten Zugriff und unerwartete Nutzung.  Die Erkennung von falsch konfigurierten Speicherorten leitet automatische Abhilfemaßnahmen ein.  Automatisierte Prozesse erstellen Datensicherungen und speichern unveränderliche Kopien außerhalb der ursprünglichen Umgebung.

Typische Anti-Muster:

• Keine Berücksichtigung von Optionen zur Aktivierung der Verschlüsselung in den Standardeinstellungen, sofern unterstützt.

• Keine Berücksichtigung von Sicherheitsereignissen neben den betrieblichen Ereignissen bei der Formulierung einer automatisierten Backup- und Wiederherstellungsstrategie.

• Keine Durchsetzung der Einstellungen für den öffentlichen Zugriff auf Speicherservices.

• Keine Überwachung und Prüfung Ihrer Kontrollen zum Schutz von Daten im Ruhezustand.

Vorteile der Einführung dieser bewährten Methode: Die Automatisierung hilft, das Risiko einer Fehlkonfiguration Ihrer Datenspeicher zu vermeiden. Dieses Vorgehen hilft zu verhindern, dass Fehlkonfigurationen in Ihre Produktionsumgebungen gelangen. Diese bewährte Methode trägt außerdem dazu bei, Fehlkonfigurationen zu erkennen und zu beheben, falls sie auftreten. 

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: mittel

Implementierungsleitfaden 

Die Automatisierung zieht sich wie ein roter Faden durch die Praktiken zum Schutz Ihrer Daten im Ruhezustand. SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen beschreibt, wie Sie die Konfiguration Ihrer Ressourcen mithilfe von Infrastructure as Code (IaC)-Vorlagen erfassen können, z. B. mit AWS CloudFormation.  Diese Vorlagen werden in ein Versionskontrollsystem übertragen und zur Bereitstellung von Ressourcen in AWS über eine CI/CD-Pipeline verwendet.  Diese Techniken gelten auch für die Automatisierung der Konfiguration Ihrer Datenspeicherlösungen, z. B. für die Verschlüsselungseinstellungen in Amazon S3-Buckets.  

Sie können die Einstellungen, die Sie in Ihren IaC-Vorlagen definieren, mithilfe von Regeln in AWS CloudFormation Guard auf Fehlkonfigurationen in Ihren CI/CD-Pipelines überprüfen.  Sie können Einstellungen, die noch nicht in CloudFormation oder anderen IaC-Tools verfügbar sind, mit AWS Config auf Fehlkonfigurationen überwachen.  Warnungen, die Config für Fehlkonfigurationen erzeugt, können automatisch behoben werden, wie in SEC04-BP04 Initiate remediation for non-compliant resources beschrieben.

Der Einsatz von Automatisierung als Teil Ihrer Strategie zur Verwaltung von Berechtigungen ist ebenfalls ein wesentlicher Bestandteil des automatisierten Datenschutzes. SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen und SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen beschreiben die Konfiguration von Zugriffsrichtlinien mit geringsten Berechtigungen, die kontinuierlich vom AWS Identity and Access Management Access Analyzer überwacht werden, um Erkenntnisse zu generieren, wenn die Berechtigung reduziert werden kann.  Über die Automatisierung der Überwachung von Berechtigungen hinaus können Sie Amazon GuardDuty konfigurieren, um auf anomales Datenzugriffsverhalten für Ihre EBS-Volumes (über eine EC2-Instance), S3-Buckets und unterstützte Amazon Relational Database Service-Datenbanken zu achten.

Automatisierung spielt auch eine Rolle bei der Erkennung, wenn sensible Daten an nicht autorisierten Orten gespeichert sind. SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung beschreibt, wie Amazon Macie Ihre S3-Buckets auf unerwartete sensible Daten überwachen und Warnungen generieren kann, die eine automatisierte Reaktion auslösen können.

Befolgen Sie die Praktiken in REL09 Daten sichern, um eine automatisierte Datensicherungs- und Wiederherstellungsstrategie zu entwickeln. Datensicherung und -wiederherstellung sind für die Wiederherstellung nach Sicherheitsereignissen ebenso wichtig wie für betriebliche Ereignisse.

Implementierungsschritte

1. Erfassen Sie die Konfiguration des Datenspeichers in IaC-Vorlagen.  Verwenden Sie automatische Prüfungen in Ihren CI/CD-Pipelines, um Fehlkonfigurationen zu erkennen.

   1. Sie können <ulink type="marketing" url="cloudformation">&CFN;</ulink> für Ihre IaC-Vorlagen verwenden und CloudFormation Guard um Vorlagen auf Fehlkonfigurationen zu überprüfen.

   2. Verwenden Sie AWS Config, um Regeln in einem proaktiven Bewertungsmodus auszuführen. Verwenden Sie diese Einstellung, um die Konformität einer Ressource als Schritt in Ihrer CI/CD-Pipeline zu prüfen, bevor Sie sie erstellen.

2. Überwachen Sie Ressourcen auf Fehlkonfigurationen des Datenspeichers.

   1. Legen Sie AWS Config fest, um Datenspeicher-Ressourcen auf Änderungen der Kontrollkonfigurationen zu überwachen und Warnungen zu generieren, um Abhilfemaßnahmen aufzurufen, wenn eine Fehlkonfiguration entdeckt wird.

   2. Weitere Hinweise zu automatischen Abhilfemaßnahmen finden Sie unter SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen.

3. Überwachen und reduzieren Sie die Datenzugriffsberechtigungen kontinuierlich durch Automatisierung.

   1. IAM Access Analyzer kann kontinuierlich ausgeführt werden, um Warnungen zu generieren, wenn die Berechtigungen möglicherweise reduziert werden können.

4. Überwachen Sie anomales Datenzugriffsverhalten und geben Sie entsprechende Warnmeldungen.

   1. GuardDuty überwacht sowohl bekannte Bedrohungssignaturen als auch Abweichungen vom grundlegenden Zugriffsverhalten auf Datenspeicherressourcen wie EBS-Volumes, S3-Buckets und RDS-Datenbanken.

5. Überwachen Sie sensible Daten, die an unerwarteten Orten gespeichert sind, und geben Sie entsprechende Warnmeldungen.

   1. Verwenden Sie Amazon Macie, um Ihre S3-Buckets kontinuierlich auf sensible Daten zu überprüfen.

6. Automatisieren Sie sichere und verschlüsselte Backups Ihrer Daten.

   1. AWS Backup ist ein verwalteter Service, der verschlüsselte und sichere Backups von verschiedenen Datenquellen in AWS erstellt.  Mit Elastic Disaster Recovery können Sie komplette Workloads von Servern kopieren und einen kontinuierlichen Datenschutz mit einem in Sekunden gemessenen Recovery Point Objective (RPO) gewährleisten.  Sie können beide Services so konfigurieren, dass sie zusammenarbeiten, um die Erstellung von Datensicherungen und das Kopieren der Daten an Failover-Standorte zu automatisieren.  Dies kann dazu beitragen, dass Ihre Daten auch dann verfügbar bleiben, wenn sie durch betriebliche oder sicherheitsrelevante Ereignisse beeinträchtigt werden.

Ressourcen

Zugehörige bewährte Methoden:

• SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen

• SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen

• SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen

• SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen

• SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung

• REL09-BP02 Schützen und Verschlüsseln von Backups

• REL09-BP03 Automatische Daten-Backups

Zugehörige Dokumente:

• AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes

• Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)

Zugehörige Beispiele:

• How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources

• Automate and centrally manage data protection for Amazon S3 with AWS Backup

• AWS re:Invent 2023 – Implement proactive data protection using Amazon EBS snapshots

• AWS re:Invent 2022 – Build and automate for resilience with modern data protection

Zugehörige Tools:

• AWS CloudFormation Guard

• AWS CloudFormation Guard Rules Registry

• IAM Access Analyzer

• Amazon Macie

• AWS Backup

• Elastic Disaster Recovery