SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand
Nutzen Sie die Automatisierung, um Daten im Ruhezustand zu validieren und zu kontrollieren. Nutzen Sie automatisierte Scans, um Fehlkonfigurationen Ihrer Datenspeicherlösungen zu erkennen, und führen Sie, wenn möglich, Abhilfemaßnahmen durch automatisierte programmatische Reaktionen durch. Integrieren Sie die Automatisierung in Ihre CI/CD-Prozesse, um Fehlkonfigurationen des Datenspeichers zu erkennen, bevor sie in der Produktion bereitgestellt werden.
Gewünschtes Ergebnis: Automatisierte Systeme scannen und überwachen Datenspeicher auf Fehlkonfigurationen der Kontrollen, unbefugten Zugriff und unerwartete Nutzung. Die Erkennung von falsch konfigurierten Speicherorten leitet automatische Abhilfemaßnahmen ein. Automatisierte Prozesse erstellen Datensicherungen und speichern unveränderliche Kopien außerhalb der ursprünglichen Umgebung.
Typische Anti-Muster:
-
Keine Berücksichtigung von Optionen zur Aktivierung der Verschlüsselung in den Standardeinstellungen, sofern unterstützt.
-
Keine Berücksichtigung von Sicherheitsereignissen neben den betrieblichen Ereignissen bei der Formulierung einer automatisierten Backup- und Wiederherstellungsstrategie.
-
Keine Durchsetzung der Einstellungen für den öffentlichen Zugriff auf Speicherservices.
-
Keine Überwachung und Prüfung Ihrer Kontrollen zum Schutz von Daten im Ruhezustand.
Vorteile der Einführung dieser bewährten Methode: Die Automatisierung hilft, das Risiko einer Fehlkonfiguration Ihrer Datenspeicher zu vermeiden. Dieses Vorgehen hilft zu verhindern, dass Fehlkonfigurationen in Ihre Produktionsumgebungen gelangen. Diese bewährte Methode trägt außerdem dazu bei, Fehlkonfigurationen zu erkennen und zu beheben, falls sie auftreten.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: mittel
Implementierungsleitfaden
Die Automatisierung zieht sich wie ein roter Faden durch die Praktiken zum Schutz Ihrer Daten im Ruhezustand. SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen beschreibt, wie Sie die Konfiguration Ihrer Ressourcen mithilfe von Infrastructure as Code (IaC)-Vorlagen erfassen können, z. B. mit AWS CloudFormation
Sie können die Einstellungen, die Sie in Ihren IaC-Vorlagen definieren, mithilfe von Regeln in AWS CloudFormation Guard auf Fehlkonfigurationen in Ihren CI/CD-Pipelines überprüfen. Sie können Einstellungen, die noch nicht in CloudFormation oder anderen IaC-Tools verfügbar sind, mit AWS Config
Der Einsatz von Automatisierung als Teil Ihrer Strategie zur Verwaltung von Berechtigungen ist ebenfalls ein wesentlicher Bestandteil des automatisierten Datenschutzes. SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen und SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen beschreiben die Konfiguration von Zugriffsrichtlinien mit geringsten Berechtigungen, die kontinuierlich vom AWS Identity and Access Management Access Analyzer
Automatisierung spielt auch eine Rolle bei der Erkennung, wenn sensible Daten an nicht autorisierten Orten gespeichert sind. SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung beschreibt, wie Amazon Macie
Befolgen Sie die Praktiken in REL09 Daten sichern, um eine automatisierte Datensicherungs- und Wiederherstellungsstrategie zu entwickeln. Datensicherung und -wiederherstellung sind für die Wiederherstellung nach Sicherheitsereignissen ebenso wichtig wie für betriebliche Ereignisse.
Implementierungsschritte
-
Erfassen Sie die Konfiguration des Datenspeichers in IaC-Vorlagen. Verwenden Sie automatische Prüfungen in Ihren CI/CD-Pipelines, um Fehlkonfigurationen zu erkennen.
-
Sie können <ulink type="marketing" url="cloudformation">&CFN;</ulink> für Ihre IaC-Vorlagen verwenden und CloudFormation Guard um Vorlagen auf Fehlkonfigurationen zu überprüfen.
-
Verwenden Sie AWS Config
, um Regeln in einem proaktiven Bewertungsmodus auszuführen. Verwenden Sie diese Einstellung, um die Konformität einer Ressource als Schritt in Ihrer CI/CD-Pipeline zu prüfen, bevor Sie sie erstellen.
-
-
Überwachen Sie Ressourcen auf Fehlkonfigurationen des Datenspeichers.
-
Legen Sie AWS Config
fest, um Datenspeicher-Ressourcen auf Änderungen der Kontrollkonfigurationen zu überwachen und Warnungen zu generieren, um Abhilfemaßnahmen aufzurufen, wenn eine Fehlkonfiguration entdeckt wird. -
Weitere Hinweise zu automatischen Abhilfemaßnahmen finden Sie unter SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen.
-
-
Überwachen und reduzieren Sie die Datenzugriffsberechtigungen kontinuierlich durch Automatisierung.
-
IAM Access Analyzer
kann kontinuierlich ausgeführt werden, um Warnungen zu generieren, wenn die Berechtigungen möglicherweise reduziert werden können.
-
-
Überwachen Sie anomales Datenzugriffsverhalten und geben Sie entsprechende Warnmeldungen.
-
GuardDuty
überwacht sowohl bekannte Bedrohungssignaturen als auch Abweichungen vom grundlegenden Zugriffsverhalten auf Datenspeicherressourcen wie EBS-Volumes, S3-Buckets und RDS-Datenbanken.
-
-
Überwachen Sie sensible Daten, die an unerwarteten Orten gespeichert sind, und geben Sie entsprechende Warnmeldungen.
-
Verwenden Sie Amazon Macie
, um Ihre S3-Buckets kontinuierlich auf sensible Daten zu überprüfen.
-
-
Automatisieren Sie sichere und verschlüsselte Backups Ihrer Daten.
-
AWS Backup ist ein verwalteter Service, der verschlüsselte und sichere Backups von verschiedenen Datenquellen in AWS erstellt. Mit Elastic Disaster Recovery
können Sie komplette Workloads von Servern kopieren und einen kontinuierlichen Datenschutz mit einem in Sekunden gemessenen Recovery Point Objective (RPO) gewährleisten. Sie können beide Services so konfigurieren, dass sie zusammenarbeiten, um die Erstellung von Datensicherungen und das Kopieren der Daten an Failover-Standorte zu automatisieren. Dies kann dazu beitragen, dass Ihre Daten auch dann verfügbar bleiben, wenn sie durch betriebliche oder sicherheitsrelevante Ereignisse beeinträchtigt werden.
-
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Beispiele:
Zugehörige Tools: