Optionen zur Automatisierung der Reaktion
Sie müssen unbedingt die Unternehmensimplementierung und die Organisationsstruktur miteinander in Einklang bringen. Abbildung 4 veranschaulicht anhand eines Radardiagramms die unterschiedlichen technischen Attribute jeder automatisierten Reaktionsoption in Ihrer AWS-Implementierung. Das Diagramm zeigt die zunehmende Stärke dieses technischen Attributs für die entsprechende Automatisierungsreaktion, je weiter sich das technische Attribut von der Mitte des Diagramms entfernt. Zum Beispiel bietet AWS Lambda eine höhere Geschwindigkeit und erfordert weniger technische Fähigkeiten. AWS Fargate bietet mehr Flexibilität und erfordert weniger Wartung und technische Fähigkeiten. Tabelle 1 liefert einen Überblick über diese Automatisierungsoptionen und eine Zusammenfassung ihrer jeweiligen technischen Attribute.
Abbildung 4: Unterschiede in den technischen Attributen von automatisierten Reaktionsansätzen
Tabelle 1: Optionen für automatisierte Reaktionsansätze
| AWS-Service oder -Funktion | Beschreibung | Zusammenfassung der Attribute * |
|---|---|---|
| AWS Lambda | Das System verwendet nur AWS Lambda, wobei die Unternehmenssprache Ihres Unternehmens gebraucht wird. |
Geschwindigkeit Flexibilität Wartung Fähigkeiten |
| AWS Step Functions | Das System verwendet AWS Step Functions, Lambda und SSM Agent. |
Geschwindigkeit Flexibilität Wartung Fähigkeiten |
| Automatische Korrektur mit AWS-Config-Regeln | Eine Reihe von AWS-Config-Regeln und automatischen Korrekturen, die die Umgebung analysieren und in die genehmigte Spezifikation zurücksetzen. |
Wartung und Fähigkeiten Geschwindigkeit und Flexibilität |
| SSM Agent | Eine Reihe von Automatisierungsregeln und -dokumenten, die viele Teile der Umgebungen und internen Systeme überprüfen und Korrekturen vornehmen. |
Wartung und Fähigkeiten Geschwindigkeit Flexibilität |
| AWS Fargate | Das AWS Fargate-System verwendet den Open Source Step Function Code und die Ereignisse von Amazon CloudWatch. Andere Systeme übernehmen die Erkennung und Abwehr. |
Flexibilität Geschwindigkeit Wartung und Fähigkeiten |
| Amazon EC2 | Ein System, das auf einer vollständigen Instance ausgeführt wird, ähnlich der Option AWS Fargate. |
Flexibilität Geschwindigkeit Wartung Fähigkeiten |
* Die Attribute werden für jeden Service bzw. jede Funktion in absteigender Reihenfolge aufgeführt. Zum Beispiel bietet AWS Lambda mehr Geschwindigkeit und erfordert weniger technische Fähigkeiten. AWS Fargate bietet mehr Flexibilität und erfordert weniger Wartung und technische Fähigkeiten.
Wenn Sie diese Automatisierungsoptionen in Ihrer AWS-Umgebung in Betracht ziehen, müssen Sie auch die Zentralisierung und den Scanzeitraum (Ereignisse pro Sekunde [EPS]) berücksichtigen.
Zentralisierung bezieht sich auf ein zentrales Konto, in dem die gesamte Erkennungs- und Abwehrtätigkeit einer Organisation stattfindet. Dieser Ansatz scheint die beste sofort einsatzbereite Option zu sein und gilt als derzeit bewährte Methode. Unter bestimmten Umständen müssen Sie jedoch von diesem Ansatz abweichen. Zu wissen wann, ist davon abhängig, wie Sie mit Ihren untergeordneten Konten umgehen. Wir empfehlen, zunächst den Ansatz des Security Tooling-Kontos im Multi-Account-Framework in AWS Organizations
Tabelle 2: Vor- und Nachteile der Zentralisierung
| Zentralisierung | Dezentralisierung | |
|---|---|---|
| Vorteile |
Einfache Konfigurationsverwaltung Reaktionen können nicht abgebrochen oder geändert werden |
Einfache Architektur Schnellere Ersteinrichtung |
| Nachteile |
Komplexere Architektur Onboarding/Offboarding von Konten und Ressourcen |
Mehr zu verwaltende Ressourcen Komplizierte Aufrechterhaltung einer Software-Baseline |
Ein Kostenvergleich dieser Implementierungen kann Ihrem Unternehmen helfen, sich für die beste Option zu entscheiden. Die Kosten lassen sich am besten anhand der Ereignisse pro Sekunde (EPS) abschätzen. Letztendlich kann es viel einfacher und preiswerter sein, zentralisierte oder dezentrale Ansätze zu verfolgen, aber wir können unmöglich nachvollziehen, wie Sie diese Kosten in ihrem Konto bewerten werden. Denken Sie daran, die EPS zu berücksichtigen, wenn Sie diese Ereignisse für eine Reaktion an ein zentrales Konto senden. Je mehr EPS, desto höher sind die Kosten, um diese Ereignisse an ein zentrales Konto zu senden.
