Alternative Konten verwenden - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Alternative Konten verwenden

Obwohl es notwendig sein kann, auf ein Ereignis im betroffenen Konto zu reagieren, sollten auch Daten außerhalb dieses Kontos untersucht werden. Einige Kunden verfügen über Prozesse zur Erstellung separater, isolierter AWS-Kontoumgebungen mithilfe von Vorlagen, welche die bereitzustellenden Ressourcen vorkonfigurieren. Diese Vorlagen werden über einen Service wie AWS CloudFormation oder Terraform bereitgestellt. Dabei handelt es sich um eine einfache Methode, um eine Sammlung verwandter AWS-Ressourcen zu erstellen und sie auf geordnete und vorhersehbare Weise bereitzustellen.

Durch die Vorkonfiguration dieser Konten mit Vorlagen können menschliche Interaktionen in der Anfangsphase eines Vorfalls eliminiert und sichergestellt werden, dass die Umgebung und die Ressourcen auf wiederholbare und vorhersehbare Weise vorbereitet werden, was in einem Audit überprüft werden kann. Darüber hinaus stärkt dieser Mechanismus auch die Fähigkeit, die Sicherheit und Eingrenzung von Daten in der forensischen Umgebung aufrechtzuerhalten.

Bei diesem Ansatz müssen Sie mit Ihren Cloud-Services und Architektenteams zusammenarbeiten, um einen für Untersuchungen geeigneten AWS-Kontoprozess zu ermitteln. Ihre Teams für Cloud-Services könnten beispielsweise AWS Organizations verwenden, um neue Konten zu generieren und Sie bei der Vorkonfiguration dieser Konten mit einer vorlagen- oder skriptbasierten Methode zu unterstützen.

Diese Segmentierungsmethode eignet sich am besten, wenn Sie eine größere Organisation vor einer potenziellen Bedrohung schützen müssen. Diese Segmentierung mit einem neuen und weitgehend nicht verbundenen AWS-Konto bedeutet, dass ein Benutzer aus der Organisation, der aus der Dokumentation mehrerer Konten als Sicherheitsorganisationseinheit (OU) hervorgeht, zu dem Konto wechseln, die erforderlichen forensischen Aktivitäten ausführen und das Konto als Ganzes möglicherweise an eine juristische Person übergeben kann. Diese Forensik- und Zuordnungsmethode erfordert eine umfassende Überprüfung und Planung und sollte mit den GRC-Richtlinien des Unternehmens übereinstimmen. Diese Arbeit ist zwar komplex, jedoch wesentlich einfacher vor dem Aufbau einer großen Kundenbasis.