Zentrale Sicherheitsverwaltung

Viele Organisationen stehen vor Herausforderungen in Bezug auf die Transparenz und die zentrale Verwaltung ihrer Umgebungen. Wenn Ihre operative Präsenz wächst, kann sich diese Herausforderung noch verschärfen, sofern Sie Ihre Sicherheitskonzepte nicht sorgfältig prüfen. Mangelndes Wissen in Kombination mit einer dezentralen und ungleichmäßigen Verwaltung von Governance- und Sicherheitsprozessen kann Ihre Umgebung anfällig machen.

AWS bietet Tools, die Ihnen helfen, einige der schwierigsten Anforderungen an IT-Management und -Governance zu erfüllen, sowie Tools zur Unterstützung eines Ansatzes für den Datenschutz durch Technik.

AWS Control Tower bietet eine Methode zur Einrichtung und Steuerung einer neuen sicheren AWS-Umgebung mit mehreren Konten. Es automatisiert die Einrichtung einer Landing Zone, bei der es sich um eine Umgebung mit mehreren Konten handelt, die auf bewährten Entwürfen basiert, und ermöglicht die Verwaltung mit Leitlinien, die Sie aus einer vorgepackten Liste auswählen können. Leitlinien implementieren Governance-Regeln für Sicherheit, Compliance und Betrieb. AWS Control Tower stellt die Identitätsverwaltung mithilfe des AWS IAM Identity Center (IAM Identity Center)-Standardverzeichnisses bereit und ermöglicht die kontenübergreifende Prüfung mithilfe von IAM Identity Center und IAM. Es zentralisiert auch Protokolle von CloudTrail und AWS Config-Protokolle, die in Amazon S3 gespeichert sind.

AWS Security Hub ist ein weiterer Service, der die Zentralisierung unterstützt und die Transparenz einer Organisation verbessern kann. Security Hub zentralisiert und priorisiert Sicherheits- und Compliance-Ergebnisse aus allen AWS-Konten und -Services wie Amazon GuardDuty und Amazon Inspector und kann in Sicherheitssoftware von Drittpartnern integriert werden, um Ihnen zu helfen, Sicherheitstrends zu analysieren und Sicherheitsprobleme mit höchster Priorität zu identifizieren.

Amazon GuardDuty ist ein intelligenter Bedrohungserkennungsservice, mit dem Kunden ihre AWS-Konten und -Workloads sowie in Amazon S3 gespeicherte Daten genauer und einfacher überwachen und schützen können. GuardDuty analysiert Milliarden von Ereignissen in Ihren AWS-Konten aus verschiedenen Quellen, darunter AWS CloudTrail-Verwaltungsereignisse, CloudTrail-Amazon-S3-Datenereignisse, Amazon Virtual Private Cloud Flow Logs und DNS-Protokolle. So erkennt es beispielsweise ungewöhnliche API-Aufrufe, verdächtige abgehende Kommunikation mit bekanntermaßen schädlichen IP-Adressen oder möglichen Datendiebstahl, bei dem DNS-Abfragen als Transportmechanismus genutzt werden. GuardDuty ist in der Lage, genauere Ergebnisse zu liefern, indem es durch Machine Learning unterstützte Bedrohungsinformationen und Drittanbieter-Sicherheitspartner nutzt.

Amazon Inspector ist ein automatisierter Service zur Sicherheitsbewertung, über den bei der Bereitstellung von Anwendungen auf Amazon-EC2-Instances die Sicherheit sowie die Compliance erhöht werden können. Amazon Inspector prüft Anwendungen automatisch auf Lücken, Schwachstellen und Abweichungen von bewährten Methoden. Nach der Durchführung einer Bewertung erstellt Amazon Inspector eine nach Schweregrad geordnete detaillierte Liste der Sicherheitsergebnisse.

Mit Amazon CloudWatch Events können Sie Ihr AWS-Konto einrichten, um Ereignisse an andere AWS-Konten zu senden oder ein Empfänger für Ereignisse von anderen Konten oder Organisationen zu werden. Dieser Mechanismus kann sehr nützlich sein, um kontenübergreifende Szenarien zur Reaktion auf Vorfälle zu implementieren, indem rechtzeitig Korrekturmaßnahmen ergriffen werden (z. B. durch Aufrufen einer Lambda-Funktion oder Ausführen eines Befehls auf der Amazon-EC2-Instance), wenn ein Sicherheitsvorfall eintritt.

AWS security services flow diagram showing data path from sources to target options.

Abbildung 5 – Ergreifen von Maßnahmen mit AWS Security Hub und Amazon CloudWatch Events

AWS Organizations unterstützt Sie bei der zentralen Verwaltung und Steuerung komplexer Umgebungen. Sie können damit den Zugriff, die Compliance und die Sicherheit in einer Umgebung mit mehreren Konten steuern. AWS Organizations unterstützt Service Control Policies (SCPs, Service-Kontrollrichtlinien), die die AWS-Service-Aktionen definieren, die für bestimmte Konten oder Organizational Units (OUs, Organisationseinheiten) innerhalb einer Organisation verfügbar sind.

AWS Systems Manager bietet Ihnen Transparenz und Kontrolle über Ihre Infrastruktur auf AWS. Sie können Betriebsdaten aus mehreren AWS-Services über eine einheitliche Konsole anzeigen und Betriebsaufgaben über sie hinweg automatisieren. Sie können Informationen über die letzten API-Aktivitäten, Änderungen der Ressourcenkonfiguration, Betriebswarnungen, den Softwarebestand und den Status der Patch-Compliance erhalten. Dank der Integration mit anderen AWS-Services können Sie je nach Ihren betrieblichen Anforderungen auch Maßnahmen zu Ressourcen ergreifen, um Ihre Umgebung in einen Compliance-Status zu versetzen.

Durch die Integration von Amazon Inspector in AWS Systems Manager werden Sicherheitsbewertungen beispielsweise vereinfacht und automatisiert, da Sie den Amazon-Inspector-Agent automatisch mit Amazon Elastic Compute Cloud Systems Manager installieren können, wenn eine Amazon-EC2-Instance gestartet wird. Sie können auch automatische Korrekturen für Amazon-Inspector-Ergebnisse durchführen, indem Sie Amazon EC2 System Manager- und Lambda-Funktionen verwenden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erkennen und Schützen von Daten in großem Umfang

Schutz Ihrer Daten auf AWS