SEC 1: Wie können Sie Ihre Workload sicher betreiben?

Um Ihre Workload sicher zu betreiben, müssen Sie auf jeden Sicherheitsbereich übergreifende bewährte Methoden anwenden. Nutzen Sie Anforderungen und Prozesse, die Sie in Operational Excellence definiert haben, auf Organisations- und Workload-Ebene, und wenden Sie sie auf alle Bereiche an. Bleiben Sie auf dem Laufenden mit AWS- und Branchenempfehlungen sowie Bedrohungsinformationen, um Ihr Bedrohungsmodell und Ihre Kontrollziele weiterzuentwickeln. Durch die Automatisierung von Sicherheitsprozessen, Tests und Validierung können Sie Ihre Sicherheitsvorgänge skalieren.

Ressourcen

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Bewährte Methoden:

Verbesserungsplan

Workloads mit Konten trennen

  • Verwenden von AWS Organizations: Verwenden Sie AWS Organizations zum zentralen Erzwingen einer richtlinienbasierten Verwaltung für mehrere AWS-Konten.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • AWS Control Tower als Lösungsoption: AWS Control Tower bietet eine einfache Möglichkeit, eine neue, sichere, kontenübergreifende AWS-Umgebung basierend auf Best Practices einzurichten und zu verwalten.
    AWS Control Tower
  • Sicheres AWS-Konto

  • Verwenden von AWS Organizations: Verwenden Sie AWS Organizations zum zentralen Erzwingen einer richtlinienbasierten Verwaltung für mehrere AWS-Konten.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • Eingrenzen der Verwendung des AWS-Stammbenutzers: Verwenden Sie den Stammbenutzer nur, um Aufgaben auszuführen, für die dies spezifisch erforderlich ist.
    AWS Tasks That Require AWS Account Root User Credentials
  • Aktivieren von MFA für den Stammbenutzer: Aktivieren Sie MFA für den Stammbenutzer des AWS-Kontos, wenn AWS Organizations keine Stammbenutzer für Sie verwaltet.
    Lab: AWS account and root user
    Root user
  • Regelmäßiges Ändern des Stammbenutzerpassworts: Das Ändern des Stammbenutzerpassworts reduziert das Risiko der Verwendung eines gespeicherten Passworts. Dies ist besonders wichtig, wenn Sie AWS Organizations nicht verwenden und jeder physischen Zugriff hat.
    Changing the AWS account root user password
  • Aktivieren von Benachrichtigungen bei Verwendung des Stammbenutzers des AWS-Kontos: Die Benachrichtigung reduziert automatisch das Risiko.
    How to receive notifications when your AWS account's root access keys are used
  • Einschränken des Zugriffs auf neu hinzugefügte Regionen: Für neue AWS-Regionen werden IAM-Ressourcen, wie z. B. Benutzer und Rollen, nur an die von Ihnen aktivierten Regionen weitergegeben.
    Setting permissions to enable accounts for upcoming AWS Regions
  • CloudFormation StackSets als Lösungsoption: CloudFormation StackSets können verwendet werden, um Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten bereitzustellen.
    Use CloudFormation StackSets
  • Identifizieren und Validieren von Kontrollzielen

  • Ermitteln von Compliance-Anforderungen: Ermitteln Sie die organisatorischen, rechtlichen und Compliance-Anforderungen, die Ihr Workload erfüllen muss.
  • Ermitteln von AWS-Compliance-Ressourcen: Identifizieren Sie Ressourcen, die AWS zur Verfügung stellt, um Sie bei der Compliance zu unterstützen.
    https://aws.amazon.com/compliance/
    https://aws.amazon.com/artifact/
  • Auf dem Laufenden sein bei Sicherheitsbedrohungen

  • Abonnieren von Informationsquellen zu Bedrohungen: Überprüfen Sie regelmäßig Informationen aus mehreren Quellen zu Bedrohungen, die für die in Ihrem Workload verwendeten Technologien relevant sind.
    Common Vulnerabilities and Exposures List
  • Verwenden des AWS Shield Advanced Service: So erhalten Sie nahezu in Echtzeit Einblicke in Informationsquellen, wenn Ihre Workload über das Internet zugänglich ist.
    AWS Shield
  • Bleiben Sie mit Sicherheitsempfehlungen auf dem Laufenden

  • Verfolgen von AWS-Updates: Abonnieren Sie diese oder überprüfen Sie sie regelmäßig in Bezug auf neue Empfehlungen, Tipps und Tricks.
    AWS Well-Architected Labs
    AWS security blog
    AWS service documentation
  • Abonnieren von Branchennachrichten: Überprüfen Sie regelmäßig Newsfeeds aus verschiedenen Quellen, die für die in Ihrer Workload verwendeten Technologien relevant sind.
    Example: Common Vulnerabilities and Exposures List
  • Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines

  • Automatische Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.
    AWS Systems Manager
    AWS CloudFormation
    Set Up a CI/CD Pipeline on AWS
  • Identifizieren und priorisieren von Risiken anhand eines Bedrohungsmodells

  • Erstellen eines Gefahrenmodells: Ein Bedrohungsmodell kann Ihnen helfen, potenzielle Sicherheitsbedrohungen zu identifizieren und zu beheben.
    NIST: Guide to Data-Centric System Threat Modeling
  • Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen

  • Planen regelmäßiger Überprüfungen: Erstellen Sie einen Kalender mit Überprüfungsaktivitäten. Darin sollte Folgendes enthalten sein: Compliance-Anforderungen, Bewertung neuer AWS-Sicherheitsfunktionen und -services und aktuelle Branchennachrichten.
  • Erkunden der AWS-Services und -Funktionen: Erkunden Sie die für die von Ihnen genutzten Services verfügbaren Sicherheitsfunktionen und prüfen Sie neue Funktionen, sobald Sie freigegeben werden.
    AWS security blog
    AWS security bulletins
    AWS service documentation
  • Definieren des Onboarding-Prozesses für AWS-Services: Definieren Sie Prozesse für das Onboarding neuer AWS-Services. Berücksichtigen Sie dabei, wie neue AWS-Services auf ihre Funktionalität hin bewertet werden sollen, und die Compliance-Anforderungen für Ihren Workload.
  • Testen neuer Services und Funktionen: Testen Sie neue Services und Funktionen, wenn sie in einer Nicht-Produktionsumgebung veröffentlicht werden, die Ihre Produktionsumgebung eng repliziert.
  • Implementieren weiterer Abwehrmechanismen: Implementieren Sie automatisierte Mechanismen zum Schutz Ihrer Workload und prüfen Sie die verfügbaren Optionen.
    Remediating non-compliant AWS resources by AWS Config Rules