SEC 6: Wie schützen Sie Ihre Datenverarbeitungsressourcen?

Datenverarbeitungsressourcen in Ihrem Workload erfordern mehrere Ebenen der Abwehr zum Schutz vor externen und internen Bedrohungen. Zu den Datenverarbeitungsressourcen zählen EC2-Instances, Container, AWS Lambda-Funktionen, Datenbankservices, IoT-Geräte und mehr.

Ressourcen

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Bewährte Methoden:

Verbesserungsplan

Durchführen von Schwachstellenmanagement

  • Konfigurieren von Amazon Inspector: Amazon Inspector testet die Netzwerkzugänglichkeit Ihrer Amazon EC2-Instances und den Sicherheitsstatus der Anwendungen, die auf diesen Instances ausgeführt werden. Amazon Inspector bewertet Anwendungen hinsichtlich Exposition, Schwachstellen und Abweichungen von bewährten Methoden.
    What is Amazon Inspector?
  • Scannen von Quellcode: Durchsuchen Sie Bibliotheken und Abhängigkeiten nach Schwachstellen.
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools
  • Verringern der Angriffsfläche

  • Härten des Betriebssystems: Konfigurieren Sie das Betriebssystem so, dass es den Best Practices entspricht.
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • Härten von containerisierten Ressourcen: Konfigurieren Sie containerisierte Ressourcen so, dass sie den Best Practices im Bereich Sicherheit entsprechen.
  • AWS Lambda Best Practices: Implementieren von Best Practices für AWS Lambda
    AWS Lambda best practices
  • Implementieren von verwalteten Services

  • Ermitteln verfügbarer Services: Ermitteln, testen und implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon RDS, AWS Lambda und Amazon ECS.
    AWS Home
  • Automatischer Schutz der Datenverarbeitung

  • Automatische Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • Automatisieren des Patchens von EC2-Instances: AWS Systems Manager Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches für Betriebssysteme und Anwendungen anzuwenden.
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • Implementieren von Angriffserkennung und Eindringschutz: Implementieren Sie ein Tool zur Angriffserkennung und zum Eindringschutz, um böswillige Aktivitäten auf Instances zu überwachen und zu beenden.
  • Erwägen von APN-Partnerlösungen: APN-Partner bieten Hunderte branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren lokalen Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, damit Sie eine umfassende Sicherheitsarchitektur und eine nahtlosere Erfahrung in Ihrer Cloud und Ihren lokalen Umgebungen bereitstellen können.
    Infrastructure security
  • Personen ermöglichen, Aktionen aus der Ferne auszuführen

  • Ersetzen des Konsolenzugriffs: Ersetzen Sie den Konsolenzugriff (SSH oder RDP) auf Instances mit AWS Systems Manager Run Command, um Verwaltungsaufgaben zu automatisieren.
    AWS Systems Manager Run Command
  • Validieren der Softwareintegrität

  • Untersuchen von Mechanismen: Die Codesignierung ist ein Mechanismus, der zur Validierung der Softwareintegrität verwendet werden kann.
    NIST: Security Considerations for Code Signing