SEC 8: Wie schützen Sie Ihre ruhenden Daten?

Schützen Sie Ihre Daten im Ruhezustand, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder eines Missbrauchs zu reduzieren.

Ressourcen

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

Bewährte Methoden:

Verbesserungsplan

Implementieren einer sicheren Schlüsselverwaltung

  • Implementieren des AWS Key Management Services (AWS KMS): Der AWS Key Management Service (AWS KMS) erleichtert Ihnen das Erstellen und Verwalten von Schlüsseln sowie die Kontrolle der Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen. AWS KMS ist ein sicherer und ausfallsicherer Service, der FIPS 140-2-validierte Hardwaresicherheitsmodule zum Schutz Ihrer Schlüssel verwendet.
    Getting started: AWS Key Management Service (AWS KMS)
  • Verwenden des AWS-Verschlüsselungs-SDK: Verwenden Sie das AWS-Verschlüsselungs-SDK mit AWS KMS-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss.
    AWS Encryption SDK
  • Erzwingen einer Verschlüsselung bei ruhenden Daten

  • Erzwingen der Verschlüsselung im Ruhezustand für Amazon S3: Implementieren Sie die S3-Bucket-Standardverschlüsselung.
    How do I enable default encryption for an S3 bucket?
  • Verwenden von AWS Secrets Manager: AWS Secrets Manager ist ein AWS-Service für die einfache Verwaltung von geheimen Schlüsseln. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein.
    AWS Secrets Manager
  • Konfigurieren der Standardverschlüsselung für neue EBS-Volumes: Legen Sie fest, dass alle neu erstellten EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden.
    Default encryption for EBS volumes
  • Konfigurieren von verschlüsselten Amazon Machine Images (AMIs): Beim Kopieren eines vorhandenen AMI mit aktivierter Verschlüsselung werden Stammvolumes und Snapshots automatisch verschlüsselt.
    AMIs with encrypted Snapshots
  • Konfigurieren der Amazon RDS-Verschlüsselung: Konfigurieren Sie die Verschlüsselung für Ihre Amazon RDS DB-Cluster und Snapshots im Ruhezustand durch Aktivieren der Verschlüsselungsoption.
    Encrypting Amazon RDS resources
  • Konfigurieren der Verschlüsselung in zusätzlichen AWS-Services: Bestimmen Sie für die von Ihnen verwendeten AWS-Services die Verschlüsselungsfunktionen.
    AWS Documentation
  • Automatisieren des Schutzes von Daten im Ruhezustand

    Erzwingen einer Zugriffskontrolle

  • Erzwingen einer Zugriffskontrolle: Erzwingen Sie eine Zugriffskontrolle mit minimal erforderlichen Berechtigungen, einschließlich des Zugriffs auf Verschlüsselungsschlüssel.
    Introduction to Managing Access Permissions to Your Amazon S3 Resources
  • Trennen von Daten anhand unterschiedlicher Klassifizierungsstufen: Verwenden Sie verschiedene AWS-Konten für Datenklassifizierungsstufen, die von AWS Organizations verwaltet werden.
    AWS Organizations
  • Überprüfen der AWS KMS-Richtlinien: Überprüfen Sie die gewährte Zugriffsebene in den AWS KMS-Richtlinien.
    Overview of managing access to your AWS KMS resources
  • Überprüfen der Berechtigungen für S3-Buckets und -Objekte: Überprüfen Sie regelmäßig die in den Amazon S3-Bucket-Richtlinien die gewährte Zugriffsebene. Als Best Practice gilt, keine öffentlich lesbaren oder schreibbaren Buckets zu haben. Erwägen Sie, AWS Config zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden.
    AWS Config Rules
    Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
  • Aktivieren von Amazon S3-Versioning und Objektsperre
    Using versioning
    Locking Objects Using Amazon S3 Object Lock
  • Amazon S3 Inventory verwenden: Amazon S3 Inventory Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können.
    Amazon S3 Inventory
  • Überprüfen von Amazon EBS- und AMI-Freigabeberechtigungen: Mit Freigabeberechtigungen können Images und Volumes für AWS-Konten außerhalb Ihres Workloads freigegeben werden.
    Sharing an Amazon EBS Snapshot
    Shared AMIs
  • Mechanismen definieren, die den direkten Zugriff auf Daten verhindern

  • Implementieren von Mechanismen, die den direkten Zugriff auf Daten verhindern: Mechanismen umfassen die Verwendung von Dashboards wie Amazon QuickSight, um Benutzern Daten anzuzeigen, anstatt direkt abzufragen.
    Amazon QuickSight
  • Automatische Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. Vermeiden Sie die Verwendung von Bastion-Hosts oder den direkten Zugriff auf EC2-Instances.
    AWS Systems Manager
    AWS CloudFormation
    CI/CD Pipeline for AWS CloudFormation templates on AWS