SEC 1: Wie können Sie Ihre Workload sicher betreiben?

Um Ihre Workload sicher zu betreiben, müssen Sie auf jeden Sicherheitsbereich übergreifende bewährte Methoden anwenden. Nutzen Sie Anforderungen und Prozesse, die Sie in Operational Excellence definiert haben, auf Organisations- und Workload-Ebene, und wenden Sie sie auf alle Bereiche an. Bleiben Sie auf dem Laufenden mit AWS- und Branchenempfehlungen sowie Bedrohungsinformationen, um Ihr Bedrohungsmodell und Ihre Kontrollziele weiterzuentwickeln. Durch die Automatisierung von Sicherheitsprozessen, Tests und Validierung können Sie Ihre Sicherheitsvorgänge skalieren.

Ressourcen

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Bewährte Methoden:

• Workloads mit Konten trennen: Organisieren Sie Workloads in separaten Konten und gruppieren Sie Konten basierend auf der Funktion oder einem gemeinsamen Satz von Kontrollen, anstatt die Berichtsstruktur Ihres Unternehmens zu spiegeln. Richten Sie zunächst Ihr Augenmerk auf die Sicherheit und Infrastruktur, damit Ihr Unternehmen bei zunehmenden Workloads bewährte Schutzvorkehrungen einrichten kann.

• Sicheres AWS-Konto: Sichern Sie den Zugriff auf Ihre Konten, z. B. durch Aktivieren von MFA, Einschränken der Nutzung des Root-Benutzers und Konfigurieren von Kontenkontakten.

• Identifizieren und Validieren von Kontrollzielen: Entsprechend Ihren Compliance-Anforderungen und Risiken, die aus Ihrem Bedrohungsmodell identifiziert werden, können Sie die Kontrollziele und Kontrollen ableiten und validieren, die Sie für Ihren Workload benötigen. Die laufende Validierung von Kontrollzielen und Kontrollen hilft Ihnen, die Effektivität der Risikominderung zu messen.

• Auf dem Laufenden sein bei Sicherheitsbedrohungen: Erkennen Sie Angriffsvektoren, indem Sie stets über die neuesten Sicherheitsbedrohungen auf dem Laufenden bleiben, um geeignete Kontrollen zu definieren und zu implementieren.

• Bleiben Sie mit Sicherheitsempfehlungen auf dem Laufenden: Bleiben Sie mit AWS- und Branchensicherheitsempfehlungen auf dem Laufenden, um die Sicherheitsstrategie für Ihren Workload zu entwickeln.

• Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines: Erstellen Sie sichere Ausgangswerte und Vorlagen für Sicherheitsmechanismen, die im Rahmen Ihres Builds, Ihrer Pipelines und Prozesse getestet und validiert werden. Verwenden Sie Tools und Automatisierung, um alle Sicherheitskontrollen kontinuierlich zu testen und zu validieren. Scannen Sie beispielsweise Elemente wie Machine Images und Infrastruktur als Codevorlagen in jeder Phase auf Sicherheitslücken, Unregelmäßigkeiten und Abweichungen von einer etablierten Ausgangsbasis.

• Identifizieren und priorisieren von Risiken anhand eines Bedrohungsmodells: Verwenden Sie ein Bedrohungsmodell, um ein aktuelles Register potenzieller Bedrohungen zu erstellen und zu pflegen. Priorisieren Sie Bedrohungen und passen Sie Ihre Sicherheitskontrollen an, um zu verhindern, zu erkennen und zu reagieren. Wiederholen und warten Sie dies im Kontext der sich entwickelnden Sicherheitslandschaft.

• Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen: AWS und APN-Partner veröffentlichen ständig neue Funktionen und Services, mit denen Sie die Sicherheitslage Ihrer Workload verbessern können.

Verbesserungsplan

Workloads mit Konten trennen

Verwenden von AWS Organizations: Verwenden Sie AWS Organizations zum zentralen Erzwingen einer richtlinienbasierten Verwaltung für mehrere AWS-Konten.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

AWS Control Tower als Lösungsoption: AWS Control Tower bietet eine einfache Möglichkeit, eine neue, sichere, kontenübergreifende AWS-Umgebung basierend auf Best Practices einzurichten und zu verwalten.
AWS Control Tower

Sicheres AWS-Konto

Verwenden von AWS Organizations: Verwenden Sie AWS Organizations zum zentralen Erzwingen einer richtlinienbasierten Verwaltung für mehrere AWS-Konten.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Eingrenzen der Verwendung des AWS-Stammbenutzers: Verwenden Sie den Stammbenutzer nur, um Aufgaben auszuführen, für die dies spezifisch erforderlich ist.
AWS Tasks That Require AWS Account Root User Credentials

Aktivieren von MFA für den Stammbenutzer: Aktivieren Sie MFA für den Stammbenutzer des AWS-Kontos, wenn AWS Organizations keine Stammbenutzer für Sie verwaltet.
Lab: AWS account and root user
Root user

Regelmäßiges Ändern des Stammbenutzerpassworts: Das Ändern des Stammbenutzerpassworts reduziert das Risiko der Verwendung eines gespeicherten Passworts. Dies ist besonders wichtig, wenn Sie AWS Organizations nicht verwenden und jeder physischen Zugriff hat.
Changing the AWS account root user password

Aktivieren von Benachrichtigungen bei Verwendung des Stammbenutzers des AWS-Kontos: Die Benachrichtigung reduziert automatisch das Risiko.
How to receive notifications when your AWS account's root access keys are used

Einschränken des Zugriffs auf neu hinzugefügte Regionen: Für neue AWS-Regionen werden IAM-Ressourcen, wie z. B. Benutzer und Rollen, nur an die von Ihnen aktivierten Regionen weitergegeben.
Setting permissions to enable accounts for upcoming AWS Regions

CloudFormation StackSets als Lösungsoption: CloudFormation StackSets können verwendet werden, um Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten bereitzustellen.
Use CloudFormation StackSets

Identifizieren und Validieren von Kontrollzielen

Ermitteln von Compliance-Anforderungen: Ermitteln Sie die organisatorischen, rechtlichen und Compliance-Anforderungen, die Ihr Workload erfüllen muss.

Ermitteln von AWS-Compliance-Ressourcen: Identifizieren Sie Ressourcen, die AWS zur Verfügung stellt, um Sie bei der Compliance zu unterstützen.
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

Auf dem Laufenden sein bei Sicherheitsbedrohungen

Abonnieren von Informationsquellen zu Bedrohungen: Überprüfen Sie regelmäßig Informationen aus mehreren Quellen zu Bedrohungen, die für die in Ihrem Workload verwendeten Technologien relevant sind.
Common Vulnerabilities and Exposures List

Verwenden des AWS Shield Advanced Service: So erhalten Sie nahezu in Echtzeit Einblicke in Informationsquellen, wenn Ihre Workload über das Internet zugänglich ist.
AWS Shield

Bleiben Sie mit Sicherheitsempfehlungen auf dem Laufenden

Verfolgen von AWS-Updates: Abonnieren Sie diese oder überprüfen Sie sie regelmäßig in Bezug auf neue Empfehlungen, Tipps und Tricks.
AWS Well-Architected Labs
AWS security blog
AWS service documentation

Abonnieren von Branchennachrichten: Überprüfen Sie regelmäßig Newsfeeds aus verschiedenen Quellen, die für die in Ihrer Workload verwendeten Technologien relevant sind.
Example: Common Vulnerabilities and Exposures List

Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines

Automatische Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

Identifizieren und priorisieren von Risiken anhand eines Bedrohungsmodells

Erstellen eines Gefahrenmodells: Ein Bedrohungsmodell kann Ihnen helfen, potenzielle Sicherheitsbedrohungen zu identifizieren und zu beheben.
NIST: Guide to Data-Centric System Threat Modeling

Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen

Planen regelmäßiger Überprüfungen: Erstellen Sie einen Kalender mit Überprüfungsaktivitäten. Darin sollte Folgendes enthalten sein: Compliance-Anforderungen, Bewertung neuer AWS-Sicherheitsfunktionen und -services und aktuelle Branchennachrichten.

Erkunden der AWS-Services und -Funktionen: Erkunden Sie die für die von Ihnen genutzten Services verfügbaren Sicherheitsfunktionen und prüfen Sie neue Funktionen, sobald Sie freigegeben werden.
AWS security blog
AWS security bulletins
AWS service documentation

Definieren des Onboarding-Prozesses für AWS-Services: Definieren Sie Prozesse für das Onboarding neuer AWS-Services. Berücksichtigen Sie dabei, wie neue AWS-Services auf ihre Funktionalität hin bewertet werden sollen, und die Compliance-Anforderungen für Ihren Workload.

Testen neuer Services und Funktionen: Testen Sie neue Services und Funktionen, wenn sie in einer Nicht-Produktionsumgebung veröffentlicht werden, die Ihre Produktionsumgebung eng repliziert.

Implementieren weiterer Abwehrmechanismen: Implementieren Sie automatisierte Mechanismen zum Schutz Ihrer Workload und prüfen Sie die verfügbaren Optionen.
Remediating non-compliant AWS resources by AWS Config Rules