SEC 6: Wie schützen Sie Ihre Datenverarbeitungsressourcen?

Datenverarbeitungsressourcen in Ihrem Workload erfordern mehrere Ebenen der Abwehr zum Schutz vor externen und internen Bedrohungen. Zu den Datenverarbeitungsressourcen zählen EC2-Instances, Container, AWS Lambda-Funktionen, Datenbankservices, IoT-Geräte und mehr.

Ressourcen

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Bewährte Methoden:

• Durchführen von Schwachstellenmanagement: Überprüfen Sie häufig Schwachstellen in Ihrem Code, Ihren Abhängigkeiten und in Ihrer Infrastruktur, um Schutz vor neuen Bedrohungen zu bieten.

• Verringern der Angriffsfläche: Reduzieren Sie Ihre Angriffsfläche, indem Sie Betriebssysteme härten und Komponenten, Bibliotheken und extern nutzbare Services minimieren.

• Implementieren von verwalteten Services: Implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon RDS, AWS Lambda und Amazon ECS, um Ihre Sicherheitswartungsaufgaben im Rahmen des Modells der gemeinsamen Verantwortung zu reduzieren.

• Automatischer Schutz der Datenverarbeitung: Automatisieren Sie Ihre Schutz-Rechenmechanismen, einschließlich Schwachstellenmanagement, Reduzierung der Angriffsfläche und Verwaltung von Ressourcen.

• Personen ermöglichen, Aktionen aus der Ferne auszuführen: Durch das Entfernen der Möglichkeit für interaktiven Zugriff wird das Risiko menschlicher Fehler und das Potenzial einer manuellen Konfiguration oder Verwaltung reduziert. Verwenden Sie beispielsweise einen Änderungsmanagement-Workflow, um EC2-Instances mithilfe von Infrastruktur als Code bereitzustellen, und verwalten Sie dann EC2-Instances mithilfe von Tools, anstatt direkten Zugriff oder einen Bastion-Host zuzulassen.

• Validieren der Softwareintegrität: Implementieren Sie Mechanismen (z. B. Codesignierung), um zu überprüfen, ob die Software, der Code und die Bibliotheken, die im Workload verwendet werden, aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden.

Verbesserungsplan

Durchführen von Schwachstellenmanagement

Konfigurieren von Amazon Inspector: Amazon Inspector testet die Netzwerkzugänglichkeit Ihrer Amazon EC2-Instances und den Sicherheitsstatus der Anwendungen, die auf diesen Instances ausgeführt werden. Amazon Inspector bewertet Anwendungen hinsichtlich Exposition, Schwachstellen und Abweichungen von bewährten Methoden.
What is Amazon Inspector?

Scannen von Quellcode: Durchsuchen Sie Bibliotheken und Abhängigkeiten nach Schwachstellen.
Amazon CodeGuru
OWASP: Source Code Analysis Tools

Verringern der Angriffsfläche

Härten des Betriebssystems: Konfigurieren Sie das Betriebssystem so, dass es den Best Practices entspricht.
Securing Amazon Linux
Securing Microsoft Windows Server

Härten von containerisierten Ressourcen: Konfigurieren Sie containerisierte Ressourcen so, dass sie den Best Practices im Bereich Sicherheit entsprechen.

AWS Lambda Best Practices: Implementieren von Best Practices für AWS Lambda
AWS Lambda best practices

Implementieren von verwalteten Services

Ermitteln verfügbarer Services: Ermitteln, testen und implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon RDS, AWS Lambda und Amazon ECS.
AWS Home

Automatischer Schutz der Datenverarbeitung

Automatische Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

Automatisieren des Patchens von EC2-Instances: AWS Systems Manager Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches für Betriebssysteme und Anwendungen anzuwenden.
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

Implementieren von Angriffserkennung und Eindringschutz: Implementieren Sie ein Tool zur Angriffserkennung und zum Eindringschutz, um böswillige Aktivitäten auf Instances zu überwachen und zu beenden.

Erwägen von APN-Partnerlösungen: APN-Partner bieten Hunderte branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren lokalen Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, damit Sie eine umfassende Sicherheitsarchitektur und eine nahtlosere Erfahrung in Ihrer Cloud und Ihren lokalen Umgebungen bereitstellen können.
Infrastructure security

Personen ermöglichen, Aktionen aus der Ferne auszuführen

Ersetzen des Konsolenzugriffs: Ersetzen Sie den Konsolenzugriff (SSH oder RDP) auf Instances mit AWS Systems Manager Run Command, um Verwaltungsaufgaben zu automatisieren.
AWS Systems Manager Run Command

Validieren der Softwareintegrität

Untersuchen von Mechanismen: Die Codesignierung ist ein Mechanismus, der zur Validierung der Softwareintegrität verwendet werden kann.
NIST: Security Considerations for Code Signing