SEC 8: Wie schützen Sie Ihre ruhenden Daten?

Schützen Sie Ihre Daten im Ruhezustand, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder eines Missbrauchs zu reduzieren.

Ressourcen

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

Bewährte Methoden:

• Implementieren einer sicheren Schlüsselverwaltung: Verschlüsselungsschlüssel müssen an einem sicheren Ort gespeichert mit strenger Zugriffskontrolle gespeichert weden, beispielsweise über einen Schlüsselverwaltungsservice wie AWS KMS. Ziehen Sie die Verwendung verschiedener Schlüssel und die Zugriffskontrolle für die Schlüssel in Kombination mit den AWS IAM- und Ressourcenrichtlinien in Betracht, um die Datenklassifizierungsstufen und Trennungsanforderungen zu erfüllen.

• Erzwingen einer Verschlüsselung bei ruhenden Daten: Erzwingen Sie Ihre Verschlüsselungsanforderungen anhand der neuesten Standards und Empfehlungen zum Schutz Ihrer ruhenden Daten.

• Automatisieren des Schutzes von Daten im Ruhezustand: Verwenden Sie automatisierte Tools zur kontinuierlichen Validierung und Durchsetzung von Kontrollen im Ruhezustand, z. B. um sicherzustellen, dass nur verschlüsselte Speicherressourcen vorhanden sind.

• Erzwingen einer Zugriffskontrolle: Erzwingen Sie eine Zugriffskontrolle mit minimal erforderlichen Berechtigungen und Mechanismen, einschließlich Datensicherungen, Isolierung und Versionsverwaltung, zum Schutz Ihrer ruhenden Daten. Verhindern Sie, dass Operatoren öffentlichen Zugriff auf Ihre Daten gewähren.

• Mechanismen definieren, die den direkten Zugriff auf Daten verhindern: Halten Sie alle Benutzer davon ab, unter normalen Betriebsbedingungen direkt auf sensible Daten und Systeme zuzugreifen. Stellen Sie beispielsweise ein Dashboard anstelle eines direkten Zugriffs auf einen Datenspeicher bereit, um Abfragen auszuführen. Bestimmen Sie, wenn keine CI/CD-Pipelines verwendet werden, welche Kontrollen und Prozesse erforderlich sind, um einen normalerweise deaktivierten Mechanismus für den Notfallzugriff bereitzustellen.

Verbesserungsplan

Implementieren einer sicheren Schlüsselverwaltung

Implementieren des AWS Key Management Services (AWS KMS): Der AWS Key Management Service (AWS KMS) erleichtert Ihnen das Erstellen und Verwalten von Schlüsseln sowie die Kontrolle der Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen. AWS KMS ist ein sicherer und ausfallsicherer Service, der FIPS 140-2-validierte Hardwaresicherheitsmodule zum Schutz Ihrer Schlüssel verwendet.
Getting started: AWS Key Management Service (AWS KMS)

Verwenden des AWS-Verschlüsselungs-SDK: Verwenden Sie das AWS-Verschlüsselungs-SDK mit AWS KMS-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss.
AWS Encryption SDK

Erzwingen einer Verschlüsselung bei ruhenden Daten

Erzwingen der Verschlüsselung im Ruhezustand für Amazon S3: Implementieren Sie die S3-Bucket-Standardverschlüsselung.
How do I enable default encryption for an S3 bucket?

Verwenden von AWS Secrets Manager: AWS Secrets Manager ist ein AWS-Service für die einfache Verwaltung von geheimen Schlüsseln. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein.
AWS Secrets Manager

Konfigurieren der Standardverschlüsselung für neue EBS-Volumes: Legen Sie fest, dass alle neu erstellten EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden.
Default encryption for EBS volumes

Konfigurieren von verschlüsselten Amazon Machine Images (AMIs): Beim Kopieren eines vorhandenen AMI mit aktivierter Verschlüsselung werden Stammvolumes und Snapshots automatisch verschlüsselt.
AMIs with encrypted Snapshots

Konfigurieren der Amazon RDS-Verschlüsselung: Konfigurieren Sie die Verschlüsselung für Ihre Amazon RDS DB-Cluster und Snapshots im Ruhezustand durch Aktivieren der Verschlüsselungsoption.
Encrypting Amazon RDS resources

Konfigurieren der Verschlüsselung in zusätzlichen AWS-Services: Bestimmen Sie für die von Ihnen verwendeten AWS-Services die Verschlüsselungsfunktionen.
AWS Documentation

Automatisieren des Schutzes von Daten im Ruhezustand

Erzwingen einer Zugriffskontrolle

Erzwingen einer Zugriffskontrolle: Erzwingen Sie eine Zugriffskontrolle mit minimal erforderlichen Berechtigungen, einschließlich des Zugriffs auf Verschlüsselungsschlüssel.
Introduction to Managing Access Permissions to Your Amazon S3 Resources

Trennen von Daten anhand unterschiedlicher Klassifizierungsstufen: Verwenden Sie verschiedene AWS-Konten für Datenklassifizierungsstufen, die von AWS Organizations verwaltet werden.
AWS Organizations

Überprüfen der AWS KMS-Richtlinien: Überprüfen Sie die gewährte Zugriffsebene in den AWS KMS-Richtlinien.
Overview of managing access to your AWS KMS resources

Überprüfen der Berechtigungen für S3-Buckets und -Objekte: Überprüfen Sie regelmäßig die in den Amazon S3-Bucket-Richtlinien die gewährte Zugriffsebene. Als Best Practice gilt, keine öffentlich lesbaren oder schreibbaren Buckets zu haben. Erwägen Sie, AWS Config zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

Aktivieren von Amazon S3-Versioning und Objektsperre
Using versioning
Locking Objects Using Amazon S3 Object Lock

Amazon S3 Inventory verwenden: Amazon S3 Inventory Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können.
Amazon S3 Inventory

Überprüfen von Amazon EBS- und AMI-Freigabeberechtigungen: Mit Freigabeberechtigungen können Images und Volumes für AWS-Konten außerhalb Ihres Workloads freigegeben werden.
Sharing an Amazon EBS Snapshot
Shared AMIs

Mechanismen definieren, die den direkten Zugriff auf Daten verhindern

Implementieren von Mechanismen, die den direkten Zugriff auf Daten verhindern: Mechanismen umfassen die Verwendung von Dashboards wie Amazon QuickSight, um Benutzern Daten anzuzeigen, anstatt direkt abzufragen.
Amazon QuickSight

Automatische Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. Vermeiden Sie die Verwendung von Bastion-Hosts oder den direkten Zugriff auf EC2-Instances.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS