Datenperimeter-Kontrollen Identitätsperimeter Ressourcenperimeter Netzwerkperimeter Ressourcen, um mehr über Datenperimeter zu erfahren

Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern

Leitplanken an den Datengrenzen dienen als ständig verfügbare Grenzen, um Ihre Daten über eine Vielzahl von Konten und Ressourcen hinweg zu schützen. AWS Datenperimeter folgen den bewährten IAM-Sicherheitsmethoden, um Schutzmaßnahmen über mehrere Konten hinweg einzurichten. Dieser unternehmensweite Berechtigungs-Integritätsschutz ersetzt nicht Ihre vorhandenen fein abgestuften Zugriffskontrollen. Stattdessen fungieret es als grob abgestufte Zugriffskontrollen, die zur Verbesserung Ihrer Sicherheitsstrategie beitragen, indem sie sicherstellen, dass Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten.

Bei einem Datenperimeter handelt es sich um eine Reihe von Schutzplanken in Ihrer AWS Umgebung, die sicherstellen, dass nur Ihre vertrauenswürdigen Identitäten auf vertrauenswürdige Ressourcen aus den erwarteten Netzwerken zugreifen.

Vertrauenswürdige Identitäten: Prinzipale (IAM-Rollen oder Benutzer) in Ihren AWS Konten und Diensten, die in Ihrem Namen handeln. AWS
Vertrauenswürdige Ressourcen: Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.
Erwartete Netzwerke: Ihre lokalen Rechenzentren und virtuellen privaten Clouds (VPCs) oder Netzwerke von AWS Diensten, die in Ihrem Namen agieren.

Anmerkung

In manchen Fällen müssen Sie Ihr Datenperimeter erweitern, um auch den Zugriff durch Ihre vertrauenswürdigen Geschäftspartner einzuschließen. Sie sollten alle beabsichtigten Datenzugriffsmuster berücksichtigen, wenn Sie eine Definition vertrauenswürdiger Identitäten, vertrauenswürdiger Ressourcen und erwarteter Netzwerke erstellen, die speziell auf Ihr Unternehmen und Ihre Nutzung der AWS-Services zugeschnitten ist.

Datenperimeterkontrollen sollten wie jede andere Sicherheitskontrolle im Rahmen des Informationssicherheits- und Risikomanagementprogramms behandelt werden. Dies bedeutet, dass Sie eine Bedrohungsanalyse durchführen sollten, um potenzielle Risiken in Ihrer Cloud-Umgebung zu identifizieren und dann basierend auf Ihrer eigenen Risikoakzeptanzkriterien geeignete Datenperimeterkontrollen auswählen und implementieren sollten. Um den iterativen, risikobasierten Ansatz zur Implementierung von Datenperimetern besser zu informieren, müssen Sie verstehen, welche Sicherheitsrisiken und Bedrohungsvektoren durch Datenperimeterkontrollen berücksichtigt werden und welche Sicherheitsprioritäten Sie haben.

Datenperimeter-Kontrollen

Mithilfe grob abgestufter Datenperimeterkontrollen können Sie durch die Implementierung verschiedener Kombinationen aus Richtlinientypen und Bedingungsschlüsseln sechs verschiedene Sicherheitsziele über drei Datenperimeter hinweg erreichen.

Perimeter	Ziel der Kontrolle	Die Verwendung von	Angewandt auf	Globale Bedingungskontextschlüssel
Identität	Nur vertrauenswürdige Identitäten können auf meine Ressourcen zugreifen	RCP	Ressourcen	aws: ID PrincipalOrg war: PrincipalOrgPaths war: PrincipalAccount war: PrincipalIsAwsService aws: SourceOrg ID war: SourceOrgPath war: SourceAccount
Identität	Aus meinem Netzwerk sind nur vertrauenswürdige Identitäten zugelassen	VPC-Endpunktrichtlinie	Netzwerk
Ressourcen	Ihre Identitäten können nur auf vertrauenswürdige Ressourcen zugreifen	SCP	Identitäten	aws: ResourceOrg ID war: ResourceOrgPaths war: ResourceAccount
Ressourcen	Von Ihrem Netzwerk aus kann nur auf vertrauenswürdige Ressourcen zugegriffen werden	VPC-Endpunktrichtlinie	Netzwerk
Netzwerk	Ihre Identitäten können nur auf Ressourcen aus erwarteten Netzwerken zugreifen	SCP	Identitäten	war: SourceIp war: SourceVpc war: SourceVpce AWS: über AWSService war: PrincipalIsAwsService
Netzwerk	Auf Ihre Ressourcen kann nur über die erwarteten Netzwerke zugegriffen werden	RCP	Ressourcen

Sie können sich Datenperimeter so vorstellen, als würden Sie eine feste Grenze um Ihre Daten herum schaffen, um unbeabsichtigte Zugriffsmuster zu verhindern. Obwohl Datenperimeter einen weitreichenden, unbeabsichtigten Zugriff verhindern können, müssen Sie dennoch Entscheidungen zur differenzierten Zugriffssteuerung treffen. Die Einrichtung eines Datenperimeters mindert nicht die Notwendigkeit, Berechtigungen mithilfe von Tools wie IAM Access Analyzer kontinuierlich zu optimieren, um das Prinzip der geringsten Berechtigungen zu erreichen.

Um Datenperimeterkontrollen für Ressourcen durchzusetzen, die derzeit nicht von unterstützt werden RCPs, können Sie ressourcenbasierte Richtlinien verwenden, die Ressourcen direkt zugeordnet sind. Eine Liste der Dienste, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter Richtlinien zur Ressourcenkontrolle () RCPs und. RCPs AWS Dienste, die mit IAM funktionieren

Identitätsperimeter

Bei einem Identitätsperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass nur vertrauenswürdige Identitäten auf Ihre Ressourcen zugreifen können und nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zugelassen werden. Zu den vertrauenswürdigen Identitäten gehören Principals (Rollen oder Benutzer) in Ihren AWS Konten und AWS Diensten, die in Ihrem Namen handeln. Alle anderen Identitäten gelten als nicht vertrauenswürdig und werden durch den Identitätsperimeter blockiert, sofern keine ausdrückliche Ausnahme gewährt wird.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Identitätsperimeterkontrollen. Verwenden Sie diese Schlüssel in Ressourcenkontrollrichtlinien, um den Zugriff auf Ressourcen einzuschränken, oder in VPC-Endpunktrichtlinien, um den Zugriff auf Ihre Netzwerke einzuschränken.

aws:PrincipalOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisation in AWS Organizations gehören.
aws:PrincipalOrgPaths— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass der IAM-Benutzer, die IAM-Rolle, der Verbundbenutzerprinzipal, der AWS STS SAML-Verbundprinzipal, der OIDC-Verbundprinzipal oder der die Anfrage stellende Organisationseinheit (OU) Root-Benutzer des AWS-Kontos zu der angegebenen Organisationseinheit (OU) in gehört. AWS Organizations
aws:PrincipalAccount – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass nur das in der Richtlinie angegebene Hauptkonto auf Ressourcen zugreifen kann.
aws:PrincipalIsAWSService und aws:SourceOrgID (alternativ aws:SourceOrgPaths und aws:SourceAccount) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass AWS-Service -Prinizipale beim Zugriff auf Ihre Ressourcen dies nur im Namen einer Ressource in der angegebenen Organisation, Organisationseinheit oder einem Konto in AWS Organizations tun.

Weitere Informationen finden Sie unter Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdigen Identitäten den Zugriff auf Unternehmensdaten erlauben.

Ressourcenperimeter

Ein Ressourcenperimeter ist eine Reihe grob abgestufter, präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur auf vertrauenswürdige Ressourcen zugreifen können und von Ihrem Netzwerk aus nur auf vertrauenswürdige Ressourcen zugegriffen werden kann. Zu den vertrauenswürdigen Ressourcen gehören Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.

Die folgenden globalen Bedingungsschlüssel helfen dabei, Ressourcenperimeterkontrollen durchzusetzen. Verwenden Sie diese Schlüssel in Richtlinien zur Dienststeuerung (SCPs), um einzuschränken, auf welche Ressourcen Ihre Identitäten zugreifen können, oder in VPC-Endpunktrichtlinien, um einzuschränken, auf welche Ressourcen von Ihren Netzwerken aus zugegriffen werden kann.

aws:ResourceOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisation in AWS Organizations gehört.
aws:ResourceOrgPaths – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisationseinheit (OE) in AWS Organizations gehört.
aws:ResourceAccount – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zum angegebenen Konto in AWS Organizations gehört.

In einigen Fällen müssen Sie möglicherweise den Zugriff auf AWS eigene Ressourcen zulassen, d. h. auf Ressourcen, die nicht zu Ihrer Organisation gehören und auf die Ihre Prinzipale oder AWS Dienste, die in Ihrem Namen handeln, zugreifen. Weitere Informationen zu diesen Szenarien finden Sie unter Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdige Ressourcen aus meiner Organisation zulassen.

Netzwerkperimeter

Bei einem Netzwerkperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur über erwartete Netzwerke auf Ressourcen zugreifen können und dass auf Ihre Ressourcen nur über erwartete Netzwerke zugegriffen werden kann. Zu den erwarteten Netzwerken gehören Ihre lokalen Rechenzentren und virtuelle private Clouds (VPCs) sowie Netzwerke von AWS Diensten, die in Ihrem Namen agieren.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Netzwerkperimeterkontrollen. Verwenden Sie diese Schlüssel in Dienststeuerungsrichtlinien (SCPs), um Netzwerke einzuschränken, von denen aus Ihre Identitäten kommunizieren können, oder in Ressourcensteuerungsrichtlinien (RCPs), um den Ressourcenzugriff auf erwartete Netzwerke einzuschränken.

aws:SourceIp – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die IP-Adresse des Anforderers innerhalb eines angegebenen IP-Bereichs liegt.
aws:SourceVpc – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass der VPC-Endpunkt, durch den die Anfrage läuft, zur angegebenen VPC gehört.
aws:SourceVpce – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Anfrage über den angegebenen VPC-Endpunkt läuft.
aws:ViaAWSService— Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass Sie Anfragen im Namen Ihres Hauptbenutzers Forward Access Sessions (FAS) (FAS) stellen AWS-Services können.
aws:PrincipalIsAWSService— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass AWS-Services Sie über AWS Dienstprinzipale

Es gibt weitere Szenarien, in denen Sie den Zugriff AWS-Services auf Ihre Ressourcen von außerhalb Ihres Netzwerks zulassen müssen. Weitere Informationen finden Sie unter Einrichtung eines Datenperimeters unter AWS: Zugriff auf Unternehmensdaten nur von erwarteten Netzwerken aus zulassen.

Ressourcen, um mehr über Datenperimeter zu erfahren

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über Datenperimeter in AWS zu erfahren.

Datenperimeter aktiviert AWS — Erfahren Sie mehr über Datenperimeter und ihre Vorteile und Anwendungsfälle.
Blogbeitragsserie: Einrichtung eines Datenperimeters am AWS — In diesen Blogbeiträgen finden Sie ausführliche Anleitungen zur Einrichtung Ihres Datenperimeters in großem Maßstab, einschließlich wichtiger Sicherheits- und Implementierungsaspekte.
Beispiele für Datenperimeterrichtlinien — Dieses GitHub Repository enthält Beispielrichtlinien, die einige gängige Muster behandeln, um Sie bei der Implementierung eines Datenperimeters zu unterstützen. AWS
Datenperimeter-Helfer – Dieses Tool unterstützt Sie bei der Gestaltung und Prognose der Auswirkungen Ihrer Datenperimeter-Kontrollen, indem es die Zugriffsaktivität in Ihren AWS CloudTrail-Protokollen analysiert.
Whitepaper: Building a Data Perimeter on AWS — In diesem Whitepaper werden die bewährten Methoden und verfügbaren Dienste für die Einrichtung eines Perimeters rund um Ihre Identitäten, Ressourcen und Netzwerke in beschrieben. AWS
Webinar: Aufbau eines Datenperimeters in AWS — Erfahren Sie, wo und wie Sie Datenperimeterkontrollen auf der Grundlage verschiedener Risikoszenarien implementieren können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Veraltete verwaltete Richtlinien AWS

Berechtigungsgrenzen