Sicherheitsgrundlagen - AWS Präskriptive Leitlinien
SicherheitsfähigkeitenPrinzipien der SicherheitsgestaltungSo verwenden Sie die AWS SRA mit AWS CAF und AWS Well-Architected Framework

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgrundlagen

Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen.

Die AWS SRA orientiert sich an drei AWS Sicherheitsgrundlagen: dem AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected und dem Shared Responsibility Model. AWS

AWS Professional Services hat das AWS CAF ins Leben gerufen, um Unternehmen dabei zu unterstützen, einen beschleunigten Weg zur erfolgreichen Cloud-Einführung zu entwickeln und zu beschreiten. Die im Framework enthaltenen Anleitungen und bewährten Verfahren helfen Ihnen dabei, einen umfassenden Ansatz für Cloud Computing in Ihrem gesamten Unternehmen und während Ihres gesamten IT-Lebenszyklus zu entwickeln. Die AWS CAF unterteilt die Leitlinien in sechs Schwerpunktbereiche, die als Perspektiven bezeichnet werden. Jede Perspektive deckt unterschiedliche Zuständigkeiten ab, die funktionsbezogenen Interessengruppen obliegen oder von diesen verwaltet werden. Im Allgemeinen konzentrieren sich die Aspekte Geschäft, Mitarbeiter und Unternehmensführung auf die Geschäftsfähigkeiten, wohingegen sich die Plattform-, Sicherheits- und Betriebsperspektiven auf technische Fähigkeiten konzentrieren.

Die Sicherheitsperspektive der AWS CAF hilft Ihnen dabei, die Auswahl und Implementierung von Kontrollen in Ihrem gesamten Unternehmen zu strukturieren. Die Einhaltung der aktuellen AWS Empfehlungen im Bereich Sicherheit kann Ihnen dabei helfen, Ihre geschäftlichen und regulatorischen Anforderungen zu erfüllen.

AWS Well-Architected unterstützt Cloud-Architekten beim Aufbau einer sicheren, leistungsstarken, belastbaren und effizienten Infrastruktur für ihre Anwendungen und Workloads. Das Framework basiert auf sechs Säulen — betriebliche Exzellenz, Sicherheit, Zuverlässigkeit, Leistungseffizienz, Kostenoptimierung und Nachhaltigkeit — und bietet AWS Kunden und Partnern einen konsistenten Ansatz zur Bewertung von Architekturen und zur Implementierung von Designs, die sich im Laufe der Zeit skalieren lassen. Wir sind der Meinung, dass eine gute Workload-Architektur die Wahrscheinlichkeit für den geschäftlichen Erfolg deutlich erhöht.

In der Sicherheitssäule Well-Architected Framework wird beschrieben, wie Sie Cloud-Technologien nutzen können, um Daten, Systeme und Ressourcen so zu schützen, dass Ihre Sicherheitslage verbessert werden kann. Auf diese Weise können Sie Ihre geschäftlichen und behördlichen Anforderungen erfüllen, indem Sie die aktuellen AWS Empfehlungen befolgen. Es gibt weitere Schwerpunktbereiche von Well-Architected Framework, die mehr Kontext für bestimmte Bereiche wie Governance, Serverless, KI/ML und Gaming bieten. Diese Objektive werden als AWS Well-Architected-Objektive bezeichnet.

Sicherheit und Compliance liegen in der gemeinsamen Verantwortung des AWS Kunden. Dieses gemeinsame Modell kann Ihnen helfen, Ihre betriebliche Belastung zu verringern, da AWS es die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen betreibt, verwaltet und kontrolliert, in denen der Service betrieben wird. Sie übernehmen beispielsweise die Verantwortung und Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), der Anwendungssoftware, der serverseitigen Datenverschlüsselung, der Routing-Tabellen für den Netzwerkverkehr und der Konfiguration der AWS bereitgestellten Sicherheitsgruppen-Firewall. Bei abstrahierten Services wie Amazon S3 und Amazon DynamoDB werden die Infrastrukturebene, das Betriebssystem und die Plattformen AWS betrieben, und Sie greifen auf die Endpunkte zu, um Daten zu speichern und abzurufen. Sie sind dafür verantwortlich, Ihre Daten (einschließlich Verschlüsselungsoptionen) zu verwalten, Ihre Ressourcen zu klassifizieren und mithilfe von IAM-Tools die entsprechenden Berechtigungen anzuwenden. Dieses gemeinsame Modell wird häufig so beschrieben, dass AWS es für die Sicherheit der Cloud verantwortlich ist (d. h. für den Schutz der Infrastruktur, auf der alle in der Cloud angebotenen Dienste ausgeführt werden AWS Cloud), und dass Sie für die Sicherheit in der Cloud verantwortlich sind (abhängig von den von Ihnen ausgewählten AWS Cloud Diensten).

Im Rahmen der in diesen grundlegenden Dokumenten enthaltenen Leitlinien sind zwei Kategorien von Konzepten für die Gestaltung und das Verständnis der AWS SRA von besonderer Bedeutung: Sicherheitsfunktionen und Prinzipien des Sicherheitsdesigns.

Sicherheitsfähigkeiten

In der Sicherheitsperspektive von AWS CAF werden neun Funktionen beschrieben, mit denen Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten und Cloud-Workloads gewährleisten können.

  • Sicherheits-Governance zur Entwicklung und Kommunikation von Sicherheitsrollen, Verantwortlichkeiten, Richtlinien, Prozessen und Verfahren in der gesamten AWS Unternehmensumgebung.

  • Sicherheitsgarantie zur Überwachung, Bewertung, Verwaltung und Verbesserung der Effektivität Ihrer Sicherheits- und Datenschutzprogramme.

  • Identitäts- und Zugriffsmanagement zur Verwaltung von Identitäten und Berechtigungen in großem Umfang.

  • Erkennung von Bedrohungen, um potenzielle Sicherheitsfehlkonfigurationen, Bedrohungen oder unerwartetes Verhalten zu verstehen und zu identifizieren.

  • Schwachstellenmanagement zur kontinuierlichen Identifizierung, Klassifizierung, Behebung und Minderung von Sicherheitslücken.

  • Infrastrukturschutz, um zu überprüfen, ob die Systeme und Dienste in Ihren Workloads geschützt sind.

  • Datenschutz zur Wahrung der Transparenz und Kontrolle über Daten und darüber, wie auf sie zugegriffen wird und wie sie in Ihrem Unternehmen verwendet werden.

  • Anwendungssicherheit zur Erkennung und Behebung von Sicherheitslücken während des Softwareentwicklungsprozesses.

  • Reaktion auf Vorfälle zur Reduzierung potenzieller Schäden durch effektive Reaktion auf Sicherheitsvorfälle.

Prinzipien der Sicherheitsgestaltung

Die Sicherheitssäule des Well-Architected Framework umfasst eine Reihe von sieben Entwurfsprinzipien, die bestimmte Sicherheitsbereiche in praktische Anleitungen umwandeln, die Ihnen helfen können, die Sicherheit Ihrer Workloads zu verbessern. Wo die Sicherheitsfunktionen die gesamte Sicherheitsstrategie prägen, beschreiben diese Well-Architected Framework-Prinzipien, womit Sie beginnen können. Sie werden in diesem AWS SRA sehr bewusst berücksichtigt und bestehen aus folgenden Elementen:

  • Implementieren Sie ein starkes Identitätsfundament ‒ Implementieren Sie das Prinzip der geringsten Rechte und setzen Sie die Aufgabentrennung durch, wobei Sie für jede Interaktion mit Ihren AWS Ressourcen die entsprechende Autorisierung erhalten. Zentralisieren Sie die Identitätsverwaltung und vermeiden Sie die Abhängigkeit von langfristigen statischen Anmeldeinformationen.

  • Sorgen Sie für Rückverfolgbarkeit ‒ Überwachen Sie Aktionen und Änderungen an Ihrer Umgebung in Echtzeit, generieren Sie Warnmeldungen und prüfen Sie sie. Integrieren Sie die Protokoll- und Metrikerfassung in Systeme, um automatisch zu untersuchen und Maßnahmen zu ergreifen.

  • Wenden Sie Sicherheit auf allen Ebenen an ‒ Wenden Sie einen defense-in-depth Ansatz mit mehreren Sicherheitskontrollen an. Wenden Sie mehrere Arten von Kontrollen (z. B. präventive und detektive Kontrollen) auf alle Ebenen an, einschließlich Edge of Network, Virtual Private Cloud (VPC), Lastenausgleich, Instanz- und Rechendienste, Betriebssystem, Anwendungskonfiguration und Code.

  • Automatisieren Sie bewährte Sicherheitsmethoden ‒ Automatisierte, softwarebasierte Sicherheitsmechanismen verbessern Ihre Fähigkeit, sicher, schneller und kostengünstiger zu skalieren. Erstellen Sie sichere Architekturen und implementieren Sie Kontrollen, die als Code in versionskontrollierten Vorlagen definiert und verwaltet werden.

  • Schützen Sie Daten bei der Übertragung und Speicherung ‒ Klassifizieren Sie Ihre Daten in Vertraulichkeitsstufen und verwenden Sie gegebenenfalls Mechanismen wie Verschlüsselung, Tokenisierung und Zugriffskontrolle.

  • Halten Sie Personen von Daten fern ‒ Verwenden Sie Mechanismen und Tools, um den direkten Zugriff auf Daten oder deren manuelle Verarbeitung zu reduzieren oder zu eliminieren. Sie reduzieren dadurch das Risiko, dass sensible Daten verloren gehen, geändert werden oder anderweitigen Benutzerfehlern unterliegen.

  • Bereiten Sie sich auf Sicherheitsereignisse vor ‒ Bereiten Sie sich auf einen Vorfall vor, indem Sie Richtlinien und Prozesse für das Management und die Untersuchung von Vorfällen festlegen, die auf Ihre organisatorischen Anforderungen abgestimmt sind. Simulieren Sie Vorfallreaktionen und nutzen Sie automatisierbare Tools, um die Erkennung, Untersuchung und Wiederherstellung zu beschleunigen.

So verwenden Sie die AWS SRA mit AWS CAF und AWS Well-Architected Framework

AWS CAF, AWS Well-Architected Framework und AWS SRA sind sich ergänzende Frameworks, die zusammenarbeiten, um Ihre Cloud-Migrations- und Modernisierungsbemühungen zu unterstützen.

  • Das AWS CAF nutzt AWS Erfahrung und bewährte Verfahren, um Sie dabei zu unterstützen, die Vorteile der Cloud-Einführung mit Ihren gewünschten Geschäftsergebnissen in Einklang zu bringen. Nutzen Sie das AWS CAF, um Transformationsmöglichkeiten zu identifizieren und zu priorisieren, die Cloud-Bereitschaft zu bewerten und zu verbessern und Ihre Transformationsstrategie iterativ weiterzuentwickeln.

  • Das AWS Well-Architected Framework bietet AWS Empfehlungen für den Aufbau einer sicheren, leistungsstarken, belastbaren und effizienten Infrastruktur für eine Vielzahl von Anwendungen und Workloads, die Ihren Geschäftsergebnissen entsprechen. 

  • Die AWS SRA hilft Ihnen zu verstehen, wie Sicherheitsdienste so bereitgestellt und verwaltet werden können, dass sie den Empfehlungen der AWS CAF und des AWS Well-Architected Framework entsprechen. 

Aus Sicht der AWS CAF-Sicherheit sollten Sie beispielsweise prüfen, wie Sie die Identitäten Ihrer Mitarbeiter und deren Authentifizierung zentral verwalten können. AWS Auf der Grundlage dieser Informationen entscheiden Sie sich möglicherweise dafür, zu diesem Zweck eine neue oder bestehende Corporate Identity Provider (IdP) -Lösung wie Okta, Active Directory oder Ping Identity zu verwenden. Sie folgen den Anweisungen im AWS Well-Architected Framework und beschließen, Ihren IdP in das zu integrieren, um Ihren Mitarbeitern eine Single-Sign-On-Erfahrung AWS IAM Identity Center zu bieten, mit der ihre Gruppenmitgliedschaften und -berechtigungen synchronisiert werden können. Sie lesen die AWS SRA-Empfehlung, IAM Identity Center im Verwaltungskonto Ihrer AWS Organisation zu aktivieren und es über ein Sicherheitstooling-Konto zu verwalten, das von Ihrem Security Operations Team verwendet wird. Dieses Beispiel zeigt, wie das AWS CAF Ihnen hilft, erste Entscheidungen über Ihren gewünschten Sicherheitsstatus zu treffen, das AWS Well-Architected Framework bietet Anleitungen zur Bewertung der verfügbaren Optionen AWS-Services , um dieses Ziel zu erreichen, und das AWS SRA gibt dann Empfehlungen zur Bereitstellung und Verwaltung der von Ihnen ausgewählten Sicherheitsdienste.