Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufbau Ihrer Sicherheitsarchitektur — ein schrittweiser Ansatz

Die von der AWS SRA empfohlene Sicherheitsarchitektur für mehrere Konten ist eine Basisarchitektur, mit der Sie Sicherheit frühzeitig in Ihren Entwurfsprozess integrieren können. Die Reise jedes Unternehmens in die Cloud ist einzigartig. Um Ihre Cloud-Sicherheitsarchitektur erfolgreich weiterzuentwickeln, müssen Sie sich den gewünschten Zielstatus vorstellen, Ihre aktuelle Cloud-Bereitschaft verstehen und einen agilen Ansatz verfolgen, um etwaige Lücken zu schließen. Die AWS SRA bietet einen Referenzzielstatus für Ihre Sicherheitsarchitektur. Durch die schrittweise Transformation können Sie schnell den Nutzen nachweisen und gleichzeitig die Notwendigkeit, weitreichende Prognosen zu treffen, auf ein Minimum reduzieren.

Das AWS Cloud Adoption Framework (AWS CAF) empfiehlt vier iterative und inkrementelle Phasen der Cloud-Transformation: Planung, Ausrichtung, Einführung und Skalierung. Wenn Sie in die Startphase eintreten und sich auf die Durchführung von Pilotinitiativen in der Produktion konzentrieren, sollten Sie sich auf den Aufbau einer starken Sicherheitsarchitektur als Grundlage für die Skalierungsphase konzentrieren, damit Sie über die technischen Fähigkeiten verfügen, Ihre geschäftskritischsten Workloads sicher zu migrieren und zu betreiben. Dieser schrittweise Ansatz eignet sich für Startups, kleine oder mittlere Unternehmen, die ihr Geschäft ausbauen möchten, oder für Unternehmen, die neue Geschäftsbereiche erwerben oder Fusionen und Übernahmen durchführen. Die AWS SRA hilft Ihnen dabei, diese grundlegende Sicherheitsarchitektur zu erreichen, sodass Sie Sicherheitskontrollen in Ihrem expandierenden Unternehmen einheitlich anwenden können. AWS Organizations Die Basisarchitektur besteht aus mehreren UND-Services AWS-Konten . Planung und Implementierung sollten ein mehrphasiger Prozess sein, sodass Sie sich über kleinere Meilensteine hinweg wiederholen können, um das größere Ziel, die Einrichtung Ihrer grundlegenden Sicherheitsarchitektur, zu erreichen. In diesem Abschnitt werden die typischen Phasen Ihrer Cloud-Reise anhand eines strukturierten Ansatzes beschrieben. Diese Phasen entsprechen den AWS Sicherheitsdesignprinzipien des Well-Architected Framework.  

Phase 1: Erstellen Sie Ihre Organisationseinheit und Ihre Kontostruktur

Voraussetzung für ein solides Sicherheitsfundament ist eine gut durchdachte AWS Organisation und Kontostruktur. Wie bereits im Abschnitt SRA-Bausteine dieses Handbuchs erläutert, können Sie verschiedene Geschäfts- und Sicherheitsfunktionen von Haus aus isolieren, wenn Sie mehrere AWS-Konten haben. Am Anfang mag das nach unnötiger Arbeit erscheinen, aber es ist eine Investition, die Ihnen hilft, schnell und sicher zu skalieren. In diesem Abschnitt wird auch erklärt AWS-Konten, wie Sie mehrere Konten verwalten können und wie Sie Funktionen für vertrauenswürdigen Zugriff und delegierte Administratoren verwenden können, um diese AWS-Services verschiedenen Konten zentral zu verwalten. AWS Organizations

Sie können die zuvor in diesem Handbuch beschriebene Methode verwenden AWS Control Tower, um Ihre landing zone zu orchestrieren. Wenn Sie derzeit ein einzelnes Konto verwenden AWS-Konto, finden Sie im AWS-Konten Leitfaden Umstellung auf mehrere Konten so früh wie möglich Informationen zur Migration zu mehreren Konten. Wenn Ihr Startup-Unternehmen derzeit beispielsweise Ideen entwickelt und Prototypen für Ihr Produkt entwickelt, sollten Sie darüber nachdenken AWS-Konto, eine Strategie für mehrere Konten zu verfolgen, bevor Sie Ihr Produkt auf den Markt bringen. Ebenso sollten kleine, mittlere und große Unternehmen damit beginnen, ihre Strategie für mehrere Konten zu entwickeln, sobald sie ihre ersten Produktionsworkloads planen. Beginnen Sie mit Ihrem Fundament OUs und AWS-Konten fügen Sie dann Ihre Workloads und Konten hinzu. OUs

Empfehlungen AWS-Konto und Empfehlungen zur Organisationsstruktur, die über die Bestimmungen der AWS SRA hinausgehen, finden Sie im Blogbeitrag Multi-Account-Strategie für kleine und mittlere Unternehmen. Denken Sie bei der Fertigstellung Ihrer Organisationseinheit und Ihrer Kontostruktur über die allgemeinen, unternehmensweiten Sicherheitskontrollen nach, die Sie mithilfe von Dienststeuerungsrichtlinien (SCPs), Ressourcenkontrollrichtlinien () und deklarativen Richtlinien durchsetzen möchten. RCPs

Phase 2: Implementieren Sie ein starkes Identitätsfundament

Sobald Sie mehrere erstellt haben AWS-Konten, sollten Sie Ihren Teams Zugriff auf die AWS Ressourcen in diesen Konten gewähren. Es gibt zwei allgemeine Kategorien des Identitätsmanagements: Identitäts - und Zugriffsmanagement für Mitarbeiter und Kundenidentitäts- und Zugriffsmanagement (CIAM). Workforce IAM ist für Unternehmen gedacht, in denen sich Mitarbeiter und automatisierte Workloads anmelden müssen, um ihre Arbeit AWS zu erledigen. CIAM wird verwendet, wenn ein Unternehmen eine Möglichkeit benötigt, Benutzer zu authentifizieren, um Zugriff auf die Anwendungen des Unternehmens zu gewähren. Sie benötigen zunächst eine IAM-Strategie für die Belegschaft, damit Ihre Teams Anwendungen erstellen und migrieren können. Sie sollten immer IAM-Rollen anstelle von IAM-Benutzern verwenden, um menschlichen oder maschinellen Benutzern Zugriff zu gewähren. Folgen Sie den AWS SRA-Anweisungen zur Verwendung AWS IAM Identity Center innerhalb der Konten Org Management und Shared Services, um den Single Sign-On (SSO) -Zugriff auf Ihre Konten zentral zu verwalten. AWS-Konten Die Anleitung enthält auch Designüberlegungen für die Verwendung des IAM-Verbunds, wenn Sie IAM Identity Center nicht verwenden können.

Wenn Sie mit IAM-Rollen arbeiten, um Benutzern Zugriff auf AWS Ressourcen zu gewähren, sollten Sie IAM Access Analyzer und IAM Access Advisor verwenden, wie in den Abschnitten Security Tooling und Org Management dieses Handbuchs beschrieben. Diese Services helfen Ihnen dabei, die geringsten Rechte zu erreichen. Dabei handelt es sich um eine wichtige präventive Kontrolle, mit der Sie ein gutes Sicherheitsniveau aufbauen können. 

Phase 3: Aufrechterhaltung der Rückverfolgbarkeit

Wenn Ihre Benutzer Zugriff auf die Software haben AWS und mit der Erstellung beginnen, werden Sie wissen wollen, wer was, wann und von wo aus macht. Außerdem benötigen Sie Einblick in potenzielle Sicherheitsfehlkonfigurationen, Bedrohungen oder unerwartetes Verhalten. Ein besseres Verständnis von Sicherheitsbedrohungen ermöglicht es Ihnen, die geeigneten Sicherheitskontrollen zu priorisieren. Um die AWS Aktivitäten zu überwachen, folgen Sie den Empfehlungen der AWS SRA zur Einrichtung eines Organisationstrails, indem Sie Ihre Protokolle im Log Archive-Konto verwenden AWS CloudTrailund dort zentralisieren. Verwenden Sie AWS Security Hub CSPM zur Überwachung von GuardDuty Sicherheitsereignissen Amazon und Amazon Security Lake AWS Config, wie im Abschnitt Security Tooling-Konto beschrieben. 

Phase 4: Wenden Sie Sicherheit auf allen Ebenen an

Zu diesem Zeitpunkt sollten Sie über Folgendes verfügen:

Planen Sie in dieser Phase, die Sicherheit auch auf anderen Ebenen Ihrer AWS Organisation anzuwenden, wie im Abschnitt Einführung von Sicherheitsdiensten in Ihrer AWS gesamten Organisation beschrieben. Sie können Sicherheitskontrollen für Ihre Netzwerkebene einrichten, indem Sie Dienste wie AWS WAF AWS Shield, AWS Firewall Manager, AWS Network Firewall, AWS Certificate Manager (ACM), Amazon CloudFront, Amazon Route 53 und Amazon VPC verwenden, wie im Abschnitt Netzwerkkonto beschrieben. Wenden Sie bei der Weiterentwicklung Ihres Technologie-Stacks Sicherheitskontrollen an, die für Ihren Workload oder Ihren Anwendungsstapel spezifisch sind. Verwenden Sie VPC-Endpunkte, Amazon Inspector AWS Systems Manager AWS Secrets Manager, und Amazon Cognito, wie im Abschnitt Anwendungskonto beschrieben. 

Phase 5: Schützen Sie Daten bei der Übertragung und Speicherung

Ihre Geschäfts- und Kundendaten sind wertvolle Ressourcen, die Sie schützen müssen. AWS bietet verschiedene Sicherheitsdienste und Funktionen zum Schutz von Daten bei Übertragung und Speicherung. Verwenden Sie Amazon CloudFront mit AWS Certificate Manager, wie im Abschnitt Netzwerkkonto beschrieben, um Daten zu schützen, die während der Übertragung über das Internet gesammelt werden. Verwenden Sie für Daten, die innerhalb interner Netzwerke übertragen werden, einen Application Load Balancer mit AWS Private Certificate Authority, wie im Abschnitt Anwendungskonto beschrieben. AWS KMS und AWS CloudHSM unterstützen Sie bei der Verwaltung kryptografischer Schlüssel, um Daten im Speicher zu schützen. 

Phase 6: Bereiten Sie sich auf Sicherheitsereignisse vor

Beim Betrieb Ihrer IT-Umgebung werden Sie auf Sicherheitsereignisse stoßen. Dabei handelt es sich um Veränderungen im täglichen Betrieb Ihrer IT-Umgebung, die auf einen möglichen Verstoß gegen Sicherheitsrichtlinien oder ein Versagen der Sicherheitskontrolle hinweisen. Eine ordnungsgemäße Rückverfolgbarkeit ist entscheidend, damit Sie so schnell wie möglich über ein Sicherheitsereignis informiert werden. Ebenso wichtig ist es, darauf vorbereitet zu sein, solche Sicherheitsereignisse zu analysieren und darauf zu reagieren, damit Sie geeignete Maßnahmen ergreifen können, bevor das Sicherheitsereignis eskaliert. Die Vorbereitung hilft Ihnen dabei, ein Sicherheitsereignis schnell zu beurteilen, um seine möglichen Auswirkungen zu verstehen.

Die AWS SRA bietet Ihnen durch die Gestaltung des Security Tooling-Kontos und die Bereitstellung einheitlicher Sicherheitsdienste in allen Bereichen die Möglichkeit AWS-Konten, Sicherheitsereignisse in Ihrem gesamten Unternehmen zu erkennen. AWS Amazon Detective im Security Tooling-Konto hilft Ihnen dabei, ein Sicherheitsereignis zu analysieren und die Ursache zu identifizieren. Während einer Sicherheitsuntersuchung müssen Sie in der Lage sein, die relevanten Protokolle zu überprüfen, um den gesamten Umfang und den Zeitplan des Vorfalls aufzuzeichnen und zu verstehen. Protokolle sind auch für die Generierung von Warnmeldungen erforderlich, wenn bestimmte Aktionen von Interesse sind. Die AWS SRA empfiehlt ein zentrales Log Archive-Konto für die unveränderliche Speicherung aller Sicherheits- und Betriebsprotokolle. Sie können Protokolle abfragen, indem Sie CloudWatch Logs Insights für Daten verwenden, die in CloudWatch Protokollgruppen gespeichert sind, und Amazon Athena und Amazon OpenSearch Service für Daten, die in Amazon S3 gespeichert sind. Verwenden Sie Amazon Security Lake, um Sicherheitsdaten aus der AWS Umgebung, von SaaS-Anbietern (Software as a Service), vor Ort und anderen Cloud-Anbietern automatisch zu zentralisieren. Richten Sie Abonnenten im Security Tooling-Konto oder einem anderen speziellen Konto, wie von der AWS SRA beschrieben, ein, um diese Protokolle zur Untersuchung abzufragen. 

AWS Security Incident Responsehilft Ihnen dabei, die Reaktion auf Sicherheitsvorfälle, deren Untersuchung und Behebung zu automatisieren. Es bietet vorgefertigte Playbooks und Workflows, mit denen Sie schnell und konsistent auf Sicherheitsereignisse reagieren können. Wenn die proaktive Reaktionsfunktion aktiviert ist, lässt sich Security Incident Response in Security Hub CSPM integrieren und GuardDuty löst automatisch Reaktionsworkflows aus, wenn Sicherheitslücken erkannt werden. Der Service hilft Ihnen dabei, Ihre Prozesse zur Reaktion auf Vorfälle in Ihrem gesamten Unternehmen zu standardisieren und zu automatisieren. AWS Wenn Sie zusätzliche Unterstützung benötigen, können Sie einen Fall mit Serviceunterstützung eröffnen, um sich an das AWS Customer Incident Response Team (CIRT) zu wenden.