Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security OU — Security Tooling-Konto

Das folgende Diagramm zeigt die AWS Sicherheitsdienste, die im Security Tooling-Konto konfiguriert sind.

Das Security Tooling-Konto ist für den Betrieb von Sicherheitsdiensten, die Überwachung AWS-Konten und Automatisierung von Sicherheitswarnungen und deren Reaktion vorgesehen. Zu den Sicherheitszielen gehören die folgenden:

Delegierter Administrator für Sicherheitsdienste

Das Security Tooling-Konto dient als Administratorkonto für Sicherheitsdienste, die in einer gesamten administrator/member Struktur verwaltet werden. AWS-Konten Wie bereits erwähnt, erfolgt dies über die AWS Organizations delegierte Administratorfunktion. Zu den Services in der AWS SRA, die derzeit delegierte Administratoren unterstützen, gehören die zentrale IAM-Verwaltung des Root-Zugriffs,, AWS Config, Amazon AWS Firewall Manager GuardDuty, IAM Access Analyzer, Amazon Macie,,, Amazon Detective AWS Security Hub, AWS Security Hub CSPM, Amazon Inspector AWS Audit Manager, und. AWS CloudTrail AWS Systems Manager Ihr Sicherheitsteam verwaltet die Sicherheitsfunktionen dieser Dienste und überwacht alle sicherheitsspezifischen Ereignisse oder Ergebnisse.

AWS IAM Identity Center unterstützt die delegierte Verwaltung eines Mitgliedskontos. AWS SRA verwendet das Shared Services-Konto als delegiertes Administratorkonto für IAM Identity Center, wie später im Abschnitt IAM Identity Center des Shared Services-Kontos erklärt wird.

Zentralisierter Root-Zugriff

Das Security Tooling-Konto ist das delegierte Administratorkonto für die zentrale Verwaltung der Root-Zugriffsfunktionen durch IAM. Diese Funktion muss auf Organisationsebene aktiviert werden, indem die Verwaltung von Anmeldeinformationen und privilegierte Root-Aktionen in Mitgliedskonten aktiviert werden. Delegierten Administratoren müssen explizit sts:AssumeRoot Berechtigungen erteilt werden, um privilegierte Root-Aktionen im Namen von Mitgliedskonten ausführen zu können. Diese Berechtigung ist erst verfügbar, nachdem die privilegierte Root-Aktion in einem Mitgliedskonto im Organisationsverwaltungs- oder delegierten Administratorkonto aktiviert wurde. Mit dieser Berechtigung können Benutzer privilegierte Root-Benutzeraufgaben für Mitgliedskonten zentral vom Security Tooling-Konto aus ausführen. Nachdem Sie eine privilegierte Sitzung gestartet haben, können Sie eine falsch konfigurierte S3-Bucket-Richtlinie löschen, eine falsch konfigurierte SQS-Warteschlangenrichtlinie löschen, die Root-Benutzeranmeldedaten für ein Mitgliedskonto löschen und die Root-Benutzeranmeldeinformationen für ein Mitgliedskonto erneut aktivieren. Sie können diese Aktionen von der Konsole aus ausführen, indem Sie AWS Command Line Interface ()AWS CLI oder über. APIs

AWS CloudTrail

AWS CloudTrailist ein Service, der die Verwaltung, Einhaltung und Prüfung von Aktivitäten in Ihrem Unternehmen unterstützt AWS-Konto. Mit CloudTrail können Sie Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer gesamten AWS Infrastruktur protokollieren, kontinuierlich überwachen und speichern. CloudTrail ist in integriert AWS Organizations, und diese Integration kann verwendet werden, um einen einzigen Trail zu erstellen, der alle Ereignisse für alle Konten in der AWS Organisation protokolliert. Ein solcher Trail wird als Organisations-Trail bezeichnet. Sie können einen Organisationspfad nur über das Verwaltungskonto für die Organisation oder über ein delegiertes Administratorkonto erstellen und verwalten. Wenn Sie einen Organisationspfad erstellen, wird in jedem Pfad, der zu Ihrer AWS Organisation gehört AWS-Konto , ein Pfad mit dem von Ihnen angegebenen Namen erstellt. Der Trail protokolliert Aktivitäten für alle Konten, einschließlich des Verwaltungskontos, in der AWS Organisation und speichert die Protokolle in einem einzigen S3-Bucket. Aufgrund der Sensibilität dieses S3-Buckets sollten Sie ihn sichern, indem Sie die bewährten Methoden befolgen, die weiter unten in diesem Handbuch im Abschnitt Amazon S3 als zentraler Protokollspeicher beschrieben werden. Alle Accounts in der AWS Organisation können den Organisations-Trail in ihrer Trail-Liste sehen. Mitglieder AWS-Konten haben jedoch nur Lesezugriff auf diesen Trail. Wenn Sie in der CloudTrail Konsole einen Organisations-Trail erstellen, handelt es sich bei dem Trail standardmäßig um einen Trail mit mehreren Regionen. Weitere bewährte Sicherheitsmethoden finden Sie in der CloudTrailDokumentation.

In der AWS SRA ist das Security Tooling-Konto das delegierte Administratorkonto für die Verwaltung. CloudTrail Der entsprechende S3-Bucket zum Speichern der Organization Trail Logs wird im Log Archive-Konto erstellt. Dies dient dazu, die Verwaltung und Nutzung von CloudTrail Protokollberechtigungen voneinander zu trennen. Informationen zum Erstellen oder Aktualisieren eines S3-Buckets zum Speichern von Protokolldateien für einen Organization Trail finden Sie in der CloudTrail Dokumentation. Aus Sicherheitsgründen empfiehlt es sich, den aws:SourceArn Bedingungsschlüssel des Organisationstrails zur Ressourcenrichtlinie des S3-Buckets (und aller anderen Ressourcen wie KMS-Schlüssel oder SNS-Themen) hinzuzufügen. Dadurch wird sichergestellt, dass der S3-Bucket nur Daten akzeptiert, die mit dem jeweiligen Trail verknüpft sind. Der Trail ist mit einer Protokolldateivalidierung zur Überprüfung der Integrität der Protokolldatei konfiguriert. Die Protokoll- und Digest-Dateien werden mithilfe von SSE-KMS verschlüsselt. Der Organization Trail ist auch in eine Protokollgruppe in CloudWatch Logs integriert, um Ereignisse zur langfristigen Aufbewahrung zu senden.

AWS Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM), früher bekannt als AWS Security Hub, bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Security Hub CSPM sammelt Sicherheitsdaten aus allen AWS integrierten Diensten, unterstützten Produkten von Drittanbietern und anderen benutzerdefinierten Sicherheitsprodukten, die Sie möglicherweise verwenden. Er hilft Ihnen dabei, Ihre Sicherheitstrends laufend zu überwachen und zu analysieren und Sicherheitsprobleme mit höchster Priorität zu identifizieren. Zusätzlich zu den aufgenommenen Quellen generiert Security Hub CSPM seine eigenen Ergebnisse, die durch Sicherheitskontrollen repräsentiert werden, die einem oder mehreren Sicherheitsstandards entsprechen. Zu diesen Standards gehören AWS Foundational Security Best Practices (FSBP), Benchmark v1.20 und v1.4.0 der Center for Internet Security (CIS) AWS Foundations, SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST), Payment Card Industry Data Security Standard (PCI DSS) und servicemanaged Standards. Eine Liste der aktuellen Sicherheitsstandards und Einzelheiten zu bestimmten Sicherheitskontrollen finden Sie in der Standardreferenz für Security Hub CSPM in der Security Hub CSPM-Dokumentation.

Security Hub CSPM lässt sich in all Ihre bestehenden und future Konten in Ihrem AWS Unternehmen integrieren, AWS Organizations um die Verwaltung des Sicherheitsstatus zu vereinfachen. Sie können die zentrale CSPM-Konfigurationsfunktion von Security Hub aus dem delegierten Administratorkonto (in diesem Fall Security Tooling) verwenden, um anzugeben, wie der Security Hub CSPM-Dienst, die Sicherheitsstandards und die Sicherheitskontrollen in Ihren Unternehmenskonten und Organisationseinheiten () regionsübergreifend konfiguriert werden. OUs  Sie können diese Einstellungen in wenigen Schritten von einer Hauptregion aus konfigurieren, die als Heimatregion bezeichnet wird. Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub CSPM für jedes Konto und jede Region separat konfigurieren. Der delegierte Administrator kann Konten OUs als selbstverwaltete Konten festlegen, bei denen das Mitglied die Einstellungen in jeder Region separat konfigurieren kann, oder als zentral verwaltete Konten, bei denen der delegierte Administrator das Mitgliedskonto oder die Organisationseinheit regionsübergreifend konfigurieren kann. Sie können alle Konten und Konten OUs in Ihrer Organisation als zentral verwaltet, alle selbstverwaltet oder als eine Kombination aus beidem festlegen. Dies vereinfacht die Durchsetzung einer konsistenten Konfiguration und bietet gleichzeitig die Flexibilität, sie für jede Organisationseinheit und jedes Konto zu ändern. 

Das delegierte Security Hub-CSPM-Administratorkonto kann auch Ergebnisse, Einblicke und Kontrolldetails aller Mitgliedskonten einsehen. Sie können zusätzlich eine Aggregationsregion innerhalb des delegierten Administratorkontos festlegen, um Ihre Ergebnisse für Ihre Konten und Ihre verknüpften Regionen zu zentralisieren. Ihre Ergebnisse werden kontinuierlich und bidirektional zwischen der Aggregator-Region und allen anderen Regionen synchronisiert.

Security Hub CSPM unterstützt Integrationen mit mehreren. AWS-Services Amazon GuardDuty AWS Config, Amazon Macie, IAM Access Analyzer, Amazon Inspector AWS Firewall Manager, Amazon Route 53 Resolver DNS Firewall und AWS Systems Manager Patch Manager können die Ergebnisse an Security Hub CSPM weiterleiten. Security Hub CSPM verarbeitet Ergebnisse mithilfe eines Standardformats, dem AWS Security Finding Format (ASFF). Security Hub CSPM korreliert die Ergebnisse der integrierten Produkte, um die wichtigsten zu priorisieren. Sie können die Metadaten der Security Hub CSPM-Ergebnisse anreichern, um die Sicherheitsergebnisse besser zu kontextualisieren, zu priorisieren und Maßnahmen zu ergreifen. Diese Erweiterung fügt jedem Ergebnis, das in Security Hub CSPM aufgenommen wird, Ressourcen-Tags, ein neues AWS Anwendungs-Tag und Informationen zu Kontonamen hinzu. Auf diese Weise können Sie die Ergebnisse für Automatisierungsregeln verfeinern, Ergebnisse und Erkenntnisse suchen oder filtern und den Sicherheitsstatus der einzelnen Anwendungen beurteilen. Darüber hinaus können Sie Automatisierungsregeln verwenden, um die Ergebnisse automatisch zu aktualisieren. Wenn Security Hub CSPM Ergebnisse aufnimmt, kann es eine Vielzahl von Regelaktionen anwenden, z. B. die Unterdrückung von Ergebnissen, die Änderung ihres Schweregrads und das Hinzufügen von Notizen zu Ergebnissen. Diese Regelaktionen werden wirksam, wenn die Ergebnisse Ihren angegebenen Kriterien entsprechen, z. B. der Ressource oder dem Konto, mit IDs der das Ergebnis verknüpft ist, oder dem Titel. Sie können Automatisierungsregeln verwenden, um ausgewählte Suchfelder im ASFF zu aktualisieren. Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse.

Während der Untersuchung eines Sicherheitsereignisses können Sie von Security Hub CSPM zu Amazon Detective wechseln, um einen GuardDuty Befund zu untersuchen. Security Hub CSPM empfiehlt, die delegierten Administratorkonten für Dienste wie Detective (sofern vorhanden) aufeinander abzustimmen, um eine reibungslosere Integration zu gewährleisten. Wenn Sie beispielsweise keine Administratorkonten zwischen Detective und Security Hub CSPM abgleichen, funktioniert das Navigieren von den Ergebnissen zu Detective nicht. Eine umfassende Liste finden Sie unter Überblick über AWS-Service Integrationen mit Security Hub CSPM in der Security Hub CSPM-Dokumentation.

Sie können Security Hub CSPM mit der Network Access Analyzer-Funktion von Amazon VPC verwenden, um die Einhaltung Ihrer AWS Netzwerkkonfiguration kontinuierlich zu überwachen. Auf diese Weise können Sie unerwünschten Netzwerkzugriff blockieren und verhindern, dass Ihre kritischen Ressourcen von außen zugänglich sind. Weitere Architektur- und Implementierungsdetails finden Sie im AWS Blogbeitrag Kontinuierliche Überprüfung der Netzwerk-Compliance mit Amazon VPC Network Access Analyzer und AWS Security Hub CSPM.

Zusätzlich zu seinen Überwachungsfunktionen unterstützt Security Hub CSPM die Integration mit Amazon, EventBridge um die Behebung bestimmter Fehler zu automatisieren. Sie können benutzerdefinierte Aktionen definieren, die ausgeführt werden, wenn ein Ergebnis eingeht. Sie können beispielsweise benutzerdefinierte Aktionen konfigurieren, damit Ergebnisse an ein Ticketing-System oder ein automatisiertes Behebungssystem gesendet werden. Weitere Diskussionen und Beispiele finden Sie in den AWS Blogbeiträgen Automated response and remediation with AWS Security Hub CSPM und How to deploy the AWS solution for Security Hub CSPM automated response and remediation.

Security Hub CSPM verwendet Service-Linked AWS-Config-Regeln , um die meisten seiner Sicherheitsprüfungen für Kontrollen durchzuführen. Um diese Kontrollen zu unterstützen, AWS Config muss sie für alle Konten — einschließlich des Administratorkontos (oder delegierten Administratorkontos) und der Mitgliedskonten — in allen Konten aktiviert sein, in AWS-Region denen Security Hub CSPM aktiviert ist.

AWS Security Hub

AWS Security Hubist eine einheitliche Cloud-Sicherheitslösung, die Ihre kritischen Sicherheitsbedrohungen priorisiert und Ihnen hilft, in großem Umfang darauf zu reagieren. Security Hub erkennt Sicherheitsprobleme nahezu in Echtzeit, indem es Sicherheitssignale aus verschiedenen Quellen wie Posture Management (AWS Security Hub CSPM), Schwachstellenmanagement (Amazon Inspector), vertrauliche Daten (Amazon Macie) und Bedrohungserkennung (Amazon) automatisch korreliert und anreichert. GuardDuty Auf diese Weise können Sicherheitsteams aktive Risiken in ihren Cloud-Umgebungen durch automatisierte Analysen und kontextuelle Einblicke priorisieren. Security Hub bietet eine visuelle Darstellung des potenziellen Angriffspfads, den Angreifer ausnutzen können, um Zugriff auf Ressourcen zu erhalten, die mit einer Sicherheitslücke verknüpft sind. Dadurch werden komplexe Sicherheitssignale in umsetzbare Erkenntnisse umgewandelt, sodass Sie schnell fundierte Entscheidungen zu Ihrer Sicherheit treffen können.

Security Hub wurde strategisch neu gestaltet, um die Aktivierung der zugehörigen Sicherheitsdienst-Bausteine zu vereinfachen, um ein Sicherheitsergebnis zu erzielen. Indem Sie die Sicherheitsergebnisse in einer Bedrohungsmatrix über verschiedene Sicherheitssignale hinweg nahezu in Echtzeit korrelieren, können Sie die kritischsten Risiken zuerst priorisieren. Die Ergebnisse werden korreliert, um Risiken im Zusammenhang mit Ressourcen zu erkennen. AWS Sicherheitslücken stellen umfassendere Schwächen bei Sicherheitskontrollen, Fehlkonfigurationen oder anderen Bereichen dar, die durch aktive Bedrohungen ausgenutzt werden könnten. Bei einer Sicherheitslücke kann es sich beispielsweise um eine EC2 Instanz handeln, die über das Internet erreichbar ist und Software-Sicherheitslücken aufweist, die mit hoher Wahrscheinlichkeit ausgenutzt werden können.

Security Hub und Security Hub CSPM sind ergänzende Dienste. Security Hub CSPM bietet einen umfassenden Überblick über Ihren Sicherheitsstatus und hilft Ihnen dabei, Ihre Cloud-Umgebung anhand von Industriestandards und Best Practices zu bewerten. Security Hub bietet ein einheitliches Erlebnis, mit dem Sie kritische Sicherheitsprobleme priorisieren und darauf reagieren können. Die CSPM-Ergebnisse von Security Hub werden automatisch an Security Hub weitergeleitet, wo sie mit Ergebnissen anderer Sicherheitsdienste wie Amazon Inspector korreliert werden, um Risiken zu generieren. Auf diese Weise können Sie die kritischsten Risiken in Ihrer Umgebung identifizieren. 

Security Hub bietet auch eine Zusammenfassung der Ressourcen in Ihrer AWS Umgebung nach Typ und den zugehörigen Ergebnissen. Ressourcen werden nach Risiken und Angriffssequenzen priorisiert. Wenn Sie einen Ressourcentyp auswählen, können Sie alle Ressourcen überprüfen, die diesem Ressourcentyp zugeordnet sind.

Für ein optimales Erlebnis empfehlen wir, Security Hub und Security Hub CSPM sowie die folgenden anderen Sicherheitsdienste zu aktivieren: Amazon GuardDuty, Amazon Inspector und Amazon Macie. Anhand der Ergebnisse der Security Hub Hub-Abdeckung können Sie sich einen Überblick darüber verschaffen, ob diese Dienste und Funktionen für alle Mitgliedskonten Ihres Unternehmens einheitlich aktiviert sind.

In der AWS SRA fungiert das Security Tooling-Konto als delegierter Administrator für Security Hub, Security Hub CSPM und andere Sicherheitsdienste. AWS Im Security Tooling-Konto können Sie alle Ressourcen einsehen, die mit Mitgliedskonten verknüpft sind. Sie können auch alle Ressourcen in Ihrem Zuhause AWS-Region von Linked AWS-Regionen aus einsehen.

Amazon GuardDuty

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der kontinuierlich nach böswilligen Aktivitäten und unberechtigtem Verhalten sucht, um Sie AWS-Konten und Ihre Workloads zu schützen. Sie müssen immer die entsprechenden Protokolle für Überwachungs- und Prüfungszwecke erfassen und speichern, GuardDuty beziehen jedoch unabhängige Datenströme direkt aus AWS CloudTrail Amazon VPC-Flussprotokollen und AWS DNS-Protokollen. Sie müssen weder die Amazon S3 S3-Bucket-Richtlinien verwalten noch die Art und Weise ändern, wie Sie Ihre Logs sammeln und speichern. GuardDutyBerechtigungen werden als dienstbezogene Rollen verwaltet, die Sie jederzeit widerrufen können, indem Sie sie deaktivieren GuardDuty. Auf diese Weise kann der Dienst ohne komplexe Konfiguration einfach aktiviert werden, und das Risiko, dass eine Änderung der IAM-Berechtigungen oder der S3-Bucket-Richtlinie den Betrieb des Dienstes beeinträchtigt, wird vermieden.

Neben der Bereitstellung grundlegender Datenquellen GuardDuty bietet es optionale Funktionen zur Identifizierung von Sicherheitslücken. Dazu gehören EKS-Schutz, RDS-Schutz, S3-Schutz, Malware-Schutz und Lambda-Schutz. Für neue Melder sind diese optionalen Funktionen standardmäßig aktiviert, mit Ausnahme von EKS-Schutz, der manuell aktiviert werden muss.

GuardDuty bietet auch eine Funktion namens Extended Threat Detection, die automatisch mehrstufige Angriffe erkennt, die sich über Datenquellen, mehrere Ressourcentypen und einen Zeitraum innerhalb eines AWS Zeitraums erstrecken. AWS-Konto GuardDutykorreliert diese Ereignisse, die als Signale bezeichnet werden, um Szenarien zu identifizieren, die sich als potenzielle Bedrohungen für Ihre AWS Umgebung darstellen, und generiert dann eine Ermittlung der Angriffssequenz. Dies deckt Bedrohungsszenarien ab, bei denen es um Sicherheitslücken im Zusammenhang mit dem Missbrauch von AWS Zugangsdaten geht, und um Versuche, Daten in Ihrem AWS-Konten System zu kompromittieren. GuardDuty betrachtet alle Arten der Erkennung von Angriffssequenzen als kritisch. Diese Funktion ist standardmäßig aktiviert und es fallen keine zusätzlichen Kosten an.

In der AWS SRA GuardDuty ist sie für alle Konten aktiviert AWS Organizations, und alle Ergebnisse können von den entsprechenden Sicherheitsteams im GuardDuty delegierten Administratorkonto (in diesem Fall dem Security Tooling-Konto) eingesehen und bearbeitet werden. GuardDuty aktive Ergebnisse werden in einen zentralen S3-Bucket im Log Archive-Konto exportiert, sodass Sie die Ergebnisse über 90 Tage hinaus aufbewahren können. Die Ergebnisse werden aus dem delegierten Administratorkonto exportiert und enthalten auch alle Ergebnisse der zugehörigen Mitgliedskonten in derselben Region. Die Ergebnisse im S3-Bucket werden mit einem vom AWS KMS Kunden verwalteten Schlüssel verschlüsselt. Die S3-Bucket-Richtlinie und die KMS-Schlüsselrichtlinie sind so konfiguriert, dass nur GuardDuty die Ressourcen verwendet werden können.

Wenn AWS Security Hub CSPM aktiviert, werden die GuardDuty Ergebnisse automatisch an Security Hub CSPM und Security Hub weitergeleitet. Wenn Amazon Detective aktiviert ist, werden die GuardDuty Ergebnisse in den Detective-Protokollaufnahmeprozess aufgenommen. GuardDuty und Detective unterstützen serviceübergreifende Benutzerworkflows, bei denen GuardDuty Links von der Konsole bereitgestellt werden, die Sie von einem ausgewählten Ergebnis zu einer Detective-Seite weiterleiten, die kuratierte Visualisierungen zur Untersuchung dieses Ergebnisses enthält. Sie können beispielsweise auch Amazon integrieren GuardDuty , um bewährte Verfahren EventBridge zu automatisieren GuardDuty, z. B. die Automatisierung von Antworten auf neue GuardDuty Erkenntnisse.

AWS Config

AWS Configist ein Service, mit dem Sie die Konfigurationen der unterstützten AWS Ressourcen in Ihrem System bewerten, prüfen und auswerten können. AWS-Konten AWS Config überwacht und zeichnet die AWS Ressourcenkonfigurationen kontinuierlich auf und vergleicht die aufgezeichneten Konfigurationen automatisch mit den gewünschten Konfigurationen. Sie können auch andere Services integrieren, um die Schwerstarbeit AWS Config bei automatisierten Audit- und Monitoring-Pipelines zu erledigen. AWS Config Sie können beispielsweise in einzelne Geheimnisse auf Änderungen achten. AWS Secrets Manager

Sie können die Konfigurationseinstellungen Ihrer AWS Ressourcen auswerten, indem Sie AWS-Config-Regeln AWS Config stellt eine Bibliothek mit anpassbaren, vordefinierten Regeln bereit, die als verwaltete Regeln bezeichnet werden. Sie können aber auch Ihre eigenen benutzerdefinierten Regeln schreiben. Sie können AWS-Config-Regeln im proaktiven Modus (bevor Ressourcen bereitgestellt wurden) oder im Detektivmodus (nachdem Ressourcen bereitgestellt wurden) arbeiten. Ressourcen können bei Konfigurationsänderungen und/oder regelmäßig nach einem Zeitplan ausgewertet werden. 

Ein Conformance Pack ist eine Sammlung von AWS Config Regeln und Behebungsmaßnahmen, die als einzelne Einheit in einem Konto und einer Region oder unternehmensweit in einem Unternehmen eingesetzt werden können. AWS Organizations Conformance Packs werden erstellt, indem eine YAML-Vorlage erstellt wird, die die Liste der AWS Config verwalteten oder benutzerdefinierten Regeln und Abhilfemaßnahmen enthält. Verwenden Sie eine der Beispielvorlagen für Conformance AWS Packs, um mit der Evaluierung Ihrer Umgebung zu beginnen.

AWS Config lässt sich integrieren AWS Security Hub CSPM , um die Ergebnisse AWS Config verwalteter und benutzerdefinierter Regelauswertungen als Ergebnisse an Security Hub CSPM zu senden.

AWS-Config-Regeln kann in Verbindung mit verwendet werden, um Ressourcen, die nicht AWS Systems Manager den Vorschriften entsprechen, wirksam zu beheben. Sie verwenden den Systems Manager Explorer, um den Compliance-Status der AWS Config Regeln in Ihrem AWS-Konten Across zu ermitteln, AWS-Regionen und verwenden dann Systems Manager Automation-Dokumente (Runbooks), um Ihre nicht konformen AWS Config Regeln zu beheben. Einzelheiten zur Implementierung finden Sie im Blogbeitrag Korrigieren Sie nicht konforme AWS Config Regeln mit Automation-Runbooks. AWS Systems Manager

Der AWS Config Aggregator sammelt Konfigurations- und Compliance-Daten für mehrere Konten, Regionen und Organisationen in. AWS Organizations Das Aggregator-Dashboard zeigt die Konfigurationsdaten der aggregierten Ressourcen an. Inventar- und Compliance-Dashboards bieten wichtige und aktuelle Informationen über Ihre AWS Ressourcenkonfigurationen und den Compliance-Status innerhalb AWS-Konten, innerhalb oder innerhalb einer Organisation. AWS-Regionen AWS Sie ermöglichen es Ihnen, Ihren AWS Ressourcenbestand zu visualisieren und zu bewerten, ohne AWS Config erweiterte Abfragen schreiben zu müssen. Sie erhalten wichtige Einblicke, z. B. eine Zusammenfassung der Compliance nach Ressourcen, die zehn Konten mit den meisten nicht konformen Ressourcen, einen Vergleich zwischen laufenden und gestoppten EC2 Instances nach Typ und EBS-Volumes nach Volume-Typ und -Größe.

Wenn Sie Ihr AWS Unternehmen verwalten, wird es eine Reihe von AWS Config Regeln als detektivische Leitplanken einsetzen (kategorisiert als verpflichtend, dringend empfohlen oder optional). AWS Control Tower Diese Leitplanken helfen Ihnen dabei, Ihre Ressourcen zu verwalten und die Einhaltung der Vorschriften für alle Konten in Ihrer Organisation zu überwachen. AWS Diese AWS Config Regeln verwenden automatisch ein aws-control-tower Tag mit dem Wert. managed-by-control-tower

AWS Config muss für jedes Mitgliedskonto in der AWS Organisation aktiviert sein und AWS-Region das die Ressourcen enthält, die Sie schützen möchten. Sie können AWS Config Regeln für alle Konten in Ihrer AWS Organisation zentral verwalten (z. B. erstellen, aktualisieren und löschen). Über das AWS Config delegierte Administratorkonto können Sie ein gemeinsames AWS Config Regelwerk für alle Konten bereitstellen und Konten angeben, für die keine AWS Config Regeln erstellt werden sollen. Das AWS Config delegierte Administratorkonto kann auch Ressourcenkonfigurations- und Compliance-Daten aus allen Mitgliedskonten zusammenfassen, sodass eine zentrale Ansicht bereitgestellt wird. Verwenden Sie das Konto „ APIs Vom delegierten Administrator“, um die Verwaltung durchzusetzen, indem Sie sicherstellen, dass die zugrunde liegenden AWS Config Regeln nicht von den Mitgliedskonten in Ihrer AWS Organisation geändert werden können. AWS Config ist nativ integriert, um Ergebnisse an zu senden AWS Security Hub CSPM, sofern Security Hub CSPM aktiviert ist und mindestens eine AWS Config verwaltete oder benutzerdefinierte Regel vorhanden ist.

In der AWS SRA ist das AWS Config delegierte Administratorkonto das Security Tooling-Konto. Der AWS Config Bereitstellungskanal ist so konfiguriert, dass er Snapshots der Ressourcenkonfiguration in einem zentralen S3-Bucket im Log Archive-Konto bereitstellt. Da das Log Archive-Konto der zentrale Protokoll-Repository-Speicher ist, wird es zum Speichern der Ressourcenkonfiguration verwendet.

Amazon Security Lake

Amazon Security Lake ist ein vollständig verwalteter Sicherheits-Data-Lake-Service. Sie können Security Lake verwenden, um Sicherheitsdaten aus AWS Umgebungen, SaaS-Anbietern (Software as a Service), vor Ort und Quellen von Drittanbietern automatisch zu zentralisieren. Security Lake hilft Ihnen beim Aufbau einer normalisierten Datenquelle, die die Verwendung von Analysetools für Sicherheitsdaten vereinfacht, sodass Sie sich einen umfassenderen Überblick über Ihre Sicherheitslage im gesamten Unternehmen verschaffen können. Der Data Lake wird von Amazon Simple Storage Service (Amazon S3) -Buckets unterstützt, und Sie behalten das Eigentum an Ihren Daten. Security Lake sammelt automatisch Protokolle für AWS-Services Amazon VPC, Amazon Route 53, Amazon S3 AWS Lambda, Amazon EKS-Auditprotokolle, AWS Security Hub CSPM Ergebnisse und AWS WAF Protokolle. AWS CloudTrail

AWS SRA empfiehlt, dass Sie das Log Archive-Konto als delegiertes Administratorkonto für Security Lake verwenden. Weitere Informationen zur Einrichtung des delegierten Administratorkontos finden Sie unter Amazon Security Lake im Abschnitt Security OU ‒ Konto protokollieren. Sicherheitsteams, die auf Security Lake-Daten zugreifen möchten oder die Möglichkeit benötigen, mithilfe benutzerdefinierter ETL-Funktionen (Extrahieren, Transformieren und Laden) nicht systemeigene Protokolle in die Security Lake-Buckets zu schreiben, sollten innerhalb des Security Tooling-Kontos arbeiten.

Security Lake kann Protokolle von verschiedenen Cloud-Anbietern, Protokolle von Drittanbieterlösungen oder andere benutzerdefinierte Protokolle sammeln. Wir empfehlen, dass Sie das Security Tooling-Konto verwenden, um die ETL-Funktionen auszuführen, um die Protokolle in das Open Cybersecurity Schema Framework (OCSF) -Format zu konvertieren und eine Datei im Apache Parquet-Format auszugeben. Security Lake erstellt die kontoübergreifende Rolle mit den entsprechenden Berechtigungen für das Security Tooling-Konto und die benutzerdefinierte Quelle, die von Lambda-Funktionen oder AWS Glue Crawlern unterstützt wird, um Daten in die S3-Buckets für Security Lake zu schreiben.

Der Security Lake-Administrator sollte Sicherheitsteams konfigurieren, die das Security Tooling-Konto verwenden und Zugriff auf die Protokolle benötigen, die Security Lake als Abonnenten sammelt. Security Lake unterstützt zwei Arten des Abonnentenzugriffs:

Weitere Informationen zum Erstellen von Abonnenten finden Sie unter Abonnentenverwaltung in der Security Lake-Dokumentation.  

Bewährte Methoden für die Erfassung benutzerdefinierter Quellen finden Sie in der Security Lake-Dokumentation unter Sammeln von Daten aus benutzerdefinierten Quellen.

Sie können Amazon Quick Sight, Amazon OpenSearch Service und Amazon verwenden, SageMaker um Analysen für die Sicherheitsdaten einzurichten, die Sie in Security Lake speichern.

Amazon Macie

Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der maschinelles Lernen und Musterabgleich verwendet, um Ihre sensiblen Daten zu erkennen und zu schützen. AWS Sie müssen die Art und Klassifizierung der Daten, die Ihr Workload verarbeitet, identifizieren, um sicherzustellen, dass angemessene Kontrollen durchgesetzt werden. Sie können Macie auf zwei Arten verwenden, um die Erkennung vertraulicher Daten und die Berichterstattung zu automatisieren: durch die automatische Erkennung sensibler Daten und durch die Erstellung und Ausführung von Discovery-Jobs für sensible Daten. Mit der automatisierten Erkennung sensibler Daten bewertet Macie täglich Ihr S3-Bucket-Inventar und verwendet Stichprobenverfahren, um repräsentative S3-Objekte aus Ihren Buckets zu identifizieren und auszuwählen. Macie ruft dann die ausgewählten Objekte ab, analysiert sie und untersucht sie auf sensible Daten. Aufgaben zur Erkennung sensibler Daten ermöglichen tiefere und gezieltere Analysen. Mit dieser Option definieren Sie den Umfang und die Tiefe der Analyse, einschließlich der zu analysierenden S3-Buckets, der Stichprobentiefe und benutzerdefinierter Kriterien, die sich aus den Eigenschaften von S3-Objekten ergeben. Wenn Macie ein potenzielles Problem mit der Sicherheit oder dem Datenschutz eines Buckets feststellt, erstellt es eine Richtlinienfeststellung für Sie. Die automatische Datenerkennung ist standardmäßig für alle neuen Macie-Kunden aktiviert, und bestehende Macie-Kunden können sie mit einem Klick aktivieren.

Macie ist bis jetzt in allen Konten aktiviert. AWS Organizations Principals, die über die entsprechenden Berechtigungen für das delegierte Administratorkonto (in diesem Fall das Security Tooling-Konto) verfügen, können Macie in jedem Konto aktivieren oder sperren, Aufträge zur Erkennung sensibler Daten für Buckets erstellen, die Mitgliedskonten gehören, und alle Richtlinienergebnisse für alle Mitgliedskonten einsehen. Ergebnisse sensibler Daten können nur von dem Konto eingesehen werden, das den Job mit sensiblen Ergebnissen erstellt hat. Weitere Informationen finden Sie in der Macie-Dokumentation unter Verwaltung mehrerer Macie-Konten als Organisation.

Die Ergebnisse von Macie werden AWS Security Hub CSPM zur Überprüfung und Analyse weitergeleitet. Macie arbeitet auch mit Amazon zusammen EventBridge , um automatisierte Reaktionen auf Ergebnisse wie Warnmeldungen, Feeds in SIEM-Systeme (Security Information and Event Management) und automatisierte Problembehebungen zu ermöglichen.

IAM Access Analyzer

Wenn Sie Ihre AWS Cloud Einführung beschleunigen und weiterhin innovativ sind, ist es wichtig, eine strenge Kontrolle über den detaillierten Zugriff (Berechtigungen) zu behalten, die Zunahme von Zugriffen einzudämmen und sicherzustellen, dass Berechtigungen effektiv genutzt werden. Übermäßiger und ungenutzter Zugriff stellt Sicherheitsprobleme dar und erschwert es Unternehmen, das Prinzip der geringsten Rechte durchzusetzen. Dieses Prinzip ist ein wichtiger Pfeiler der Sicherheitsarchitektur, bei dem die IAM-Berechtigungen kontinuierlich angepasst werden müssen, um ein Gleichgewicht zwischen Sicherheitsanforderungen und Betriebs- und Anwendungsentwicklungsanforderungen herzustellen. An diesen Bemühungen sind mehrere Interessengruppen beteiligt, darunter zentrale Sicherheits- und Cloud Center of Excellence (CCoE) -Teams sowie dezentrale Entwicklungsteams.

AWS Identity and Access Management Access Analyzer bietet Tools, mit denen Sie effizient detaillierte Berechtigungen festlegen, beabsichtigte Berechtigungen überprüfen und Berechtigungen verfeinern können, indem ungenutzter Zugriff entfernt wird, sodass Sie die Sicherheitsstandards Ihres Unternehmens erfüllen können. Mithilfe von Dashboards und erhalten Sie Einblick in den externen und internen Zugriff auf AWS Ressourcen und die Ergebnisse ungenutzter Zugriffe. AWS Security Hub CSPM Darüber hinaus unterstützt es Amazon EventBridge für ereignisbasierte benutzerdefinierte Benachrichtigungs- und Behebungsworkflows.

Die Funktion „Ergebnisse des externen Zugriffs-Analyzers“ von IAM Access Analyzer hilft Ihnen dabei, die Ressourcen in Ihrer AWS Organisation und in Ihren Konten zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden, z. B. Amazon S3 S3-Buckets oder IAM-Rollen. Die AWS Organisation oder das Konto, das Sie auswählen, wird als Vertrauenszone bezeichnet. Der Analyzer analysiert anhand automatisierter Argumentation alle unterstützten Ressourcen innerhalb der Vertrauenszone und generiert Ergebnisse für Prinzipale, die von außerhalb der Vertrauenszone auf die Ressourcen zugreifen können. Diese Ergebnisse helfen Ihnen dabei, Ressourcen zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden, und geben Ihnen vor der Bereitstellung von Ressourcenberechtigungen einen Überblick darüber, wie sich Ihre Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Dies ist ohne zusätzliche Kosten verfügbar.

In ähnlicher Weise hilft Ihnen die Suchfunktion für den internen Zugriff von IAM Access Analyzer dabei, die Ressourcen in Ihrer AWS Organisation und die Konten zu identifizieren, die innerhalb Ihrer Organisation oder Ihres Kontos mit Prinzipalen gemeinsam genutzt werden. Diese Analyse unterstützt das Prinzip der geringsten Rechte, indem sichergestellt wird, dass nur die dafür vorgesehenen Prinzipale innerhalb Ihrer Organisation auf Ihre angegebenen Ressourcen zugreifen können. Diese Funktion ist kostenpflichtig und erfordert eine explizite Konfiguration der zu überprüfenden Ressourcen. Verwenden Sie diese Funktion mit Bedacht, um bestimmte sensible Ressourcen zu überwachen, die von Haus aus gesperrt werden müssen, auch intern.

Die Ergebnisse von IAM Access Analyzer helfen Ihnen auch dabei, ungenutzten Zugriff zu identifizieren, der in Ihren AWS Organisationen und Konten gewährt wurde, darunter: 

Sie können die mit IAM Access Analyzer generierten Ergebnisse verwenden, um einen Überblick über jeden unbeabsichtigten oder ungenutzten Zugriff auf der Grundlage der Richtlinien und Sicherheitsstandards Ihres Unternehmens zu erhalten und diesen zu korrigieren. Nach der Behebung werden diese Ergebnisse bei der nächsten Ausführung des Analyzers als behoben markiert. Wenn das Ergebnis beabsichtigt ist, können Sie es in IAM Access Analyzer als archiviert markieren und anderen Ergebnissen, die ein größeres Sicherheitsrisiko darstellen, Priorität einräumen. Darüber hinaus können Sie Archivierungsregeln einrichten, um bestimmte Ergebnisse automatisch zu archivieren. Sie können beispielsweise eine Archivregel erstellen, um alle Ergebnisse für einen bestimmten Amazon-S3-Bucket, auf den Sie regelmäßig Zugriff gewähren, automatisch zu archivieren. 

Als Builder können Sie IAM Access Analyzer verwenden, um zu Beginn Ihres Entwicklungs- und Bereitstellungsprozesses (CI/CD) automatisierte IAM-Richtlinienprüfungen durchzuführen, um die Sicherheitsstandards Ihres Unternehmens einzuhalten. Sie können benutzerdefinierte Richtlinienprüfungen und Richtlinienüberprüfungen in IAM Access Analyzer integrieren, AWS CloudFormation um Richtlinienüberprüfungen als Teil der Pipelines Ihres Entwicklungsteams zu automatisieren. CI/CD Dies umfasst: 

Sicherheitsteams und andere Autoren von IAM-Richtlinien können IAM Access Analyzer verwenden, um Richtlinien zu erstellen, die den Grammatik- und Sicherheitsstandards der IAM-Richtlinien entsprechen. Das manuelle Verfassen von Richtlinien in der richtigen Größe kann fehleranfällig und zeitaufwändig sein. Die Richtliniengenerierungsfunktion von IAM Access Analyzer unterstützt Sie bei der Erstellung von IAM-Richtlinien, die auf der Zugriffsaktivität eines Prinzipals basieren. IAM Access Analyzer überprüft die AWS CloudTrail Protokolle auf unterstützte Dienste und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die vom Principal im angegebenen Zeitraum verwendet wurden. Sie können diese Vorlage dann verwenden, um eine Richtlinie mit detaillierten Berechtigungen zu erstellen, die nur die erforderlichen Berechtigungen gewährt.

IAM Access Analyzer wird im Security Tooling-Konto über die delegierte Administratorfunktion unter bereitgestellt. AWS Organizations Der delegierte Administrator ist berechtigt, Analyzer zu erstellen und zu verwalten, wobei die AWS Organisation die Vertrauenszone darstellt.

AWS Firewall Manager

AWS Firewall Managerträgt zum Schutz Ihres Netzwerks bei, indem es Ihre Verwaltungs- und Wartungsaufgaben für AWS WAF AWS Shield Advanced,, Amazon VPC-Sicherheitsgruppen und die Amazon Route 53 Resolver DNS-Firewall für mehrere Konten und Ressourcen vereinfacht. AWS Network Firewall Mit Firewall Manager richten Sie Ihre AWS WAF Firewallregeln, Shield Advanced-Schutzmaßnahmen, Amazon VPC-Sicherheitsgruppen, Netzwerk-Firewall-Firewalls und DNS-Firewall-Regelgruppenzuordnungen nur einmal ein. Danach wendet der Service die Regeln und Schutzmaßnahmen automatisch auf Ihre Konten und Ressourcen an, selbst wenn Sie diese erst später hinzufügen.

Firewall Manager ist besonders nützlich, wenn Sie Ihr gesamtes AWS Unternehmen schützen möchten und nicht nur eine kleine Anzahl bestimmter Konten und Ressourcen, oder wenn Sie häufig neue Ressourcen hinzufügen, die Sie schützen möchten. Firewall Manager verwendet Sicherheitsrichtlinien, damit Sie eine Reihe von Konfigurationen definieren können, einschließlich relevanter Regeln, Schutzmaßnahmen und Aktionen, die bereitgestellt werden müssen, sowie der Konten und Ressourcen (gekennzeichnet durch Tags), die ein- oder ausgeschlossen werden sollen. Sie können detaillierte und flexible Konfigurationen erstellen und gleichzeitig die Kontrolle auf eine große Anzahl von Konten ausdehnen und. VPCs Diese Richtlinien setzen die von Ihnen konfigurierten Regeln automatisch und konsistent durch, auch wenn neue Konten und Ressourcen erstellt werden. Firewall Manager ist in allen Konten aktiviert AWS Organizations, und Konfiguration und Verwaltung werden von den entsprechenden Sicherheitsteams im delegierten Administratorkonto von Firewall Manager (in diesem Fall dem Security Tooling-Konto) durchgeführt.

Sie müssen sie AWS Config für jede Ressource aktivieren AWS-Region , die die Ressourcen enthält, die Sie schützen möchten. Wenn Sie die Aktivierung nicht AWS Config für alle Ressourcen durchführen möchten, müssen Sie sie für Ressourcen aktivieren, die dem Typ der von Ihnen verwendeten Firewall Manager Manager-Richtlinien zugeordnet sind. Wenn Sie AWS Security Hub CSPM sowohl als auch Firewall Manager verwenden, sendet Firewall Manager Ihre Ergebnisse automatisch an Security Hub CSPM. Firewall Manager erstellt Ergebnisse für Ressourcen, die nicht richtlinientreu sind, und für erkannte Angriffe und sendet die Ergebnisse an Security Hub CSPM. Wenn Sie eine Firewall Manager Manager-Richtlinie für einrichten AWS WAF, können Sie die Protokollierung auf Web-Zugriffskontrolllisten (Web ACLs) für alle in den Geltungsbereich fallenden Konten zentral aktivieren und die Protokolle unter einem einzigen Konto zentralisieren.

Mit Firewall Manager können Sie einen oder mehrere Administratoren haben, die die Firewall-Ressourcen Ihres Unternehmens verwalten können. Wenn Sie mehrere Administratoren zuweisen, können Sie restriktive Bedingungen für den administrativen Geltungsbereich festlegen, um die Ressourcen (Konten, Regionen OUs, Richtlinientypen) zu definieren, die jeder Administrator verwalten kann. Dies gibt Ihnen die Flexibilität, innerhalb Ihrer Organisation unterschiedliche Administratorrollen zu haben, und hilft Ihnen, das Prinzip des geringsten Zugriffs beizubehalten. Die AWS SRA verwendet einen Administrator, der den gesamten administrativen Bereich an das Security Tooling-Konto delegiert hat.

Amazon EventBridge

Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. Er wird häufig in der Sicherheitsautomatisierung eingesetzt. Sie können Routing-Regeln einrichten, um zu bestimmen, wohin Ihre Daten gesendet werden sollen, um Anwendungsarchitekturen zu erstellen, die in Echtzeit auf all Ihre Datenquellen reagieren. Sie können einen benutzerdefinierten Event-Bus erstellen, um Ereignisse von Ihren benutzerdefinierten Anwendungen zu empfangen, und zusätzlich den Standard-Event-Bus in jedem Konto verwenden. Sie können im Security Tooling-Konto einen Event-Bus erstellen, der sicherheitsspezifische Ereignisse von anderen Konten in der Organisation empfangen kann. AWS Indem Sie beispielsweise Amazon GuardDuty und AWS Security Hub CSPM with verknüpfen AWS-Config-Regeln, erstellen Sie eine flexible EventBridge, automatisierte Pipeline für die Weiterleitung von Sicherheitsdaten, das Auslösen von Warnmeldungen und die Verwaltung von Maßnahmen zur Problemlösung.

Amazon Detective

Amazon Detective unterstützt Ihre Strategie zur reaktionsschnellen Sicherheitskontrolle, indem es Ihren Sicherheitsanalysten die Analyse, Untersuchung und schnelle Identifizierung der Grundursache von Sicherheitsergebnissen oder verdächtigen Aktivitäten erleichtert. Detective extrahiert automatisch zeitbasierte Ereignisse wie Anmeldeversuche, API-Aufrufe und Netzwerkverkehr aus AWS CloudTrail Protokollen und Amazon VPC-Flow-Protokollen. Detective verarbeitet diese Ereignisse mithilfe unabhängiger Protokollstreams und Amazon CloudTrail VPC-Flow-Logs. Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Detective verwendet maschinelles Lernen und Visualisierung, um eine einheitliche, interaktive Ansicht des Verhaltens Ihrer Ressourcen und der Interaktionen zwischen ihnen im Laufe der Zeit zu erstellen — dies wird als Verhaltensdiagramm bezeichnet. Sie können das Verhaltensdiagramm untersuchen, um unterschiedliche Aktionen wie fehlgeschlagene Anmeldeversuche oder verdächtige API-Aufrufe zu untersuchen.

Detective ist in Amazon Security Lake integriert, sodass Sicherheitsanalysten in Security Lake gespeicherte Protokolle abfragen und abrufen können. Sie können diese Integration verwenden, um zusätzliche Informationen aus CloudTrail Protokollen und Amazon VPC-Flow-Protokollen abzurufen, die in Security Lake gespeichert sind, während Sie Sicherheitsuntersuchungen in Detective durchführen.

Detective erfasst auch Ergebnisse, die von Amazon erkannt wurden GuardDuty, einschließlich Bedrohungen, die von GuardDuty Runtime Monitoring erkannt wurden. Wenn ein Konto Detective aktiviert, wird es zum Administratorkonto für das Verhaltensdiagramm. Bevor Sie versuchen, Detective zu aktivieren, stellen Sie sicher, dass Ihr Konto GuardDuty seit mindestens 48 Stunden registriert ist. Wenn Sie diese Anforderung nicht erfüllen, können Sie sie nicht aktivieren DetectiveDetective.

Zu den weiteren optionalen Datenquellen für Detective gehören Amazon EKS-Auditprotokolle und AWS Security Hub CSPM. Die Amazon EKS-Audit-Log-Datenquelle erweitert die bereitgestellten Informationen zu den folgenden Entitätstypen: Amazon EKS-Cluster, Kubernetes-Pods, Container-Images und Kubernetes-Themen. Die Security Hub-Datenquelle ist Teil von AWS Security Findings, wo sie die Ergebnisse produktübergreifend in Security Hub korreliert und in Detective aufnimmt.

Detective gruppiert automatisch mehrere Ergebnisse, die sich auf ein einzelnes Sicherheitskompromittierungsereignis beziehen, in Suchgruppen. Bedrohungsakteure führen in der Regel eine Abfolge von Aktionen durch, die zu mehreren Sicherheitsergebnissen führen, die über Zeit und Ressourcen verteilt sind. Daher sollte das Finden von Gruppen der Ausgangspunkt für Untersuchungen sein, an denen mehrere Entitäten und Ergebnisse beteiligt sind. Detective bietet auch Zusammenfassungen von Suchgruppen mithilfe generativer KI, die Fundgruppen automatisch analysiert und Erkenntnisse in natürlicher Sprache bereitstellt, um Ihnen zu helfen, Sicherheitsuntersuchungen zu beschleunigen.

Detective integriert sich in AWS Organizations. Das Org Management-Konto delegiert ein Mitgliedskonto als Detective-Administratorkonto. In der AWS SRA ist dies das Security Tooling-Konto. Das Detective-Administratorkonto bietet die Möglichkeit, alle aktuellen Mitgliedskonten in der Organisation automatisch als Detective-Mitgliedskonten zu aktivieren und auch neue Mitgliedskonten hinzuzufügen, sobald sie der AWS Organisation hinzugefügt werden. Detective-Administratorkonten haben auch die Möglichkeit, Mitgliedskonten, die derzeit nicht in der AWS Organisation, sondern in derselben Region ansässig sind, einzuladen, ihre Daten zum Verhaltensdiagramm des primären Kontos beizutragen. Wenn ein Mitgliedskonto die Einladung annimmt und aktiviert ist, beginnt Detective, die Daten des Mitgliedskontos aufzunehmen und in dieses Verhaltensdiagramm zu extrahieren.

AWS Audit Manager

AWS Audit Managerhilft Ihnen dabei, Ihre AWS Nutzung kontinuierlich zu überprüfen, um die Verwaltung von Audits und die Einhaltung von Vorschriften und Industriestandards zu vereinfachen. Es ermöglicht Ihnen, von der manuellen Erfassung, Prüfung und Verwaltung von Nachweisen zu einer Lösung überzugehen, die die Beweiserhebung automatisiert, eine einfache Möglichkeit bietet, die Quelle von Prüfungsnachweisen nachzuverfolgen, die Zusammenarbeit im Team ermöglicht und die Sicherheit und Integrität von Nachweisen gewährleistet. Wenn es Zeit für ein Audit ist, hilft Audit Manager Ihnen, Beteiligtenüberprüfungen bei Ihren Kontrollen zu verwalten.

Mit Audit Manager können Sie anhand vorgefertigter Frameworks wie dem Center for Internet Security (CIS) Benchmark, dem CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) und dem Payment Card Industry Data Security Standard (PCI DSS) prüfen. Es bietet Ihnen auch die Möglichkeit, Ihre eigenen Frameworks mit Standard- oder benutzerdefinierten Kontrollen zu erstellen, die auf Ihren spezifischen Anforderungen für interne Audits basieren.

Audit Manager sammelt vier Arten von Nachweisen. Drei Arten von Nachweisen werden automatisiert: Nachweise zur Konformitätsprüfung von AWS Config und AWS Security Hub CSPM, Nachweise für Verwaltungsereignisse von AWS CloudTrail und und Konfigurationsnachweise aus AWS service-to-service API-Aufrufen. Für Nachweise, die nicht automatisiert werden können, können Sie mit Audit Manager manuelle Nachweise hochladen.

Standardmäßig werden Ihre Daten in Audit Manager mithilfe AWS verwalteter Schlüssel verschlüsselt. Die AWS SRA verwendet einen vom Kunden verwalteten Schlüssel für die Verschlüsselung, um eine bessere Kontrolle über den logischen Zugriff zu ermöglichen. Sie sollten auch einen S3-Bucket in dem Bereich konfigurieren, in AWS-Region dem Audit Manager den Bewertungsbericht veröffentlicht. Diese Buckets sollten mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden und über eine Bucket-Richtlinie verfügen, die so konfiguriert ist, dass nur Audit Manager Berichte veröffentlichen kann.  

Audit Manager Manager-Bewertungen können sich auf mehrere Konten in Ihren AWS Organisationen beziehen. Audit Manager sammelt und konsolidiert Nachweise in einem delegierten Administratorkonto in. AWS Organizations Diese Prüfungsfunktion wird hauptsächlich von Compliance- und internen Auditteams verwendet und erfordert lediglich Lesezugriff auf Ihre. AWS-Konten

AWS Artifact

AWS Artifactwird im Security Tooling-Konto gehostet, um die Funktionen zur Verwaltung von Compliance-Artefakten vom Org Management-Konto zu trennen. AWS Diese Aufgabentrennung ist wichtig, da wir empfehlen, das AWS Org Management-Konto nicht für Bereitstellungen zu verwenden, es sei denn, dies ist unbedingt erforderlich. Geben Sie stattdessen Bereitstellungen an Mitgliedskonten weiter. Da die Verwaltung von Auditartefakten von einem Mitgliedskonto aus erfolgen kann und die Funktion eng mit dem Sicherheits- und Compliance-Team abgestimmt ist, wird das Security Tooling-Konto als Administratorkonto für eingerichtet. AWS Artifact Sie können AWS Artifact Berichte verwenden, um AWS Sicherheits- und Compliance-Dokumente wie AWS ISO-Zertifizierungen, Payment Card Industry (PCI) und System and Organization Controls (SOC) -Berichte herunterzuladen.

AWS Artifact unterstützt die Funktion zur delegierten Verwaltung nicht. Stattdessen können Sie diese Funktion auf nur IAM-Rollen im Security Tooling-Konto beschränken, die Ihren Audit- und Compliance-Teams gehören, sodass diese diese Berichte herunterladen, überprüfen und bei Bedarf externen Prüfern zur Verfügung stellen können. Darüber hinaus können Sie bestimmte IAM-Rollen mithilfe von IAM-Richtlinien so einschränken, dass sie nur auf bestimmte AWS Artifact Berichte zugreifen können. Beispiele für IAM-Richtlinien finden Sie in der Dokumentation.AWS Artifact

AWS KMS

AWS Key Management Service(AWS KMS) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu verwalten und deren Verwendung in einer Vielzahl von AWS-Services und in Ihren Anwendungen zu kontrollieren. AWS KMS ist ein sicherer und robuster Dienst, der Hardware-Sicherheitsmodule zum Schutz kryptografischer Schlüssel verwendet. Er folgt branchenüblichen Lebenszyklusprozessen für Schlüsselmaterial, wie z. B. Speicherung, Rotation und Zugriffskontrolle von Schlüsseln. AWS KMS kann zum Schutz Ihrer Daten mit Verschlüsselungs- und Signaturschlüsseln beitragen und kann über das Encryption SDK sowohl für die serverseitige als auch für die AWS clientseitige Verschlüsselung verwendet werden. Aus Gründen des Schutzes und der Flexibilität werden drei Arten von Schlüsseln AWS KMS unterstützt: vom Kunden verwaltete Schlüssel, AWS verwaltete Schlüssel und AWS eigene Schlüssel. Kundenverwaltete Schlüssel sind AWS KMS Schlüssel in Ihrem AWS-Konto System, die Sie selbst erstellen, besitzen und verwalten. AWS Verwaltete AWS KMS Schlüssel sind Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten System erstellt AWS-Service , verwaltet und verwendet werden AWS KMS. AWS Eigene Schlüssel sind eine Sammlung von AWS KMS Schlüsseln, die ein Benutzer AWS-Service besitzt und verwaltet, sodass sie in mehreren Schlüsseln verwendet AWS-Konten werden können. Weitere Informationen zur Verwendung von AWS KMS Schlüsseln finden Sie in der AWS KMS Dokumentation und in den AWS KMS kryptografischen Details.

Eine Bereitstellungsoption besteht darin, die Verantwortung für die AWS KMS Schlüsselverwaltung auf ein einziges Konto zu zentralisieren und gleichzeitig die Fähigkeit, Schlüssel im Anwendungskonto zu verwenden, an Anwendungsressourcen zu delegieren, indem eine Kombination aus Schlüssel- und IAM-Richtlinien verwendet wird. Dieser Ansatz ist sicher und einfach zu verwalten, aber Sie können aufgrund von AWS KMS Drosselungslimits und Kontoservice-Limits und der Überflutung des Sicherheitsteams mit operativen Schlüsselverwaltungsaufgaben auf Hürden stoßen. Eine weitere Bereitstellungsoption ist ein dezentrales Modell, bei dem Sie die Nutzung mehrerer Konten zulassen AWS KMS und es den Verantwortlichen für die Infrastruktur und die Workloads in einem bestimmten Konto ermöglichen, ihre eigenen Schlüssel zu verwalten. Dieses Modell bietet Ihren Workload-Teams mehr Kontrolle, Flexibilität und Agilität bei der Verwendung von Verschlüsselungsschlüsseln. Es trägt auch dazu bei, API-Beschränkungen zu vermeiden, den Umfang der Auswirkungen auf AWS-Konto nur eine zu beschränken und die Berichterstattung, Prüfung und andere Aufgaben im Zusammenhang mit der Einhaltung von Vorschriften zu vereinfachen. In einem dezentralen Modell ist es wichtig, Leitplanken zu implementieren und durchzusetzen, sodass die dezentralen Schlüssel auf die gleiche Weise verwaltet werden und die Verwendung von AWS KMS Schlüsseln gemäß den etablierten bewährten Verfahren und Richtlinien geprüft wird. Weitere Informationen finden Sie im Whitepaper AWS Key Management Service Best Practices. AWS SRA empfiehlt ein verteiltes Schlüsselverwaltungsmodell, bei dem sich die AWS KMS Schlüssel lokal innerhalb des Kontos befinden, in dem sie verwendet werden. Wir empfehlen, dass Sie nicht einen einzigen Schlüssel in einem Konto für alle kryptografischen Funktionen verwenden. Schlüssel können auf der Grundlage von Funktions- und Datenschutzanforderungen und zur Durchsetzung des Prinzips der geringsten Rechte erstellt werden. In einigen Fällen würden Verschlüsselungsberechtigungen von Entschlüsselungsberechtigungen getrennt gehalten, und Administratoren würden zwar Lebenszyklusfunktionen verwalten, wären aber nicht in der Lage, Daten mit den von ihnen verwalteten Schlüsseln zu ver- oder entschlüsseln.

AWS KMS Wird im Security Tooling-Konto verwendet, um die Verschlüsselung zentraler Sicherheitsdienste zu verwalten, z. B. des von der AWS CloudTrail Organisation verwalteten Organization Trails. AWS

AWS Private CA

AWS Private Certificate Authority(AWS Private CA) ist ein verwalteter privater CA-Dienst, mit dem Sie den Lebenszyklus Ihrer privaten Endentitäts-TLS-Zertifikate für EC2 Instances, Container, IoT-Geräte und lokale Ressourcen sicher verwalten können. Er ermöglicht verschlüsselte TLS-Kommunikation mit laufenden Anwendungen. Damit AWS Private CA können Sie Ihre eigene CA-Hierarchie (eine Stammzertifizierungsstelle über untergeordnete CAs Zertifikate bis hin zu Endzertifikaten) erstellen und damit Zertifikate ausstellen, um interne Benutzer, Computer, Anwendungen, Dienste, Server und andere Geräte zu authentifizieren und Computercode zu signieren. Von einer privaten Zertifizierungsstelle ausgestellte Zertifikate werden nur innerhalb Ihrer AWS Organisation als vertrauenswürdig eingestuft, nicht im Internet.

Ein Public Key Infrastructure (PKI) oder ein Sicherheitsteam kann für die Verwaltung der gesamten PKI-Infrastruktur verantwortlich sein. Dies beinhaltet die Verwaltung und Erstellung der privaten CA. Es muss jedoch eine Bestimmung geben, die es Workload-Teams ermöglicht, ihre Zertifikatsanforderungen selbst zu erfüllen. Die AWS SRA stellt eine zentralisierte CA-Hierarchie dar, in der die Stammzertifizierungsstelle innerhalb des Security Tooling-Kontos gehostet wird. Auf diese Weise können Sicherheitsteams strenge Sicherheitskontrollen durchsetzen, da die Stammzertifizierungsstelle die Grundlage der gesamten PKI bildet. Die Erstellung von privaten Zertifikaten aus der privaten Zertifizierungsstelle wird jedoch an Anwendungsentwicklungsteams delegiert, indem die CA mithilfe von AWS Resource Access Manager ()AWS RAM an ein Anwendungskonto weitergegeben wird. AWS RAM verwaltet die für die kontoübergreifende gemeinsame Nutzung erforderlichen Berechtigungen. Dadurch entfällt die Notwendigkeit einer privaten Zertifizierungsstelle für jedes Konto und die Bereitstellung ist kostengünstiger. Weitere Informationen zum Arbeitsablauf und zur Implementierung finden Sie im Blogbeitrag How AWS RAM to Share Your AWS Private CA Cros-Account.

Amazon Inspector

Amazon Inspector ist ein automatisierter Schwachstellen-Management-Service, der automatisch EC2 Amazon-Instances, Container-Images in Amazon Elastic Container Registry (Amazon ECR), AWS Lambda Funktionen und Code-Repositorys in Ihren Quellcode-Managern auf bekannte Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdungen erkennt und scannt.

Amazon Inspector bewertet Ihre Umgebung während des gesamten Lebenszyklus Ihrer Ressourcen kontinuierlich, indem Ressourcen automatisch gescannt werden, wenn Sie Änderungen daran vornehmen. Zu den Ereignissen, die ein erneutes Scannen einer Ressource auslösen, gehören die Installation eines neuen Pakets auf einer EC2 Instance, die Installation eines Patches und die Veröffentlichung eines neuen CVE-Berichts (Common Vulnerabilities and Exposures), der sich auf die Ressource auswirkt. Amazon Inspector unterstützt Benchmark-Bewertungen des Center of Internet Security (CIS) für Betriebssysteme in EC2 Instances.

Amazon Inspector lässt sich in Entwicklertools wie Jenkins und TeamCity zur Bewertung von Container-Images integrieren. Sie können Ihre Container-Images innerhalb Ihrer Continuous Integration und Continuous Delivery (CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CDDashboard) auf Softwareschwachstellen untersuchen, sodass Sie automatisierte Aktionen als Reaktion auf kritische Sicherheitsprobleme wie blockierte Builds oder Image-Pushes an Container-Registries durchführen können. Wenn Sie über ein aktives Plug-in verfügen AWS-Konto, können Sie das Amazon Inspector-Plugin von Ihrem CI/CD Tool-Marktplatz aus installieren und Ihrer Build-Pipeline einen Amazon Inspector-Scan hinzufügen, ohne den Amazon Inspector-Service aktivieren zu müssen. Diese Funktion funktioniert mit CI/CD Tools, die überall gehostet werden — vor Ort AWS, vor Ort oder in Hybrid-Clouds —, sodass Sie in all Ihren Entwicklungspipelines konsistent eine einzige Lösung verwenden können. Wenn Amazon Inspector aktiviert ist, erkennt es automatisch all Ihre EC2 Instances, Container-Images in Amazon ECR und CI/CD Tools sowie Lambda-Funktionen in großem Umfang und überwacht sie kontinuierlich auf bekannte Sicherheitslücken.

Mit den Ergebnissen zur Netzwerkerreichbarkeit von Amazon Inspector wird die Erreichbarkeit Ihrer EC2 Instances zu oder von VPC-Edges wie Internet-Gateways, VPC-Peering-Verbindungen oder virtuellen privaten Netzwerken () VPNs über ein virtuelles Gateway bewertet. Diese Regeln helfen Ihnen dabei, die Überwachung Ihrer AWS Netzwerke zu automatisieren und zu ermitteln, wo der Netzwerkzugriff auf Ihre EC2 Instances aufgrund schlecht verwalteter Sicherheitsgruppen, Zugriffskontrolllisten (ACLs), Internet-Gateways usw. falsch konfiguriert sein könnte. Weitere Informationen finden Sie in der Amazon Inspector Inspector-Dokumentation.

Wenn Amazon Inspector Sicherheitslücken oder offene Netzwerkpfade identifiziert, wird ein Ergebnis generiert, das Sie untersuchen können. Das Ergebnis umfasst umfassende Informationen über die Sicherheitsanfälligkeit, einschließlich einer Risikobewertung, der betroffenen Ressource und Empfehlungen zur Behebung. Die Risikobewertung ist speziell auf Ihre Umgebung zugeschnitten und wird berechnet, indem up-to-date CVE-Informationen mit zeitlichen und umweltbedingten Faktoren wie Netzwerkzugänglichkeit und Ausnutzbarkeit korreliert werden, um ein kontextbezogenes Ergebnis zu erhalten.

Amazon Inspector Code Security scannt den Quellcode von Erstanbieteranwendungen, Abhängigkeiten von Drittanbieteranwendungen und Infrastructure as Code (IaC) auf Sicherheitslücken. Nachdem Sie Code Security aktiviert haben, können Sie eine Scan-Konfiguration erstellen und auf Ihr Code-Repository anwenden, um die Häufigkeit, den Scantyp und die zu scannenden Repositorys festzulegen. Code Security unterstützt statische Anwendungssicherheitstests (SAST), Software Composition Analysis (SCA) und IaC-Scans. Um die Häufigkeit zu konfigurieren, können Sie Scans bei Bedarf, bei Codeänderungen oder in regelmäßigen Abständen definieren. Beim Codescan werden Codefragmente erfasst, um erkannte Sicherheitslücken hervorzuheben. Die Codefragmente werden mit KMS-Schlüsseln verschlüsselt gespeichert. Der delegierte Administrator einer Organisation kann keine Codefragmente einsehen, die zu Mitgliedskonten gehören. Nachdem Sie Ihre Quellcode-Manager (SCMs) in Code Security integriert haben, werden alle Code-Repositorys in der Amazon Inspector Inspector-Konsole als Projekte aufgeführt. Code Security überwacht nur den Standardzweig jedes Repositorys. Amazon Inspector optimiert die Behebung von Sicherheitsproblemen, indem es spezifische Empfehlungen zur Behebung von Codefehlern direkt dort bereitstellt, wo Entwickler arbeiten. Die bidirektionale Integration mit Ihrem SCM schlägt automatisch Korrekturen als Kommentare in Pull-Anfragen (PRs) und Merge-Anfragen (MRs) für kritische und wichtige Ergebnisse vor und warnt Entwickler vor den wichtigsten Sicherheitslücken, die behoben werden müssen, ohne ihren Arbeitsablauf zu unterbrechen. 

Um nach Sicherheitslücken zu suchen, müssen EC2 Instanzen mithilfe AWS Systems Manager von AWS Systems Manager Agent () verwaltet werden. SSMAgent  Für die Netzwerkerreichbarkeit von EC2 Instances oder das Scannen von Container-Images nach Sicherheitslücken in Amazon ECR- oder Lambda-Funktionen sind keine Agenten erforderlich.

Amazon Inspector ist in die delegierte Verwaltung integriert AWS Organizations und unterstützt diese. In der AWS SRA wird das Security Tooling-Konto zum delegierten Administratorkonto für Amazon Inspector. Das delegierte Administratorkonto von Amazon Inspector kann Ergebnisdaten und bestimmte Einstellungen für Mitglieder der AWS Organisation verwalten. Dazu gehören die Anzeige der Details der aggregierten Ergebnisse für alle Mitgliedskonten, die Aktivierung oder Deaktivierung von Scans für Mitgliedskonten und die Überprüfung der gescannten Ressourcen innerhalb der Organisation. AWS

AWS Security Incident Response

AWS Security Incident Responseist ein Service, der Ihnen hilft, sich auf Sicherheitsvorfälle in Ihrer Umgebung vorzubereiten und darauf zu reagieren. AWS Er analysiert die Ergebnisse, eskaliert Sicherheitsereignisse und verwaltet Fälle, die Ihre sofortige Aufmerksamkeit erfordern. Darüber hinaus erhalten Sie Zugriff auf das AWS Customer Incident Response Team (CIRT), das die betroffenen Ressourcen untersucht. AWS Security Incident Response bietet außerdem automatisierte Reaktions- und Problembehebungsfunktionen mithilfe von AWS Systems Manager Dokumenten (SSM-Dokumenten), die Sicherheitsteams dabei unterstützen, effizienter auf Sicherheitsvorfälle zu reagieren und diese zu beheben. AWS Security Incident Response lässt sich in Amazon GuardDuty integrieren AWS Security Hub CSPM, um Sicherheitserkenntnisse zu erhalten und automatisierte Antworten zu orchestrieren.

In der AWS SRA AWS Security Incident Response wird es im Security Tooling-Konto als delegiertes Administratorkonto bereitgestellt. Das Security Tooling-Konto wird ausgewählt, weil es dem Zweck des Kontos entspricht, Sicherheitsdienste zu betreiben und Sicherheitswarnungen und -reaktionen zu automatisieren. Das Security Tooling-Konto fungiert auch als delegiertes Administratorkonto für Security Hub CSPM und trägt so zur GuardDuty Vereinfachung des Workflow-Managements AWS Security Incident Response bei. AWS Security Incident Response ist so konfiguriert, dass es funktioniert AWS Organizations, sodass Sie die Reaktionen auf Vorfälle in allen Konten Ihres Unternehmens vom Security Tooling-Konto aus verwalten können.

AWS Security Incident Response hilft Ihnen bei der Implementierung der folgenden Phasen des Incident-Response-Lebenszyklus:

Sie können es auch verwenden, um selbst AWS Security Incident Response verwaltete Fälle zu erstellen. AWS Security Incident Response kann eine ausgehende Benachrichtigung oder einen Fall erstellen, wenn Sie sich eines Problems bewusst sein oder entsprechend handeln müssen, das sich auf Ihr Konto oder Ihre Ressourcen auswirken könnte. Diese Funktion ist nur verfügbar, wenn Sie die Workflows proaktive Reaktion und Alert-Triaging als Teil Ihres Abonnements aktivieren.

Bereitstellung gemeinsamer Sicherheitsdienste in allen AWS-Konten

Im Abschnitt Anwenden von Sicherheitsdiensten im gesamten AWS Unternehmen weiter oben in dieser Referenz wurden Sicherheitsdienste hervorgehoben, die eine schützen AWS-Konto, und es wurde darauf hingewiesen, dass viele dieser Dienste auch innerhalb dieser Datenbank konfiguriert und verwaltet werden können AWS Organizations. Einige dieser Dienste sollten für alle Konten bereitgestellt werden, und Sie werden sie in der AWS SRA sehen. Dies ermöglicht einheitliche Leitplanken und ermöglicht eine zentrale Überwachung, Verwaltung und Steuerung in Ihrem gesamten Unternehmen. AWS

Security Hub CSPM,, GuardDuty AWS Config, IAM Access Analyzer und CloudTrail Organization Trails werden in allen Konten angezeigt. Die ersten drei unterstützen die Funktion für delegierte Administratoren, die bereits im Abschnitt Verwaltungskonto, vertrauenswürdiger Zugriff und delegierte Administratoren beschrieben wurde. CloudTrail verwendet derzeit einen anderen Aggregationsmechanismus.

Das AWS GitHub SRA-Code-Repository bietet eine Beispielimplementierung für die Aktivierung von Security Hub CSPM,, GuardDuty AWS Config AWS Firewall Manager, und CloudTrail Organization Trails für all Ihre Konten, einschließlich des AWS Org Management-Kontos.