Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Beispiel für ein Cloud-Team: VPC-Konfigurationen ändern Das Cloud-Team ist dafür verantwortlich, Sicherheitsfeststellungen zu analysieren und zu korrigieren, die gemeinsame Trends aufweisen, wie z. B. Änderungen der AWS Standardeinstellungen, die möglicherweise nicht zu Ihrem Anwendungsfall passen. Diese Ergebnisse wirken sich in der Regel auf viele AWS-Konten unserer Ressourcen aus, z. B. VPC-Konfigurationen, oder sie beinhalten eine Einschränkung, die für die gesamte Umgebung gelten sollte. In den meisten Fällen nimmt das Cloud-Team manuelle, einmalige Änderungen vor, z. B. das Hinzufügen oder Aktualisieren einer Richtlinie. Nachdem Ihr Unternehmen eine AWS Umgebung für einige Zeit genutzt hat, stellen Sie möglicherweise fest, dass sich eine Reihe von Anti-Pattern-Angriffen herausbilden. Ein *Anti-Pattern* ist eine häufig verwendete Lösung für ein wiederkehrendes Problem, bei dem die Lösung kontraproduktiv, ineffektiv oder weniger wirksam als eine Alternative ist. Als Alternative zu diesen Anti-Pattern kann Ihr Unternehmen umgebungsweite Einschränkungen verwenden, die effektiver sind, wie z. B. Richtlinien zur AWS Organizations Dienststeuerung (SCPs) oder IAM Identity Center-Berechtigungssätze. SCPs und Berechtigungssätze können zusätzliche Einschränkungen für Ressourcentypen vorsehen, z. B. verhindern, dass Benutzer einen öffentlichen Amazon Simple Storage Service (Amazon S3) -Bucket konfigurieren. Obwohl es verlockend sein kann, alle möglichen Sicherheitskonfigurationen einzuschränken, gibt es doch Größenbeschränkungen für Richtlinien SCPs und Berechtigungssätze. Wir empfehlen einen ausgewogenen Ansatz für präventive und detektive Kontrollen. Im Folgenden sind einige Kontrollen aus dem [FSBP-Standard ( AWS Security Hub CSPM Foundational Security Best Practices) aufgeführt](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), für die das Cloud-Team möglicherweise verantwortlich ist: + [[EC2.2] Die VPC-Standardsicherheitsgruppe sollte keinen eingehenden und ausgehenden Datenverkehr zulassen](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) + [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6) + [[EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) + [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Lese- und Schreibverwaltungsereignisse umfasst](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1) + [[Config.1] AWS Config sollte aktiviert sein](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) In diesem Beispiel befasst sich das Cloud-Team mit einem Ergebnis für die FSBP-Kontrolle EC2 .2. In der [Dokumentation](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) zu diesem Steuerelement wird empfohlen, nicht die Standardsicherheitsgruppe zu verwenden, da sie einen breiten Zugriff über die Standardregeln für eingehende und ausgehende Nachrichten ermöglicht. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, wird empfohlen, die Regeleinstellungen zu ändern, um den eingehenden und ausgehenden Verkehr einzuschränken. Um dieses Problem effizient zu lösen, sollte das Cloud-Team etablierte Mechanismen verwenden, um die Sicherheitsgruppenregeln für alle zu ändern, VPCs da jede VPC über diese Standardsicherheitsgruppe verfügt. In den meisten Fällen verwalten Cloud-Teams VPC-Konfigurationen mithilfe von [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)Anpassungen oder einem IaC-Tool (Infrastructure as Code) wie oder. [https://www.terraform.io/](https://www.terraform.io/)