# Sicherheit
SEC 1. Verbindliche Leitlinien zur Implementierung finden Sie im [Whitepaper der Säule für Sicherheit](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Sicherheitsgrundlagen](a-sec-security.md)
+ [Identity and Access Management](a-identity-and-access-management.md)
+ [Erkennung](a-detective-controls.md)
+ [Schutz der Infrastruktur](a-infrastructure-protection.md)
+ [Datenschutz](a-data-protection.md)
+ [Vorfallsreaktion](a-incident-response.md)
+ [Anwendungssicherheit](a-appsec.md)
# Sicherheitsgrundlagen
**Topics**
+ [SEC 1. Wie können Sie Ihren Workload sicher betreiben?](sec-01.md)
# SEC 1. Wie können Sie Ihren Workload sicher betreiben?
SEC 2. Nutzen Sie Anforderungen und Prozesse, die Sie in Operational Excellence definiert haben, auf Organisations- und Workload-Ebene, und wenden Sie sie auf alle Bereiche an. Bleiben Sie auf dem Laufenden mit AWS- und Branchenempfehlungen sowie Bedrohungsinformationen, um Ihr Bedrohungsmodell und Ihre Kontrollziele weiterzuentwickeln. Die Automatisierung von Sicherheitsprozessen, Tests und Validierung ermöglicht es Ihnen, Ihre operativen Abläufe zu skalieren.
**Topics**
+ [SEC01-BP01 Trennen von Workloads mithilfe von Konten](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Aktuelle Informationen dank Sicherheitsempfehlungen](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Trennen von Workloads mithilfe von Konten
Sorgen Sie mit einer Mehrkonten-Strategie für wirksamen Integritätsschutz und Isolierungen zwischen Umgebungen (etwa Produktion, Entwicklung und Test) sowie Workloads. Die Trennung auf Kontoebene wird nachdrücklich angeraten, da diese für die wirksame Isolierung für Sicherheits-, Fakturierungs- und Zugriffszwecke sorgt.
**Gewünschtes Ergebnis:** eine Kontostruktur, die Cloud-Operationen, nicht zusammengehörige Workloads und Umgebungen in separaten Konten voneinander isoliert, sodass die Sicherheit in der gesamten Cloud-Infrastruktur verbessert wird.
**Typische Anti-Muster:**
+ Platzierung mehrerer nicht zusammengehöriger Workloads mit unterschiedlicher Datensensitivität in einem einzigen Konto
+ schlecht definierte Organizational Unit (OU, Organisationseinheit)-Struktur
**Vorteile der Nutzung dieser bewährten Methode:**
+ geringere Auswirkungen bei versehentlichen Zugriffen auf einen Workload
+ zentrale Verwaltung des Zugriffes auf AWS-Services, Ressourcen und Regionen
+ Wahrung der Sicherheit der Cloud-Infrastruktur durch Richtlinien und die zentralisierte Verwaltung von Sicherheitsservices
+ automatisierte Kontoerstellung und Wartungsprozesse
+ zentralisierte Prüfung Ihrer Infrastruktur auf Compliance- und regulatorische Anforderungen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
AWS-Konten bieten eine Sicherheitsisolierungsgrenze zwischen Workloads oder Ressourcen, die auf unterschiedlichen Sensitivitätsstufen operieren. AWS bietet Tools, mit denen Sie Ihre umfangreichen Cloud-Workloads über eine Mehrkonten-Strategie verwalten und so die Isolierungsgrenze nutzen können. Für Erläuterungen der Konzepte, Muster und der Implementierung einer Mehrkonten-Strategie auf AWS siehe [Organisation Ihrer AWS-Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
Wenn Sie mehrere AWS-Konten zentral verwalten, sollten Ihre Konten in einer gemäß den Ebenen der Organisationseinheiten (OUs) definierten Hierarchie organisiert sein. Dadurch können Sicherheitskontrollen anhand der OUs und der Mitgliedskonten organisiert und auf diese angewendet werden, was eine konsistente präventive Kontrolle der Mitgliedskonten in der Organisation ermöglicht. Die Sicherheitskontrollen werden weitergegeben, sodass Sie nach verfügbaren Berechtigungen für Mitgliedskonten auf unteren Ebenen der OU-Hierarchie filtern können. Ein gutes Design macht sich diese Weitergabe zunutze, um die Anzahl und die Komplexität der Sicherheitsrichtlinien, die für die erwünschten Sicherheitskontrollen für jedes Mitgliedskonto erforderlich sind, zu reduzieren.
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) und [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) sind zwei Services, mit denen Sie diese Mehrkontenstruktur in Ihrer AWS-Umgebung implementieren und verwalten können. AWS Organizations ermöglicht die Organisation von Konten in einer von einer oder mehreren Ebenen von OUs definierten Hierarchie, wobei jede OU eine Anzahl von Mitgliedskonten enthält. [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) ermöglichen einem Organisationsadministrator die Einrichtung detaillierter präventiver Kontrollen für Mitgliedskonten und [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) kann verwendet werden, um proaktive und erkennende Kontrollen für Mitgliedskonten zu aktivieren. Viele AWS-Services [lassen sich in AWS Organizations integrieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) und bieten so delegierte administrative Kontrollen und führen servicespezifische Aufgaben für alle Mitgliedskonten in der Organisation durch.
Über AWS Organizations hinaus ermöglicht [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) die Einrichtung bewährter Methoden mit einem Klick für eine Mehrkonten-AWS-Umgebung mit einer [Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). Die Landing Zone ist der Einstiegspunkt für die Mehrkonten-Umgebung, eingerichtet von Control Tower. Control Tower bietet verschiedene [Vorteile](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) gegenüber AWS Organizations. Hier sind drei Vorteile, die die Kontoverwaltung verbessern:
+ integrierter verpflichtender Integritätsschutz, der automatisch auf für die Organisation zugelassene Konten angewendet wird
+ optionaler Integritätsschutz, der für einen bestimmten Satz von OUs aktiviert und deaktiviert werden kann
+ [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) bietet eine automatisierte Bereitstellung von Konten mit vorab genehmigten Baselines und Konfigurationsoptionen innerhalb Ihrer Organisation.
## Implementierungsschritte
1. **Entwurf einer OU-Struktur:** Eine korrekt gestaltete OU-Struktur reduziert den Verwaltungsaufwand für die Erstellung und Wahrung von Service-Kontrollrichtlinien und anderen Sicherheitskontrollen. Ihre OU-Struktur sollte [an Ihre geschäftlichen Anforderungen, die Sensitivität der Daten und die Workload-Struktur angepasst sein.](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/)
1. **Erstellen einer Landing Zone für Ihre Mehrkonten-Umgebung:** Eine Landing Zone bietet eine konsistente Sicherheits- und Infrastrukturbasis, von der aus Ihre Organisation Workloads schnell entwickeln, starten und bereitstellen kann. Sie können eine [individuell erstellte Landing Zone oder AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) für die Orchestrierung Ihrer Umgebung verwenden.
1. **Einrichtung von Integritätsschutz:** Implementieren Sie konsistenten Integritätsschutz für Ihre Umgebung über Ihre Landing Zone. AWS Control Tower bietet eine Liste [verpflichtender](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) und [optionaler](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) Kontrollen, die bereitgestellt werden können. Verpflichtende Kontrollen werden automatisch bereitgestellt, wenn Control Tower implementiert wird. Überprüfen Sie die Liste nachdrücklich empfohlener sowie optionaler Kontrollen und implementieren Sie diejenigen, die Ihren Anforderungen entsprechen.
1. **Einschränken des Zugriffs auf neu hinzugefügte Regionen:** Für neue AWS-Regionen werden IAM-Ressourcen, z. B. Benutzer und Rollen, nur an die von Ihnen angegebenen Regionen weitergegeben. Dieser Vorgang kann über die [Konsole durchgeführt werden, wenn Sie Control Tower verwenden](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html), oder durch die Anpassung von [IAM-Berechtigungsrichtlinien in AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/).
1. **Erwägen der Verwendung von AWS[CloudFormation StackSets:](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)** StackSets helfen dabei, Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten und Regionen bereitzustellen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
**Zugehörige Dokumente:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Richtlinien zur AWS-Sicherheitsprüfung)
+ [IAM Best Practices](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) (Bewährte Methoden für IAM)
+ [Use CloudFormation StackSets to provision resources across multiple AWS-Konten and regions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) (Verwendung von CloudFormation StackSets zur Bereitstellung von Ressourcen für mehrere AWS-Konten und Regionen)
+ [Organizations FAQ](https://aws.amazon.com/organizations/faqs/) (Häufig gestellte Fragen zu Organisationen)
+ [AWS Organizations terminology and concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AO-Terminologie und -Konzepte)
+ [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (Bewährte Methoden für Service-Kontrollrichtlinien in einer AO-Mehrkonten-Umgebung)
+ [AWS Account Management Reference Guide](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) (Referenz zur Verwaltung von AWS-Konten)
+ [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) (Organisieren der AWS-Umgebung mithilfe mehrerer Konten)
**Zugehörige Videos:**
+ [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s)(AWS-Übernahme in großem Umfang mit Automatisierung und Governance)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) (Bewährte Sicherheitsmethoden mit durchdachter Architektur)
+ [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) (Aufbau und Verwaltung mehrerer Konten mit AWS Control Tower)
+ [Enable Control Tower for Existing Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM) (Aktivierung von Control Tower für bestehende Organisationen)
**Zugehörige Workshops:**
+ [Control Tower Immersion Day](https://controltower.aws-management.tools/immersionday/)
# SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften
Der Root-Benutzer ist in einem AWS-Konto der Benutzer mit den meisten Berechtigungen und vollständigem administrativem Zugriff auf alle Ressourcen in dem Konto und kann in manchen Fällen nicht von Sicherheitsrichtlinien eingeschränkt werden. Die Deaktivierung des programmatischen Zugriffs auf den Root-Benutzer, die Einrichtung geeigneter Kontrollen für den Root-Benutzer und das Vermeiden der routinemäßigen Verwendung des Root-Benutzers senken die Risiken einer unbeabsichtigten Offenlegung der Anmeldeinformationen des Root-Benutzers und daraus resultierender ernsthafter Probleme für die Cloud-Umgebung.
**Gewünschtes Ergebnis:** Der Schutz des Root-Benutzers hilft dabei, die Gefahr zu verringern, dass versehentliche oder beabsichtigte Schäden durch den Missbrauch der Anmeldeinformationen des Root-Benutzers entstehen. Die Einrichtung erkennender Kontrollen kann auch für die Benachrichtigung der richtigen Personen sorgen, wenn Aktionen unter Verwendung des Root-Benutzers durchgeführt werden.
**Typische Anti-Muster:**
+ Verwendung des Root-Benutzers für andere Aufgaben als die wenigen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind
+ Versäumnis, Notfallpläne regelmäßig zu testen, um das Funktionieren kritischer Infrastrukturen, Prozesse und des Personals während eines Notfalls zu überprüfen.
+ ausschließliche Berücksichtigung des typischen Kontoanmeldungsprozesses und keine Berücksichtigung alternativer Kontowiederherstellungsverfahren
+ keine Behandlung von DNS, E-Mail-Servern und Telefonanbietern als Teil des kritischen Sicherheitsperimeters, da diese in den Kontowiederherstellungsabläufen verwendet werden
**Vorteile der Nutzung dieser bewährten Methode:** Der Schutz des Zugriffs auf den Root-Benutzer stärkt das Vertrauen dazu, dass Aktionen in Ihrem Konto kontrolliert und überwacht werden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
AWS bietet zahlreiche Tools für den Schutz Ihres Kontos. Da einige dieser Maßnahmen aber nicht standardmäßig aktiviert sind, müssen Sie sie selbst implementieren. Betrachten Sie diese Empfehlungen als grundlegende Schritte für den Schutz Ihres AWS-Konto. Bei der Implementierung dieser Schritte ist es wichtig, dass Sie einen Prozess für die kontinuierliche Prüfung und Überwachung der Sicherheitskontrollen einrichten.
Wenn Sie ein AWS-Konto anlegen, beginnen Sie mit einer Identität, mit der Sie auf alle mit dem Konto verbundenen AWS-Services und -Ressourcen zugreifen können. Diese Identität wird als der Root-Benutzer des AWS-Konto bezeichnet. Sie können sich mit der E-Mail-Adresse und dem Passwort, die bei der Konto-Erstellung verwendet wurden, als Root-Benutzer anmelden. Da der AWS-Root-Benutzer erweiterte Zugriffsrechte hat, müssen Sie die Verwendung des AWS-Root-Benutzers auf die Aufgaben beschränken, für die er [ausdrücklich erforderlich ist](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Die Anmeldeinformationen des Root-Benutzers müssen sehr gut geschützt werden, und für den Root-Benutzer des AWS-Konto sollte immer die Multi-Faktor-Authentifizierung (MFA) aktiviert sein.
Zusätzlich zum normalen Authentifizierungsablauf bei der Anmeldung als Root-Benutzer mit einem Benutzernamen, Passwort und einem Gerät zur Multi-Faktor-Authentifizierung (MFA) gibt es Kontowiederherstellungsabläufe für die Anmeldung Ihres AWS-Konto als Root-Benutzer mit Zugriff auf die mit Ihrem Konto verbundene E-Mail-Adresse und die Telefonnummer. Daher ist es ebenso wichtig, das E-Mail-Konto des Root-Benutzers, an das die Wiederherstellungs-E-Mail gesendet wird, und die mit dem Konto verknüpfte Telefonnummer zu sichern. Denken Sie auch an mögliche zirkuläre Abhängigkeiten, bei denen die zum Root-Benutzer gehörende E-Mail-Adresse auf E-Mail-Servern oder DNS (Domain Name Service)-Ressourcen von demselben AWS-Konto gehostet wird.
Bei Verwendung von AWS Organizations gibt es mehrere AWS-Konten, die jeweils einen Root-Benutzer haben. Ein Konto fungiert als Verwaltungskonto und mehrere Ebenen von Mitgliedskonten können dann darunter hinzugefügt werden. Priorisieren Sie den Schutz des Root-Benutzers Ihres Verwaltungskontos und kümmern Sie sich dann um diejenigen der Mitgliedskonten. Die Strategie zum Schutz des Root-Benutzers Ihres Verwaltungskontos kann sich von der für die Root-Benutzer der Mitgliedskonten unterscheiden und Sie können präventive Sicherheitskontrollen für die Root-Benutzer Ihrer Mitgliedskonten einrichten.
### Implementierungsschritte
Die folgenden Implementierungsschritte werden für die Einrichtung der Kontrollen für den Root-Benutzer empfohlen. Gegebenenfalls verweisen die Empfehlungen auf [CIS AWS Foundations Benchmark, Version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Konsultieren Sie zusätzlich zu diesen Schritten die [Richtlinien zu bewährten Methoden für AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) für den Schutz Ihres AWS-Konto und Ihrer Ressourcen.
**Präventive Kontrollen**
1. Richten Sie korrekte [Kontaktinformationen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) für das Konto ein.
1. Diese Informationen werden für die Abläufe zur Wiederherstellung verlorener Passwörter, verlorener MFA-Gerätekonten und für die kritische sicherheitsrelevante Kommunikation mit Ihrem Team verwendet.
1. Verwenden Sie eine von ihrer Unternehmensdomain gehostete E-Mail-Adresse, vorzugsweise eine Verteilerliste, als E-Mail-Adresse des Root-Benutzers. Die Verwendung einer Verteilerliste anstelle einer einzelnen E-Mail-Adresse sorgt für zusätzliche Redundanz und Kontinuität beim Zugriff auf das Root-Konto über längere Zeiträume hinweg.
1. Die in den Kontaktinformationen angegebene Telefonnummer sollte eine für diesen Zweck speziell eingerichtete und sichere Telefonnummer sein. Diese Telefonnummer sollte nicht eingetragen sein oder an andere weitergegeben werden.
1. Erstellen Sie keine Zugriffsschlüssel für den Root-Benutzer. Wenn Zugriffsschlüssel vorhanden sind, entfernen Sie diese (CIS 1.4).
1. Entfernen Sie alle langfristigen programmatischen Anmeldeinformationen (Zugriffs- und geheime Schlüssel) für den Root-Benutzer.
1. Wenn bereits Zugriffsschlüssel für den Root-Benutzer vorhanden sind, sollten Prozesse, die diese Schlüssel verwenden, so umgestaltet werden, dass sie temporäre Zugriffsschlüssel von einer AWS Identity and Access Management (IAM)-Rolle verwenden; [löschen Sie dann die Zugriffsschlüssel des Root-Benutzers.](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key)
1. Ermitteln Sie, ob Sie Anmeldeinformationen für den Root-Benutzer speichern müssen.
1. Wenn Sie AWS Organizations zum Erstellen neuer Mitgliedskonten verwenden, wird das ursprüngliche Passwort für den Root-Benutzer in neuen Mitgliedskonten auf einen zufälligen Wert festgelegt, der Ihnen nicht angezeigt wird. Erwägen Sie die Nutzung der Passwortrücksetzung von Ihrem AWS-Organization-Verwaltungskonto, um bei Bedarf [Zugriff auf das Mitgliedskonto zu erhalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root).
1. Für Standalone-AWS-Konten oder das AWS-Organization-Verwaltungskonto sollten Sie Anmeldeinformationen für den Root-Benutzer erstellen und sicher speichern. Aktivieren Sie MFA für den Root-Benutzer.
1. Aktivieren Sie präventive Kontrollen für Root-Benutzer von Mitgliedskonten in AWS-Mehrkonten-Umgebungen.
1. Erwägen Sie die präventive Sicherheitsvorkehrung [Erstellung von Zugriffsschlüsseln für den Root-Benutzer nicht zulassen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) für Mitgliedskonten.
1. Erwägen Sie die Aktivierung der präventiven Sicherheitsmaßnahme [Aktionen als Root-Benutzer nicht zulassen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) für Mitgliedskonten.
1. Wenn Sie Anmeldeinformationen für den Root-Benutzer benötigen:
1. Verwenden Sie ein komplexes Passwort.
1. Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer, besonders für AWS Organizations-Verwaltungskonten (Bezahlerkonten) (CIS 1.5).
1. Erwägen Sie die Nutzung von Hardware-MFA-Geräten für Resilienz und Sicherheit, da Einweggeräte auf MFA-Funktionen begrenzt sind und so die Wahrscheinlichkeit verringern, dass die Geräte mit Ihren MFA-Codes für andere Zwecke verwendet werden. Stellen Sie sicher, dass batteriebetriebene MFA-Geräte regelmäßig ausgetauscht werden. (CIS 1.6)
+ Befolgen Sie zur Konfiguration der MFA für den Root-Benutzer die Anleitungen für die Aktivierung einer [virtuellen MFA](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) oder eines [Hardware-MFA-Geräts](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root).
1. Erwägen Sie die Nutzung mehrerer MFA-Geräte als Backup. [Pro Konto sind bis zu 8 MFA-Geräte zulässig](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/).
+ Beachten Sie, dass die Verwendung von mehr als einem Gerät für den Root-Benutzer automatisch den [Ablauf für die Wiederherstellung Ihres Kontos bei Verlust des MFA-Geräts](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/) deaktiviert.
1. Speichern Sie das Passwort in sicherer Weise, und beachten Sie zirkuläre Abhängigkeiten bei der elektronischen Speicherung des Passworts. Speichern Sie das Passwort nicht so, dass der Zugriff darauf erforderlich wäreAWS-Konto, um es abzurufen.
1. Optional: Erwägen Sie die Einrichtung einer periodischen Passwortrotation für den Root-Benutzer.
+ Bewährte Methoden für die Verwaltung von Anmeldeinformationen hängen von Ihren jeweiligen regulatorischen und Richtlinienanforderungen ab. Durch MFA geschützte Root-Benutzer sind nicht auf das Passwort als einzigen Authentifizierungsfaktor angewiesen.
+ Die regelmäßige [Änderung des Root-Benutzer-Passworts](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_passwords_change-root.html) senkt das Risiko, dass ein unbeabsichtigt offengelegtes Passwort missbraucht werden kann.
### Aufdeckende Kontrollen
+ Erstellen Sie Alarme, um die Verwendung der Root-Anmeldeinformationen zu erkennen (CIS 1.7). [Ist Amazon GuardDuty aktiviert](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html), wird die Nutzung der API-Anmeldeinformationen des Root-Benutzers überwacht und Sie werden über das Ergebnis von [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) benachrichtigt.
+ Evaluieren und implementieren Sie die [AWSim Well-Architected Security Pillar Conformance Pack enthaltenen aufdeckenden Kontrollen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) oder, falls SieAWS Control Tower verwenden, die [nachdrücklich empfohlenen Kontrollen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html), die in Control Tower verfügbar sind.
### Operationale Anleitung
+ Legen Sie fest, wer in der Organisation Zugriff auf die Root-Benutzer-Anmeldeinformationen haben sollte.
+ Verwenden Sie eine Zwei-Personen-Regel, damit keine einzelne Person Zugang zu allen erforderlichen Anmeldeinformationen und zur MFA hat, um sich Root-Benutzer-Zugriff zu verschaffen.
+ Stellen Sie sicher, dass die Organisation – und nicht nur eine einzelne Person – die Kontrolle über die mit dem Konto verbundene Telefonnummer und das entsprechende E-Mail-Alias hat (diese werden für die Passwort- und die MFA-Rücksetzung verwendet).
+ Verwenden Sie nur im Ausnahmefall den Root-Benutzer (CIS 1.7).
+ Der AWS-Root-Benutzer darf nicht für alltägliche Aktivitäten verwendet werden, auch nicht für administrative. Melden Sie sich nur dann als Root-Benutzer an, wenn Sie [AWS-Aufgaben durchführen müssen, für die der Root-Benutzer erforderlich ist](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Alle anderen Aktionen sollten von anderen Benutzern mit den entsprechenden Rollen durchgeführt werden.
+ Prüfen Sie regelmäßig, ob der Zugriff auf den Root-Benutzer funktioniert, um Prozeduren vor dem Eintreten von Notsituationen zu testen, die die Verwendung der Root-Benutzer-Anmeldeinformationen erfordern.
+ Prüfen Sie regelmäßig, ob die mit dem Konto verbundene E-Mail-Adresse und die unter [Alternative Kontakte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) aufgeführten E-Mail-Adressen funktionieren. Überwachen Sie diese E-Mail-Posteingänge auf etwaige Sicherheitsmitteilungen von abuse@amazon.com. Stellen Sie auch sicher, dass alle mit dem Konto verbundenen Telefonnummern funktionieren.
+ Bereiten Sie Notfallreaktionsprozeduren vor, um auf den Missbrauch des Root-Kontos reagieren zu können. Konsultieren Sie den [AWS-Reaktionsleitfaden für Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) und die bewährten Methoden im [Abschnitt zu Notfallreaktionen im Whitepaper der Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) für weitere Informationen zum Aufbau einer Sicherheitsstrategie für Ihr AWS-Konto.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC01-BP01 Trennen von Workloads mithilfe von Konten](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md)
**Zugehörige Dokumente:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Richtlinien zur AWS-Sicherheitsprüfung)
+ [IAM Best Practices](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) (Bewährte Methoden für IAM)
+ [Amazon GuardDuty – root credential usage alert](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) (Amazon GuardDuty – Alarm bei Verwendung der Root-Anmeldeinformationen)
+ [Step-by-step guidance on monitoring for root credential use through CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html#securityhub-cis1.4-controls-1.7) (Schritt-für-Schritt-Anleitung zur Überwachung der Verwendung von Root-Anmeldeinformationen mit CloudTrail)
+ [MFA tokens approved for use with AWS](https://aws.amazon.com/iam/features/mfa/) (Zur Verwendung mit AWS genehmigte MFA-Tokens)
+ Implementing [break glass access](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) on AWS (Implementieren des „Break Glass“-Zugriffs in AWS)
+ [Top 10 security items to improve in your AWS-Konto](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) (Die 10 wichtigsten Sicherheitsverbesserungen für Ihr AWS-Konto)
+ [What do I do if I notice unauthorized activity in my AWS-Konto?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) (Was muss ich tun, wenn ich unbefugte Aktivitäten in meinem AWS-Konto erkenne?)
**Zugehörige Videos:**
+ [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s) (AWS-Übernahme in großem Umfang mit Automatisierung und Governance)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) (Bewährte Sicherheitsmethoden mit durchdachter Architektur)
+ [Limiting use of AWS root credentials](https://youtu.be/SMjvtxXOXdU?t=979) from AWS re:inforce 2022 – Security best practices with AWS IAM (Einschränkung der Verwendung der AWS-Root-Anmeldeinformationen von der AWS re:inforce 2022 – Bewährte Sicherheitsmethoden mit AWS IAM)
**Zugehörige Beispiele und Workshops:**
+ [Lab: AWS-Konto und Root-Benutzer](https://www.wellarchitectedlabs.com/security/100_labs/100_aws_account_and_root_user/)
# SEC01-BP03 Identifizieren und Validieren von Kontrollzielen
Entsprechend Ihren Compliance-Anforderungen und Risiken, die aus Ihrem Bedrohungsmodell identifiziert werden, können Sie die Kontrollziele und Kontrollen ableiten und validieren, die Sie für Ihren Workload benötigen. Die laufende Validierung von Kontrollzielen und Kontrollen hilft Ihnen, die Effektivität der Risikominderung zu messen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Identifizieren Sie die Compliance-Anforderungen: Ermitteln Sie die organisatorischen, rechtlichen und Compliance-bezogenen Anforderungen, die Ihr Workload erfüllen muss.
+ Identifizieren Sie AWS-Compliance-Ressourcen: Ermitteln Sie die Ressourcen, die AWS zur Verfügung stellt, um Sie bei der Compliance zu unterstützen.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Ressourcen
**Zugehörige Dokumente:**
+ [ Richtlinien zur AWS-Sicherheitsprüfung](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/)
**Relevante Videos:**
+ [AWS Security Hub CSPM: Manage Security Alerts and Automate Compliance (Verwalten von Sicherheitsbenachrichtigungen und Automatisieren der Compliance)](https://youtu.be/HsWtPG_rTak)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen
Um geeignete Kontrollen zu definieren und zu implementieren, müssen Sie Angriffsvektoren erkennen, indem Sie stets über die neuesten Sicherheitsbedrohungen auf dem Laufenden bleiben. Nutzen Sie AWS Managed Services, um einfacher über unerwartetes oder ungewöhnliches Verhalten in Ihren AWS-Konten benachrichtigt zu werden. Verwenden Sie für Untersuchungen im Rahmen Ihrer Abläufe zu Sicherheitsinformationen AWS-Partner-Tools oder Feeds mit Risikoinformationen von Drittanbietern. Die [Liste der Common Vulnerabilities and Exposures (CVE) ](https://cve.mitre.org/) enthält öffentlich bekannte Cybersicherheitsrisiken, sodass Sie immer auf dem aktuellen Stand sind.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Abonnieren Sie Informationsquellen zu Bedrohungen: Überprüfen Sie regelmäßig Informationen aus mehreren Quellen zu Bedrohungen, die für die in Ihrem Workload verwendeten Technologien relevant sind.
+ [Liste der Common Vulnerabilities and Exposures (CVE) ](https://cve.mitre.org/)
+ Verwenden Sie den [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) -Service: So erhalten Sie nahezu in Echtzeit Einblicke in Informationsquellen, wenn Ihr Workload über das Internet zugänglich ist.
## Ressourcen
**Zugehörige Dokumente:**
+ [ Richtlinien zur AWS-Sicherheitsprüfung](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/)
**Relevante Videos:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Aktuelle Informationen dank Sicherheitsempfehlungen
Bleiben Sie mit AWS- und Branchensicherheitsempfehlungen auf dem Laufenden, um die Sicherheitsstrategie für Ihren Workload zu entwickeln. [AWS-Sicherheitsmitteilungen](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) enthalten wichtige Informationen zur Sicherheit und zum Datenschutz.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Verfolgen Sie AWS-Updates: Abonnieren Sie diese oder überprüfen Sie sie regelmäßig in Bezug auf neue Empfehlungen, Tipps und Tricks.
+ [AWS Well-Architected Labs](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [AWS-Sicherheitsblog](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [AWS-Servicedokumentation](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Abonnieren Sie Branchennachrichten: Überprüfen Sie regelmäßig Newsfeeds aus verschiedenen Quellen, die für die in Ihrem Workload verwendeten Technologien relevant sind.
+ [Beispiel: Liste der Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/cve/?ref=wellarchitected)
## Ressourcen
**Zugehörige Dokumente:**
+ [Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/)
**Relevante Videos:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines
Erstellen Sie sichere Ausgangswerte und Vorlagen für Sicherheitsmechanismen, die im Rahmen Ihres Builds, Ihrer Pipelines und Prozesse getestet und validiert werden. Verwenden Sie Tools und Automatisierung, um alle Sicherheitskontrollen kontinuierlich zu testen und zu validieren. Scannen Sie beispielsweise Elemente wie Machine Images und Infrastruktur als Codevorlagen in jeder Phase auf Sicherheitslücken, Unregelmäßigkeiten und Abweichungen von einer etablierten Ausgangsbasis. Mit AWS CloudFormation Guard können Sie sicherstellen, dass CloudFormation-Vorlagen sicher sind, Sie dadurch Zeit sparen und das Risiko von Konfigurationsfehlern verringert wird.
Wichtig ist, die Zahl der fehlerhaften Sicherheitskonfigurationen in einer Produktionsumgebung zu reduzieren. Je mehr Qualitätskontrollen Sie während des Entwicklungsprozesses durchführen und je mehr Fehler Sie vorab eliminieren können, desto besser. Entwickeln Sie Continuous Integration und Continuous Deployment-Pipelines (CI/CD), um kontinuierlich Sicherheitsprobleme zu erkennen. CI/CD-Pipelines bieten die Möglichkeit, die Sicherheit in jeder Phase der Erstellung und Bereitstellung zu erhöhen. CI/CD-Sicherheitstools müssen kontinuierlich aktuell gehalten werden, um sie den sich ständig verändernden Bedrohungen anzupassen.
Verfolgen Sie Änderungen an der Workload-Konfiguation nach. Dies hilft Ihnen bei Compliance-Auditing, Änderungsverwaltung und ggf. bei Untersuchungen. Sie können mit AWS Config Ihre AWS- und Drittanbieterressourcen aufzeichnen und evaluieren. So können Sie die allgemeine Compliance mit Regeln und Conformance Packs, d. h. Regelsammlungen mit Maßnahmen zur Problembehebung, kontinuierlich prüfen und bewerten.
Die Änderungsverfolgung sollte geplante Änderungen einschließen, die Teil des Änderungskontrollprozesses Ihrer Organisation sind (manchmal als „MACD“ bezeichnet – Move/Add/Change/Delete), außerdem ungeplante Änderungen und unerwartete Änderungen, beispielsweise Vorfälle. Änderungen können sowohl bei der Infrastruktur als auch im Zusammenhang mit anderen Kategorien auftreten, z. B. Änderungen an Code-Repositorys, Machine Images oder beim Anwendungsinventar, sowie Prozess- und Richtlinienänderungen oder auch Änderungen an der Dokumentation.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Automatisieren Sie die Konfigurationsverwaltung: Legen Sie fest, dass sichere Konfigurationen automatisch erzwungen und validiert werden. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Einrichten einer CI/CD-Pipeline in AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Ressourcen
**Zugehörige Dokumente:**
+ [Verwenden von Service-Kontrollrichtlinien zum Festlegen eines kontenübergreifenden Integritätsschutzes für Berechtigungen in AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Relevante Videos:**
+ [Managing Multi-Account AWS Environments Using AWS Organizations (Verwalten von AWS-Umgebungen mit mehreren Konten mithilfe von AWS Organizations)](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells
Führen Sie Bedrohungsmodellierungen zur Identifizierung und Pflege eines aktuellen Registers potenzieller Bedrohungen und entsprechender Abhilfemaßnahmen für Ihren Workload durch. Priorisieren Sie Ihre Bedrohungen und passen Sie Ihre Sicherheitskontrollen an, um zu verhindern, zu erkennen und zu reagieren. Überarbeiten und halten Sie diese Methoden im Kontext Ihres Workloads und der sich entwickelnden Sicherheitslandschaft aktuell.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
**Was versteht man unter Bedrohungsmodellierung?**
„Die Bedrohungsmodellierung dient zur Identifikation, Kommunikation und zum Verständnis von Bedrohungen und entsprechender Abhilfemaßnahmen im Kontext des Schutzes werthaltiger Dinge.“ – [The Open Web Application Security Project (OWASP) Application Threat Modeling](https://owasp.org/www-community/Threat_Modeling)
**Wozu dient die Bedrohungsmodellierung?**
Systeme sind komplex und werden mit der Zeit immer komplexer und leistungsfähiger. Gleichzeitig liefern sie immer mehr geschäftlichen Wert und verbessern die Kundenzufriedenheit und ‑bindung. Dies bedeutet, dass Entscheidungen zum IT-Design immer mehr Anwendungsfälle berücksichtigen müssen. Diese Komplexität und die zunehmende Zahl der Anwendungsfälle macht unstrukturierte Konzepte ineffektiv, wenn es um das Erkennen und Bekämpfen von Bedrohungen geht. Stattdessen wird ein systematisches Konzept benötigt, das die potenziellen Bedrohungen für ein System aufführen und Abhilfemaßnahmen benennen und priorisieren kann, um sicherzustellen, dass die begrenzten Ressourcen einer Organisation in maximaler Weise in der Lage sind, die Sicherheitslage des Systems insgesamt zu verbessern.
Die Bedrohungsmodellierung dient zum Aufbau eines solchen systematischen Konzepts, damit Probleme frühzeitig im Designprozess erkannt und angegangen werden können, so lange Abhilfemaßnahmen noch mit niedrigen relativen Kosten und geringem Aufwand verbunden sind, was später im Lebenszyklus nicht mehr der Fall ist. Dieses Konzept entspricht dem Branchenprinzip des [*Shift-Left*-Sicherheitsansatzes](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Letztendlich ist die Bedrohungsmodellierung in den Risikomanagementprozess einer Organisation integriert und hilft mit einem auf Bedrohungen ausgerichteten Konzept bei Entscheidungen dazu, welche Kontrollmechanismen zu implementieren sind.
**Wann sollte eine Bedrohungsmodellierung durchgeführt werden?**
Beginnen Sie mit der Bedrohungsmodellierung so früh wie möglich im Lebenszyklus Ihres Workloads Dies gibt Ihnen die benötigte Flexibilität im Umgang mit den identifizierten Bedrohungen. Wie bei Softwarebugs gilt auch hier: Je früher Sie Bedrohungen identifizieren, desto kostengünstiger ist es, sie zu beheben. Ein Bedrohungsmodell ist ein lebendiges Dokument, dass stetig weiterentwickelt werden sollte, während sich Ihre Workloads verändern. Überprüfen Sie regelmäßig Ihre Bedrohungsmodelle, vor allem bei größeren Änderungen, bei Änderungen der Bedrohungslandschaft, oder wenn Sie neue Funktionen oder Services einführen.
### Implementierungsschritte
**Wie wird die Bedrohungsmodellierung durchgeführt?**
Es gibt viele verschiedene Möglichkeiten zur Durchführung von Bedrohungsmodellierungen. Ähnlich wie bei Programmiersprachen gibt es Vor- und Nachteile und Sie sollten den Ansatz wählen, der für Sie am besten funktioniert. Ein Konzept besteht darin, mit [Shostack’s 4 Question Frame for Threat Modeling](https://github.com/adamshostack/4QuestionFrame) zu beginnen, das aus offenen Fragen besteht, die Ihre Bedrohungsmodellierung strukturieren:
1. **Woran arbeiten wir?**
Diese Frage dient dazu, das von Ihnen aufgebaute System sowie die sicherheitsrelevanten Details zu diesem System zu verstehen. Für die Beantwortung dieser Frage ist es üblich, ein Modell oder Diagramm zur Visualisierung dessen aufzustellen, was aufgebaut wird, etwa in Gestalt eines [Datenflussdiagramms](https://en.wikipedia.org/wiki/Data-flow_diagram). Das Aufschreiben von Annahmen und wichtigen Details zum System hilft ebenfalls beim Verständnis des Umfangs. Dadurch können sich alle, die zum Bedrohungsmodell beitragen, auf dasselbe konzentrieren und zeitraubende Umwege über irrelevante Themen (wie etwa veraltete Versionen des Systems) vermeiden. Wenn Sie beispielsweise eine Web-Anwendung erstellen, ist es wahrscheinlich nicht relevant, sich um die Bedrohungsmodellierung im Zusammenhang mit der Bootsequenz für Browser-Clients in vertrauenswürdigen Betriebssystemen zu kümmern, da Sie darauf ohnehin keinen Einfluss haben.
1. **Was kann schief gehen?**
Hier identifizieren Sie die Bedrohungen für Ihr System. Bedrohungen sind versehentliche oder beabsichtigte Handlungen oder Ereignisse, die unerwünschte Folgen haben und die Sicherheit Ihres Systems beeinträchtigen können. Ohne ein klares Verständnis dessen, was schief gehen kann, haben Sie keine Möglichkeit, etwas dagegen zu unternehmen.
Es gibt keine kanonische Liste dessen, was schief gehen kann. Die Erstellung dieser Liste erfordert Brainstorming und die Zusammenarbeit all Ihrer Teammitglieder und der [relevanten Beteiligten](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) an der Bedrohungsmodellierung. Sie können das Brainstorming mit einem Modell für die Identifikation von Bedrohungen wie [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)) unterstützen, das unterschiedliche zu evaluierende Kategorien vorschlägt: Spoofing, Manipulation, Offenlegung, Denial-of-Service oder Berechtigungsausweitung. Dazu sollten Sie zur Inspiration vorhandene Listen und Forschungsergebnisse heranziehen, etwa die [OWASP Top 10](https://owasp.org/www-project-top-ten/), den [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/) und den eigenen Bedrohungskatalog Ihrer Organisation.
1. **Wie gehen wir damit um?**
Wie schon bei der vorherigen Frage gibt es auch hier keine kanonische Liste möglicher Abhilfemaßnahmen. Die Inputs für diesen Schritt sind die identifizierten Bedrohungen, Akteure und Verbesserungsbereiche aus dem vorherigen Schritt.
Sicherheit und Compliance unterliegen der [geteilten Verantwortung zwischen Ihnen und AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Der Frage „Wie gehen wir damit um?“ sollte unbedingt die Frage „Wer ist für die Maßnahmen verantwortlich?“ angeschlossen werden. Das Verständnis der Verantwortungsverteilung zwischen Ihnen und AWS hilft Ihnen bei der Anpassung der Bedrohungsmodellierung an die Abhilfemaßnahmen, die Ihrer Kontrolle unterliegen und in der Regel aus einer Kombination aus AWS-Servicekonfigurationsoptionen und Ihren eigenen systemspezifischen Abhilfemaßnahmen bestehen.
Für den AWS-Teil der geteilten Verantwortung werden Sie erkennen, dass [AWS-Services im Bereich vieler Compliance-Programme liegen](https://aws.amazon.com/compliance/services-in-scope/). Diese Programme helfen Ihnen, sich mit den zuverlässigen Kontrollmöglichkeiten bei AWS zur Sicherheitswahrung und Compliance in der Cloud vertraut zu machen. Die Prüfungsberichte dieser Programme stehen für AWS-Kunden von [AWS Artifact](https://aws.amazon.com/artifact/) zum Download zur Verfügung.
Unabhängig davon, welche AWS-Services Sie nutzen, gibt es immer ein Element der Kundenverantwortung, und an diese Verantwortungen angepasste Abhilfemaßnahmen sollten Teil Ihres Bedrohungsmodells sein. Für Sicherheitskontrollabhilfen für die AWS-Services selbst sollten Sie die Implementierung von Sicherheitskontrollen über Domains hinweg erwägen, einschließlich Domains wie Identitäts- und Zugriffsmanagement (Authentifizierung und Autorisierung), Datenschutz (im Ruhezustand und während der Übertragung), Infrastruktursicherheit, Protokollierung und Überwachung. Die Dokumentation für jeden AWS-Service enthält ein [dediziertes Sicherheitskapitel](https://docs.aws.amazon.com/security/) mit Anleitungen zu den Sicherheitskontrollen, die Abhilfemaßnahmen unterstützen können. Wichtig ist, dass Sie den Code, den Sie schreiben, und dessen Abhängigkeiten berücksichtigen und an Kontrollen denken, die Sie für den Umgang mit den damit verbundenen Bedrohungen implementieren können. Dabei kann es sich etwa um [Inputvalidierung](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [Sitzungsdurchführung](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) oder [Umgang mit Grenzen](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow) handeln. Oft ist der Löwenanteil der Bedrohungen mit benutzerdefiniertem Code verbunden, konzentrieren Sie sich also besonders darauf.
1. **Haben wir gute Arbeit geleistet?**
Ihr Team und die Organisation verfolgen das Ziel, die Qualität der Bedrohungsmodelle und die Geschwindigkeit zu verbessern, mit der Sie die Bedrohungsmodellierung im Laufe der Zeit durchführen. Diese Verbesserungen werden durch eine Kombination von Praxis, Lernen, Lehren und Prüfen ermöglicht. Um dies zu vertiefen und praktisch umzusetzen, sollten Sie und Ihr Team den Trainingskurs zum Thema [Korrekte Bedrohungsmodellierung für Builder](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) oder den dazugehörigen [Workshop](https://catalog.workshops.aws/threatmodel/en-US) absolvieren. Wenn Sie nach Anleitungen zur Integration der Bedrohungsmodellierung in den Anwendungsentwicklungslebenszyklus Ihrer Organisation suchen, beachten Sie auch den Post zum Thema [Bedrohungsmodellierungskonzepte](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) im AWS-Sicherheitsblog.
**Threat Composer**
Zur Unterstützung und Anleitung bei der Erstellung von Bedrohungsmodellen können Sie das [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer)-Tool verwenden, das darauf ausgerichtet ist, bei der Erstellung von Bedrohungsmodellen die Zeit bis zur Wertschöpfungzu verkürzen. Das Tool hilft Ihnen bei den folgenden Aufgaben:
+ Schreiben Sie nützliche, an der [Bedrohungsgrammatik](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) ausgerichtete Bedrohungserklärungen, die in einem natürlichen, nicht-linearen Arbeitsablauf funktionieren.
+ Generieren Sie ein für Menschen lesbares Bedrohungsmodell.
+ Generieren Sie ein maschinenlesbares Bedrohungsmodell, damit Sie Bedrohungsmodelle wie Code behandeln können.
+ Mit dem Insights Dashboard können Sie schnell Bereiche identifizieren, in denen die Qualität und die Abdeckung verbessert werden müssen.
Für weitere Informationen rufen Sie Threat Composer auf und wechseln Sie zum systemdefinierten **Beispielarbeitsbereich**.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Aktuelle Informationen dank Sicherheitsempfehlungen](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen](sec_securely_operate_implement_services_features.md)
**Zugehörige Dokumente:**
+ [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS Security Blog) (Bedrohungsmodellierungskonzepte (AWS-Sicherheitsblog)
+ [NIST: Guide to Data-Centric System Threat Modeling ](https://csrc.nist.gov/publications/detail/sp/800-154/draft) (Handbuch zur datenzentrischen Modellierung von Systembedrohungen)
**Zugehörige Videos:**
+ [AWS Summit ANZ 2021 - How to approach threat modelling ](https://www.youtube.com/watch?v=GuhIefIGeuA) (AWS Summit ANZ 2021 – Bedrohungsmodellierungskonzepte)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA) (AWS Summit ANZ 2022 – Skalierung der Sicherheit – Optimierungen für schnelle und sichere Bereitstellungen)
**Zugehörige Schulungen:**
+ [ Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (Korrekte Bedrohungsmodellierung für Builder – Virtueller Schulungskurs von AWS Skill Builder)
+ [ Threat modeling the right way for builders (Korrekte Bedrohungsmodellierung für Builder) – AWS Workshop ](https://catalog.workshops.aws/threatmodel)
**Zugehörige Tools:**
+ [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer)
# SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen
Bewerten und implementieren Sie Sicherheitsservices und -funktionen von AWS und AWS-Partnern, mit denen Sie die Sicherheitsstrategie für Ihren Workload weiterentwickeln können. Das AWS-Sicherheitsblog bietet Informationen zu neuen AWS-Services und -Funktionen, Implementierungshandbücher und allgemeine Hinweise zur Sicherheit. [Neuerungen bei AWS](https://aws.amazon.com/new) ist eine gute Möglichkeit, einen Überblick über alle neuen Funktionen, Services und Ankündigungen im Zusammenhang mit AWS zu erhalten.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Planen Sie regelmäßige Überprüfungen: Erstellen Sie einen Kalender mit Überprüfungsaktivitäten. Darin sollte Folgendes enthalten sein: Prüfung von Compliance-Anforderungen, Bewertung neuer AWS-Sicherheitsfunktionen und -services und Information über aktuelle Branchennachrichten.
+ Informieren Sie sich über AWS-Services und -Funktionen: Erkunden Sie die für die von Ihnen genutzten Services verfügbaren Sicherheitsfunktionen und prüfen Sie neue Funktionen, sobald sie veröffentlicht werden.
+ [AWS-Sicherheitsblog](https://aws.amazon.com/blogs/security/)
+ [AWS-Sicherheitsmitteilungen ](https://aws.amazon.com/security/security-bulletins/)
+ [AWS-Servicedokumentation ](https://aws.amazon.com/documentation/)
+ Definieren Sie einen Onboarding-Prozess für AWS-Services: Definieren Sie Prozesse für das Onboarding neuer AWS-Services. Berücksichtigen Sie dabei, wie neue AWS-Services auf ihre Funktionalität hin bewertet werden sollen, und die Compliance-Anforderungen für Ihren Workload.
+ Testen Sie neue Services und Funktionen: Testen Sie neue Services und Funktionen nach ihrer Veröffentlichung in einer Nicht-Produktionsumgebung, die Ihre Produktionsumgebung möglichst genau repliziert.
+ Implementieren Sie andere Verteidigungsmechanismen: Implementieren Sie automatisierte Mechanismen zum Schutz Ihres Workloads und prüfen Sie die verfügbaren Optionen.
+ [Korrigieren von nicht konformen AWS-Ressourcen mit AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Ressourcen
**Relevante Videos:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# Identity and Access Management
**Topics**
+ [SEC 2. Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?](sec-02.md)
+ [SEC 3. Wie verwalten Sie Berechtigungen für Personen und Maschinen?](sec-03.md)
# SEC 2. Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?
Beim Betrieb sicherer AWS-Workloads gibt es zwei Arten von Identitäten, die Sie verwalten müssen. Wenn Sie verstehen, welche Arten von Identitäten Sie verwalten und Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben.
Menschliche Identitäten: Ihre Administratoren, Entwickler, Bediener und Endbenutzer benötigen eine Identität für den Zugriff auf Ihre AWS-Umgebungen und -Anwendungen. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten, und die mit Ihren AWS-Ressourcen über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilen-Tools interagieren.
Maschinenidentitäten: Ihre Service-Anwendungen, betrieblichen Tools und Workloads benötigen eine Identität, um Anforderungen an AWS-Services zu stellen, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, z. B. Amazon EC2-Instances oder AWS Lambda-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus verfügen Sie möglicherweise auch über Maschinen außerhalb von AWS, die Zugriff auf Ihre AWS-Umgebung benötigen.
**Topics**
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
+ [SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen](sec_identities_audit.md)
+ [SEC02-BP06 Nutzen von Benutzergruppen und Attributen](sec_identities_groups_attributes.md)
# SEC02-BP01 Verwenden von starken Anmeldemechanismen
Anmeldungen (die Authentifizierung unter Verwendung von Anmeldeinformationen) kann risikobehaftet sein, wenn nicht Mechanismen wie die Multi-Faktor-Authentifizierung (MFA) verwendet werden, besonders in Situationen, in denen Anmeldeinformationen unbeabsichtigt offengelegt wurden oder leicht zu erraten sind. Verwenden Sie starke Anmeldemechanismen in Form von MFA und Richtlinien für sichere Passwörter, um diese Risiken zu reduzieren.
**Gewünschtes Ergebnis:** Senkung des Risikos unbeabsichtigter Zugriffe auf Anmeldeinformationen in AWS durch die Verwendung starker Anmeldemechanismen für [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)-Benutzer, den [Root-Benutzer des AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) (Nachfolger von AWS Single Sign-On) und externe Identitätsanbieter. Dies bedeutet das Erfordern von MFA, das Durchsetzen von Richtlinien zur Verwendung starker Passwörter und das Erkennen anomaler Anmeldeverhaltensweisen.
**Typische Anti-Muster:**
+ keine Durchsetzung einer Richtlinie zur Verwendung starker Passwörter für Ihre Identitäten, einschließlich komplexer Passwörter und MFA.
+ gemeinsame Nutzung derselben Anmeldeinformationen durch mehrere Benutzer.
+ keine Verwendung von Kontrollmechanismen für verdächtige Anmeldevorgänge.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Es gibt viele Möglichkeiten zur Anmeldung für menschliche Identitäten bei AWS. Eine bewährte AWS-Methode besteht darin, einen zentralisierten Identitätsanbieter mit Verbundverfahren (direkter Verbund oder unter Verwendung von AWS IAM Identity Center) für die Authentifizierung bei AWS zu verwenden. In diesem Fall sollten Sie einen sicheren Anmeldeprozess mit Ihrem Identitätsanbieter oder Microsoft Active Directory einrichten.
Wenn Sie ein AWS-Konto zum ersten Mal einrichten, beginnen Sie mit einem Root-Benutzer für das AWS-Konto. Sie sollten den Root-Benutzer des Kontos nur zur Einrichtung des Zugriffs für Ihre Benutzer (und für [Aufgaben, die den Root-Benutzer erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)) verwenden. Es ist wichtig, MFA für den Root-Benutzer des Kontos sofort nach der Einrichtung Ihres AWS-Konto zu aktivieren, und den Root-Benutzer anhand der [Anleitung zu bewährten Methoden](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html) von AWS zu schützen.
Wenn Sie in AWS IAM Identity Center Benutzer erstellen, dann sollten Sie auch den Anmeldeprozess in diesem Service schützen. Für Verbraucheridentitäten können Sie [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/index.html) verwenden und den Anmeldeprozess in diesem Service schützen oder indem Sie einen der von Amazon Cognito user pools unterstützten Identitätsanbieter verwenden.
Wenn Sie [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)-Benutzer verwenden, schützen Sie den Anmeldeprozess mit IAM.
Unabhängig vom Anmeldeverfahren ist es wichtig, eine strenge Anmelderichtlinie durchzusetzen.
**Implementierungsschritte**
Es folgen allgemeine Empfehlungen für starke Anmeldeverfahren. Die tatsächlich konfigurierten Einstellungen sollten von Ihrer Unternehmensrichtlinie oder von einem Standard wie [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html) vorgegeben werden.
+ Setzen Sie MFA voraus. Ein bewährtes [IAM-Verfahren besteht darin, MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) für menschliche Identitäten und Workloads vorauszusetzen. Die Aktivierung von MFA bietet eine zusätzliche Sicherheitsebene, die verlangt, dass Benutzer Anmeldeinformationen und ein Einmalpasswort (OTP) oder eine kryptographisch verifizierte und generierte Zeichenfolge von einem Hardware-Gerät vorlegen.
+ Verlangen Sie eine Mindestlänge für Passwörter als primären Faktor für die Passwortstärke.
+ Verlangen Sie Passwortkomplexität, um das Erraten von Passwörtern zu erschweren.
+ Erlauben Sie Benutzern, Ihr eigenes Passwort zu ändern.
+ Erstellen Sie individuelle Identitäten anstelle gemeinsam genutzter Anmeldeinformationen. Durch das Erstellen individueller Identitäten können Sie jedem Benutzer einen einmaligen Satz mit Sicherheitsanmeldeinformationen zuweisen. Individuelle Benutzer bieten die Möglichkeit, die Aktivität der einzelnen Benutzer zu prüfen.
Empfehlungen für IAM Identity Center:
+ Bei Verwendung des Standardverzeichnisses bietet IAM Identity Center eine vordefinierte [Passwortrichtlinie](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html), die die Passwortlänge, -komplexität und die Anforderungen im Zusammenhang mit der erneuten Verwendung festlegt.
+ [Aktivieren Sie MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) und konfigurieren Sie die kontextsensitive oder ständig aktive Einstellung für MFA, wenn die Identitätsquelle das Standardverzeichnis, AWS Managed Microsoft AD oder AD Connector ist.
+ Erlauben Sie Benutzern die [Registrierung ihrer eigenen MFA-Geräte](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html).
Verzeichnisempfehlungen für Amazon Cognito user pools:
+ Konfigurieren Sie die Einstellungen für die [Passwortstärke](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html).
+ [Verlangen Sie MFA](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) für Benutzer.
+ Verwenden Sie die erweiterten [Sicherheitseinstellungen](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) von Amazon Cognito user pools für Funktionen wie die [adaptive Authentifizierung](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html), die verdächtige Anmeldeversuche blockieren können.
IAM-Benutzerempfehlungen:
+ Idealerweise verwenden Sie IAM Identity Center oder den direkten Verbund. Möglicherweise benötigen Sie aber auch IAM-Benutzer. Richten Sie in diesem Fall [eine Passwortrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) für IAM-Benutzer ein. Sie können die Passwortrichtlinie verwenden, um Anforderungen wie Mindestlänge zu definieren oder ob das Passwort nicht-alphanumerische Zeichen beinhalten sollte.
+ Erstellen Sie eine IAM-Richtlinie, um die [MFA-Anmeldung zu erzwingen](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1), damit Benutzer ihre eigenen Passwörter und MFA-Geräte verwalten können.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md)
**Zugehörige Dokumente:**
+ [AWS IAM Identity Center (successor to AWS Single Sign-On) Password Policy ](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) (Passwortrichtlinie von AWS IAM Identity Center (Nachfolger von AWS Singe Sign-On))
+ [ IAM-Benutzer-Passwortrichtlinie ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [ Setting the AWS-Konto root user password](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) (Einrichten des Root-Benutzerpassworts für das AWS-Konto)
+ [ Amazon Cognito-Passwortrichtlinie ](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)
+ [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [Bewährte Methoden für die Sicherheit in IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
**Zugehörige Videos:**
+ [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene)
# SEC02-BP02 Verwenden von temporären Anmeldeinformationen
Bei Authentifizierungen jeder Art, sollten am besten temporäre anstelle langfristiger Anmeldeinformationen verwendet werden, um Risiken zu reduzieren oder zu eliminieren, etwa durch die unbeabsichtigte Offenlegung, die Weitergabe oder den Diebstahl von Anmeldeinformationen.
**Gewünschtes Ergebnis:** Senkung des Risikos im Zusammenhang mit langfristigen Anmeldeinformationen durch die Verwendung temporärer Anmeldeinformationen, wo immer dies für menschliche und maschinelle Identitäten möglich ist. Langfristige Anmeldeinformationen sind mit vielen Risiken verbunden, so kann es beispielsweise vorkommen, dass sie in Code in öffentliche GitHub-Repositorys hochgeladen werden. Durch die Verwendung temporärer Anmeldeinformationen können Sie die Gefahr der Kompromittierung von Anmeldeinformationen deutlich senken.
**Typische Anti-Muster:**
+ Entwickler verwenden langfristige Zugriffsschlüssel von IAM users, anstatt sich temporäre Anmeldeinformationen per Verbund von der CLI zu beschaffen.
+ Entwickler betten langfristige Zugriffsschlüssel in ihren Code ein und laden diese in öffentliche Git-Repositorys hoch.
+ Entwickler betten langfristige Zugriffsschlüssel in Mobil-Apps ein, die dann in App-Stores verfügbar gemacht werden.
+ Benutzer geben langfristige Zugriffsschlüssel an andere Benutzer weiter, oder Mitarbeiter verlassen das Unternehmen und besitzen weiterhin langfristige Zugriffsschlüssel.
+ Verwendung langfristiger Zugriffsschlüssel für Maschinenidentitäten, obwohl temporäre Anmeldeinformationen verwendet werden könnten.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Verwenden Sie temporäre anstelle langfristiger Anmeldeinformationen für alle AWS-API- und ‑CLI-Anfragen. API- und CLI-Anfragen an AWS müssen in fast jedem Fall mit [AWS-Zugriffsschlüsseln](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html) signiert werden. Diese Anfragen können mit temporären oder langfristigen Anmeldeinformationen signiert werden. Sie sollten langfristige Anmeldeinformationen (bzw. Zugriffsschlüssel) nur nutzen, wenn Sie einen [IAM-Benutzer](https://docs.aws.amazon.com//latest/UserGuide/id_users.html) oder den [Root-Benutzer des AWS-Konto](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html) verwenden. Wenn Sie einen Verbund mit AWS nutzen oder eine [IAM-Rolle](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) über andere Methoden annehmen, werden temporäre Anmeldeinformationen generiert. Selbst wenn Sie mit Anmeldeinformationen auf die AWS-Managementkonsole zugreifen, werden für Sie temporäre Anmeldeinformationen für Aufrufe von AWS-Services generiert. Es gibt nur wenige Situationen, in denen Sie langfristige Anmeldeinformationen benötigen, und fast alle Aufgaben lassen sich mit temporären Anmeldeinformationen erledigen.
Das Vermeiden der Verwendung langfristiger zugunsten temporärer Anmeldeinformationen sollte von einer Strategie zur Reduzierung der Verwendung von IAM-Benutzern gegenüber Verbundverfahren und IAM-Rollen begleitet werden. Zwar wurden früher IAM-Benutzer für menschliche und maschinelle Identitäten verwendet, wir empfehlen heute jedoch, dies nicht mehr zu tun, um die mit der Verwendung langfristiger Zugriffsschlüssel verbundenen Risiken auszuschalten.
### Implementierungsschritte
Für menschliche Identitäten wie Mitarbeiter, Administratoren, Entwickler, Bediener und Kunden:
+ Sie sollten [einen zentralisierten Identitätsanbieter nutzen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) und [von menschlichen Benutzern die Verwendung von Verbundverfahren mit einem Identitätsanbieter verlangen, damit mit temporären Anmeldeinformationen auf AWS zugegriffen wird](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp). Ein Verbund für Ihre Benutzer kann per [direktem Verbund zu jedem AWS-Konto](https://aws.amazon.com/identity/federation/) oder mit [AWSIAM Identity Center (Nachfolger von AWS IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) und dem Identitätsanbieter Ihrer Wahl erreicht werden. Ein Verbund bietet eine Reihe von Vorteilen gegenüber der Verwendung von IAM-Benutzern und eliminiert langfristige Anmeldeinformationen. Ihre Benutzer können auch temporäre Anmeldeinformationen aus der Befehlszeile für einen [direkten Verbund](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) oder mit [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) anfordern. Dies bedeutet, dass es nur wenige Anwendungsfälle gibt, für die IAM-Benutzer oder langfristige Anmeldeinformationen für Ihre Benutzer erforderlich sind.
+ Wenn Dritten, wie beispielsweise Anbietern von Software as a Service (SaaS), der Zugriff auf Ressourcen in Ihrem AWS-Konto gewährt wird, können Sie [kontoübergreifende Rollen](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html) und [ressourcenbasierende Richtlinien](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html) verwenden.
+ Wenn Sie Verbraucheranwendungen oder Kunden Zugriff auf Ihre AWS-Ressourcen gewähren müssen, können Sie [Amazon Cognito-Identitätspools](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) oder [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) verwenden, um temporäre Anmeldeinformationen bereitzustellen. Die Berechtigungen für die Anmeldeinformationen werden über IAM-Rollen konfiguriert. Sie können auch eine separate IAM-Rolle mit eingeschränkten Berechtigungen für Gastbenutzer definieren, die nicht authentifiziert sind.
Für Maschinenidentitäten müssen Sie möglicherweise langfristige Anmeldeinformationen verwenden. In solchen Fällen sollten Sie [verlangen, dass Workloads temporäre Anmeldeinformationen mit IAM-Rollen zum Zugriff auf AWS verwenden](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles).
+ Für [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2) können Sie [Rollen für Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) verwenden.
+ [AWS Lambda](https://aws.amazon.com/lambda/) ermöglicht die Konfiguration einer [Lambda-Ausführungsrolle, um dem Service Berechtigungen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) zum Ausführen von AWS-Aktionen unter Verwendung temporärer Anmeldeinformationen zu erteilen. Es gibt zahlreiche ähnliche Modelle für AWS-Services zum Gewähren temporärer Anmeldeinformationen mit IAM-Rollen.
+ Für IoT-Geräte können Sie den [Anmeldeinformationenanbieter von AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) zur Anfrage nach temporären Anmeldeinformationen verwenden.
+ Für On-Premises-Systeme oder außerhalb von AWS ausgeführte Systeme, die Zugriff auf AWS-Ressourcen benötigen, können Sie [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden.
Es gibt Szenarien, in denen temporäre Anmeldeinformationen nicht in Frage kommen und stattdessen langfristige Anmeldeinformationen verwendet werden müssen. In solchen Fällen sollten Sie [die Anmeldeinformationen regelmäßig prüfen und rotieren](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html) sowie die [Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern, regelmäßig wechseln.](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials) Beispiele, bei denen langfristige Anmeldeinformationen erforderlich sind, sind etwa WordPress-Plugins und AWS-Clients von Drittanbietern. In Situationen, die langfristige Anmeldeinformationen erfordern, oder für andere Anmeldeinformationen als AWS-Zugriffsschlüssel, wie z. B. Datenbankanmeldungen, können Sie einen Service verwenden, der für die Verwaltung von Secrets gedacht ist, wie etwa [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager erleichtert die Verwaltung, das Rotieren und die Speicherung verschlüsselter Secrets unter Verwendung [unterstützter Services](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Weitere Informationen zur Rotation langfristiger Anmeldeinformationen finden Sie unter [Rotation von Zugriffsschlüsseln](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md)
**Zugehörige Dokumente:**
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [IAM-Rollen](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Rotieren der Zugriffsschlüssel](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)
+ [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Der Root-Benutzer des AWS-Kontos](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)
**Zugehörige Videos:**
+ [Managing user permissions at scale with AWS IAM Identity Center (successor to AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center (Nachfolger von AWS IAM Identity Center))
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene)
# SEC02-BP03 Sicheres Speichern und Verwenden von Secrets
Ein Workload muss seine Identität automatisch gegenüber Datenbanken, Ressourcen und Services von Drittanbietern authentifizieren können. Dazu dienen geheime Zugriffsanmeldeinformationen wie etwa API-Zugriffsschlüssel, Passwörter und OAuth-Tokens. Die Verwendung eines dedizierten Services zur Speicherung, Verwaltung und Rotation der Anmeldeinformationen hilft dabei, die Gefahr der Kompromittierung dieser Anmeldeinformationen zu verringern.
**Gewünschtes Ergebnis:** Implementierung eines Mechanismus für die sichere Verwaltung von Anwendungsanmeldeinformationen, der die folgenden Ziele erreicht:
+ Identifikation der für den Workload erforderlichen Secrets
+ Reduzierung der Anzahl der erforderlichen langfristigen Anmeldeinformationen durch ihren Austausch gegen kurzfristige Anmeldeinformationen, wo dies möglich ist
+ Einrichtung der sicheren Speicherung und der automatischen Rotation der verbleibenden langfristigen Anmeldeinformationen
+ Überwachung des Zugriffs auf in dem Workload vorhandene Secrets
+ Kontinuierliche Überwachung, um sicherzustellen, dass im Rahmen des Entwicklungsprozesses keine Secrets in den Quellcode eingebettet werden
+ Reduzieren der Gefahr unbeabsichtigter Offenlegungen von Anmeldeinformationen
**Typische Anti-Muster:**
+ keine rotierenden Anmeldeinformationen
+ Speichern langfristiger Anmeldeinformationen in Quellcode oder Konfigurationsdateien
+ Speichern von Anmeldeinformationen im Ruhezustand ohne Verschlüsselung
**Vorteile der Nutzung dieser bewährten Methode:**
+ Secrets werden im Ruhezustand und in Übertragung verschlüsselt gespeichert.
+ Organisation des Zugriffs auf Anmeldeinformationen über eine API (vorstellbar als *Automat für Anmeldeinformationen*)
+ Prüfung und Protokollierung des Zugriffs (Lese- und Schreibzugriff) auf Anmeldeinformationen
+ Trennung möglicher Problemquellen: Die Rotation der Anmeldeinformationen wird von einer separaten Komponente vorgenommen, die vom Rest der Architektur isoliert werden kann.
+ Secrets werden automatisch bei Bedarf an Softwarekomponenten verteilt und die Rotation erfolgt an einem zentralen Ort.
+ Der Zugriff auf Anmeldeinformationen kann detailliert kontrolliert werden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Früher wurden Anmeldeinformationen für die Authentifizierung bei Datenbanken, APIs von Dritten, Tokens und andere Secrets möglicherweise in eingebettetem Quellcode oder in Umgebungsdateien gespeichert. AWS bietet mehrere Mechanismen, um diese Anmeldeinformationen sicher zu speichern, sie automatisch zu rotieren und ihre Verwendung zu prüfen.
Das beste Verfahren für die Verwaltung von Secrets besteht besteht darin, den Anweisungen zum Entfernen, Ersetzen und Rotieren zu folgen. Die sichersten Anmeldeinformationen sind diejenigen, die Sie nicht speichern, verwalten oder handhaben müssen. Möglicherweise gibt es Anmeldeinformationen, die für die Funktion des Workloads nicht mehr benötigt werden und sicher entfernt werden können.
Bei Anmeldeinformationen, die für die korrekte Funktion des Workloads weiterhin benötigt werden, besteht die Möglichkeit, langfristige Anmeldeinformationen durch temporäre oder kurzfristige zu ersetzen. So könnten Sie beispielsweise anstelle der Hartkodierung eines geheimen AWS-Zugriffsschlüssels diese langfristige Anmeldeinformation durch eine temporäre unter Verwendung von IAM-Rollen ersetzen.
Manche langfristigen Secrets können möglicherweise nicht entfernt oder ersetzt werden. Diese Secrets können in einem Service wie [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) gespeichert werden, wo sie zentral aufbewahrt, verwaltet und regelmäßig rotiert werden.
Eine Prüfung des Quellcodes und der Konfigurationsdateien des Workloads kann verschiedene Arten von Anmeldeinformationen zutage fördern. Die folgende Tabelle fasst Strategien für den Umgang mit verbreiteten Arten von Anmeldeinformationen zusammen:
| Credential type | Description | Suggested strategy |
| --- | --- | --- |
| IAM access keys | AWS IAM access and secret keys used to assume IAM roles inside of a workload | Replace: Use [IAM-Rollen](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios.html) assigned to the compute instances (such as [Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) or [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)) instead. For interoperability with third parties that require access to resources in your AWS-Konto, ask if they support [Kontoübergreifender AWS-Zugriff](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html). For mobile apps, consider using temporary credentials through [Amazon Cognito-Identitätspools (Verbundidentitäten)](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). For workloads running outside of AWS, consider [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) or [AWS Systems Manager Hybride Aktivierungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html). |
| SSH keys | Secure Shell private keys used to log into Linux EC2 instances, manually or as part of an automated process | Replace: Use [AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) or [EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) to provide programmatic and human access to EC2 instances using IAM roles. |
| Application and database credentials | Passwords – plain text string | Rotate: Store credentials in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
| Amazon RDS and Aurora Admin Database credentials | Passwords – plain text string | Replace: Use the [Secrets Manager-Integration mit Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) or [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html). In addition, some RDS database types can use IAM roles instead of passwords for some use cases (for more detail, see [IAM-Datenbankauthentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.DBAuth.html)). |
| OAuth tokens | Secret tokens – plain text string | Rotate: Store tokens in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and configure automated rotation. |
| API tokens and keys | Secret tokens – plain text string | Rotate: Store in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
Ein typisches Anti-Muster ist die Einbettung von IAM-Zugriffsschlüsseln in Quellcode, Konfigurationsdateien oder Mobil-Apps. Wenn ein IAM-Zugriffsschlüssel für die Kommunikation mit einem AWS-Service erforderlich ist, verwenden Sie [temporäre (kurzfristige) Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html). Diese kurzfristigen Anmeldeinformationen können über [IAM-Rollen für EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)-Instances, [Ausführungsrollen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) für Lambda-Funktionen, [Cognito-IAM-Rollen](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html) für den mobilen Benutzerzugriff und [IoT-Core-Richtlinien](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) für IoT-Geräte bereitgestellt werden. Bei Verbindungen mit Drittparteien sollten Sie [den Zugriff lieber über eine IAM-Rolle](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html) mit dem erforderlichen Zugriff auf die Ressourcen Ihres Kontos delegieren, anstatt einen IAM-Benutzer zu konfigurieren und der Drittpartei den geheimen Zugriffsschlüssel für diesen Benutzer zuzusenden.
Es gibt viele Fälle, in denen der Workload die Speicherung von Secrets erfordert, um mit anderen Services und Ressourcen zusammenwirken zu können. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) wurde speziell entwickelt, um solche Anmeldeinformationen sowie die Speicherung, Verwendung und Rotation von API-Tokens, Passwörtern und anderer Anmeldeinformationen sicher zu handhaben.
AWS Secrets Manager bietet fünf entscheidende Funktionen, die für die sichere Speicherung und Handhabung sensitiver Anmeldeinformationen sorgen: [Verschlüsselung im Ruhezustand](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html), [Verschlüsselung in Übertragung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/data-protection.html), [Umfassende Prüfungen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html), [detaillierte Zugriffssteuerung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) und [erweiterbare Rotation von Anmeldeinformationen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). Andere Secret-Managementservices von AWS-Partnern oder lokal entwickelte Lösungen mit ähnlichen Funktionen und Sicherungen sind ebenfalls akzeptabel.
### Implementierungsschritte
1. Identifizieren Sie Code-Pfade mit hartkodierten Anmeldeinformationen mithilfe automatisierter Tools wie etwa [Amazon CodeGuru](https://aws.amazon.com/codeguru/features/).
+ Scannen Sie Ihre Code-Repositorys mit Amazon CodeGuru. Sobald die Prüfung abgeschlossen ist, filtern sie nach `Type=Secrets` in CodeGuru, um problematische Codezeilen zu finden.
1. Identifizieren Sie Anmeldeinformationen, die entfernt oder ersetzt werden können.
1. Identifizieren Sie Anmeldeinformationen, die nicht mehr benötigt werden, und markieren Sie sie zum Entfernen.
1. Ersetzen Sie AWS-Geheimschlüssel, die in Quellcode eingebettet sind, durch IAM-Rollen, die mit den erforderlichen Ressourcen verbunden sind. Wenn sich ein Teil Ihres Workloads außerhalb von AWS befindet, er jedoch IAM-Anmeldeinformationen für den Zugriff auf AWS-Ressourcen benötigt, können Sie [IAM Roles Anywhere](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/) oder [AWS Systems Manager Hybride Aktivierungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) verwenden.
1. Integrieren Sie für andere langfristige Secrets von Dritten, die die Rotationsstrategie erfordern, Secrets Manager in Ihren Code, um die externen Secrets zur Laufzeit abzurufen.
1. Die CodeGuru-Konsole kann automatisch [ein Secret in Secrets Manager](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) unter Verwendung der erkannten Anmeldeinformationen erstellen.
1. Integrieren Sie den Secret-Abruf von Secrets Manager in Ihren Anwendungscode.
+ Serverless-Lambda-Funktionen können eine sprachneutrale [Lambda-Erweiterung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html) verwenden.
+ Für EC2-Instances oder Container bietet AWS [clientseitigen Beispielcode für den Abruf von Secrets von Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) in verschiedenen verbreiteten Programmiersprachen.
1. Prüfen Sie Ihre Codebasis regelmäßig und wiederholen Sie dies, um sicherzustellen, dass dem Code keine neuen Secrets hinzugefügt wurden.
+ Erwägen Sie die Verwendung eines Tools wie etwa [git-secrets](https://github.com/awslabs/git-secrets), um zu vermeiden, dass neue Secrets in Ihr Quellcode-Repository eingebracht werden.
1. [Überwachen Sie die Secrets Manager-Aktivität](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html) auf Anzeichen für unerwartete Nutzungen, den unautorisierten Zugriff auf Secrets oder versuche, Secrets zu löschen.
1. Reduzieren Sie menschliche Interaktionen mit Anmeldeinformationen. Schränken Sie den Zugriff zum Lesen, Schreiben und Ändern von Anmeldeinformationen auf eine für diesen Zweck dedizierte IAM-Rolle ein und erlauben Sie die Übernahme dieser Rolle nur einem kleinen Teil der betrieblichen Nutzer.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen](sec_identities_audit.md)
**Zugehörige Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Amazon CodeGuru Introduces Secrets Detector](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) (Amazon CodeGuru stellt Secrets Detector vor)
+ [How AWS Secrets Manager uses AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) (Wie AWS Secrets Manager AWS Key Management Service verwendet)
+ [Secret encryption and decryption in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) (Secret-Ver- und Entschlüsselung in Secrets Manager)
+ [Blog-Einträge zu Secrets Manager](https://aws.amazon.com/blogs/security/tag/aws-secrets-manager/)
+ [Amazon RDS announces integration with AWS Secrets Manager](https://aws.amazon.com/about-aws/whats-new/2022/12/amazon-rds-integration-aws-secrets-manager/) (Amazon RDS kündigt Integration mit AWS Secrets Manager an)
**Zugehörige Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale](https://youtu.be/qoxxRlwJKZ4) (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)
+ [Find Hard-Coded Secrets Using Amazon CodeGuru Secrets Detector](https://www.youtube.com/watch?v=ryK3PN--oJs) (Finden hartkodierter Secrets mit CodeGuru Secrets Detector)
+ [Securing Secrets for Hybrid Workloads Using AWS Secrets Manager](https://www.youtube.com/watch?v=k1YWhogGVF8) (Sichern von Secrets für hybride Workloads mit AWS Secrets Manager)
**Zugehörige Workshops:**
+ [Store, retrieve, and manage sensitive credentials in AWS Secrets Manager](https://catalog.us-east-1.prod.workshops.aws/workshops/497b4908-169f-4e6f-b80d-ef10be3038d3/en-US) (Speichern, Abrufen und verwalten sensitiver Anmeldeinformationen in AWS Secrets Manager)
+ [AWS Systems Manager Hybride Aktivierungen](https://mng.workshop.aws/ssm/capability_hands-on_labs/hybridactivations.html)
# SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
Verlassen Sie sich im Zusammenhang mit Identitäten für Ihre Belegschaft (Mitarbeiter und Auftragnehmer) auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Systeme hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, zuweisen, verwalten, widerrufen und überwachen.
**Gewünschtes Ergebnis:** Sie verfügen über einen zentralen Identitätsanbieter, mit dem Sie Benutzer im Unternehmen, Authentifizierungsrichtlinien (z. B. die Anforderung einer Multi-Faktor-Authentifizierung, MFA) und die Autorisierung für Systeme und Anwendungen zentral verwalten (z. B. die Zuweisung von Zugriffsberechtigungen auf Grundlage der Gruppenmitgliedschaft oder der Attribute eines Benutzers). Die Benutzer in Ihrer Belegschaft melden sich beim zentralen Identitätsanbieter an und bilden einen Verbund (Single Sign-On) mit internen und externen Anwendungen, sodass sich die Benutzer nicht mehrere Anmeldeinformationen merken müssen. Ihr Identitätsanbieter ist in Ihre Personalverwaltungssysteme integriert, sodass Personaländerungen automatisch mit Ihrem Identitätsanbieter synchronisiert werden. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff auf alle Anwendungen und Systeme im Verbund (einschließlich AWS) widerrufen. Sie haben die detaillierte Auditprotokollierung in Ihrem Identitätsanbieter aktiviert und überwachen diese Protokolle auf ungewöhnliches Benutzerverhalten.
**Typische Anti-Muster:**
+ Sie verwenden keinen Verbund mit Single-Sign-On. Die Benutzer in Ihrer Belegschaft erstellen separate Benutzerkonten und Anmeldeinformationen für mehrere Anwendungen und Systeme.
+ Sie haben den Lebenszyklus von Identitäten für Benutzer in Ihrer Belegschaft nicht automatisiert, indem Sie beispielsweise Ihren Identitätsanbieter in Ihre Personalverwaltungssysteme integriert haben. Wenn ein Benutzer Ihre Organisation verlässt oder die Position wechselt, folgen Sie einem manuellen Prozess, um seine Datensätze in mehreren Anwendungen und Systemen zu löschen oder zu aktualisieren.
**Vorteile der Nutzung dieser bewährten Methode:** Durch die Verwendung eines zentralen Identitätsanbieters haben Sie die Möglichkeit, Benutzeridentitäten und Richtlinien für Ihre Mitarbeiter von einem zentralen Ort aus zu verwalten, Benutzern und Gruppen Zugriff auf Anwendungen zuzuweisen und die Anmeldeaktivitäten der Benutzer zu überwachen. Wenn ein Benutzer die Position wechselt, werden durch die Integration in Ihre Personalverwaltungssysteme Änderungen mit dem Identitätsanbieter synchronisiert und die ihm zugewiesenen Anwendungen und Berechtigungen werden automatisch aktualisiert. Wenn ein Benutzer Ihre Organisation verlässt, wird seine Identität automatisch im Identitätsanbieter deaktiviert, wodurch ihm der Zugriff auf Anwendungen und Systeme im Verbund entzogen wird.
**Risikostufe bei fehlender Befolgung dieser Best Practice:**: Hoch
## Implementierungsleitfaden
**Leitfaden für Benutzer im Unternehmen, die auf AWS zugreifen**
Benutzer in Ihrer Belegschaft, z. B. Mitarbeiter und Auftragnehmer in Ihrer Organisation, benötigen möglicherweise Zugriff auf AWS über die AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI), um ihre Aufgaben auszuführen. Sie können diesen Benutzern Zugriff auf AWS gewähren, indem Sie einen Verbund von Ihrem zentralen Identitätsanbieter zu AWS auf zwei Ebenen einrichten: ein direkter Verbund mit jedem AWS-Konto oder ein Verbund mit mehreren Konten in Ihrem [AWS Unternehmen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Um die Benutzer in Ihrem Unternehmen direkt mit jedem AWS-Konto zu verbinden, können Sie einen zentralen Identitätsanbieter für den Verbund mit [AWS Identity and Access Management](https://aws.amazon.com/iam/) in diesem Konto verwenden. Die Flexibilität von IAM ermöglicht es Ihnen, einen separaten [SAML 2.0-](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) oder [Open ID Connect (OIDC)-](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html) Identitätsanbieter für jedes AWS-Konto zu aktivieren und Verbundbenutzerattribute für die Zugriffskontrolle zu verwenden. Die Benutzer in Ihrer Belegschaft verwenden ihren Webbrowser, um sich beim Identitätsanbieter anzumelden, indem sie ihre Anmeldeinformationen (wie Passwörter und MFA-Tokencodes) angeben. Der Identitätsanbieter gibt eine SAML-Zusicherung an den Browser aus, die an die Anmelde-URL der AWS-Managementkonsole gesendet wird. Dies ermöglicht den Benutzern das Single Sign-On (SSO) bei der [AWS-Managementkonsole, indem sie eine IAM-Rolle annehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). Ihre Benutzer können außerdem temporäre AWS-API-Anmeldeinformationen für die Verwendung in der [AWS CLI](https://aws.amazon.com/cli/) oder [AWS SDKs](https://aws.amazon.com/developer/tools/) von [AWS STS](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) erhalten, indem [sie die IAM-Rolle mit einer SAML-Zusicherung](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) des Identitätsanbieters annehmen.
+ Für den Verbund der Benutzer in Ihrer Belegschaft mit mehreren Konten in Ihrer AWS-Organisation können Sie [https://aws.amazon.com/single-sign-on/](https://aws.amazon.com/single-sign-on/) verwenden und damit den Zugriff für Ihre Belegschaftsbenutzer auf AWS-Konten und Anwendungen zentral verwalten. Sie aktivieren Identity Center für Ihre Organisation und konfigurieren Ihre Identitätsquelle. IAM Identity Center stellt ein Standard-Identitätsquellenverzeichnis bereit, mit dem Sie Ihre Benutzer und Gruppen verwalten können. Alternativ können Sie eine externe Identitätsquelle auswählen, indem Sie eine [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) über SAML 2.0 herstellen und [automatisch](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) Benutzer und Gruppen mit SCIM bereitstellen oder [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) mit [Directory Service](https://aws.amazon.com/directoryservice/)herstellen. Sobald eine Identitätsquelle konfiguriert wurde, können Sie Benutzern und Gruppen Zugriff auf AWS-Konten zuweisen, indem Sie Richtlinien nach dem Prinzip der geringsten Berechtigungen in Ihrem [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)definieren. Die Benutzer in Ihrer Belegschaft können sich über Ihren zentralen Identitätsanbieter authentifizieren, um sich beim [AWS-Zugangsportal](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) anzumelden. Außerdem können sie sich so per Single-Sign-On bei den AWS-Konten und Cloud-Anwendungen anmelden, die ihnen zugewiesen sind. Ihre Benutzer können [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) konfigurieren, um sich bei Identity Center zu authentifizieren und Anmeldeinformationen für die Ausführung von AWS CLI-Befehlen zu erhalten. Identity Center ermöglicht außerdem den Single-Sign-On-Zugriff auf AWS-Anwendungen wie [Amazon SageMaker AI Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-sso-users.html) und [AWS IoT Sitewise Monitor-Portale](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/monitor-getting-started.html).
Nachdem Sie die obigen Anweisungen befolgt haben, müssen die Benutzer in Ihrer Belegschaft bei der Verwaltung von Workloads in AWS für den normalen Betrieb keine IAM users und -Gruppen mehr verwenden. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS verwaltet und Benutzer können auf AWS-Ressourcen als *Identitätsverbund*zugreifen. Bei einem Identitätsverbund werden die Gruppen verwendet, die von Ihrem zentralen Identitätsanbieter definiert wurden. Sie sollten IAM-Gruppen, IAM users und langlebige Benutzeranmeldeinformationen (Passwörter und Zugriffsschlüssel) identifizieren und entfernen, die in Ihren AWS-Konten nicht mehr benötigt werden. Sie können [ungenutzte Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) mit [IAM-Berichten zu Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) suchen, [die entsprechenden IAM users löschen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html) und [IAM-Gruppen entfernen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) Sie können eine [Service-Kontrollrichtlinie (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) auf Ihre Organisation anwenden, mit der das Erstellen neuer IAM users und -Gruppen verhindert und erzwungen wird, dass der Zugriff auf AWS über Verbundidentitäten erfolgt.
**Leitfaden für Benutzer Ihrer Anwendungen**
Sie können die Identitäten der Benutzer Ihrer Anwendungen, z. B. einer mobilen App, mithilfe von [https://aws.amazon.com/cognito/](https://aws.amazon.com/cognito/) als zentralem Identitätsanbieter verwalten. Amazon Cognito ermöglicht die Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und mobilen Apps. Amazon Cognito bietet einen Identitätsspeicher, der auf Millionen von Benutzern skaliert werden kann, unterstützt den Identitätsverbund für soziale Netzwerke und Unternehmen und bietet erweiterte Sicherheitsfunktionen zum Schutz Ihrer Benutzer und Ihres Unternehmens. Sie können Ihre benutzerdefinierte Web- oder Mobilanwendung in Amazon Cognito integrieren, um Ihren Anwendungen innerhalb von Minuten Benutzerauthentifizierung und Zugriffskontrolle hinzuzufügen. Amazon Cognito basiert auf offenen Identitätsstandards wie SAML und Open ID Connect (OIDC), unterstützt verschiedene Compliance-Vorschriften und lässt sich in Frontend- und Backend-Entwicklungsressourcen integrieren.
### Implementierungsschritte
**Schritte für Benutzer im Unternehmen, die auf AWS zugreifen**
+ Erstellen Sie für die Benutzer in Ihrer Belegschaft unter Verwendung eines zentralen Identitätsanbieters einen Verbund mit AWS. Nutzen Sie dabei einen der folgenden Ansätze:
+ Verwenden Sie IAM Identity Center, um Single Sign-On für mehrere AWS-Konten in Ihrer AWS-Organisation zu aktivieren, indem Sie einen Verbund mit Ihrem Identitätsanbieter erstellen.
+ Verwenden Sie IAM, um Ihren Identitätsanbieter direkt mit jedem AWS-Konto zu verbinden und so einen differenzierten Verbundzugriff zu ermöglichen.
+ Identifizieren und entfernen Sie IAM users und -Gruppen, die durch Verbundidentitäten ersetzt werden.
**Schritte für Benutzer Ihrer Anwendungen**
+ Verwenden Sie Amazon Cognito als zentralen Identitätsanbieter für Ihre Anwendungen.
+ Integrieren Sie Ihre benutzerdefinierten Anwendungen mithilfe von OpenID Connect und OAuth mit Amazon Cognito. Sie können Ihre benutzerdefinierten Anwendungen mithilfe der Amplify-Bibliotheken entwickeln, die einfache Schnittstellen für die Integration in eine Vielzahl von AWS-Services bieten, z. B. Amazon Cognito für die Authentifizierung.
## Ressourcen
**Zugehörige bewährte Methoden für Well-Architected:**
+ [SEC02-BP06 Nutzen von Benutzergruppen und Attributen](sec_identities_groups_attributes.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md)
**Zugehörige Dokumente:**
+ [AWS-Identitätsverbund](https://aws.amazon.com/identity/federation/)
+ [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bewährte Methoden für AWS Identity and Access Management](https://aws.amazon.com/iam/resources/best-practices/)
+ [Getting started with IAM Identity Center delegated administration (Erste Schritte mit der delegierten IAM Identity Center-Verwaltung)](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/)
+ [How to use customer managed policies in IAM Identity Center for advanced use cases (Verwenden von vom Kunden verwalteten Richtlinien in IAM Identity Center für fortgeschrittene Anwendungsfälle)](https://aws.amazon.com/blogs/security/how-to-use-customer-managed-policies-in-aws-single-sign-on-for-advanced-use-cases/)
+ [AWS CLI v2: IAM Identity Center-Anbieter für Anmeldeinformationen](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html)
**Zugehörige Videos:**
+ [AWS re:Inforce 2022 - AWS Identity and Access Management (IAM) deep dive (AWS re:inforce 2022 – AWS Identity and Access Management (IAM) zur Vertiefung)](https://youtu.be/YMj33ToS8cI)
+ [AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center (AWS re:Invent 2022 – Vereinfachen des vorhandenen Mitarbeiterzugriffs mit IAM Identity Center)](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Invent 2018: Mastering identity at every layer of the cake (AWS re:Invent 2018: Beherrschen der Identität auf jeder Ebene)](https://youtu.be/vbjFjMNVEpc)
**Zugehörige Beispiele:**
+ [Workshop: Using AWS IAM Identity Center to achieve strong identity management (Verwenden von IAM Identity Center für eine robuste Identitätsverwaltung)](https://catalog.us-east-1.prod.workshops.aws/workshops/590f8439-42c7-46a1-8e70-28ee41498b3a/en-US)
+ [Workshop: Serverless identity (Serverless-Identität)](https://identity-round-robin.awssecworkshops.com/serverless/)
**Zugehörige Tools:**
+ [AWS Security Competency Partners: Identity and Access Management](https://aws.amazon.com/security/partner-solutions/)
+ [saml2aws](https://github.com/Versent/saml2aws)
# SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
Prüfen und rotieren Sie Anmeldeinformationen regelmäßig, um die Zeit zu begrenzen, für die diese zum Zugriff auf Ihre Ressourcen genutzt werden können. Langfristig gültige Anmeldeinformationen sind mit Risiken verbunden, die durch die regelmäßige Rotation dieser Informationen reduziert werden können.
**Gewünschtes Ergebnis:** Implementierung der Rotation von Anmeldeinformationen zur Reduzierung der mit der Nutzung langfristiger Anmeldeinformationen verbundenen Risiken. Prüfen und korrigieren Sie regelmäßig fehlende Compliance mit Richtlinien zur Rotation von Anmeldeinformationen.
**Typische Anti-Muster:**
+ keine Prüfung der Verwendung von Anmeldeinformationen
+ unnötiges Verwenden langfristiger Anmeldeinformationen
+ Verwendung langfristiger Anmeldeinformationen, ohne diese regelmäßig zu rotieren
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die definierten Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung (MFA)) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen.
Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist notwendig, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Wenn Sie von AWS Identity and Access Management (IAM)-Benutzern zu zentralisierten Identitäten übergehen, können Sie einen [Anmeldeinformationenbericht für die Prüfung Ihrer Benutzer generieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html).
Wir empfehlen außerdem, dass Sie MFA in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten oder [Sicherheitsstandards von AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-3) verwenden, um festzustellen, ob Benutzer MFA aktiviert haben. Erwägen Sie die Nutzung von IAM Roles Anywhere zur Bereitstellung temporärer Anmeldeinformationen für Maschinenidentitäten. In Situationen, in denen die Verwendung von IAM-Rollen und temporären Anmeldeinformationen nicht möglich ist, ist eine häufige Prüfung und Rotation von Zugriffsschlüsseln erforderlich.
**Implementierungsschritte**
+ **Prüfen Sie die Anmeldeinformationen regelmäßig:** Durch die Prüfung der Identitäten, die in Ihrem Identitätsanbieter und IAM konfiguriert sind, können Sie sicherstellen, dass nur autorisierte Identitäten Zugriff auf Ihre Workload haben. Solche Identitäten können unter anderem IAM-Benutzer, Benutzer von AWS IAM Identity Center, Active-Directory-Benutzer oder Benutzer in einem anderen vorgelagerten Identitätsanbieter sein. Entfernen sie beispielsweise Personen, die die Organisation verlassen. Entfernen Sie auch kontoübergreifende Rollen, die nicht mehr erforderlich sind. Sie benötigen einen Prozess zum regelmäßigen Prüfen von Berechtigungen für die Dienste, auf die eine IAM-Entität zugreift. Dadurch können Sie die Richtlinien identifizieren, die Sie ändern müssen, um nicht genutzte Berechtigungen zu entfernen. Verwenden Sie Berichte zu Anmeldeinformationen und [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), um IAM-Anmeldeinformationen und -Berechtigungen zu überprüfen. Sie können mit [Amazon CloudWatch Alarme für bestimmte API-Aufrufe](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) innerhalb Ihrer AWS-Umgebung einrichten. [Amazon GuardDuty kann Sie auch bei unerwarteten Aktivitäten benachrichtigen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html), die auf zu großzügige Zugriffsrechte hindeuten können, sowie auf nicht beabsichtigte Zugriffe auf IAM-Anmeldeinformationen.
+ **Regelmäßige Rotation von Anmeldeinformationen:** Wenn Sie keine temporären Anmeldeinformationen verwenden können, rotieren Sie IAM-Zugriffsschlüssel regelmäßig (maximal alle 90 Tage). Wenn ein Zugriffsschlüssel ohne Ihr Wissen kompromittiert wurde, wird dadurch begrenzt, für wie lange die Anmeldeinformationen zum Zugriff auf Ihre Ressourcen genutzt werden können. Weitere Informationen zum Rotieren von Zugriffsschlüsseln für IAM-Benutzer finden Sie unter [Rotieren der Zugriffsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
+ **Prüfen Sie die IAM-Berechtigungen:** Um die Sicherheit Ihres AWS-Konto zu erhöhen, sollten Sie alle Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Stellen Sie sicher, dass die Richtlinien dem Prinzip der geringsten Berechtigung entsprechen.
+ **Erwägen Sie die Automatisierung der Erstellung und Aktualisierung von IAM-Ressourcen:** IAM Identity Center automatisiert viele IAM-Aufgaben wie etwa das Rollen- und Richtlinienmanagement. Alternativ können Sie mit AWS CloudFormation die Bereitstellung von IAM-Ressourcen, einschließlich Rollen und Richtlinien, automatisieren. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können.
+ **Verwenden Sie IAM Roles Anywhere, um IAM-Benutzer durch Maschinenidentitäten zu ersetzen:** IAM Roles Anywhere ermöglicht die Verwendung von Rollen in Bereichen, in denen dies herkömmlicherweise nicht möglich war, etwa auf On-Premises-Servern. IAM Roles Anywhere verwendet ein vertrauenswürdiges X.509-Zertifikat zur Authentifizierung gegenüber AWS und zum Erhalt temporärer Anmeldeinformationen. Mit IAM Roles Anywhere müssen Sie diese Anmeldeinformationen nicht mehr rotieren, da sie nicht mehr in Ihrer On-Premises-Umgebung gespeichert werden. Beachten Sie, dass Sie das X.509-Zertifikat beobachten und gegen Ende seiner Gültigkeitsdauer austauschen müssen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
**Zugehörige Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM Best Practices](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) (Bewährte Methoden für IAM)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [ Getting credential reports for your AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) (Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto)
**Zugehörige Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale](https://youtu.be/qoxxRlwJKZ4) (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)
+ [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene)
**Zugehörige Beispiele:**
+ [ Well-Architected Lab - Automated IAM User Cleanup ](https://wellarchitectedlabs.com/security/200_labs/200_automated_iam_user_cleanup/) (Well-Architected Lab – Automatisierte IAM-Benutzerbereinigung)
+ [ Well-Architected Lab - Automated Deployment of IAM Groups and Roles ](https://wellarchitectedlabs.com/security/200_labs/200_automated_deployment_of_iam_groups_and_roles/) (Well-Architected Lab – Automatisierte Bereitstellung von IAM-Gruppen und -Rollen)
# SEC02-BP06 Nutzen von Benutzergruppen und Attributen
Wenn die Anzahl der von Ihnen verwalteten Benutzer zunimmt, müssen Sie diese so organisieren, dass Sie sie im erforderlichen Umfang verwalten können. Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal mit einem [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern. Sie können AWS IAM Identity Center (IAM Identity Center) verwenden, um Benutzergruppen und Attribute zu verwalten. IAM Identity Center unterstützt die am häufigsten verwendeten Attribute unabhängig davon, ob sie manuell während der Benutzererstellung eingegeben oder automatisch mithilfe einer Synchronisierungs-Engine bereitgestellt werden, wie in der Spezifikation „System for Cross-Domain Identity Management (SCIM)“ definiert.
Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Konfigurieren Sie Gruppen, wenn Sie AWS IAM Identity Center (IAM Identity Center) verwenden: IAM Identity Center bietet Ihnen die Möglichkeit, Benutzergruppen zu konfigurieren und Gruppen die gewünschte Berechtigungsstufe zuzuweisen.
+ [AWS Single Sign-On – Verwalten von Identitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Informieren Sie sich über die attributbasierte Zugriffskontrolle (ABAC): ABAC (Attribute-based Access Control) ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen definiert.
+ [Was ist ABAC für AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Ähnliche Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Ähnliche Beispiele:**
+ [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3. Wie verwalten Sie Berechtigungen für Personen und Maschinen?
Verwalten Sie Berechtigungen zum Steuern des Zugriffs auf Personen- und Maschinenidentitäten, die Zugriff auf AWS und Ihren Workload benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann.
**Topics**
+ [SEC03-BP01 Definieren von Zugriffsanforderungen](sec_permissions_define.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md)
+ [SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten](sec_permissions_share_securely_third_party.md)
# SEC03-BP01 Definieren von Zugriffsanforderungen
Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.
**Typische Anti-Muster:**
+ Hartkodierung oder Speicherung von geheimen Daten in Ihrer Anwendung
+ Gewähren individueller Berechtigungen für alle Nutzer
+ Verwendung langlebiger Anmeldeinformationen
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Hoch
## Implementierungsleitfaden
Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.
Regulärer Zugriff auf AWS-Konten in der Organisation sollte per [Verbundzugriff](https://aws.amazon.com/identity/federation/) oder einen zentralen Identitätsanbieter bereitgestellt werden. Sie sollten auch Ihr Identitätsmanagement zentralisieren und sicherstellen, dass es ein etabliertes Verfahren zur Integration des AWS-Zugriffs in den Zugriffslebenszyklus der Mitarbeiter gibt Wenn beispielsweise ein Mitarbeiter in eine Rolle mit einer anderen Zugriffsstufe wechselt, sollte sich auch dessen Gruppenmitgliedschaft so ändern, dass die neuen Zugriffsanforderungen berücksichtigt werden.
Legen Sie bei der Definition der Zugriffsanforderungen für nicht menschliche Identitäten fest, welche Anwendungen und Komponenten Zugriff benötigen und wie die Berechtigungen gewährt werden. Eine empfohlene Vorgehensweise ist die Verwendung von nach dem Modell der geringsten Berechtigung entwickelten IAM-Rollen. [AWS-verwaltete Richtlinien](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) bieten vordefinierte IAM-Richtlinien für die meisten typischen Anwendungsfälle.
AWS-Services wie beispielsweise [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) und [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)können dabei helfen, Secrets in sicherer Weise von Anwendungen oder Workloads zu trennen, wenn es nicht möglich ist, IAM-Rollen zu verwenden. In Secrets Manager können Sie die automatische Rotation Ihrer Anmeldeinformationen einrichten. Mit Systems Manager können Sie auf Parameter in Ihren Skripts, Befehlen, SSM-Dokumenten, Konfigurations- und Automatisierungsworkflows verweisen, indem Sie den bei der Erstellung des Parameters angegebenen eindeutigen Namen verwenden.
Sie können AWS Identity and Access Management Roles Anywhere verwenden, um [temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) für Workloads zu erhalten, die außerhalb von AWS ausgeführt werden. Ihre Workloads können dieselben [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) verwenden, die Sie für AWS-Anwendungen zum Zugriff auf AWS-Ressourcen nutzen.
Verwenden Sie nach Möglichkeit kurzfristige temporäre anstelle langfristiger statischer Anmeldeinformationen. Verwenden Sie für Szenarien, in denen Sie IAM-Nutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, [Informationen über die letzte Nutzung von Zugriffsschlüsseln,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) um Zugriffsschlüssel zu entfernen und zu rotieren.
## Ressourcen
**Zugehörige Dokumente:**
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS-verwaltete Richtlinien für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS-IAM-Richtlinienbedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM-Anwendungsfälle](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [Steuerung des Zugriffs auf AWS-Ressourcen auf der Grundlage von AWS-Konto, OU oder Organisation](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identifizieren, Arrangieren und Verwalten von geheimen Daten mithilfe der erweiterten Suche in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Zugehörige Videos:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation (Optimieren des Identitäts- und Zugriffsmanagements für Innovation)](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen
Es hat sich bewährt, nur den Zugriff zu gewähren, den Identitäten benötigen, um bestimmte Aktionen auf bestimmten Ressourcen unter bestimmten Bedingungen durchzuführen. Nutzen Sie Gruppen und Identitätsattribute, um Berechtigungen dynamisch in großem Umfang festzulegen, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können beispielsweise einer Gruppe von Entwicklern den Zugriff erlauben, nur die Ressourcen für ihr Projekt zu verwalten. So ist sichergestellt, dass einem Entwickler, der nicht mehr am Projekt arbeitet, automatisch der Zugriff entzogen wird, ohne dass die zugrunde liegenden Zugriffsrichtlinien geändert werden müssen.
**Gewünschtes Ergebnis:** Die Benutzer sollten nur über die erforderlichen Berechtigungen für ihre Aufgabe verfügen. Die Benutzer sollten nur Zugriff auf Produktionsumgebungen erhalten, um eine bestimmte Aufgabe in einem begrenzten Zeitraum auszuführen. Nach Abschluss der Aufgabe sollte der Zugriff widerrufen werden. Nicht mehr benötigte Berechtigungen sollten widerrufen werden. Dies gilt auch, wenn ein Benutzer zu einem anderen Projekt wechselt oder eine andere Tätigkeit übernimmt. Administratorberechtigungen sollten nur einer kleinen Gruppe von vertrauenswürdigen Administratoren erteilt werden. Die Berechtigungen sollten regelmäßig geprüft werden, um eine schleichende Ausweitung der Berechtigungen zu vermeiden. Maschinen- oder Systemkonten sollten die geringsten Berechtigungen erhalten, die zur Ausführung ihrer Aufgaben benötigt werden.
**Typische Anti-Muster:**
+ Standardmäßige Gewährung von Administratorberechtigungen für Benutzer
+ Verwendung des Root-Benutzers für alltägliche Aktivitäten
+ Erstellung übermäßig großzügiger Richtlinien, jedoch ohne vollständige Administratorberechtigungen
+ Keine Überprüfung der Berechtigungen, um festzustellen, ob sie einen Zugriff mit den geringsten Berechtigungen gewähren
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Das Prinzip der [geringsten Berechtigung](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#grant-least-privilege) besagt, dass nur die Berechtigungen für die kleinste Gruppe von Aktionen erteilt werden sollte, die für die Durchführung einer bestimmten Aufgabe notwendig sind. Dies schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit, Effizienz und Sicherheit. Die Anwendung dieses Prinzips trägt dazu bei, den unbeabsichtigten Zugriff zu beschränken und nachzuverfolgen, wer auf welche Ressourcen zugreifen kann. IAM-Benutzer und -Rollen verfügen standardmäßig über keine Berechtigungen. Der Root-Benutzer verfügt standardmäßig über vollen Zugriff und sollte strikt kontrolliert, überwacht und nur für [Aufgaben verwendet werden, die Root-Zugriff erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html).
Mithilfe von IAM-Richtlinien können ausdrücklich Berechtigungen für IAM-Rollen oder bestimmte Ressourcen erteilt werden. So können beispielsweise identitätsbasierte Richtlinien an IAM-Gruppen angefügt werden, während S3-Buckets von ressourcenbasierten Richtlinien kontrolliert werden können.
Wenn Sie eine IAM-Richtlinie erstellen, können Sie die Serviceaktionen, Ressourcen und Bedingungen angeben, die erfüllt sein müssen, damit AWS den Zugriff erlaubt oder verweigert. AWS unterstützt eine Vielzahl von Bedingungen, mit denen Sie den Zugriff einschränken können. Mit dem [Bedingungsschlüssel](https://docs.aws.amazon.com//latest/UserGuide/reference_policies_condition-keys.html) `PrincipalOrgID` können Sie beispielsweise Aktionen verweigern, wenn der Anforderer nicht Ihrer AWS-Organisation angehört.
Sie können auch Anforderungen kontrollieren, die AWS-Services in Ihrem Namen stellen, wie das Erstellen einer AWS Lambda-Funktion durch AWS CloudFormation. Hierfür verwenden Sie den Bedingungsschlüssel `CalledVia`. Sie sollten unterschiedliche Richtlinientypen in Ebenen organisieren, um einen umfassenden Verteidigungsansatz aufzubauen und die Berechtigungen Ihrer Benutzer insgesamt zu begrenzen. Sie können auch Beschränkungen in Bezug darauf festlegen, welche Berechtigungen unter welchen Umständen erteilt werden können. So können Sie beispielsweise Ihren Anwendungsteams gestatten, eigene IAM-Richtlinien für die von ihnen erstellten Systeme zu erstellen, müssen aber auch eine [Berechtigungsgrenze](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) anwenden, um die maximalen Berechtigungen zu begrenzen, die das System erhalten kann.
**Implementierungsschritte**
+ **Implementieren Sie Richtlinien für geringste Berechtigungen**: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrichtlinien zu, die in ihrem Umfang möglichst gering und an die von Ihnen definierte Rolle oder Funktion der Benutzer angepasst sind.
+ **Basisrichtlinien zur API-Nutzung**: Eine Möglichkeit, herauszufinden, welche Berechtigungen benötigt werden, besteht in der Prüfung der AWS CloudTrail-Protokolle. Diese Prüfung ermöglicht es Ihnen, Berechtigungen zu erstellen, die auf die Aktionen zugeschnitten sind, die der Benutzer tatsächlich in AWS ausführt. [IAM Access Analyzer kann automatisch eine IAM-Richtlinie auf der Grundlage](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) [einer Aktivität generieren](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Sie können IAM Access Advisor auf Organisations- oder Kontoebene verwenden, um [zu verfolgen](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html), [auf welche Informationen für eine bestimmte Richtlinie zuletzt zugegriffen wurde](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html).
+ **Erwägen Sie, [von AWS verwaltete Richtlinien für berufliche Funktionen ](https://docs.aws.amazon.com//latest/UserGuide/access_policies_job-functions.html)zu verwenden.** Beim Erstellen von differenzierten Berechtigungsrichtlinien haben Sie zunächst möglicherweise Schwierigkeiten, herauszufinden, wo Sie beginnen sollten. AWS verfügt über verwaltete Richtlinien für allgemeine Job-Rollen, wie z. B. Fakturierungsmitarbeiter, Datenbankadministratoren und Datenwissenschaftler. Diese Richtlinien können helfen, den Zugriff der Benutzer einzuschränken und gleichzeitig festzulegen, wie die Richtlinien für die geringste Berechtigung implementiert werden sollen.
+ **Entfernen von unnötigen Berechtigungen:** Entfernen Sie nicht benötigte Berechtigungen und schränken Sie zu großzügige Richtlinien ein. Die [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-policy-generation.html) kann bei der Feinabstimmung von Berechtigungsrichtlinien hilfreich sein.
+ **Stellen Sie sicher, dass Benutzer nur beschränkten Zugriff auf Produktionsumgebungen haben:** Benutzer sollten nur Zugriff auf Produktionsumgebungen haben, wenn ein gültiger Anwendungsfall vorliegt. Nachdem der Benutzer die konkreten Aufgaben ausgeführt hat, für die Zugriff auf die Produktionsumgebung erforderlich war, sollte der Zugriff widerrufen werden. Die Beschränkung des Zugriffs auf Produktionsumgebungen hilft, unbeabsichtigte Vorkommnisse mit Auswirkungen auf die Produktion zu verhindern und das Ausmaß der Auswirkungen eines unbeabsichtigten Zugriffs zu verringern.
+ **Ziehen Sie Berechtigungsgrenzen in Betracht:** Eine Berechtigungsgrenze ist eine Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden können. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.
+ **Ziehen Sie [Ressourcen-Tags](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) für Berechtigungen in Betracht:** Ein attributbasiertes Zugriffskontrollmodell, das Ressourcen-Tags verwendet, bietet Ihnen die Möglichkeit, den Zugriff basierend auf dem Zweck der Ressource, dem Besitzer, der Umgebung oder anderen Kriterien zu gewähren. Mithilfe von Ressourcen-Tags können Sie beispielsweise zwischen Entwicklungs- und Produktionsumgebungen unterscheiden. Mit diesen Tags können Sie den Zugriff der Entwickler auf die Entwicklungsumgebung beschränken. Durch die Kombination von Tagging und Berechtigungsrichtlinien können Sie einen differenzierten Ressourcenzugriff erzielen, ohne komplizierte, benutzerdefinierte Richtlinien für jeden Tätigkeitsbereich definieren zu müssen.
+ **Verwenden Sie [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) für AWS Organizations.** Service-Kontrollrichtlinien steuern zentral die maximal verfügbaren Berechtigungen für Mitgliedskonten in Ihrer Organisation. Wichtig ist, dass Sie mithilfe von Service-Kontrollrichtlinien die Root-Benutzerberechtigungen in Mitgliedskonten einschränken können. Ziehen Sie auch die Verwendung von AWS Control Tower in Betracht, das präskriptive verwaltete Kontrollen zur Bereicherung von AWS Organizations bietet. Sie können auch Ihre eigenen Kontrollen in Control Tower definieren.
+ **Erstellen Sie eine Benutzerlebenszyklus-Richtlinie für Ihre Organisation:** Benutzerlebenszyklus-Richtlinien definieren Aufgaben, die ausgeführt werden müssen, wenn Benutzer neu in AWS eingebunden werden, ihre Rolle oder ihren Aufgabenbereich ändern oder keinen Zugriff mehr auf AWS benötigen. Bei jedem Schritt im Lebenszyklus eines Benutzers sollten Berechtigungsprüfungen erfolgen, um sicherzustellen, dass die Berechtigungen angemessen restriktiv sind und keine schleichenden Berechtigungserweiterungen stattfinden.
+ **Legen Sie einen regelmäßigen Zeitplan für die Prüfung von Berechtigungen und das Entfernen nicht benötigter Berechtigungen fest:** Sie sollten den Benutzerzugriff regelmäßig prüfen, um sicherzustellen, dass die Benutzer nicht zu viele Zugriffsrechte haben. [AWS Config](https://aws.amazon.com/config/) und IAM Access Analyzer können bei der Prüfung der Benutzerberechtigungen hilfreich sein.
+ **Erstellen Sie eine Job-Rollen-Matrix:** In einer Job-Rollen-Matrix sind die verschiedenen Rollen und erforderlichen Zugriffsebenen innerhalb Ihrer AWS-Präsenz visuell dargestellt. Mithilfe einer Job-Rollen-Matrix können Sie Berechtigungen auf der Grundlage von Benutzerzuständigkeiten in Ihrer Organisation definieren und trennen. Verwenden Sie Gruppen, anstatt Berechtigungen direkt auf einzelne Benutzer oder Rollen anzuwenden.** **
## Ressourcen
**Zugehörige Dokumente:**
+ [Gewähren der geringsten Berechtigung](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html?ref=wellarchitected#grant-least-privilege)
+ [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//latest/UserGuide/access_policies_boundaries.html)
+ [Techniken zum Erstellen von IAM-Richtlinien für geringste Berechtigungen](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer erleichtert die Implementierung geringster Berechtigungen durch die Generierung von IAM](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)[-Richtlinien auf der Grundlage der Zugriffsaktivitäten](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Delegieren Sie die Berechtigungsverwaltung an Entwickler und verwenden Sie hierfür IAM-Berechtigungsgrenzen](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)
+ [Verfeinern der Berechtigungen mithilfe der zuletzt genutzten Informationen](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html)
+ [IAM-Richtlinienarten und wann sie verwendet werden sollten](https://docs.aws.amazon.com//latest/UserGuide/access_policies.html)
+ [Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](https://docs.aws.amazon.com//latest/UserGuide/access_policies_testing-policies.html)
+ [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero-Trust-Architekturen: Eine AWS-Perspektive](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [Implementieren des Prinzips der geringsten Berechtigung mit CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com//latest/UserGuide/introduction_attribute-based-access-control.html?ref=wellarchitected)
+ [Reduzieren des Richtlinienbereichs durch Anzeigen der Benutzeraktivität](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html?ref=wellarchitected)
+ [Anzeigen des Rollenzugriffs](https://docs.aws.amazon.com//latest/UserGuide/id_roles_manage_delete.html?ref=wellarchitected#roles-delete_prerequisites)
+ [Tagging zum Organisieren Ihrer Umgebung und Stärkung der Rechenschaftspflicht](https://docs.aws.amazon.com/aws-technical-content/latest/cost-optimization-laying-the-foundation/tagging.html?ref=wellarchitected)
+ [AWS-Markierungsstrategien](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/?ref=wellarchitected)
+ [Markieren von AWS-Ressourcen](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-iam-identity-center/)
**Zugehörige Videos:**
+ [Next-generation permissions management (Berechtigungsmanagement der nächsten Generation)](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective (Zero Trust: Eine AWS-Perspektive)](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit users and roles to prevent privilege escalation?](https://www.youtube.com/watch?v=omwq3r7poek) (Wie kann ich mit Berechtigungsgrenzen Benutzer und Rollen einschränken, um die Eskalation von Berechtigungen zu vermeiden?)
**Zugehörige Beispiele:**
+ [Lab: IAM-Berechtigungsgrenzen – Übertragung der Rollenerstellung](https://wellarchitectedlabs.com/Security/300__Permission_Boundaries_Delegating_Role_Creation/README.html)
+ [Lab: IAM-Tag-basierte Zugriffskontrolle für EC2](https://wellarchitectedlabs.com/Security/300__Tag_Based_Access_Control_for_EC2/README.html?ref=wellarchitected)
# SEC03-BP03 Einrichtung eines Notfallzugriffprozesses
Erstellen Sie einen Prozess, der im unwahrscheinlichen Fall eines Problems mit Ihrem zentralen Identitätsanbieter den Notfallzugriff auf Ihre Workloads ermöglicht.
Sie müssen Prozesse für verschiedene Ausfallmodi entwerfen, die zu einem Notfallereignis führen können. Unter normalen Umständen verbinden sich die Benutzer Ihrer Belegschaft beispielsweise über einen zentralen Identitätsanbieter mit der Cloud ([SEC02-BP04](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)), um ihre Workloads zu verwalten. Wenn der zentrale Identitätsanbieter jedoch ausfällt oder die Konfiguration für den Verbund in der Cloud geändert wird, können sich die Benutzer in Ihrem Unternehmen möglicherweise nicht mit der Cloud verbinden. Ein Prozess für den Notfallzugriff ermöglicht autorisierten Administratoren den Zugriff auf Ihre Cloud-Ressourcen über alternative Verfahren (z. B. eine alternative Form des Verbunds oder direkter Benutzerzugriff), um Probleme mit Ihrer Verbundkonfiguration oder Ihren Workloads zu beheben. Der Prozess für den Notfallzugriff wird verwendet, bis der normale Verbundmechanismus wiederhergestellt ist.
**Gewünschtes Ergebnis:**
+ Sie haben die Ausfallmodi definiert und dokumentiert, die als Notfall gelten: Berücksichtigen Sie dabei Ihre normalen Abläufe und die Systeme, auf die Ihre Benutzer angewiesen sind, um ihre Workloads zu verwalten. Überlegen Sie, wie jede dieser Abhängigkeiten ausfallen und zu einer Notsituation führen kann. Die Fragen und bewährten Methoden in der [Säule „Zuverlässigkeit“](https://docs.aws.amazon.com/wellarchitected/latest/framework/a-reliability.html) können Sie dabei unterstützen, Ausfallmodi zu identifizieren und widerstandsfähigere Systeme zu entwickeln, um die Wahrscheinlichkeit von Ausfällen zu minimieren.
+ Sie haben die Schritte dokumentiert, die befolgt werden müssen, um einen Ausfall als Notfall zu identifizieren. Sie können beispielsweise festlegen, dass Ihre Identitätsadministratoren den Status Ihrer primären und Standby-Identitätsanbieter überprüfen müssen und, falls beide nicht verfügbar sind, ein Notfallereignis für den Ausfall eines Identitätsanbieters feststellen.
+ Sie haben einen Prozess für den Notfallzugriff definiert, der für jeden Notfall- oder Ausfallmodus spezifisch ist. Wenn Sie hier möglichst detaillierte Informationen angeben, kann dies der Neigung Ihrer Benutzer entgegenwirken, einen allgemeinen Prozess für alle Arten von Notfällen zu stark zu nutzen. Ihre Prozesse für den Notfallzugriff beschreiben die Umstände, unter denen ein Prozess jeweils verwendet werden sollte, und umgekehrt Situationen, in denen der Prozess nicht verwendet werden sollte. In diesem Fall wird auf alternative Prozesse hingewiesen, die zutreffen können.
+ Ihre Prozesse sind mit detaillierten Anweisungen und Playbooks, die schnell und effizient befolgt werden können, gut dokumentiert. Denken Sie daran, dass ein Notfallereignis Stress für Ihre Benutzer bedeuten kann und dass sie unter extremem Zeitdruck stehen können. Gestalten Sie Ihren Prozess daher so einfach wie möglich.
**Typische Anti-Muster:**
+ Sie verfügen nicht über gut dokumentierte und gut getestete Prozesse für den Notfallzugriff. Ihre Benutzer sind nicht auf einen Notfall vorbereitet und nutzen improvisierte Prozesse, wenn er eintritt.
+ Ihre Prozesse für den Notfallzugriff hängen von denselben Systemen (z. B. einem zentralen Identitätsanbieter) ab wie Ihre normalen Zugriffsmechanismen. Das bedeutet, dass der Ausfall eines solchen Systems sowohl Ihre normalen Zugriffsmechanismen als auch Ihre Notfallzugriffsmechanismen betrifft und Ihre Fähigkeit zur Wiederherstellung nach dem Ausfall beeinträchtigen kann.
+ Ihre Prozesse für den Notfallzugriff werden in Situationen verwendet, die keine Notfälle sind. Ein Beispiel könnte sein, dass Ihre Benutzer Prozesse für den Notfallzugriff häufig missbrauchen, da es für sie einfacher ist, Änderungen direkt vorzunehmen, als Änderungen über eine Pipeline einzureichen.
+ Ihre Prozesse für den Notfallzugriff generieren nicht genügend Protokolle, um sie zu überwachen, oder die Protokolle werden nicht so überwacht, dass Sie bei einem möglichen Missbrauch der Prozesse gewarnt werden.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Durch gut dokumentierte und gut getestete Prozesse für den Notfallzugriff können Sie die Zeit reduzieren, die Ihre Benutzer benötigen, um auf ein Notfallereignis zu reagieren und es zu beheben. Dies kann zu kürzeren Ausfallzeiten und einer höheren Verfügbarkeit der Services führen, die Sie für Ihre Kunden bereitstellen.
+ Sie können jede Notfallzugriffsanfrage verfolgen und unbefugte Versuche, den Prozess für Nicht-Notfallereignisse zu missbrauchen, erkennen und darauf hinweisen.
**Risikostufe bei fehlender Befolgung dieser Best Practice:**: Mittel
## Implementierungsleitfaden
Dieser Abschnitt enthält Richtlinien zur Erstellung von Prozessen für den Notfallzugriff für verschiedene Ausfallmodi im Zusammenhang mit Workloads, die in AWS bereitgestellt werden. Zunächst finden Sie allgemeine Leitlinien, die für alle Ausfallmodi gelten, und danach spezifische Anleitungen für die verschiedenen Arten von Ausfallmodi.
**Allgemeine Leitlinien für alle Ausfallmodi**
Beachten Sie beim Entwerfen eines Prozesses für den Notfallzugriff für einen Ausfallmodus Folgendes:
+ Dokumentieren Sie die Voraussetzungen und Annahmen für den Prozess: Wann soll der Prozess verwendet werden und wann nicht? Es ist hilfreich, den Ausfallmodus detailliert zu beschreiben und Annahmen zu dokumentieren, z. B. den Zustand anderer verwandter Systeme. Der Prozess für den Ausfallmodus 2 geht beispielsweise davon aus, dass der Identitätsanbieter verfügbar ist, aber die Konfiguration in AWS geändert wurde oder abgelaufen ist.
+ Erstellen Sie im Voraus Ressourcen, die für den Notfallzugriffsprozess benötigt werden ([SEC10-BP05](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_pre_provision_access.html)). Erstellen Sie beispielsweise vorab das AWS-Konto für den Notfallzugriff (IAM users und -Rollen) und die kontoübergreifenden IAM-Rollen in allen Workload-Konten. So wird sichergestellt, dass diese Ressourcen bereit und verfügbar sind, wenn ein Notfallereignis eintritt. Durch das Erstellen von Ressourcen im Voraus sind Sie nicht abhängig von den APIs der AWS- [Steuerebene](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/control-planes-and-data-planes.html) (zum Erstellen und Ändern von AWS-Ressourcen), die im Notfall möglicherweise nicht verfügbar sind. Wenn Sie IAM-Ressourcen vorab erstellen, müssen Sie außerdem keine [möglichen Verzögerungen aufgrund einer letztendlichen Konsistenz berücksichtigen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)
+ Schließen Sie Prozesse für den Notfallzugriff in Ihre Vorfallmanagementpläne ein ([SEC10-BP02](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_develop_management_plans.html)). Dokumentieren Sie, wie Notfallereignisse nachverfolgt und an andere in Ihrem Unternehmen, z. B. an Peer-Teams, Führungskräfte und gegebenenfalls extern an Kunden und Geschäftspartner, kommuniziert werden sollen.
+ Definieren Sie den Prozess für Notfallzugriffsanfragen in Ihrem bestehenden Workflow-System für Serviceanfragen, falls eines vorhanden ist. In der Regel können Sie mit solchen Workflow-Systemen Eingabeformulare erstellen, um Informationen zur Anfrage zu erfassen, die Anfrage in jeder Phase des Workflows zu verfolgen und sowohl automatisierte als auch manuelle Genehmigungsschritte hinzuzufügen. Ordnen Sie jede Anfrage einem entsprechenden Notfallereignis zu, das in Ihrem Vorfallmanagement-System verfolgt wird. Mit einem einheitlichen System für Notfallzugriffe können Sie diese Anfragen in einem zentralen System verfolgen, Nutzungstrends analysieren und Ihre Prozesse verbessern.
+ Stellen Sie sicher, dass Ihre Notfallzugriffsprozesse nur von autorisierten Benutzern initiiert werden können, und legen Sie fest, dass Genehmigungen von Kollegen oder Führungskräften des Benutzers erforderlich sind. Das Genehmigungsverfahren sollte sowohl während als auch außerhalb der Geschäftszeiten funktionieren. Definieren Sie, wie Genehmigungsanfragen sekundäre Genehmiger berücksichtigen, falls die primären Genehmiger nicht verfügbar sind, und wie sie in Ihrer Managementkette nach oben eskaliert werden, bis sie genehmigt wurden.
+ Stellen Sie sicher, dass der Prozess detaillierte Auditprotokolle und Ereignisse sowohl für erfolgreiche als auch für fehlgeschlagene Versuche generiert, Notfallzugriff zu erhalten. Überwachen Sie sowohl den Anforderungsprozess als auch den Notfallzugriffsmechanismus, um Missbrauch oder nicht autorisierte Zugriffe zu erkennen. Korrelieren Sie Aktivitäten mit laufenden Notfallereignissen aus Ihrem Vorfallsmanagement-System und senden Sie Benachrichtigungen, wenn Aktionen außerhalb der erwarteten Zeiträume erfolgen. Sie sollten beispielsweise die Aktivitäten im AWS-Konto für den Notfallzugriff überwachen und entsprechende Benachrichtigungen senden, da es im normalen Betrieb nie verwendet werden sollte.
+ Testen Sie die Notfallzugriffsprozesse regelmäßig, um sicherzustellen, dass die Schritte klar sind und die richtigen Zugriffsebenen schnell und effizient gewährt werden. Ihre Notfallzugriffsprozesse sollten im Rahmen der Simulation von Vorfallsreaktionen ([SEC10-BP07](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html)) und Tests der Notfallwiederherstellung ([REL13-BP03](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_planning_for_recovery_dr_tested.html)) getestet werden.
**Ausfallmodus 1: Der für den Verbund mit AWS verwendete Identitätsanbieter ist nicht verfügbar**
Wie in [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) beschrieben, wird empfohlen, sich auf einen zentralen Identitätsanbieter zu verlassen, der die Benutzer Ihres Unternehmens verbindet, um den Zugriff auf AWS-Konten zu gewähren. Sie können mit IAM Identity Center einen Verbund für mehrere AWS-Konten in Ihrer AWS-Organisation implementieren oder einzelne AWS-Konten mit IAM verbinden. In beiden Fällen authentifizieren sich die Benutzer in Ihrer Belegschaft beim zentralen Identitätsanbieter, bevor sie zu einem AWS-Anmeldeendpunkt für das Single Sign-On weitergeleitet werden.
Im unwahrscheinlichen Fall, dass der zentrale Identitätsanbieter nicht verfügbar ist, können sich die Benutzer Ihrer Belegschaft nicht mit AWS-Konten verbinden oder ihre Workloads verwalten. In einem solchen Notfall können Sie einen Notfallzugriffsprozess für eine kleine Gruppe von Administratoren einrichten, die auf AWS-Konten zugreifen dürfen, um kritische Aufgaben auszuführen, die nicht warten können, bis die zentralen Identitätsanbieter wieder online sind. Nehmen Sie beispielsweise an, dass Ihr Identitätsanbieter für 4 Stunden nicht verfügbar ist und während dieses Zeitraums die Obergrenzen einer Amazon EC2 Auto Scaling-Gruppe in einem Produktionskonto geändert werden müssen, um einen unerwarteten Anstieg des Kundenverkehrs zu bewältigen. Ihre Notfalladministratoren sollten den Notfallzugriffsprozess befolgen, um Zugriff auf das spezifische AWS-Konto in der Produktion zu erhalten und die erforderlichen Änderungen vorzunehmen.
Der Notfallzugriffsprozess basiert auf einem vorab erstellten AWS-Konto für den Notfallzugriff, das ausschließlich für den Notfallzugriff verwendet wird und über AWS-Ressourcen (wie IAM-Rollen und IAM users) zur Unterstützung des Notfallzugriffsprozesses verfügt. Während des normalen Betriebs sollte niemand auf das Notfallzugriffskonto zugreifen. Sie müssen dieses Konto auf Missbrauch überwachen und ggf. Warnungen senden (weitere Informationen finden Sie im vorherigen Abschnitt mit allgemeinen Leitlinien).
Das Notfallzugriffskonto verfügt über IAM-Notfallzugriffsrollen mit der Berechtigung, kontoübergreifende Rollen in den AWS-Konten anzunehmen, für die Notfallzugriff erforderlich ist. Diese IAM-Rollen sind vordefiniert und mit Vertrauensrichtlinien konfiguriert, die den IAM-Rollen des Notfallkontos vertrauen.
Das Notfallzugriffsverfahren kann einen der folgenden Ansätze verwenden:
+ Sie können vorab [IAM users](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) für Ihre Notfalladministratoren im Notfallzugriffskonto erstellen, denen sichere Passwörtern und MFA-Token zugeordnet sind. Diese IAM users verfügen über Berechtigungen, um die IAM-Rollen anzunehmen, die dann den kontoübergreifenden Zugriff auf das AWS-Konto ermöglichen, für das der Notfallzugriff erforderlich ist. Wir empfehlen, so wenige solcher Benutzer wie möglich zu erstellen und jeden Benutzer einem einzelnen Notfalladministrator zuzuweisen. Während eines Notfalls meldet sich ein Notfalladministrator mit seinem Passwort und seinem MFA-Tokencode beim Notfallzugriffskonto an, wechselt zur IAM-Notfallzugriffsrolle im Notfallkonto und wechselt schließlich zur IAM-Notfallzugriffsrolle im Workload-Konto, um die für den Notfall erforderliche Änderungsaktion durchzuführen. Der Vorteil dieses Ansatzes besteht darin, dass jeder IAM user einem Notfalladministrator zugewiesen ist und Sie anhand der CloudTrail-Ereignisse feststellen können, welcher Benutzer sich angemeldet hat. Der Nachteil ist, dass Sie mehrere IAM users mit den zugehörigen langlebigen Passwörtern und MFA-Token verwalten müssen.
+ Sie können den [Root-Benutzer für das Notfallzugriff-AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) verwenden, um sich beim Notfallzugriffskonto anzumelden, die IAM-Rolle für den Notfallzugriff anzunehmen und dann die kontoübergreifende Rolle im Workload-Konto anzunehmen. Wir empfehlen, ein sicheres Passwort und mehrere MFA-Token für den Root-Benutzer festzulegen. Wir empfehlen außerdem, das Passwort und die MFA-Token in einem sicheren Vault für Unternehmensanmeldeinformationen zu speichern, der eine starke Authentifizierung und Autorisierung erzwingt. Sie sollten das Passwort und die Faktoren zum Zurücksetzen des MFA-Tokens sichern: Legen Sie die E-Mail-Adresse für das Konto auf eine E-Mail-Verteilerliste fest, die von Ihren Cloud-Sicherheitsadministratoren überwacht wird. Legen Sie die Telefonnummer des Kontos auf eine gemeinsam genutzte Telefonnummer fest, die ebenfalls von Sicherheitsadministratoren überwacht wird. Der Vorteil dieses Ansatzes besteht darin, dass nur ein Satz von Root-Benutzeranmeldeinformationen verwaltet werden muss. Der Nachteil ist, dass sich mehrere Administratoren als Root-Benutzer anmelden können, da es sich um einen gemeinsam genutzten Benutzer handelt. Sie müssen die Protokollereignisse für den Unternehmens-Vault überprüfen, um festzustellen, welcher Administrator das Passwort für den Root-Benutzer ausgecheckt hat.
**Ausfallmodus 2: Die Konfiguration des Identitätsanbieters in AWS wurde geändert oder ist abgelaufen**
Um den Verbund der Benutzer in Ihrem Unternehmen mit AWS-Konten zu ermöglichen, können Sie IAM Identity Center mit einem externen Identitätsanbieter konfigurieren oder einen IAM-Identitätsanbieter erstellen ([SEC02-BP04](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)). In der Regel konfigurieren Sie diese, indem Sie ein XML-Dokument mit SAML-Metadaten importieren, das von Ihrem Identitätsanbieter bereitgestellt wird. Das XML-Metadatendokument enthält ein X.509-Zertifikat, das einem privaten Schlüssel entspricht, mit dem der Identitätsanbieter seine SAML-Zusicherungen signiert.
Diese Konfigurationen auf AWS-Seite können versehentlich von einem Administrator geändert oder gelöscht werden. In einem anderen Szenario läuft das in AWS importierte X.509-Zertifikat möglicherweise ab und eine neue XML-Metadatendatei mit einem neuen Zertifikat wurde noch nicht in AWS importiert. In beiden Szenarien kann der Verbund mit AWS für die Benutzer Ihrer Belegschaft unterbrochen werden, was zu einem Notfall führt.
In einem solchen Notfall können Sie Ihren Identitätsadministratoren Zugriff auf AWS gewähren, um die Verbundprobleme zu beheben. Ihr Identitätsadministrator verwendet beispielsweise den Notfallzugriffsprozess, um sich beim AWS-Konto für den Notfallzugriff anzumelden. Er wechselt zu einer Rolle im Identity Center-Administratorkonto und aktualisiert die Konfiguration des externen Identitätsanbieters, indem er das aktuelle XML-Dokument mit SAML-Metadaten von Ihrem Identitätsanbieter importiert, um den Verbund wieder zu aktivieren. Sobald der Verbund wiederhergestellt ist, verwenden die Benutzer in Ihrer Belegschaft weiter den normalen Betriebsprozess, um sich mit ihren Workload-Konten zu verbinden.
Sie können die oben für Ausfallmodus 1 beschriebenen Vorgehensweisen befolgen, um einen Notfallzugriffsprozess zu erstellen. Sie können Ihren Identitätsadministratoren Berechtigungen nach dem Prinzip der geringsten Rechte gewähren, sodass sie nur auf das Identity Center-Administratorkonto zugreifen und nur in diesem Konto Aktionen für Identity Center ausführen können.
**Ausfallmodus 3: Störung von Identity Center**
Für den unwahrscheinlichen Fall einer Störung von IAM Identity Center oder einer AWS-Region empfehlen wir, eine Konfiguration einzurichten, mit der Sie temporären Zugriff auf die AWS-Managementkonsole gewähren können.
Der Notfallzugriffsprozess verwendet einen direkten Verbund von Ihrem Identitätsanbieter zu IAM in einem Notfallkonto. Einzelheiten zu den Prozess- und Entwurfsüberlegungen finden Sie im [Artikel zum Einrichten des Notfallzugriffs auf die AWS-Managementkonsole](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html).
### Implementierungsschritte
**Allgemeine Schritte für alle Ausfallmodi**
+ Erstellen Sie ein AWS-Konto speziell für Notfallzugriffsprozesse. Erstellen Sie vorab die für das Konto benötigten IAM-Ressourcen wie IAM-Rollen oder IAM users und optional IAM-Identitätsanbieter. Erstellen Sie außerdem vorab kontoübergreifende IAM-Rollen in den AWS-Konten für den Workload mit Vertrauensbeziehungen zu den entsprechenden IAM-Rollen im Notfallzugriffskonto. Nutzen Sie Instrumentierungsservices wie [CloudFormation StackSets mit AWS Organizations,](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) um solche Ressourcen in den Mitgliedskonten Ihrer Organisation zu erstellen.
+ Erstellen Sie in AWS Organizations [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (Service Control Policies, SCPs), um das Löschen und Ändern der kontoübergreifenden IAM-Rollen in den AWS-Konten der Mitglieder zu verweigern.
+ Aktivieren Sie CloudTrail für das AWS-Konto für den Notfallzugriff und senden Sie die Trail-Ereignisse an einen zentralen S3-Bucket im AWS-Konto für die Protokollerfassung. Wenn Sie AWS Control Tower verwenden, um Ihre AWS-Umgebung mit mehreren Konten einzurichten und zu verwalten, ist für jedes Konto, das Sie mit AWS Control Tower erstellen oder in AWS Control Tower registrieren, CloudTrail standardmäßig aktiviert und wird an einen S3-Bucket in einem dedizierten AWS-Konto für das Protokollarchiv gesendet.
+ Überwachen Sie die Aktivitäten des Notfallzugriffskontos, indem Sie EventBridge-Regeln erstellen, die bei der Anmeldung in der Konsole und bei API-Aktivitäten durch die IAM-Notfallrollen greifen. Senden Sie Benachrichtigungen an Ihr Security Operations Center, wenn Aktivitäten außerhalb eines laufenden Notfallereignisses stattfinden, das in Ihrem Vorfallmanagement-System nachverfolgt wurde.
**Zusätzliche Schritte für Ausfallmodus 1 (Der für den Verbund mit AWS verwendete Identitätsanbieter ist nicht verfügbar) und Ausfallmodus 2 (Die Konfiguration des Identitätsanbieters in AWS wurde geändert oder ist abgelaufen)**
+ Erstellen Sie vorab Ressourcen, je nachdem, welchen Mechanismus Sie für den Notfallzugriff wählen:
+ **Unter Verwendung der IAM users:** Erstellen Sie vorab die IAM users mit sicheren Passwörtern und den zugehörigen MFA-Geräten.
+ **Unter Verwendung des Root-Benutzers des Notfallkontos:** Konfigurieren Sie den Root-Benutzer mit einem sicheren Passwort und speichern Sie das Passwort im Unternehmens-Vault für Anmeldeinformationen. Ordnen Sie dem Root-Benutzer mehrere physische MFA-Geräte zu und bewahren Sie die Geräte an Orten auf, zu denen die Mitglieder Ihres Notfalladministratorteams schnell Zugang haben.
**Zusätzliche Schritte für den Ausfallmodus 3 (Störung von Identity Center)**
+ Erstellen Sie wie im [Artikel zum Einrichten des Notfallzugriffs auf die AWS-Managementkonsole](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html) erläutert im AWS-Konto für den Notfallzugriff einen IAM-Identitätsanbieter, um den direkten SAML-Verbund von Ihrem Identitätsanbieter aus zu ermöglichen.
+ Erstellen Sie Notfalleinsatzgruppen in Ihrem Identitätsanbieter ohne Mitglieder.
+ Erstellen Sie IAM-Rollen, die den Notfalleinsatzgruppen im Notfallzugriffskonto entsprechen.
## Ressourcen
**Zugehörige bewährte Methoden für Well-Architected:**
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_identity_provider.html)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)
+ [SEC10-BP02 Entwickeln von Vorfallmanagementplänen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html)
+ [SEC10-BP07 Durchführen von Gamedays](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_run_game_days.html)
**Zugehörige Dokumente:**
+ [Set up emergency access to the AWS-Managementkonsole (Einrichten des Notfallzugriffs auf die AWS-Managementkonsole)](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html)
+ [Enabling SAML 2.0 federated users to access the AWS-Managementkonsole (Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf die AWS-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
+ [Break glass access („Break Glass“-Zugriff)](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html)
**Zugehörige Videos:**
+ [AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center (AWS re:Invent 2022 – Vereinfachen des vorhandenen Mitarbeiterzugriffs mit IAM Identity Center)](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Inforce 2022 - AWS Identity and Access Management (IAM) deep dive (AWS re:inforce 2022 – AWS Identity and Access Management (IAM) zur Vertiefung)](https://youtu.be/YMj33ToS8cI)
**Zugehörige Beispiele:**
+ [AWS Break Glass Role (AWS-Rolle „Break Glass“)](https://github.com/awslabs/aws-break-glass-role)
+ [AWS Customer Playbook Framework](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [AWS-Beispiele von Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-incident-response-playbooks)
# SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen
Wenn Ihre Teams bestimmen, welchen Zugriff sie benötigen, entfernen Sie unnötige Berechtigungen und erstellen Sie Überprüfungsprozesse, damit jederzeit dem Prinzip der geringsten Berechtigung entsprochen wird. Überwachen Sie Ihre Identitäten kontinuierlich und entfernen Sie ungenutzte Identitäten und Berechtigungen für den Zugriff von Menschen und Maschinen.
**Gewünschtes Ergebnis:** Berechtigungsrichtlinien sollten dem Prinzip der geringsten Berechtigung folgen. Wenn Zuständigkeiten und Rollen immer besser definiert werden, müssen Sie Ihre Berechtigungsrichtlinien prüfen, um unnötige Berechtigungen zu entfernen. Dieses Konzept verringert die Auswirkungen, wenn Anmeldeinformationen versehentlich offen gelegt werden oder wenn anderweitig ohne Genehmigung darauf zugegriffen wird.
**Typische Anti-Muster:**
+ standardmäßige Gewährung von Administratorberechtigungen für Benutzer
+ Erstellung übermäßig lockerer Richtlinien, jedoch ohne vollständige Administratorberechtigungen
+ Aufbewahrung von Berechtigungsrichtlinien, nachdem Sie nicht mehr benötigt werden
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Wenn Teams und Projekte gerade erst mit der Arbeit beginnen, können lockere Richtlinien verwendet werden, um Innovationen und Agilität zu unterstützen. So könnten beispielsweise Entwickler in einer Entwicklungs- und Testumgebung Zugang zu einer breiten Palette von AWS-Services erhalten. Wir empfehlen, den Zugriff kontinuierlich zu prüfen und auf sServices und Serviceaktionen einzuschränken, die für die anstehende Aufgabe wirklich benötigt werden. Wir empfehlen diese Evaluierung für menschliche und für maschinelle Identitäten. Maschinenidentitäten, manchmal auch als System- oder Servicekonten bezeichnet, sind Identitäten, die AWS den Zugriff auf Anwendungen oder Server ermöglichen. Dieser Zugriff ist besonders in einer Produktionsumgebung wichtig, in der übermäßig lockere Zugriffsregeln weitreichende Auswirkungen haben und möglicherweise Kundendaten offen legen könnten.
AWS bietet mehrere Verfahren zur Unterstützung der Identifizierung nicht verwendeter Benutzer, Rollen, Berechtigungen und Anmeldeinformationen. AWS kann auch bei der Analyse von Zugriffsaktivitäten von IAM-Benutzern und -Rollen helfen, darunter ebenfalls Analysen zu zugehörigen Zugriffsschlüsseln sowie zum Zugriff auf AWS-Ressourcen wie etwa Objekten in Amazon S3-Buckets. Die Generierung von Richtlinien mit AWS Identity and Access Management Access Analyzer kann Ihnen bei der Erstellung restriktiver Berechtigungsrichtlinien auf der Grundlage der Services und Aktionen helfen, mit denen ein Prinzipal tatsächlich interagiert. Die [attributbasierte Zugriffssteuerung (Attribute-based Access Control, ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) kann die Verwaltung von Berechtigungen vereinfachen, da Sie Benutzern Berechtigungen auf der Grundlage ihrer Attribute erteilen können, anstatt jedem Benutzer direkt Berechtigungsrichtlinien zuzuweisen.
**Implementierungsschritte**
+ **Verwendung von [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html):** IAM Access Analyzer hilft bei der Identifizierung von Ressourcen in Ihrer Organisation und in Konten, wie etwa Amazon Simple Storage Service (Amazon S3)-Buckets oder IAM-Rollen, die[gemeinsam mit einer externen Entität genutzt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).
+ **Verwendung der [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html): Die **Richtliniengenerierung von IAM Access Analyzer hilft bei der Erstellung [detaillierter Berechtigungsrichtlinien auf der Grundlage eines IAM-Benutzers oder der Zugriffsaktivität einer IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-howitworks).
+ **Festlegen eines akzeptablen Zeitrahmens und einer Nutzungsrichtlinie für IAM-Benutzer und -Rollen**: Verwenden Sie den [Zeitstempel des letzten Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html), um [nicht verwendete Benutzer und Rollen zu identifizieren](https://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/) und diese zu entfernen. Prüfen Sie die Informationen zum letzten Zugriff auf Services und Aktionen, um [Berechtigungen für bestimmte Benutzer und Rollen zu identifizieren und entsprechend zuzuteilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Sie können beispielsweise Informationen zum letzten Zugriff verwenden, um die spezifischen Amazon S3-Aktionen zu identifizieren, die Ihre Anwendungsrolle erfordert, und den Zugriff der Rolle auf diese Aktionen beschränken. Funktionen für die zuletzt abgerufenen Informationen sind in der AWS-Managementkonsole und programmgesteuert verfügbar, damit Sie sie in Ihre Infrastruktur-Workflows und automatisierten Tools integrieren können.
+ **Erwägen Sie die [Protokollierung von Datenereignissen in AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html):** Standardmäßig protokolliert CloudTrail keine Datenereignisse wie Amazon S3-Aktivitäten auf Objektebene (zum Beispiel `GetObject` und `DeleteObject`) oder Amazon DynamoDB-Tabellenaktivitäten (zum Beispiel `PutItem` und `DeleteItem`). Erwägen Sie die Aktivierung der Protokollierung dieser Ereignisse, um zu ermitteln, welche Benutzer und Rollen Zugriff auf bestimmte Amazon S3-Objekte oder DynamoDB-Tabellenelemente benötigen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Gewähren von geringsten Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [ Was ist AWS CloudTrail? ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [ Protokollierung und Überwachung von DynamoDB ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/MonitoringDynamoDB.html)
+ [ Enabling CloudTrail event logging for Amazon S3 buckets and objects ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) (Aktivieren von CloudTrail-Ereignisprotokollierung für Amazon-S3-Buckets und -Objekte)
+ [ Getting credential reports for your AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) (Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto)
**Zugehörige Videos:**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU) (Experte für IAM-Richtlinien in unter 60 Minuten werden)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70) (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)
+ [AWS re:Inforce 2022 - AWS Identity and Access Management (IAM) deep dive ](https://www.youtube.com/watch?v=YMj33ToS8cI) (AWS re:inforce 2022 – AWS Identity and Access Management (IAM) zur Vertiefung)
# SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation
Richten Sie allgemeine Kontrollen ein, die den Zugriff auf alle Identitäten in Ihrer Organisation einschränken. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Ihre Bediener gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die für Ihr zentrales Sicherheitsteam verwendet wird.
**Typische Anti-Muster:**
+ Ausführen von Workloads in Ihrem Organisationsadministrator-Konto
+ Ausführen von Produktions- und Nicht-Produktionsworkloads im selben Konto
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel
## Implementierungsleitfaden
Wenn Sie im Zuge Ihres Wachstums zusätzliche Workloads in AWS verwalten, sollten Sie diese Workloads mithilfe von Konten trennen und die Konten mit AWS Organizations verwalten. Wir empfehlen, allgemeinen Integritätsschutz für Berechtigungen einzurichten, der den Zugriff auf alle Identitäten in Ihrer Organisation einschränkt. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Mitglieder Ihres Teams gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die vom zentralen Sicherheitsteam verwendet wird.
Sie können beginnen, indem Sie Beispiel-Servicekontrollrichtlinien implementieren, die beispielsweise verhindern, dass Benutzer wichtige Services deaktivieren. SCPs verwenden die IAM-Richtliniensprache und ermöglichen Ihnen, Kontrollen einzurichten, die alle IAM-Prinzipale (Benutzer und Rollen) einhalten müssen. Sie können den Zugriff auf bestimmte Serviceaktionen und Ressourcen oder basierend auf bestimmten Bedingungen einschränken, um die Zugriffskontrollanforderungen Ihrer Organisation zu erfüllen. Falls erforderlich, können Sie Ausnahmen zum Integritätsschutz definieren. Sie können beispielsweise Serviceaktionen für alle IAM-Entitäten im Konto mit Ausnahme einer bestimmten Administratorrolle einschränken.
Wir empfehlen, die Ausführung von Workloads in Ihrem Veraltungskonto zu vermeiden. Das Verwaltungskonto sollte für den Einsatz und die Bereitstellung von Integritätsschutz für die Sicherheit verwendet werden, der sich auf Mitgliedskonten auswirkt. Manche AWS-Services unterstützen die Verwendung eines delegierten Administratorkontos. Wenn ein solches delegiertes Konto verfügbar ist, sollten Sie es anstelle des Verwaltungskontos verwenden. Sie sollten den Zugriff auf das Organisationsadministratorkonto strengstens einschränken.
Die Verwendung einer Mehrkonten-Strategie ermöglicht größere Flexibilität bei der Anwendung von Integritätsschutz auf Ihre Workloads. Die AWS Security Reference Architecture bietet präskriptive Anleitungen zur Gestaltung Ihrer Kontenstruktur. AWS-Services wie AWS Control Tower bieten Funktionen für die zentrale Verwaltung präventiver und erkennender Kontrollen in ihrer Organisation. Definieren Sie für jedes Konto bzw. jede OU in Ihrer Organisation einen klaren Zweck und schränken Sie die Steuerungen entsprechend diesem Zweck ein.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Service-Kontrollrichtlinien (SCPs),](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Bessere Nutzung von Servicekontrollrichtlinien in einer Mehrkontenumgebung](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Zugehörige Videos:**
+ [Enforce Preventive Guardrails using Service Control Policies (Durchsetzung von präventivem Integritätsschutz mit Servicekontrollrichtlinien)](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower (Governance in großem Umfang mit AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive (Tiefer Einblick in AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus
Integrieren Sie Zugriffskontrollen in den Operator- und Anwendungslebenszyklus sowie Ihren zentralen Verbundanbieter. Entfernen Sie beispielsweise den Zugriff eines Benutzers, wenn er die Organisation verlässt oder eine andere Rolle übernimmt.
Wenn Sie Workloads mit separaten Konten verwalten, müssen Sie Ressourcen für diese Konten freigeben. Wir empfehlen, dass Sie Ressourcen mit [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Mit diesem Service können Sie AWS-Ressourcen einfach und sicher innerhalb Ihrer AWS Organizations-Organisation und -Organisationseinheiten freigeben. Mithilfe von AWS RAM wird der Zugriff auf gemeinsam genutzte Ressourcen automatisch gewährt oder widerrufen, wenn Konten in die Organisation oder Organisationseinheit verschoben werden, für die sie freigegeben sind. Auf diese Weise können Sie sicherstellen, dass Ressourcen nur für die Konten freigegeben werden, die Sie beabsichtigen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
Verwenden eines Lebenszyklus für den Benutzerzugriff: Implementieren Sie eine Lebenszyklusrichtlinie für den Benutzerzugriff für neue Benutzer, Änderungen von Zuständigkeiten und das Ausscheiden von Benutzern, um sicherzustellen, dass nur aktuelle Benutzer Zugriff haben.
## Ressourcen
**Zugehörige Dokumente:**
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Relevante Videos:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen.
**Gewünschtes Ergebnis:** Wissen, welche Ihrer AWS-Ressourcen für wen freigegeben sind. Überwachen und prüfen Sie kontinuierlich Ihre freigegebenen Ressourcen, um sicherzustellen, dass sie nur für autorisierte Prinzipale freigegeben sind.
**Typische Anti-Muster:**
+ fehlendes Inventar gemeinsam genutzter Ressourcen
+ Nichtbefolgung eines Prozesses zur Genehmigung von kontoübergreifendem oder öffentlichem Zugriff auf Ressourcen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** niedrig
## Implementierungsleitfaden
Wenn sich Ihr Konto in AWS Organizations befindet, können Sie den Zugriff auf Ressourcen der gesamten Organisation, bestimmten Organisationseinheiten oder einzelnen Konten gewähren. Wenn Ihr Konto nicht zu einer Organisation gehört, können Sie Ressourcen für einzelne Konten freigeben. Sie können direkten kontoübergreifenden Zugriff mithilfe von Richtlinien gewähren, die an Ressourcen angefügt sind – (z. B. [Amazon Simple Storage Service (Amazon S3)-Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) – oder indem Sie einem Prinzipal erlauben, eine IAM-Rolle in einem anderen Konto anzunehmen. Prüfen Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff nur autorisierten Prinzipalen gewährt ist. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen.
[AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) verwendet [belegbare Sicherheit](https://aws.amazon.com/security/provable-security/), um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Es überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Erwägen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations, um die Transparenz aller Ihrer Konten sicherzustellen. IAM Access Analyzer ermöglicht Ihnen auch die [Voranzeige der Ergebnisse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html) vor der Bereitstellung von Ressourcenberechtigungen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Beim Entwurf des Mehrkonten-Zugriffs können Sie mit [Vertrauensrichtlinien](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) steuern, in welchen Fällen eine Rolle angenommen werden kann. So können Sie etwa den Bedingungsschlüssel [`PrincipalOrgId` verwenden, um den Versuch, eine Rolle von außerhalb Ihrer AWS Organizations anzunehmen, abzulehnen.](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
[AWS Config kann Ressourcen melden](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html), die nicht korrekt konfiguriert sind, und über AWS Config-Richtlinienprüfungen Ressourcen erkennen, für die der öffentliche Zugriff konfiguriert ist. Services wie [AWS Control Tower](https://aws.amazon.com/controltower/) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) vereinfachen die Bereitstellung von Prüfungen und Integritätsschutz über AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. Beispielsweise verfügt AWS Control Tower über verwalteten Integritätsschutz, der erkennen kann, ob [Amazon EBS-Snapshots von AWS-Konten wiederhergestellt werden können.](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
**Implementierungsschritte**
+ **Erwägen Sie die Aktivierung von [AWS Config für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html):** AWS Config ermöglicht die Aggregierung von Ergebnissen mehrerer Konten in einer AWS Organizations zu einem delegierten Administratorkonto. Dies sorgt für eine umfassende Sicht und ermöglicht die [Bereitstellung von AWS-Config-Regeln über mehrere Konten hinweg, um öffentlich zugängliche Ressourcen zu erkennen](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html).
+ **Konfiguration von AWS Identity and Access Management Access Analyzer:** IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon S3-Buckets oder IAM-Rollen, die [mit einer externen Entität geteilt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).
+ **Verwenden Sie die automatische Korrektur in AWS Config, um auf Änderungen in der Konfiguration des öffentlichen Zugriffs auf Amazon S3-Buckets reagieren zu können:** [Sie können die Einstellungen zur Blockierung des öffentlichen Zugriffs für Amazon S3-Buckets automatisch erneut aktivieren](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/).
+ **Implementierung von Überwachung und Benachrichtigung, wenn Amazon S3-Buckets öffentlich zugänglich werden:** Sie müssen über [Überwachungs- und Benachrichtigungsmechanismen](https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/) verfügen, um zu erkennen, wenn Amazon S3 Block Public Access deaktiviert ist, und wenn Amazon S3-Buckets öffentlich zugänglich werden. Dazu können Sie bei Verwendung von AWS Organizations eine [Servicekontrollrichtlinie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) erstellen, die Änderungen an Amazon S3-Richtlinien für den öffentlichen Zugriff verhindern. AWS Trusted Advisor prüft auf Amazon S3-Buckets, die Open-Access-Berechtigungen haben. Bucket-Berechtigungen, die allen Benutzern den Zugriff zum Hochladen/Löschen einräumen, bergen ein hohes Potenzial für Sicherheitsrisiken, da alle Personen Elemente in einem Bucket hinzufügen, ändern oder löschen können. Die Prüfung von Trusted Advisor untersucht explizite Bucket-Berechtigungen und zugeordnete Bucket-Richtlinien, die die Bucket-Berechtigungen möglicherweise überschreiben. Sie können auch mit AWS Config Ihre Amazon S3-Buckets für den öffentlichen Zugriff überwachen. Für weitere Informationen vgl. [Verwendung von AWS Config zur Überwachung und Reaktion auf Amazon S3-Buckets mit öffentlicher Zugänglichkeit](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/). Bei der Prüfung der Zugänglichkeit ist es wichtig, zu berücksichtigen, welche Art von Daten Amazon S3-Buckets enthalten. [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) hilft dabei, sensitive Daten wie etwa PII, PHI und Anmeldeinformationen wie private oder AWS-Schlüssel zu erkennen und zu schützen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Verwendung von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [AWS Control Tower Controls Library ](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html)
+ [AWS Foundational Security Best Practices Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [Prüfungsreferenz von AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
+ [ Monitoring AWS Trusted Advisor check results with Amazon EventBridge ](https://docs.aws.amazon.com/awssupport/latest/user/cloudwatch-events-ta.html) (Überwachen der Prüfergebnisse von AWS Trusted Advisor mit Amazon EventBridge)
+ [ Managing AWS Config Rules Across All Accounts in Your Organization ](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) (Verwaltung von AWS Config-Regeln für alle Konten in Ihrer Organisation)
+ [AWS Config und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)
**Zugehörige Videos:**
+ [Best Practices for securing your multi-account environment](https://www.youtube.com/watch?v=ip5sn3z5FNg)(Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung)
+ [Dive Deep into IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0) (Tiefer Einblick in IAM Access Analyzer)
# SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation
Wenn die Anzahl der Workloads zunimmt, müssen Sie möglicherweise den Zugriff auf Ressourcen in diesen Workloads ausweiten oder diese Ressourcen mehrfach über mehrere Konten hinweg zugänglich machen. Möglicherweise haben Sie Konstrukte zur Untergliederung Ihrer Umgebung, etwa für Entwicklungs-, Test- und Produktionsumgebungen. Solche Trennungskonstrukte schränken Sie jedoch nicht in der Lage ein, sicher zu teilen. Durch die gemeinsame Nutzung sich überschneidender Ressourcen können Sie übermäßigen betrieblichen Aufwand reduzieren und eine konsistente Umgebung schaffen, ohne dass Sie raten müssen, was Sie vielleicht versäumt haben, wenn Sie eine Ressource mehrmals erstellen.
**Gewünschtes Ergebnis:** Minimierung unbeabsichtigter Zugriffe durch Verwendung sicherer Verfahren für die Freigabe von Ressourcen innerhalb Ihrer Organisation und die Unterstützung Ihrer Initiative zur Verhinderung von Datenverlusten. Reduzieren Sie Ihren organisatorischen Aufwand gegenüber der Verwaltung einzelner Komponenten, senken Sie die Zahl von Fehlern durch das manuelle mehrmalige Erstellen identischer Ressourcen, und steigern Sie die Skalierbarkeit Ihrer Workloads. Sie können von kürzeren Lösungszeiten in Szenarien mit mehreren Fehlerpunkten profitieren und Ihr Vertrauen in die Bestimmung erhöhen, wann eine Komponente nicht mehr benötigt wird. Anleitungen zur Analyse extern freigegebener Ressourcen finden Sie unter [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md).
**Typische Anti-Muster:**
+ Fehlen eines Prozesses für die kontinuierliche Überwachung und die automatische Benachrichtigung bei unerwarteten externen Freigaben
+ Fehlen einer Basislinie dazu, was freigegeben werden sollte und was nicht
+ die standardmäßige Verwendung einer sehr offenen Richtlinie, anstatt Ressourcen explizit freizugeben, wenn sie benötigt werden
+ manuelle Erstellung grundlegender Ressourcen bei Bedarf, die sich überlappen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Gestalten Sie Ihre Zugriffskontrollen und -muster so, dass die Nutzung freigegebener Ressourcen kontrolliert wird und nur mit vertrauenswürdigen Entitäten möglich ist. Überwachen Sie freigegebene Ressourcen, prüfen Sie kontinuierlich den Zugriff darauf und erhalten Sie Benachrichtigungen bei unangemessenen oder unerwarteten Freigaben. Lesen Sie [Analysieren öffentlicher und kontoübergreifender Zugriffe](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html), um Richtlinien einzurichten, die externe Zugriffe auf die Ressourcen beschränken, für die dies erforderlich ist, und um einen Prozess zur kontinuierlichen Überwachung und Benachrichtigung einzurichten.
Die kontoübergreifende Freigabe innerhalb von AWS Organizations wird von [einer Reihe von AWS-Services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) unterstützt, wie etwa [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) und [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html). Diese Services ermöglichen die Freigabe von Daten für ein zentrales Konto, ihre Zugänglichkeit von einem zentralen Konto aus sowie die Verwaltung von Ressourcen und Daten von einem zentralen Konto aus. Beispielsweise kann AWS Security Hub CSPM Ergebnisse von einzelnen Konten auf ein zentrales Konto übertragen, wo Sie alle Ergebnisse einsehen können. AWS Backup kann eine Sicherungskopie einer Ressource kontoübergreifend freigeben. Sie können mit [AWS Resource Access Manager](https://aws.amazon.com/ram/) (AWS RAM) weitere verbreitete Ressourcen freigeben, wie etwa [VPC-Subnetze und Transit Gateway-Anhänge](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall) oder [Amazon SageMaker AI-Pipelines.](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker)
Um Ihr Konto darauf zu beschränken, Ressourcen nur innerhalb Ihrer Organisation freizugeben, verwenden Sie [Service Control Policies (SCPs, Service-Kontrollrichtlinien)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html), um den Zugriff auf externe Prinzipale zu verhindern. Kombinieren Sie bei der Freigabe von Ressourcen identitätsbasierte Kontrollen und Netzwerk-Kontrollen zur [Erstellung eines Datenperimeters für Ihre Organisation](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) zum Schutz gegen unbeabsichtigte Zugriffe. Ein Datenperimeter ist ein Satz von präventiven Maßnahmen zum Integritätsschutz, die dabei helfen, sicherzustellen, dass nur vertrauenswürdige Identitäten aus erwarteten Netzwerken auf vertrauenswürdige Ressourcen zugreifen. Diese Kontrollen begrenzen, welche Ressourcen gemeinsam genutzt werden, und verhindern die gemeinsame Nutzung oder Offenlegung von Ressourcen, die nicht zugelassen werden sollten. So können Sie Beispielsweise als Teil ihres Datenperimeters VPC-Endpunktrichtlinien und die Bedingung ` AWS:OrincipalOrgID` verwenden, um sicherzustellen, dass die auf Ihre Amazon S3-Buckets zugreifenden Identitäten zu Ihrer Organisation gehören. Es ist wichtig zu wissen, dass [SCPs nicht für serviceverknüpfte Rollen (LSR) oder AWS-Service-Prinzipale gelten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
Bei Verwendung von Amazon S3 sollten Sie [ACLs für Ihren Amazon S3-Bucket deaktivieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) und IAM-Richtlinien für die Einrichtung der Zugriffskontrollen verwenden. Für die [Einschränkung des Zugriffs auf einen Amazon S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) von [Amazon CloudFront](https://aws.amazon.com/cloudfront/) aus migrieren Sie von der Ursprungszugriffsidentität (OAI) zur Ursprungszugriffssteuerung (OAC), die zusätzliche Funktionen wie beispielsweise die serverseitige Verschlüsselung mit [AWS Key Management Service](https://aws.amazon.com/kms/) unterstützt.
In manchen Fällen möchten Sie möglicherweise die Freigabe von Ressourcen außerhalb Ihrer Organisation zulassen oder einer Drittpartei den Zugriff auf Ihre Ressourcen gewähren. Präskriptive Anleitungen zur Verwaltung von Berechtigungen für die externe Freigabe von Ressourcen finden Sie unter[Berechtigungsmanagement](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html).
**Implementierungsschritte**
1. **Nutzen Sie AWS Organizations.**
AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten zu einer zentral erstellten und verwalteten Organisation konsolidieren können. Sie können Ihre Konten in Organisationseinheiten (OUs) gruppieren und jeder OU unterschiedliche Richtlinien zuweisen, um Ihre Budget-, Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie können auch steuern, wie AWS-Services für künstliche Intelligenz (KI) und Machine Learning (ML) Daten erfassen und speichern können, und die Mehrkonten-Verwaltung der mit Organizations integrierten AWS-Services verwenden.
1. **Integrieren Sie AWS Organizations mit AWS-Services.**
Wenn Sie einen AWS-Service zur Ausführung von Aufgaben in Ihrem Namen in den Mitgliedskonten Ihrer Organisation aktivieren, erstellt AWS Organizations eine serviceverknüpfte IAM-Rolle für den jeweiligen Service in jedem Mitgliedskonto. Sie sollten den vertrauenswürdigen Zugriff mit der AWS-Managementkonsole, den AWS-APIs oder der AWS CLI verwalten. Präskriptive Anleitungen zur Einrichtung vertrauenswürdigen Zugangs finden Sie unter [Verwendung von AWS Organizations mit anderen AWS-Services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) und unter [AWS-Services, die Sie mit Organizations verwenden können](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. **Richten Sie einen Datenperimeter ein.**
Der AWS-Perimeter wird typischerweise als von AWS Organizations verwaltete Organisation repräsentiert. Zusammen mit On-Premises-Netzwerken und -Systemen ist der Zugriff auf AWS-Ressourcen das, was viele als den Perimeter von My AWS bezeichnen. Das Ziel des Perimeters besteht darin, zu überprüfen, ob der Zugriff erlaubt ist, wenn die Identität und die Ressource vertrauenswürdig sind und es sich um ein erwartetes Netzwerk handelt.
1. Definieren und implementieren Sie die Perimeter.
Befolgen Sie die Schritte unter [Perimeter-Implementierung](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html) im Whitepaper zum Thema „Aufbau eines Perimeters in AWS“ für jede Autorisierungsbedingung. Eine präskriptive Anleitung zum Schutz von Netzwerkebenen finden Sie unter [Schutz von Netzwerken](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html).
1. Sorgen Sie für kontinuierliche Überwachung und Benachrichtigung.
[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) hilft bei der Identifizierung von Ressourcen in Ihrer Organisation und in Konten, die gemeinsam mit externen Entitäten genutzt werden. Sie können [IAM Access Analyzer mit AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) integrieren, um Ergebnisse für eine Ressource von IAM Access Analyzer zu Security Hub CSPM zu senden und zu aggregieren und so die Sicherheitssituation ihrer Umgebung zu analysieren. Aktivieren Sie für die Integration IAM Access Analyzer und Security Hub CSPM in jeder Region und in jedem Konto. Sie können auch mit AWS-Config-Regeln die Konfiguration prüfen und die jeweilige Partei mit [Amazon Q Developer in chat applications mit AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/enabling-aws-security-hub-integration-with-aws-chatbot/) benachrichtigen. Anschließend können Sie mit [Automatisierungsdokumenten von AWS Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) nicht-konforme Ressourcen reparieren.
1. Präskriptive Anleitungen zur Überwachung und kontinuierlichen Beratung zu extern freigegebenen Ressourcen finden Sie unter [Analyse des öffentlichen und kontoübergreifenden Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html).
1. **Verwenden Sie die Ressourcenfreigabe in AWS-Services, und sorgen Sie für entsprechende Einschränkungen.**
Viele AWS-Services erlauben die Freigabe von Ressourcen für ein anderes Konto oder die Ausrichtung auf eine Ressource in einem anderen Konto, wie etwa [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) und [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html). Schränken Sie die `ModifyImageAttribute`-API auf die Angabe der vertrauenswürdigen Konten für die Freigabe des AMI ein. Geben Sie die Bedingung `ram:RequestedAllowsExternalPrincipals` bei Verwendung von AWS RAM an, um die Freigabe auf Ihre Organisation zu beschränken und Zugriffe von nicht vertrauenswürdigen Entitäten zu verhindern. Präskriptive Anleitungen und Überlegungen dazu finden Sie unter [Ressourcenfreigabe und externe Ziele](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html).
1. **Verwenden Sie AWS RAM für sichere Freigaben in einem Konto oder mit anderen AWS-Konten.**
[AWS RAM](https://aws.amazon.com/ram/) hilft bei der sicheren Freigabe der Ressourcen, die Sie erstellt haben, mit Rollen und Benutzern in Ihrem Konto sowie mit anderen AWS-Konten. In einer Mehrkonten-Umgebung ermöglicht AWS RAM die einmalige Erstellung einer Ressource und ihre Freigabe für andere Konten. Dies reduziert Ihren operationalen Aufwand und sorgt für Konsistenz, Transparenz und Prüfbarkeit durch Integrationen mit Amazon CloudWatch und AWS CloudTrail, die bei Verwendung eines kontoübergreifenden Zugriffs nicht möglich sind.
Wenn Sie Ressourcen bereits mit einer ressourcenbasierten Richtlinie freigegeben haben, können Sie mit der [`PromoteResourceShareCreatedFromPolicy`-API](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) oder einem Äquivalent die Ressourcenfreigabe zu einer vollständigen AWS RAM-Ressourcenfreigabe erhöhen.
In manchen Fällen müssen Sie möglicherweise weitere Schritte unternehmen, um Ressourcen freizugeben. So müssen Sie etwa für die Freigabe eines verschlüsselten Snapshots [einen AWS KMS-Schlüssel freigeben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-kms-key).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten](sec_permissions_share_securely_third_party.md)
+ [SEC05-BP01 Erstellen von Netzwerkebenen](sec_network_protection_create_layers.md)
**Zugehörige Dokumente:**
+ [Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Verwendung von Vertrauensrichtlinien mit IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Erstellen von Datenperimetern auf AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [AWS-Services, die Sie mit AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) verwenden können
+ [Einrichten eines Datenperimeters auf AWS: Zulassen ausschließlich vertrauenswürdiger Identitäten für den Zugriff auf Unternehmensdaten ](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)
**Zugehörige Videos:**
+ [Granular Access with AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s) (Granulärer Zugriff mit AWS Resource Access Manager)
+ [Securing your data perimeter with VPC endpoints](https://www.youtube.com/watch?v=iu0-o6hiPpI) (Schutz Ihres Datenperimeters mit VPC-Endpunkten)
+ [ Establishing a data perimeter onAWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)(Einrichten eines Datenperimeters auf AWS)
**Zugehörige Tools:**
+ [ Beispiele für eine Datenperimeterrichtlinie ](https://github.com/aws-samples/data-perimeter-policy-examples)
# SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten
Die Sicherheit Ihrer Cloud-Umgebung endet nicht bei Ihrer Organisation. Möglicherweise stützt sich Ihre Organisation auf eine Drittpartei, um einen Teil Ihrer Daten zu verwalten. Das Berechtigungsmanagement für das von Dritten verwaltete System sollte dem Prinzip des Just-in-time-Zugriffs und dem der geringsten Berechtigung mit temporären Anmeldeinformationen folgen. Durch die enge Zusammenarbeit mit einer Drittpartei können Sie die möglichen Auswirkungen und das Risiko unbeabsichtigter Zugriffe gemeinsam senken.
**Gewünschtes Ergebnis:** Langfristige AWS Identity and Access Management (IAM)-Anmeldeinformationen, IAM-Zugriffsschlüssel und geheime Schlüssel, die einem Benutzer zugeordnet sind, können von allen verwendet werden, sofern sie gültig und aktiv sind. Die Verwendung einer IAM-Rolle und temporärer Anmeldeinformationen hilft bei der Verbesserung Ihrer allgemeinen Sicherheitsposition durch Reduzierung des Aufwands für die Verwaltung langfristiger Anmeldeinformationen und des operationalen Overheads dieser sensiblen Details. Durch die Verwendung einer universell eindeutigen Kennung (UUID) für die externe ID in der IAM-Vertrauensrichtlinie und die Anbindung der IAM-Richtlinien an die IAM-Rolle unter Ihrer Kontrolle können Sie prüfen und sicherstellen, dass der der Drittpartei gewährte Zugriff nicht zu umfangreich ist. Anleitungen zur Analyse extern freigegebener Ressourcen finden Sie unter [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md).
**Typische Anti-Muster:**
+ Verwendung der Standard-IAM-Vertrauensrichtlinie ohne Bedingungen
+ Verwenden langfristiger IAM-Anmeldeinformationen und Zugriffsschlüssel
+ Wiederverwendung externer IDs
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Möglicherweise möchten Sie die Freigabe von Ressourcen außerhalb von AWS Organizations zulassen oder einer Drittpartei den Zugriff auf Ihr Konto gewähren. So könnte etwa eine Drittpartei eine Überwachungslösung bereitstellen, die auf Ressourcen in Ihrem Konto zugreifen muss. In solchen Fällen sollten Sie eine kontoübergreifende IAM-Rolle erstellen, die nur über die von der Drittpartei benötigten Berechtigungen verfügt. Definieren Sie dazu eine Vertrauensrichtlinie mit der [externen ID-Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Wenn eine externe ID verwendet wird, können Sie oder die Drittpartei eine eindeutige ID für jede(n) Kunden, Drittpartei oder Tenancy generieren. Die eindeutige ID sollte nach ihrer Erstellung ausschließlich von Ihnen kontrolliert werden. Die Drittpartei muss einen Prozess implementieren, durch den die externe ID in sicherer, prüfbarer und reproduzierbarer Weise dem Kunden zugeordnet wird.
Sie können auch [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden, um IAM-Rollen für Anwendungen außerhalb von AWS zu verwalten, die AWS-APIs verwenden.
Wenn die Drittpartei keinen Zugriff mehr auf Ihre Umgebung benötigt, entfernen Sie die Rolle. Vermeiden Sie die Weitergabe langfristiger Anmeldeinformationen an Dritte. Achten Sie auf andere AWS-Services, die die Freigabe unterstützen. Beispielsweise erlaubt AWS Well-Architected Tool [die Freigabe eines Workloads](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) für andere AWS-Konten, und [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen bei der sicheren Freigabe einer AWS-Ressource, deren Eigentümer Sie sind, für andere Konten.
**Implementierungsschritte**
1. **Verwenden Sie kontoübergreifende Rollen, um Zugriff auf externe Konten zu gewähren.**
[Kontoübergreifende Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) reduzieren den Umfang sensibler Informationen, die von externen Konten und Drittparteien für deren Kunden gespeichert werden. Kontoübergreifende Rollen ermöglichen die sichere Gewährung des Zugriffes auf AWS-Ressourcen in Ihrem Konto für Drittparteien wie etwa AWS Partners oder andere Konten in Ihrer Organisation, bei gleichzeitiger Wahrung der Möglichkeit, diesen Zugriff zu verwalten und zu überprüfen.
Möglicherweise stellt Ihnen die Drittpartei Dienstleistungen aus einer hybriden Infrastruktur heraus bereit oder ruft Daten zu einem anderen Standort ab. [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) hilft Ihnen bei der Aktivierung von Workloads Dritter zur sicheren Interaktion mit Ihren AWS-Workloads und zur weiteren Reduzierung der Erfordernis langfristiger Anmeldeinformationen.
Sie sollten keine langfristigen Anmeldeinformationen oder mit Benutzern verbundene Zugriffsschlüssel für die externe Gewährung des Zugriffs auf Konten verwenden. Verwenden Sie stattdessen kontoübergreifende Rollen, um kontoübergreifenden Zugriff zu gewähren.
1. **Verwenden Sie eine externe ID mit Drittparteien.**
Die Verwendung einer [externen ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) ermöglicht Ihnen, in einer IAM-Vertrauensrichtlinie festzulegen, wer eine Rolle annehmen kann. Die Vertrauensrichtlinie kann verlangen, dass der Benutzer, der die Rolle annimmt, die Bedingung und das Ziel seiner Aktivität bestätigt. Sie bietet dem Kontoinhaber auch die Möglichkeit, die anzunehmende Rolle nur unter bestimmten Umständen zuzulassen. Die primäre Funktion der externen ID besteht darin, das [Confused-Deputy](https://docs.aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/)-Problem anzugehen und zu verhindern.
Verwenden Sie eine externe ID, wenn Sie AWS-Konto-Eigentümer sind und eine Rolle für eine Drittpartei konfiguriert haben, die neben Ihrem auf andere AWS-Konten zugreift, oder wenn Sie Rollen für verschiedene Kunden annehmen. Arbeiten Sie zusammen mit der Drittpartei oder AWS Partner an der Einrichtung einer externen ID-Bedingung für die IAM-Vertrauensrichtlinie.
1. **Verwenden Sie universell eindeutige externe IDs.**
Implementieren Sie einen Prozess, der für externe IDs zufällige und eindeutige Werte generiert, etwa eine universell eindeutige Kennung (UUID). Eine Drittpartei, die externe IDs für verschiedene Kunden wiederverwendet, behebt das Confused-Deputy-Problem nicht, da Kunde A möglicherweise unter Verwendung des Rollen-ARN von Kunde B zusammen mit der duplizierten externen ID die Daten von Kunde B einsehen kann. In einer Multi-Tenant-Umgebung, in der eine Drittpartei mehrere Kunden mit verschiedenen AWS-Konten unterstützt, muss die Drittpartei eine andere eindeutige ID als die externe ID für jedes AWS-Konto verwenden. Die Drittpartei ist für das Erkennen doppelter externer IDs und die sichere Zuordnung jedes Kunden zur entsprechenden externen ID verantwortlich. Die Drittpartei muss durch Testen sicherstellen, dass sie die Rolle nur annehmen kann, wenn die externe ID angegeben wird. Die Drittpartei sollte den ARN der Kundenrolle und die externe ID nicht speichern, bis die externe ID benötigt wird.
Die externe ID wird nicht als Secret behandelt, ihr Wert darf aber nicht leicht zu erraten sein wie etwa eine Telefonnummer, ein Name oder eine Konto-ID. Machen Sie die externe ID zu einem schreibgeschützten Feld, damit sie nicht für illegitime Einrichtungen geändert werden kann.
Sie oder die Drittpartei können/kann die externe ID generieren. Richten Sie einen Prozess ein, um festzulegen, wer für die Generierung der ID verantwortlich ist. Unabhängig von der Entität, die die externe ID erstellt, setzt die Drittpartei Eindeutigkeit und Formate in konsistenter Weise für alle Kunden durch.
1. **Nehmen Sie von Kunden bereitgestellte langfristige Anmeldeinformationen außer Betrieb.**
Beenden Sie die Verwendung langfristiger Anmeldeinformationen, und verwenden Sie kontoübergreifende Rollen oder IAM Roles Anywhere. Wenn Sie langfristige Anmeldeinformationen verwendet müssen, formulieren Sie einen Plan für die Migration rollenbasierter Zugriffe. Einzelheiten zur Verwaltung von Schlüsseln finden Sie unter[Identitätsmanagement](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html). Arbeiten Sie auch mit Ihrem AWS-Konto-Team und der Drittpartei daran, ein Runbook zur Risikodämpfung zu erstellen. Präskriptive Anleitungen zur Reaktion auf mögliche Auswirkungen von Sicherheitsvorfällen finden Sie unter [Vorfallbehandlung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html).
1. **Prüfen Sie, ob die Einrichtung über präskriptive Anleitungen verfügt oder automatisiert ist.**
Die für den kontoübergreifenden Zugriff in Ihren Konten erstellte Richtlinie muss dem [Prinzip der geringsten Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) folgen. Die Drittpartei muss ein Rollenrichtliniendokument oder einen automatisierten Einrichtungsmechanismus bereitstellen, der eine AWS CloudFormation-Vorlage oder ein Äquivalent verwendet. Dies reduziert die Gefahr von Fehlern durch die manuelle Erstellung von Richtlinien und bietet einen Überwachungspfad. Weitere Informationen zur Verwendung einer CloudFormation-Vorlage für die Erstellung kontoübergreifender Rollen finden Sie unter [Kontoübergreifende Rollen](https://aws.amazon.com/blogs/apn/tag/cross-account-roles/).
Die Drittpartei muss einen automatisierten und prüfbaren Einrichtungsmechanismus bereitstellen. Sie sollten jedoch die Einrichtung der Rolle automatisieren, indem Sie das Rollenrichtliniendokument verwenden, das den erforderlichen Zugriff angibt. Sie sollten mit der CloudFormation-Vorlage oder einem Äquivalent Änderungen überwachen, mit besonderem Augenmerk auf „Drift Detection“.
1. **Berücksichtigen Sie Änderungen.**
Ihre Kontostruktur und Ihr Bedarf an einer Drittpartei bzw. deren Serviceangebots können sich über Nacht ändern. Sie sollten Änderungen und Ausfälle antizipieren und mit den richtigen Personen, Prozessen und Technologielösungen entsprechend planen. Prüfen Sie regelmäßig das von Ihnen bereitgestellte Zugriffsniveau und implementieren Sie Erkennungsverfahren, die Sie auf unerwartete Änderungen aufmerksam machen. Überwachen und prüfen Sie die Verwendung der externen Rolle und den Datenspeicher der externen IDs. Sie sollten darauf vorbereitet sein, den Zugriff der Drittpartei temporär oder dauerhaft zu widerrufen, wenn sich unerwartete Änderungen oder Zugriffsmuster ergeben. Messen Sie auch die Auswirkungen Ihrer Widerrufaktion, einschließlich der dafür benötigten Zeit, der involvierten Personen, der Kosten und der Auswirkungen auf andere Ressourcen.
Präskriptive Anleitungen zu Erkennungsverfahren finden Sie unter [Bewährte Erkennungsmethoden](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [ SEC04 Detection ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Zugehörige Dokumente:**
+ [Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Verwendung von Vertrauensrichtlinien mit IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)
+ [Wie greife ich mit IAM auf Ressourcen in einem anderen AWS-Konto zu?](https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-iam/)
+ [ Bewährte Sicherheitsmethoden in IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [ Logik für die kontenübergreifende Richtlinienauswertung ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)
+ [Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [ Collecting Information from AWS CloudFormation Resources Created in External Accounts with Custom Resources ](https://aws.amazon.com/blogs/apn/collecting-information-from-aws-cloudformation-resources-created-in-external-accounts-with-custom-resources/)(Erfassen von Informationen von in externen Konten mit benutzerdefinierten Ressourcen erstellten AWS-CloudFormation-Ressourcen)
+ [Securely Using External ID for Accessing AWS Accounts Owned by Others ](https://aws.amazon.com/blogs/apn/securely-using-external-id-for-accessing-aws-accounts-owned-by-others/)(Sichere Verwendung einer externen ID für den Zugriff auf AWS-Konten, die anderen gehören)
+ [ Extend IAM roles to workloads outside of IAM with IAM Roles Anywhere ](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/)(Erweitern von IAM-Rollen auf Workloads außerhalb von IAM mit IAM Roles Anywhere)
**Zugehörige Videos:**
+ [ How do I allow users or roles in a separate AWS-Konto access to my AWS-Konto? ](https://www.youtube.com/watch?v=20tr9gUY4i0) (Wie gewähre ich Benutzern oder Rollen in einem separaten AWS-Konto Zugriff auf mein AWS-Konto?)
+ [AWS re:Invent 2018: Become an IAM Policy Master in 60 Minutes or Less ](https://www.youtube.com/watch?v=YQsK4MtsELU) (AWS re:Invent 2018: Werden Sie in höchstens 60 Minuten zum IAM-Richtlinienexperten)
+ [AWS Knowledge Center Live: IAM Best Practices and Design Decisions ](https://www.youtube.com/watch?v=xzDFPIQy4Ks) (AWS Knowledge Center Live: Bewährte IAM-Methoden und -Entwurfsentscheidungen)
**Zugehörige Beispiele:**
+ [ Well-Architected Lab - Lambda cross account IAM role assumption (Level 300) ](https://www.wellarchitectedlabs.com/security/300_labs/300_lambda_cross_account_iam_role_assumption/) (Well-Architected Lab – Lambda-kontoübergreifende IAM-Rollenannahme)
+ [ Configure cross-account access to Amazon DynamoDB ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-cross-account-access-to-amazon-dynamodb.html) (Konfigurieren des kontoübergreifenden Zugriffs auf Amazon DynamoDB)
+ [AWS STS Network Query Tool ](https://github.com/aws-samples/aws-sts-network-query-tool)
# Erkennung
**Topics**
+ [SEC 4. Wie erkennen und untersuchen Sie Sicherheitsereignisse?](sec-04.md)
# SEC 4. Wie erkennen und untersuchen Sie Sicherheitsereignisse?
Erfassen und analysieren Sie Ereignisse mithilfe von Protokollen und Kennzahlen, um Einblick zu erhalten. Ergreifen Sie Maßnahmen bei Sicherheitsereignissen und potenziellen Bedrohungen, um Ihren Workload zu schützen.
**Topics**
+ [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automatisierte Reaktion auf Ereignisse](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementieren von umsetzbaren Sicherheitsereignissen:](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung
Bewahren Sie Protokolle zu Sicherheitsereignissen von Services und Anwendungen auf. Dies ist ein grundlegendes Sicherheitsprinzip für Prüfungs-, Untersuchungs- und betriebliche Anwendungsfälle und eine übliche Sicherheitsanforderung gemäß Governance-, Risiko- und Compliance (GRC)-Standards, -Richtlinien und -Prozeduren.
**Gewünschtes Ergebnis:** Eine Organisation sollte in der Lage sein, Sicherheitsereignisprotokolle in zuverlässiger und konsistenter Weise sowie zeitnah aus AWS-Services und -Anwendungen abzurufen, wenn diese für einen internen Prozess oder eine Verpflichtung wie etwa die Reaktion auf einen Sicherheitsvorfall benötigt werden. Erwägen Sie die Zentralisierung von Protokollen für bessere betriebliche Ergebnisse.
**Typische Anti-Muster:**
+ Protokolle werden dauerhaft gespeichert oder zu früh gelöscht.
+ jeder kann auf die Protokolle zugreifen.
+ Nutzung ausschließlich manueller Prozesse für die Verwaltung und Verwendung von Protokollen
+ Speichern aller Arten von Protokollen nur für den Fall, dass sie benötigt werden
+ Prüfung der Protokollintegrität nur bei Bedarf
**Vorteile der Nutzung dieser bewährten Methode:** Implementieren Sie einen Mechanismus für die Ursachenanalyse (RCA) für Sicherheitsvorfälle sowie eine Evidenzquelle für Ihre Governance-, Risiko- und Compliance-Anforderungen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Bei einer Sicherheitsuntersuchung oder in anderen bedarfsabhängigen Anwendungsfällen müssen Sie relevante Protokolle konsultieren können, um alle Aspekte und den Zeitrahmen des Vorfalls zu verstehen. Protokolle werden auch für die Generierung von Alarmen benötigt, die darauf hinweisen, dass bestimmte Ereignisse vorgekommen sind. Es ist sehr wichtig, Abfrage-, Abruf- sowie Benachrichtigungsmechanismen auszuwählen, zu aktivieren, zu speichern und einzurichten.
**Implementierungsschritte**
+ **Wählen und aktivieren Sie Protokollquellen.** Vor einer Sicherheitsuntersuchung müssen Sie relevante Protokolle erfassen, um die Aktivitäten in einem AWS-Konto retroaktiv rekonstruieren zu können. Wählen und aktivieren Sie für Ihre Workloads relevante Protokollquellen.
Die Kriterien für die Auswahl der Protokollquelle sollten auf den Anwendungsfällen Ihres Unternehmens basieren. Richten Sie einen Trail für jedes AWS-Konto mit AWS CloudTrail oder einen AWS Organizations-Trail ein, und konfigurieren Sie dafür einen Amazon S3-Bucket.
AWS CloudTrail ist ein Protokollservice, der API-Aufrufe an ein AWS-Konto verfolgt und AWS-Serviceaktivitäten erfasst. Dieser ist standardmäßig mit einer 90-tägigen Aufbewahrung von Managementereignissen aktiviert, die [über den CloudTrail-Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) mit der AWS-Managementkonsole, der AWS CLI oder einem AWS-SDK abgerufen werden können. Für längere Aufbewahrungszeiten und Abrufbarkeit von Datenereignissen [erstellen Sie einen CloudTrail-Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und verbinden diesen mit einem Amazon S3-Bucket sowie optional mit einer Amazon CloudWatch-Protokollgruppe. Sie können auch einen [CloudTrail-Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) erstellen, der CloudTrail-Protokolle bis zu sieben Jahre lang aufbewahrt und eine SQL-basierte Abfragemöglichkeit bietet.
AWS empfiehlt, dass Kunden, die eine VPC nutzen, Netzwerkdatenverkehr- und DNS-Protokolle mit [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) und [Amazon Route 53 Resolver Query Logs](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) einrichten und diese per Stream zu einem Amazon S3-Bucket oder einer CloudWatch-Protokollgruppe leiten. Sie können ein VPC-Flow-Protokoll für eine VPC, ein Subnetz oder eine Netzwerkschnittstelle erstellen. Für VPC-Flow-Protokolle können Sie wählen, wie und wo Flow-Protokolle verwendet werden sollen, um Kosten zu sparen.
AWS CloudTrail-Protokolle, VPC-Flow-Protokolle und Route 53 Resolver Query Logs sind die grundlegenden Protokollquellen zur Unterstützung von Sicherheitsuntersuchungen in AWS. Sie können auch [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) verwenden, um diese Protokolldaten zu erfassen, zu normalisieren und im Apache Parquet-Format und mit dem Open Cybersecurity Schema Framework (OCSF) zu speichern, das Abfragen ermöglicht. Security Lake unterstützt auch andere AWS-Protokolle sowie Protokolle aus Drittquellen.
AWS-Services können Protokolle generieren, die von den grundlegenden Protokollquellen nicht erfasst werden, wie etwa Protokolle von Elastic Load Balancing, AWS WAF-Protokolle, Recorder-Protokolle von AWS Config, Amazon GuardDuty-Ergebnisse, Amazon Elastic Kubernetes Service (Amazon EKS)-Prüfprotokolle sowie Instance-Betriebssystem- und Anwendungsprotokolle von Amazon EC2. Eine vollständige Liste von Protokoll- und Überwachungslösungen finden Sie unter [Anhang A: Cloud Capability-Definitionen – Protokollierung und Ereignisse](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) in der [Anleitung zur Reaktion auf AWS-Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html).
+ **Untersuchen Sie die Protokollierungsmöglichkeiten für jede(n) AWS-Service und -Anwendung:** Jede(r) AWS-Service und -Anwendung bietet Optionen für die Speicherung von Protokollen, jeweils mit eigenen Aufbewahrungs- und Lebenszyklus-Funktionen. Die beiden verbreitetsten Protokollspeicherservices sind Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch. Für lange Aufbewahrungszeiten wird die Verwendung von Amazon S3 empfohlen, wegen seiner Kosteneffektivität und der flexiblen Lebenszyklus-Funktionen. Wenn die primäre Protokollierungsoption Amazon CloudWatch-Protokolle sind, sollten Sie erwägen, weniger häufig benötigte Protokolle in Amazon S3 zu archivieren.
+ **Wählen Sie den Protokollspeicher:** Die Wahl des Protokollspeichers hängt generell vom verwendeten Abfragetool, den Aufbewahrungsfunktionen, der Vertrautheit damit und den Kosten ab. Die wichtigsten Optionen für die Protokollspeicherung sind ein Amazon S3-Bucket oder eine CloudWatch-Protokollgruppe.
Ein Amazon S3-Bucket bietet kosteneffektiven und dauerhaften Speicher mit optionaler Lebenszyklusrichtlinie. In Amazon S3-Buckets gespeicherte Protokolle können mit Services wie Amazon Athena abgefragt werden.
Eine CloudWatch-Protokollgruppe bietet dauerhaften Speicher und eine integrierte Abfragemöglichkeit über CloudWatch Logs Insights.
+ **Legen Sie die benötigte Aufbewahrungszeit für Protokolle fest:** Wenn Sie einen Amazon S3-Bucket oder eine CloudWatch-Protokollgruppe für die Speicherung von Protokollen verwenden, müssen Sie adäquate Lebenszyklen für jede Protokollquelle einrichten, um Speicher- und Abrufkosten zu optimieren. Normalerweise haben Kunden Protokolle zwischen drei Monaten bis einem Jahr für Abfragen verfügbar, bei einer Gesamtaufbewahrungszeit von bis zu sieben Jahren. Die Wahl von Verfügbarkeit und Aufbewahrungszeit sollte sich nach Ihren Sicherheitsanforderungen und einer Kombination aus gesetzlichen, regulatorischen und unternehmensinternen Vorschriften richten.
+ **Aktivieren Sie die Protokollierung für jede(n) AWS-Service und -Anwendung mit korrekten Aufbewahrungs- und Lebenszyklusrichtlinien:** Suchen Sie für jeden AWS-Service oder jede AWS-Anwendung in Ihrer Organisation nach den entsprechenden Anleitungen zur Protokollkonfiguration:
+ [ Konfigurieren eines AWS CloudTrail-Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Konfigurieren von VPC-Flow-Protokollen](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Konfigurieren des Amazon GuardDuty-Ergebnisexports](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
+ [ Konfigurieren der AWS Config-Aufzeichnung](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
+ [ Konfigurieren des Web-ACL-Datenverkehrs von AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [ Konfigurieren der Netzwerkdatenverkehrsprotokolle von AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
+ [ Konfigurieren der Zugriffsprotokolle von Elastic Load Balancing](https://docs.aws.amazon.com/)
+ [ Konfigurieren von Resolver-Query-Protokollen von Amazon Route 53 ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
+ [ Konfigurieren von Amazon RDS-Protokollen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
+ [ Konfigurieren von Amazon EKS-Steuerebenenprotokollen](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
+ [ Konfigurieren eines Amazon CloudWatch-Agenten für Amazon EC2-Instances und On-Premises-Server](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ **Wählen und implementieren Sie Abfragemechanismen für Ihre Protokolle:** Für Protokollabfragen können Sie [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) für in CloudWatch-Protokollgruppen gespeicherte Daten sowie [Amazon Athena](https://aws.amazon.com/athena/) und [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) für in Amazon S3 gespeicherte Daten verwenden. Sie können auch Abfragetools von Drittanbietern wie etwa den SIEM (Security Information and Event Management)-Service verwenden.
Bei der Auswahl eines Tools zur Protokollabfrage sollten Sie die Personen, die Prozesse und die Technologieaspekte Ihrer Sicherheitsoperationen berücksichtigen. Wählen Sie ein Tool, das betriebliche, geschäftliche und sicherheitsrelevante Aspekte berücksichtigt und langfristig sowohl zugänglich als auch wartbar ist. Denken Sie daran, dass Tools zur Protokollabfrage optimal funktionieren, wenn die Anzahl der zu durchsuchenden Protokolle im Rahmen der Limits des jeweiligen Tools liegt. Es ist nicht ungewöhnlich, aus Kostengründen oder aufgrund technischer Einschränkungen mehrere Abfragetools zu verwenden.
Beispielsweise können Sie ein SIEM-Tool eines Drittanbieters für Abfragen der letzten 90 Datentage, aber aufgrund der Protokollerfassungskosten für SIEM Athena für Abfragen verwenden, die darüber hinaus gehen. Prüfen Sie unabhängig von der Implementierung, ob Ihr Konzept die Anzahl der für die Maximierung der operationalen Effizienz erforderlichen Tools minimiert, besonders für Untersuchungen von Sicherheitsvorfällen.
+ **Verwenden Sie Protokolle für Benachrichtigungen:** AWS bietet verschiedene Benachrichtigungsmöglichkeiten über mehrere Sicherheitsservices:
+ [AWS Config](https://aws.amazon.com/config/) überwacht und zeichnet Ihre AWS-Ressourcenkonfigurationen auf. Darüber hinaus ermöglicht es Ihnen, die Auswertung und Korrektur der gewünschten Konfigurationen zu automatisieren.
+ [Amazon GuardDuty](https://aws.amazon.com/guardduty/) ist ein Bedrohungserkennungsservice, der kontinuierlich nach schädlichen Aktivitäten und nicht autorisierten Verhaltensweisen sucht, um Ihr AWS-Konten und Ihre Workloads zu schützen. GuardDuty erfasst, aggregiert und analysiert Informationen aus Quellen wie AWS CloudTrail-Verwaltungs- und Datenereignissen, DNS-Protokollen, VPC-Flow-Protokollen und Amazon EKS-Prüfprotokollen. GuardDuty ruft unabhängige Datenströme direkt von CloudTrail, VPC-Flow-Protokollen, DNS-Abfrageprotokollen und Amazon EKS ab. Sie müssen keine Amazon S3-Bucket-Richtlinien verwalten oder die Art und Weise der Erfassung und Speicherung von Protokollen verändern. Es wird jedoch empfohlen, diese Protokolle für Ihre eigenen Untersuchungs- und Compliance-Zwecke aufzubewahren.
+ [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) bietet einen zentralen Ort, an dem Ihre Sicherheitswarnungen oder Ergebnisse von mehreren AWS-Services und optionalen Produkten von Drittanbietern aggregiert, organisiert und priorisiert werden. So erhalten Sie einen umfassenden Überblick über Sicherheitswarnungen und den Compliance-Status.
Sie können auch benutzerdefinierte Alarm-Engines für Sicherheitsalarme verwenden, die von diesen Services nicht abgedeckt werden, bzw. für bestimmte Alarme, die für Ihre Umgebung relevante sind. Für Informationen zur Erstellung dieser Alarm- und Erkennungsmechanismen vgl. [Erkennung in der AWS-Sicherheits- und Vorfallreaktionsanleitung](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken](sec_detect_investigate_events_analyze_all.md)
+ [SEC07-BP04 Definieren des Datenlebenszyklusmanagements:](sec_data_classification_lifecycle_management.md)
+ [SEC10-BP06 Vorabbereitstellen von Tools](sec_incident_response_pre_deploy_tools.md)
**Zugehörige Dokumente:**
+ [AWS-Sicherheits- und Vorfallreaktionsanleitung ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [ Erste Schritte mit Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Erste Schritte: Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Security Partner Solutions: Logging and Monitoring](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) (Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung)
**Zugehörige Videos:**
+ [AWS re:Invent 2022 - Introducing Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY) (AWS re:Invent 2022 – Vorstellung von Amazon Security Lake)
**Zugehörige Beispiele:**
+ [ Assisted Log Enabler für AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [ Historischer Export von Ergebnissen von AWS Security Hub CSPM](https://github.com/aws-samples/aws-security-hub-findings-historical-export)
**Zugehörige Tools:**
+ [ Snowflake for Cybersecurity ](https://www.snowflake.com/en/data-cloud/workloads/cybersecurity/)
# SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken
Sicherheitsteams benötigen Protokolle und Suchtools, um potenziell interessante Ereignisse zu erkennen, die auf unbefugte Aktivitäten oder unbeabsichtigte Änderungen hinweisen können. Um mit den enormen Informationsmengen komplexer Architekturen Schritt zu halten, reicht es jedoch nicht aus, erfasste Daten einfach zu analysieren und die Informationen manuell zu verarbeiten. Nur mittels Analyse und Berichterstellung lassen sich nicht die richtigen Ressourcen zuweisen, um ein Ereignis zeitnah zu bearbeiten.
Zur Erstellung eines kompetenten Sicherheitsteams hat es sich bewährt, den Fluss von Sicherheitsereignissen und -ergebnissen tief in ein Benachrichtigungs- und Workflow-System zu integrieren. Dies kann beispielsweise ein Ticketsystem, ein Bug- oder Fehlersystem oder ein anderes Security Information and Event Management-System (SIEM) sein. Der Workflow wird dadurch aus E-Mail-Berichten und statischen Berichten genommen, sodass Sie Ereignisse oder Ergebnisse weiterleiten, eskalieren und verwalten können. Viele Organisationen integrieren mittlerweile Sicherheitsbenachrichtigungen in ihre Chat- oder Zusammenarbeitsplattformen und in ihre Plattformen für Entwicklerproduktivität. Für Organisationen, die die Automatisierung einführen, bietet ein API-gesteuertes Ticketing-System mit geringer Latenz erhebliche Flexibilität bei der Planung, vor allem in Bezug darauf, was zuerst automatisiert werden soll.
Diese bewährte Methode gilt nicht nur für Sicherheitsereignisse, die anhand von Protokollnachrichten bezüglich Benutzeraktivitäten oder Netzwerkereignissen generiert wurden, sondern auch für solche, die aufgrund von Änderungen in der Infrastruktur ausgelöst wurden. Die Fähigkeit, Änderungen zu erkennen, zu bestimmen, ob eine Änderung angemessen war, und diese Informationen dann an den richtigen Korrekturworkflow weiterzuleiten, ist für die Aufrechterhaltung und Validierung einer sicheren Architektur unerlässlich. Dies gilt im Kontext unerwünschter Änderungen, die nicht besonders auffällig sind, sodass ihre Ausführung derzeit nicht mit einer Kombination aus AWS Identity and Access Management (IAM) und AWS Organizations-Konfiguration verhindert werden kann.
Amazon GuardDuty und AWS Security Hub CSPM bieten Aggregations-, Deduplizierungs- und Analysemechanismen für Protokolldatensätze, die Ihnen auch über andere AWS-Services zur Verfügung gestellt werden. GuardDuty speist Informationen aus Quellen wie AWS CloudTrail-Management- und -Datenereignissen, VPC-DNS-Protokollen und VPC Flow Logs ein und aggregiert und analysiert diese Informationen. Security Hub CSPM kann Ausgaben von GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager und zahlreichen Sicherheitsprodukten von Drittanbietern im AWS Marketplace einspeisen, aggregieren und analysieren. Das gilt auch für Ihren eigenen Code, wenn er entsprechend erstellt wurde. Sowohl GuardDuty als auch Security Hub CSPM verfügen über ein Administrator-Member-Modell, das Ergebnisse und Einblicke über mehrere Konten hinweg aggregieren kann. Security Hub CSPM wird häufig von Kunden verwendet, die über ein On-Premise-SIEM als AWS-seitigen Protokoll- und Alarmpräprozessor und Aggregator verfügen. Über diesen können sie Amazon EventBridge über einen AWS Lambda-basierten Prozessor und Weiterleiter einspeisen.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Bewerten der Funktionen zur Protokollverarbeitung: Bewerten Sie die für die Verarbeitung von Protokollen verfügbaren Optionen.
+ [Amazon OpenSearch Service zum Protokollieren und Überwachen von (praktisch) allem verwenden ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Suchen eines Partners mit Spezialisierung auf Protokollierungs- und Überwachungslösungen ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Testen Sie zum Analysieren von CloudTrail-Protokollen zunächst Amazon Athena.
+ [ Konfigurieren von Athena zum Analysieren von CloudTrail-Protokollen ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implementieren der zentralisierten Protokollierung in AWS: Sehen Sie sich die folgende AWS-Beispiellösung zum Zentralisieren der Protokollierung für mehrere Quellen an.
+ [Centralize logging solution ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implementieren der zentralisierten Protokollierung mit einem Partner: APN-Partner verfügen über Lösungen, die Ihnen beim zentralen Analysieren von Protokollen helfen.
+ [ Protokollierung und Überwachung ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Ressourcen
**Zugehörige Dokumente:**
+ [ Zentralisierte Protokollierung in AWS](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Erste Schritte mit Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Zugehörige Videos:**
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Automatisierte Reaktion auf Ereignisse
Die Nutzung der Automatisierung zum Ermitteln und Beheben von Ereignissen reduziert den menschlichen Aufwand und menschliche Fehler und ermöglicht Ihnen die Skalierung der Prüffunktionen. Regelmäßige Prüfungen helfen Ihnen dabei, Automatisierungstools zu optimieren und immer wieder auszuführen.
In AWS können interessante Ereignisse und Informationen zu potenziell unerwarteten Änderungen an einem automatisierten Workflow mithilfe von Amazon EventBridge untersucht werden. Dieser Service bietet eine skalierbare Rules Engine, die sowohl native AWS-Ereignisformate (z. B. AWS CloudTrail-Ereignisse) als auch von Ihnen generierbare benutzerdefinierte Ereignisse behandelt. Mit Amazon GuardDuty können Sie Ereignisse auch an ein Workflow-System für jene weiterleiten, die Vorfallreaktionssysteme (AWS Step Functions) erstellen, oder an ein zentrales Sicherheitskonto oder an einen Bucket zur weiteren Analyse.
Um Änderungen zu erkennen und diese Informationen an den richtigen Workflow weiterzuleiten, können Sie AWS-Config-Regeln und [Conformance Packs](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)verwenden. AWS Config erkennt Änderungen an ordnungsgemäß ausgeführten Services (wenn auch mit einer höheren Latenz als dies bei EventBridge der Fall ist) und generiert Ereignisse, die mithilfe von AWS-Config-Regeln-Regeln analysiert werden können. Dies ermöglicht es, einen Rollback durchzuführen, Compliance-Richtlinien zu erzwingen und Informationen an Systeme wie Änderungsverwaltungsplattformen und operative Ticketsysteme weiterzuleiten. Sie können nicht nur eigene Lambda-Funktionen schreiben, um auf AWS Config-Ereignisse zu reagieren, sondern auch das [AWS-Config-Regeln Development Kit](https://github.com/awslabs/aws-config-rdk)benutzen und auf eine [Bibliothek mit Open Source-](https://github.com/awslabs/aws-config-rules) AWS-Config-Regeln zugreifen. Conformance Packs sind eine Sammlung von AWS-Config-Regeln- und Korrekturaktionen, die Sie als einzelne Einheit in Form einer YAML-Vorlage bereitstellen. A [beispielhafte Conformance-Pack-Vorlage](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ist für die Well-Architected-Säule „Sicherheit“ verfügbar.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Implementieren automatisierter Warnungen mit GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und so schützt. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
+ Automatisieren von Untersuchungsprozessen: Entwickeln Sie automatische Prozesse, die ein Ereignis untersuchen und Berichte an einen Administrator senden, um Zeit zu sparen.
+ [ Übung: Amazon GuardDuty in der Praxis ](https://hands-on-guardduty.awssecworkshops.com/)
## Ressourcen
**Zugehörige Dokumente:**
+ [ Zentralisierte Protokollierung in AWS](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Erste Schritte mit Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Erste Schritte mit Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Zugehörige Videos:**
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)
**Zugehörige Beispiele:**
+ [Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implementieren von umsetzbaren Sicherheitsereignissen:
Erstellen Sie Warnungen, die an Ihr Team gesendet werden und von diesem bearbeitet werden können. Stellen Sie sicher, dass Warnungen relevante Informationen enthalten, damit das Team Maßnahmen ergreifen kann. Für jeden Aufklärungsmechanismus, den Sie besitzen, sollten Sie auch einen Prozess zur Untersuchung in Form eines [Runbooks](https://wa.aws.amazon.com/wat.concept.runbook.en.html) oder [eines Playbooks](https://wa.aws.amazon.com/wat.concept.playbook.en.html)haben. Wenn Sie beispielsweise [Amazon GuardDuty](http://aws.amazon.com/guardduty)aktivieren, werden verschiedene [Ergebnisse](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Sie sollten einen Runbook-Eintrag für jeden Ergebnistyp haben. Wenn beispielsweise ein [Trojaner](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) erkannt wird, enthält Ihr Runbook einfache Anweisungen, die jemanden anweisen, den Vorfall zu untersuchen und zu beheben.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Ermitteln verfügbarer Metriken für AWS-Services: Ermitteln Sie die Metriken, die über Amazon CloudWatch für die Services verfügbar sind, die Sie verwenden.
+ [AWS-Servicedokumentation](https://aws.amazon.com/documentation/)
+ [Verwenden von Amazon CloudWatch-Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Konfigurieren Sie Amazon CloudWatch-Alarme.
+ [Verwenden von Amazon CloudWatch-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Ressourcen
**Zugehörige Dokumente:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Partnerlösungen im Bereich Sicherheit: Protokollierung und Überwachung](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Zugehörige Videos:**
+ [ Best Practices for Centrally Monitoring Resource Configuration and Compliance (Best Practices für die zentrale Überwachung der Ressourcenkonfiguration und Compliance) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Korrektur von Amazon GuardDuty- und AWS Security Hub CSPM-Feststellungen) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Bedrohungsmanagement in der Cloud: Amazon GuardDuty und AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)
# Schutz der Infrastruktur
**Topics**
+ [SEC 5. Wie schützen Sie Ihre Netzwerkressourcen?](sec-05.md)
+ [SEC 6. Wie schützen Sie Ihre Datenverarbeitungsressourcen?](sec-06.md)
# SEC 5. Wie schützen Sie Ihre Netzwerkressourcen?
Alle Workloads, die über eine Art Netzwerkverbindung verfügen, unabhängig davon, ob es sich um das Internet oder ein privates Netzwerk handelt, erfordern mehrere Abwehrebenen, um Schutz vor externen und internen Netzwerkbedrohungen sicherzustellen.
**Topics**
+ [SEC05-BP01 Erstellen von Netzwerkebenen](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatisieren des Netzwerkschutzes](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Implementieren von Prüfung und Schutz](sec_network_protection_inspection.md)
# SEC05-BP01 Erstellen von Netzwerkebenen
Gruppieren Sie Komponenten mit gemeinsamen Anforderungen hinsichtlich Vertraulichkeit in Ebenen, um die möglichen Auswirkungen unberechtigter Zugriffe zu minimieren. Beispielsweise sollte ein Datenbank-Cluster in einer Virtual Private Cloud (VPC) ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. Datenverkehr sollte nur von der benachbarten Ressource mit der geringsten Vertraulichkeitsstufe aus fließen. Ziehen Sie eine Web-Anwendung hinter einem Load Balancer in Betracht. Ihre Datenbank sollte nicht direkt von dem Load Balancer aus zugänglich sein. Nur die Geschäftslogik oder der Web-Server sollte direkten Zugriff auf Ihre Datenbank haben.
**Gewünschtes Ergebnis:** Erstellen eines Netzwerks mit Ebenen. Netzwerke mit Ebenen helfen bei der logischen Gruppierung ähnlicher Netzwerkkomponenten. Außerdem verringern sie die potenziellen Auswirkungen nicht autorisierter Netzwerkzugriffe. Ein Netzwerk mit ordnungsgemäßen Ebenen erschwert nicht autorisierten Benutzern die Nutzung weiterer Ressourcen in Ihrem AWS-Netzwerk. Zusätzlich zum Schutz interner Netzwerkpfade sollten Sie auch das Netzwerk-Edge, wie etwa Web-Anwendungen und API-Endpunkte, schützen.
**Typische Anti-Muster:**
+ Erstellen aller Ressourcen in einer einzigen VPC oder einem einzigen Subnetz
+ Verwendung von Sicherheitsgruppen mit zu vielen Berechtigungen
+ keine Verwendung von Subnetzen
+ Zulassen des direkten Zugriffs auf Datenspeicher wie beispielsweise Datenbanken
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Komponenten wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Amazon Relational Database Service (Amazon RDS)-Datenbank-Cluster und AWS Lambda-Funktionen, die gemeinsame Verfügbarkeitsanforderungen haben, können in Ebenen unterteilt werden, welche von Subnetzen gebildet werden. Ziehen Sie die Bereitstellung von Serverless-Workloads wie beispielsweise [Lambda](https://docs.aws.amazon.com/lambda/index.html)-Funktionen in einer VPC oder hinter einem [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) in Betracht. [AWS Fargate](https://aws.amazon.com/fargate/getting-started/)-Aufgaben, die keinen Internetzugang erfordern, sollten in Subnetzen ohne Route zum oder vom Internet platziert werden. Dieses Konzept der Verwendung von Ebenen mildert die Auswirkungen einer fehlerhaften Konfiguration einer einzelnen Ebene, wodurch möglicherweise ein unbeabsichtigter Zugriff möglich wäre. Für AWS Lambda können Sie Ihre Funktionen in Ihrer VPC ausführen, um die VPC-basierten Kontrollen zu nutzen.
Für Netzwerkkonnektivität mit Tausenden von VPCs, AWS-Konten und On-Premises-Netzwerken sollten Sie [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) verwenden. Transit Gateway fungiert als Hub, der steuert, wie der Datenverkehr zwischen allen verbundenen Netzwerken geleitet wird, die wie Speichen fungieren. Datenverkehr zwischen Amazon Virtual Private Cloud (Amazon VPC) und Transit Gateway bleibt im privaten AWS-Netzwerk, was die externe Offenheit für nicht autorisierte Nutzer und potenzielle Sicherheitsprobleme reduziert. Das regionsübergreifende Peering von Transit Gateway verschlüsselt auch regionsübergreifenden Datenverkehr ohne Single Point of Failure oder Bandbreitenengpässe.
**Implementierungsschritte**
+ **Verwenden Sie [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html) für die Analyse des Pfads zwischen Quelle und Ziel auf der Grundlage der Konfiguration:** Reachability Analyzer ermöglicht Ihnen die automatische Überprüfung der Konnektivität zu und von VPC-verbundenen Ressourcen. Diese Analyse erfolgt durch die Prüfung der Konfiguration (es werden dabei keine Netzwerkpakete gesendet).
+ **Verwenden Sie [Amazon VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html), um nicht beabsichtigte Netzwerkzugriffe auf Ressourcen zu identifizieren:** Amazon VPC Network Access Analyzer ermöglicht die Angabe Ihrer Netzwerkzugriffsanforderungen und die Identifizierung möglicher Netzwerkpfade.
+ **Überlegen Sie, ob sich Ressourcen in einem öffentlichen Subnetz befinden müssen:** Platzieren Sie Ressourcen nicht in öffentlichen Subnetzen Ihrer VPC, sofern sie nicht unbedingt eingehenden Netzwerkdatenverkehr aus öffentlichen Quellen empfangen müssen.
+ **Erstellen Sie [Subnetze in Ihren VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html):** Erstellen Sie Subnetze für jede Netzwerkebene (in Gruppen mit mehreren Availability Zones), um die Mikrosegmentierung zu erweitern. Prüfen Sie auch, ob Sie die korrekten [Routing-Tabellen](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) mit Ihren Subnetzen verbunden haben, um Routing und Internetkonnektivität zu steuern.
+ **Verwenden Sie [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html) zur Verwaltung Ihrer VPC-Sicherheitsgruppen:** AWS Firewall Manager verringert den Verwaltungsaufwand bei der Verwendung mehrerer Sicherheitsgruppen.
+ **Verwenden Sie [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) für den Schutz gegen verbreitete Web-Schwachstellen:** AWS WAF kann die Edge-Sicherheit durch die Untersuchung des Datenverkehrs auf verbreitete Web-Schwachstellen wie etwa SQL-Injection verbessern. Sie können damit den Datenverkehr von IP-Adressen aus bestimmten Ländern oder Regionen einschränken.
+ **Verwenden Sie [Amazon CloudFront](https://docs.aws.amazon.com/cloudfront/index.html) als CDN (Content Distribution Network):** Amazon CloudFront kann Ihre Webanwendung dadurch beschleunigen, dass Daten näher an Ihren Benutzern gespeichert werden. Weiterhin kann es die Edge-Sicherheit durch die Erzwingung von HTTPS, die Einschränkung des Zugriffs auf geografische Regionen und die Sicherstellung verbessern, dass Netzwerkdatenverkehr nur bei Routing durch CloudFront auf Ressourcen zugreifen kann.
+ **Verwenden Sie [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) bei der Erstellung von APIs:** Amazon API Gateway hilft bei der Veröffentlichung, Überwachung und Sicherung von REST-, HTTPS- und WebSocket-APIs.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [ Reachability Analyzer ](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)
+ [ Amazon VPC Network Access Analyzer ](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/getting-started.html#run-analysis)
**Zugehörige Videos:**
+ [AWS Transit Gateway reference architectures for many VPCs ](https://youtu.be/9Nikqn_02Oc)(AWS-Transit-Gateway-Referenzarchitekturen für verschiedene VPCs)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) (Anwendungsbeschleunigung und Schutz mit Amazon CloudFront, AWS WAF und AWS Shield)
+ [AWS re:Inforce 2022 - Validate effective network access controls on AWS](https://www.youtube.com/watch?v=aN2P2zeQek0)(AWS re:Inforce 2022 – Validierung effektiver Netzwerkzugriffskontrollen in AWS)
+ [AWS re:Inforce 2022 - Advanced protections against bots using AWS WAF](https://www.youtube.com/watch?v=pZ2eftlwZns)(AWS re:Inforce 2022 – Moderner Schutz gegen Bots mit AWS WAF)
**Zugehörige Beispiele:**
+ [Well-Architected Lab - Automated Deployment of VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) (Well-Architected Lab – Automatisierte VPC-Bereitstellung)
+ [ Workshop: Amazon VPC Network Access Analyzer ](https://catalog.us-east-1.prod.workshops.aws/workshops/cf2ecaa4-e4be-4f40-b93f-e9fe3b1c1f64)
# SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen
Bei der Architektur Ihrer Netzwerktopologie sollten Sie die Konnektivitätsanforderungen der einzelnen Komponenten überprüfen. Beispielsweise bei Komponenten, welche Internetzugang (ein- und ausgehend), Konnektivität zu VPCs, Edge-Services und oder externe Rechenzentren erfordern.
Mit einer VPC können Sie Ihre Netzwerktopologie definieren, die eine AWS-Region mit einem von Ihnen festgelegten privaten IPv4-Adressbereich oder einem von AWS ausgewählten IPv6-Adressbereich umfasst. Sie sollten mehrere Kontrollmechanismen mit einem umfassenden Verteidigungsansatz für den ein- und ausgehenden Datenverkehr anwenden, einschließlich der Verwendung von Sicherheitsgruppen (Stateful Inspection Firewall), Netzwerk-ACLs, Subnetzen und Routing-Tabellen. Innerhalb einer VPC können Sie Subnetze in einer Availability Zone erstellen. Jedes Subnetz ist mit einer Routing-Tabelle mit Routing-Regeln verknüpft, mit denen Sie die Pfade des Datenverkehrs innerhalb des Subnetzes steuern können. Sie können ein routingfähiges Internet-Subnetz über eine Route definieren, die zu einem Internet- oder NAT-Gateway geleitet wird, das dieser oder einer anderen VPC zugehörig ist.
Wenn eine Instance, eine Amazon Relational Database Service (Amazon RDS)-Datenbank oder ein anderer Service innerhalb einer VPC gestartet wird, verfügt sie über eine eigene Sicherheitsgruppe pro Netzwerkschnittstelle. Diese Firewall befindet sich außerhalb der Betriebssystemebene. Sie können damit Regeln für zulässigen ein- und ausgehenden Datenverkehr festlegen. Des Weiteren haben Sie die Möglichkeit, Beziehungen zwischen Sicherheitsgruppen zu definieren. Beispielsweise akzeptieren Instances innerhalb einer Sicherheitsgruppe der Datenbankebene nur Datenverkehr von Instancces innerhalb der Anwendungsebene unter Bezugnahme auf die Sicherheitsgruppen, die auf die beteiligten Instances angewendet werden. Sofern Sie keine Nicht-TCP-Protokolle verwenden, sollte es nicht notwendig sein, eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance ohne Load Balancer oder [CloudFront](https://aws.amazon.com/cloudfront). Dies schützt sie vor unbeabsichtigtem Zugriff aufgrund eines Betriebssystem- oder Anwendungsfehlers. Einem Subnetz kann auch eine Netzwerk-ACL zugeordnet sein, die als zustandslose Firewall fungiert. Sie sollten die Netzwerk-ACL so konfigurieren, dass der zulässige Datenverkehr zwischen den Ebenen beschränkt wird. Beachten Sie, dass Sie Regeln für den ein- und ausgehenden Datenverkehr definieren müssen.
Manche AWS-Services erfordern Komponenten für den Zugriff auf das Internet, um API-Aufrufe dort zu tätigen, wo sich [AWS-API-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) befinden. Andere AWS-Services verwenden [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) innerhalb Ihrer Amazon VPCs. Viele AWS-Services wie Amazon S3 und Amazon DynamoDB unterstützen VPC-Endpunkte. Diese Technologie wurde in [AWS PrivateLink](https://aws.amazon.com/privatelink/). Wir empfehlen Ihnen die Verwendung dieses Ansatzes für den Zugriff auf AWS-Services, Drittanbieterservices und Ihre eigenen Services, die sicher in anderen VPCs gehostet sind. Sämtlicher Netzwerkverkehr in AWS PrivateLink bleibt im globalen AWS-Backbone und durchquert nie das Internet. Die Konnektivität kann nur von Benutzern des Service eingeleitet werden, nicht vom Anbieter des Service. Die Verwendung von AWS PrivateLink für den Zugriff auf externe Services ermöglicht die Erstellung isolierter VPCs ohne Internetzugriff und hilft beim Schutz Ihrer VPCs vor externen Bedrohungsvektoren. Drittanbieterservices können AWS PrivateLink verwenden, um ihren Kunden die Verbindung mit Services über private IP-Adressen von ihren VPCs aus zu ermöglichen. Für VPC-Komponenten, die eine Verbindung mit dem Internet herstellen müssen, können diese nur ausgehend (einseitig) über ein AWS-verwaltetes NAT-Gateway, ein ausgehendes Internet-Gateway oder einen von Ihnen erstellten und verwalteten Web-Proxy erfolgen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Kontrollieren des Netzwerkdatenverkehrs in einer VPC: Implementieren Sie VPC-Best-Practices zum Kontrollieren des Datenverkehrs.
+ [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Amazon VPC-Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Netzwerk-ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Kontrollieren des Datenverkehrs am Edge: Implementieren Sie Edge-Services wie Amazon CloudFront, um eine zusätzliche Schutzebene und andere Funktionen bereitzustellen.
+ [Amazon CloudFront-Anwendungsfälle](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC-Eingangs-Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Kontrollieren des privaten Netzwerkverkehrs: Implementieren Sie Services, die Ihren privaten Datenverkehr für Ihre Workload schützen.
+ [Amazon VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC-Endpunkt-Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS-Site-to-Site-VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS-Client-VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3-Zugriffspunkte](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Ähnliche Videos:**
+ [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield) ](https://youtu.be/0xlwLEccRe0)
**Ähnliche Beispiele:**
+ [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Automatisieren des Netzwerkschutzes
Automatisieren Sie Schutzmechanismen, um ein selbstverteidigendes Netzwerk bereitzustellen, das auf Threat Intelligence und Erkennung von Anomalien beruht. Zum Beispiel können Tools zur Erkennung und Verhinderung von Eindringversuchen sich an aktuelle Bedrohungen anpassen und deren Auswirkungen reduzieren. Eine Webanwendungs-Firewall ist ein Beispiel dafür, wie Sie den Netzwerkschutz automatisieren können, indem Sie beispielsweise die AWS WAF Security Automations-Lösung ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)verwenden, um Netzwerkverkehr zu blockieren, welcher von schadhaften IP-Adressen stammt.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Automatisieren des Schutzes für webbasierten Datenverkehr: AWS bietet eine Lösung, die AWS CloudFormation verwendet, um automatisch eine Reihe von AWS WAF-Regeln zum Filtern gängiger webbasierter Angriffe bereitzustellen. Benutzer können aus vorkonfigurierten Schutzfunktionen wählen, die die in einer AWS WAF Web Access Control List (Web ACL) enthaltenen Regeln definieren.
+ [Sicherheitsautomatisierung mit AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Erwägen von AWS Partner-Lösungen: AWS-Partner bieten Hunderte branchenführende Produkte, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können.
+ [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Zugehörige Videos:**
+ [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield) ](https://youtu.be/0xlwLEccRe0)
**Zugehörige Beispiele:**
+ [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Implementieren von Prüfung und Schutz
Untersuchen und filtern Sie Ihren Datenverkehr auf jeder Ebene. Mit dem VPC Network Access Analyzer können Sie Ihre VPC-Konfigurationen [auf potenziell unbeabsichtigten Zugriff überprüfen](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Sie können Ihre Netzwerkzugriffsanforderungen festlegen und potenzielle Netzwerkpfade identifizieren, die diese nicht erfüllen. Für Komponenten, die über HTTP-basierte Protokolle abgefertigt werden, kann eine Webanwendungs-Firewall zum Schutz vor gängigen Angriffen beitragen. [AWS WAF](https://aws.amazon.com/waf) ist eine Firewall für Webanwendungen, mit der Sie HTTP(s)-Anforderungen überwachen und blockieren können, die Ihren konfigurierbaren Regeln entsprechen und an eine Amazon API Gateway-API, Amazon CloudFront oder Application Load Balancer weitergeleitet werden. Für den Einstieg in AWS WAF können Sie [Von AWS verwaltete Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) in Kombination mit Ihren eigenen vorhandenen [Partnerintegrationen](https://aws.amazon.com/waf/partners/).
Für die Verwaltung von AWS WAF, AWS Shield Advanced-Schutzmaßnahmen und Amazon VPC-Sicherheitsgruppen in AWS Organizations können Sie AWS Firewall Manager verwenden. Dies ermöglicht Ihnen die zentrale Konfiguration und Verwaltung von Firewall-Regeln für Ihre Konten und Anwendungen, was eine Skalierung einfacher macht. Außerdem können Sie schnell auf Angriffe reagieren, indem Sie [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)oder [Lösungen](https://aws.amazon.com/solutions/aws-waf-security-automations/) verwenden, die unerwünschte Anfragen an Ihre Webanwendungen automatisch blockieren. Firewall Manager lässt sich auch mit [AWS Network Firewall kombinieren](https://aws.amazon.com/network-firewall/). AWS Network Firewall ist ein verwalteter Service, der eine Regel-Engine nutzt, um Ihnen die detaillierte Kontrolle über zustandsbehafteten und zustandlosen Netzwerkdatenverkehr zu ermöglichen. Er unterstützt [Suricata-kompatible](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) Open-Source-IPS-Spezifikationen (Intrusion Prevention System) für Regeln zum Schutz Ihrer Workload.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Konfigurieren von Amazon GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads fortlaufend auf schädliche oder unbefugte Verhaltensweisen überwacht und dadurch schützt. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Konfigurieren von Virtual Private Cloud (VPC) Flow Logs: VPC Flow Logs ist eine Funktion, mit deren Hilfe Sie Informationen zum ein- und ausgehenden IP-Datenverkehr an den Netzwerkschnittstellen Ihrer VPC erfassen können. Flussprotokolldaten können in Amazon CloudWatch Logs und Amazon Simple Storage Service (Amazon S3) veröffentlicht werden. Sobald das Flussprotokoll fertig ist, können Sie seine Daten auf den ausgewählten Zielort abrufen und dort einsehen.
+ Erwägen von VPC-Datenverkehrabbildung: Die Datenverkehrabbildung ist eine Amazon Amazon VPC-Funktion, mit der Sie Netzwerkdatenverkehr von einer Elastic-Network-Schnittstelle von Amazon Elastic Compute Cloud (Amazon EC2)-Instances kopieren und diesen dann zur Inhaltsprüfung, Bedrohungsüberwachung und Fehlerbehebung an Out-of-Band-Sicherheits- und -Überwachungs-Appliances senden können.
+ [VPC-Datenverkehrabbildung](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Ähnliche Videos:**
+ [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield)](https://youtu.be/0xlwLEccRe0)
**Ähnliche Beispiele:**
+ [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6. Wie schützen Sie Ihre Datenverarbeitungsressourcen?
Datenverarbeitungsressourcen in Ihrem Workload erfordern mehrere Ebenen der Abwehr zum Schutz vor externen und internen Bedrohungen. Zu den Datenverarbeitungsressourcen zählen EC2-Instances, Container, AWS Lambda-Funktionen, Datenbankservices, IoT-Geräte und mehr.
**Topics**
+ [SEC06-BP01 Schwachstellenmanagement](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Verringern der Angriffsfläche](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Implementieren von verwalteten Services](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatisieren des Datenverarbeitungsschutzes](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Personen das Ausführen von Aktionen aus der Ferne ermöglichen](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Validieren der Softwareintegrität](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Schwachstellenmanagement
Überprüfen und Patchen Sie Ihren Code, Ihre Abhängigkeiten und Ihre Infrastruktur häufig auf Schwachstellen, um sich vor neuen Bedrohungen zu schützen.
**Gewünschtes Ergebnis:** Erstellen und Verwalten eines Programms für das Schwachstellenmanagement. Überprüfen und Patchen Sie regelmäßig Ressourcen wie Amazon EC2-Instances, Amazon Elastic Container Service (Amazon ECS)-Container und Amazon Elastic Kubernetes Service (Amazon EKS)-Workloads. Konfigurieren Sie Wartungszeitfenster für AWS-verwaltete Ressourcen wie Amazon Relational Database Service (Amazon RDS)-Datenbanken. Verwenden Sie statisches Code-Scanning, um Anwendungsquellcode auf verbreitete Probleme zu überprüfen. Ziehen Sie Penetrationstests für Webanwendungen in Betracht, wenn Ihre Organisation über die entsprechenden Fähigkeiten verfügt oder externe Unterstützung erhalten kann.
**Typische Anti-Muster:**
+ Fehlen eines Programms für das Schwachstellenmanagement
+ Durchführung von System-Patches ohne Berücksichtigung des Schweregrads oder der Risikovermeidung
+ Verwendung von Software nach dem vom Anbieter angegebenen Lebenszyklusenddatum
+ Bereitstellung von Code für die Produktion, bevor dieser auf Sicherheitsprobleme untersucht wurde
**Vorteile der Nutzung dieser bewährten Methode:**
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Ein Programm für das Schwachstellenmanagement beinhaltet Sicherheitsbewertungen, die Identifizierung von Problemen sowie die Priorisierung und Durchführung von Patching-Vorgängen im Rahmen der Behebung der Probleme. Automatisierung ist der Schlüssel zur kontinuierlichen Prüfung von Workloads auf Probleme und unbeabsichtigte Offenlegung in Netzwerken sowie für die Durchführung von Abhilfemaßnahmen. Die Automatisierung der Erstellung und Aktualisierung von Ressourcen spart Zeit und senkt die Gefahr von Konfigurationsfehlern, die zu weiteren Problemen führen können. Ein gut gestaltetes Programm für das Schwachstellenmanagement sollte auch Schwachstellentests in den Entwicklungs- und Bereitstellungsphasen des Softwarelebenszyklus beinhalten. Die Implementierung des Schwachstellenmanagements während der Entwicklung und der Bereitstellung verringert die Gefahr, dass eine Schwachstelle in Ihre Produktionsumgebung gelangt.
Die Implementierung eines Programms für das Schwachstellenmanagement erfordert ein gutes Verständnis des [AWS-Modells der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und seiner Beziehung zu Ihren spezifischen Workloads. In diesem Modell der geteilten Verantwortung ist AWS für den Schutz der Infrastruktur der AWS Cloud verantwortlich. Diese Infrastruktur umfasst die Hardware, Software, Netzwerke und Einrichtungen, in bzw. auf denen AWS Cloud-Services ausgeführt werden. Sie sind für die Sicherheit in der Cloud verantwortlich, zum Beispiel für die eigentlichen Daten, die Sicherheitskonfiguration und Verwaltungsaufgaben für Amazon EC2-Instances sowie für die Sicherstellung, dass Ihre Amazon S3-Objekte korrekt klassifiziert und konfiguriert sind. Ihr Konzept für das Schwachstellenmanagement kann auch je nach den von Ihnen genutzten Services variieren. So verwaltet beispielsweise AWS die Patches für unseren verwalteten relationalen Datenbankservice Amazon RDS, Sie sind jedoch selbst für das Patchen selbst gehosteter Datenbanken verantwortlich.
AWS bietet eine Reihe von Services zur Unterstützung Ihres Programms für das Schwachstellenmanagement. [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) untersucht kontinuierlich AWS-Workloads auf Softwareprobleme und nicht beabsichtigte Netzwerkzugriffe. [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) hilft bei der Verwaltung des Patchings für Ihre Amazon EC2-Instances. Amazon Inspector und Systems Manager können in [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) angezeigt werden. Dieser Managementservice für den Cloud-Sicherheitsstatus hilft dabei, AWS-Sicherheitsprüfungen zu automatisieren und Sicherheitsbenachrichtigungen zu zentralisieren.
[Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) kann mit der Analyse von statischem Code dabei helfen, potenzielle Probleme in Java- und Python-Anwendungen zu erkennen.
**Implementierungsschritte**
+ **Konfigurieren Sie [Amazon Inspector](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html):** Amazon Inspector erkennt automatisch neu gestartete Amazon EC2-Instances, Lambda-Funktionen und infrage kommende Container-Images, die an Amazon ECR übertragen wurden, und untersucht diese sofort auf Softwareprobleme, potenzielle Fehler und unbeabsichtigte Netzwerkoffenlegung.
+ **Untersuchen Sie den Quellcode:** Überprüfen Sie Bibliotheken und Abhängigkeiten auf Probleme und Fehler. [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) kann diese Überprüfungen vornehmen und Empfehlungen zur Behebung [verbreiteter Sicherheitsprobleme](https://docs.aws.amazon.com/codeguru/detector-library/index.html) für Java- und Python-Anwendungen bereitstellen. [Die OWASP Foundation](https://owasp.org/www-community/Source_Code_Analysis_Tools) veröffentlicht eine Liste von Quellcodeanalysetools (auch als SAST-Tools bezeichnet).
+ **Implementieren Sie einen Mechanismus zur Untersuchung und zum Patching Ihrer bestehenden Umgebung sowie zur Untersuchung im Rahmen eines CI/CD-Pipeline-Erstellungsprozesses:** Implementieren Sie einen Mechanismus zur Untersuchung und zum Patching von Problemen in Ihren Abhängigkeiten und Betriebssystemen, um Schutz gegen neue Bedrohungen zu bieten. Lassen Sie diesen Mechanismus regelmäßig laufen. Das Software-Schwachstellenmanagement ist wichtig, um zu verstehen, wo Patches angebracht oder Softwareprobleme behoben werden müssen. Priorisieren Sie die Abhilfemaßnahmen zu potenziellen Sicherheitsproblemen durch die frühzeitige Einbettung von Schwachstellenanalysen in Ihre Pipeline für kontinuierliche Integration und kontinuierliche Bereitstellung (Continuous Integration/Continuous Delivery, CI/CD). Ihr Konzept kann je nach den von Ihnen genutzten AWS-Services variieren. Fügen Sie zur Prüfung auf potenzielle Probleme in der Software, die in Amazon EC2-Instances ausgeführt wird, Ihrer Pipeline [Amazon Inspector](https://aws.amazon.com/inspector/) hinzu, damit Sie benachrichtigt werden und den Prozess anhalten können, wenn Probleme oder mögliche Fehler erkannt werden. Amazon Inspector überwacht Ressourcen kontinuierlich. Sie können auch Open-Source-Produkte wie [OWASP Dependency-Check](https://owasp.org/www-project-dependency-check/), [Snyk](https://snyk.io/product/open-source-security-management/), [OpenVAS](https://www.openvas.org/), Paketmanager oder AWS Partner-Tools für das Schwachstellenmanagement verwenden.
+ **Verwenden Sie [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html): ** Sie sind für das Patch-Management für Ihre AWS-Ressourcen verantwortlich, einschließlich Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Amazon Machine Images (AMIs) und anderer Datenverarbeitungsressourcen. [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Patch Manager kann für die Durchführung von Patches auf Amazon EC2-Instances für Betriebssysteme und Anwendungen verwendet werden, darunter Microsoft-Anwendungen, Windows-Service Packs und kleinere Versionsaktualisierungen für auf Linux basierende Instances. Zusätzlich zu Amazon EC2 kann Patch Manager auch für das Patching von On-Premises-Servern genutzt werden.
Eine Liste der unterstützten Betriebssysteme finden Sie unter [Unterstützte Betriebssysteme](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-operating-systems.html) im Systems Manager-Benutzerhandbuch. Sie können Instances scannen, um nur fehlende Patches anzuzeigen, oder Sie können scannen und automatisch alle fehlenden Patches installieren.
+ **Verwenden Sie [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):** Security Hub CSPM bietet eine umfassende Ansicht Ihres Sicherheitszustands in AWS. Es erfasst Sicherheitsdaten über [mehrere AWS-Services hinweg](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html) und stellt diese Ergebnisse in einem standardisierten Format bereit, damit Sie die Sicherheitsergebnisse für AWS-Services priorisieren können.
+ **Verwenden Sie [AWS CloudFormation](https://aws.amazon.com/cloudformation/):** [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ist ein Infrastructure-as-Code (Iac)-Service, der das Schwachstellenmanagement durch die Automatisierung der Ressourcenbereitstellung und die Standardisierung der Ressourcenarchitektur über mehrere Konten und Umgebungen hinweg unterstützt.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Security Overview of AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS--Security.pdf) (Übersicht zur Sicherheit von AWS Lambda)
+ [ Amazon CodeGuru ](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [ Improved, Automated Vulnerability Management for Cloud Workloads with a New Amazon Inspector ](https://aws.amazon.com/blogs/aws/improved-automated-vulnerability-management-for-cloud-workloads-with-a-new-amazon-inspector/)(Verbessertes und automatisiertes Schwachstellenmanagement für Cloud-Workloads mit einem neuen Amazon Inspector)
+ [ Automate vulnerability management and remediation in AWS using Amazon Inspector and AWS Systems Manager – Part 1 ](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/)(Automatisierung des Schwachstellenmanagements und von Abhilfemaßnahmen in AWS mit Amazon Inspector und AWS Systems Manager – Teil 1)
**Zugehörige Videos:**
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) (Schutz von Serverless- und Container-Services)
+ [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI) (Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice)
# SEC06-BP02 Verringern der Angriffsfläche
Reduzieren Sie Ihre Gefährdung mit Blick auf unbefugte Zugriffe, indem Sie Betriebssysteme härten und Komponenten, Bibliotheken und extern nutzbare Services minimieren. Reduzieren Sie zunächst ungenutzte Komponenten für alle Workloads, unabhängig davon, ob es sich um Betriebssystempakete, Anwendungen für Amazon Elastic Compute Cloud (Amazon EC2)-basierte Workloads oder externe Softwaremodule in Ihrem Code handelt. Viele Leitfäden für Härtung und Sicherheit sind für gängige Betriebssysteme und Serversoftware verfügbar. Sie können zum Beispiel mit dem [Center for Internet Security (CIS)](https://www.cisecurity.org/) beginnen und dann iterieren.
In Amazon EC2 können Sie zur Erfüllung der spezifischen Sicherheitsanforderungen Ihrer Organisation Ihre eigenen Amazon Machine Images (AMIs) erstellen, die Sie gepatcht und gehärtet haben. Die Patches und anderen Sicherheitskontrollen, die Sie auf das AMI anwenden, sind zum Zeitpunkt ihrer Erstellung wirksam. Sie sind nicht dynamisch, es sei denn, Sie nehmen nach dem Starten Änderungen vor (z. B. mit AWS Systems Manager).
Sie können den Prozess zur Erstellung sicherer AMIs mit EC2 Image Builder vereinfachen. EC2 Image Builder senkt den Aufwand für die Erstellung und Pflege goldener Images deutlich, ohne dass die Automatisierung implementiert und gewartet werden muss. Wenn Software-Updates verfügbar sind, erzeugt Image Builder automatisch ein neues Image, ohne dass Benutzer Image-Builds manuell anstoßen müssen. EC2 Image Builder ermöglicht Ihnen das einfache Validieren der Funktionalität und Sicherheit Ihrer Images mit von AWS bereitgestellten und Ihren eigenen Tests, bevor Sie die Images in der Produktion nutzen. Sie können auch von AWS bereitgestellte Sicherheitseinstellungen anwenden, um Ihre Images weiter abzusichern und interne Sicherheitskriterien zu erfüllen. Unter Verwendung von AWS bereitgestellter Vorlagen können Sie beispielsweise Security Technical Implementation Guide (STIG)-konforme Images erstellen.
Mit Drittanbieter-Tools zur statischen Code-Analyse können Sie häufige Sicherheitsprobleme wie nicht geprüfte Funktionseingangsgrenzen sowie zutreffende CVEs identifizieren. Sie können [Amazon CodeGuru](https://aws.amazon.com/codeguru/) für unterstützte Sprachen verwenden. Sie können auch Drittanbieter-Tools zur Überprüfung von Abhängigkeiten verwenden, um zu ermitteln, ob Bibliotheken, welche von Ihnen genutzt werden, auf dem neuesten Stand sind, frei von CVEs sind und die passende Lizenzierung enthalten, die den Anforderungen Ihrer Softwarepolitik entsprechen.
Amazon Inspector bietet Ihnen die Möglichkeit, Konfigurationsbewertungen Ihrer Instances bezüglich bekannter CVEs durchzuführen. Darüber hinaus können Sie eine Bewertung im Hinblick auf Sicherheits-Benchmarks vornehmen und Benachrichtigungen bei Fehlern automatisieren. Amazon Inspector kann auf Produktions-Instances und in Build-Pipelines ausgeführt werden, um Entwickler und Techniker bezüglich vorhandener Fehler zu benachrichtigen. Sie können programmgesteuert auf ermittelte Fehler zugreifen oder Ihr Team auf Backlogs und Bug-Verfolgungssysteme verweisen. [EC2 Image Builder](https://aws.amazon.com/image-builder/) kann verwendet werden, um Server-Images (AMIs) mit automatischem Patching, von AWS bereitgestellter Durchsetzung von Sicherheitsrichtlinien und anderen Anpassungen zu verwalten. Implementieren Sie bei der Verwendung von Containern [ECR Image Scanning](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) in Ihrer Build-Pipeline und scannen Sie regelmäßig Ihr Image-Repository, um nach CVEs in Ihren Containern zu suchen.
Amazon Inspector und andere Tools sind zwar effektiv bei der Identifizierung von Konfigurationen und vorhandenen CVEs, doch andere Methoden sind erforderlich, um Ihren Workload auf Anwendungsebene zu testen. [Fuzzing](https://owasp.org/www-community/Fuzzing) ist eine bekannte Methode zur Suche von Fehlern mithilfe von Automatisierung, um falsch formatierte Daten in Eingabefeldern und anderen Bereichen Ihrer Anwendung zu finden.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Härten des Betriebssystems: Konfigurieren Sie Betriebssysteme so, dass sie den Best Practices entsprechen.
+ [Sichern von Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Sichern von Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Härten von containerisierten Ressourcen: Konfigurieren Sie containerisierte Ressourcen so, dass sie den Best Practices für Sicherheit entsprechen.
+ Implementieren Sie Best Practices für AWS Lambda.
+ [Best Practices für AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Zugehörige Videos:**
+ [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI)
**Zugehörige Beispiele:**
+ [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Implementieren von verwalteten Services
Implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon Relational Database Service (Amazon RDS), AWS Lambda und Amazon Elastic Container Service (Amazon ECS), um Ihre Aufgaben zur Wahrung der Sicherheit im Rahmen des Modells der gemeinsamen Verantwortung zu reduzieren. Amazon RDS unterstützt Sie beispielsweise beim Einrichten, Betreiben und Skalieren einer relationalen Datenbank und automatisiert Verwaltungsaufgaben wie Hardwarebereitstellung, Datenbankeinrichtung, Patching und Sicherungen. Das bedeutet, dass Sie mehr Zeit haben, sich auf alternative Möglichkeiten zum Absichern Ihrer Anwendung zu konzentrieren, die im AWS Well-Architected Framework beschrieben werden. Mit Lambda können Sie Code ausführen, ohne Server bereitstellen oder verwalten zu müssen. So müssen Sie sich nur auf die Konnektivität, den Aufruf und die Sicherheit auf Codeebene konzentrieren – nicht auf Infrastruktur oder Betriebssystem.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Ermitteln verfügbarer Services: Ermitteln, testen und implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon RDS, AWS Lambda und Amazon ECS.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Website: ](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Zugehörige Videos:**
+ [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI)
**Zugehörige Beispiele:**
+ [Übung: AWS Certificate Manager – Anfordern eines öffentlichen Zertifikats ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Automatisieren des Datenverarbeitungsschutzes
Automatisieren Sie Ihre Schutz-Rechenmechanismen, einschließlich Schwachstellenmanagement, Reduzierung der Angriffsfläche und Verwaltung von Ressourcen. Die Automatisierung hilft Ihnen, Zeit in die Sicherung anderer Aspekte Ihres Workloads zu investieren und das Risiko menschlicher Fehler zu reduzieren.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Automatisieren der Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch mithilfe eines Service oder Tools zur Konfigurationsverwaltung.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Übung: Automatisierte Bereitstellung von VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Übung: Automatisierte Bereitstellung der EC2-Webanwendung](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Automatisieren des Patchings von Amazon Elastic Compute Cloud (Amazon EC2)-Instances: AWS Systems Manager Patch Manager automatisiert das Patching verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches für Betriebssysteme und Anwendungen anzuwenden.
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Centralized multi-account and multi-region patching with AWS Systems Manager Automation (Zentralisiertes Patching über mehrere Konten und Regionen mit AWS Systems Manager-Automatisierung)](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Implementieren von Maßnahmen zur Erkennung und Verhinderung von Eindringversuchen: Implementieren Sie ein Tool zur Erkennung und Verhinderung von Eindringversuchen, um böswillige Aktivitäten auf Instances zu überwachen und zu stoppen.
+ Erwägen von AWS Partner-Lösungen: AWS-Partner bieten Hunderte branchenführende Produkte, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können.
+ [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Centralized multi-account and multi-region patching with AWS Systems Manager Automation (Zentralisiertes Patching über mehrere Konten und Regionen mit AWS Systems Manager-Automatisierung)](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Zugehörige Videos:**
+ [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI)
**Zugehörige Beispiele:**
+ [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Übung: Automatisierte Bereitstellung der EC2-Webanwendung](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Personen das Ausführen von Aktionen aus der Ferne ermöglichen
Durch das Entfernen der Möglichkeit für interaktiven Zugriff wird das Risiko menschlicher Fehler und das Potenzial einer manuellen Konfiguration oder Verwaltung reduziert. Verwenden Sie beispielsweise einen Änderungsmanagement-Workflow, um Amazon Elastic Compute Cloud (Amazon EC2)-Instances unter Verwendung von Infrastruktur als Code bereitzustellen und Amazon EC2-Instances dann mit Tools wie AWS Systems Manager zu verwalten, statt direkten Zugriff oder Zugriff über einen Bastion-Host zuzulassen. AWS Systems Manager automatisiert eine Vielzahl von Wartungs- und Bereitstellungsaufgaben mithilfe von Funktionen wie [Automatisierung](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [-Workflows](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [Dokumenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (Playbooks) und dem [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). AWS CloudFormation-Stacks werden anhand von Pipelines erstellt und können Ihre Infrastrukturbereitstellungs- und Verwaltungsaufgaben ohne direkte Verwendung der AWS-Managementkonsole oder APIs automatisieren.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Ersetzen des Konsolenzugriffs: Ersetzen Sie den Konsolenzugriff (SSH oder RDP) auf Instances mit AWS Systems Manager Run Command, um Verwaltungsaufgaben zu automatisieren.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Zugehörige Videos:**
+ [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI)
**Zugehörige Beispiele:**
+ [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Validieren der Softwareintegrität
Implementieren Sie Mechanismen (z. B. Codesignierung), um zu überprüfen, ob die Software, der Code und die Bibliotheken, die in der Workload verwendet werden, aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Sie sollten beispielsweise das Codesignierungszertifikat der Binärdateien und Skripte überprüfen, um den Autor zu bestätigen, und sicherzustellen, dass es seit der Erstellung durch den Autor nicht manipuliert wurde. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) kann Sie beim Sicherstellen der Vertrauenswürdigkeit und Integrität Ihres Codes unterstützen, indem der Codesignierungslebenszyklus zentral verwaltet wird, einschließlich Signierungszertifizierung und öffentliche und private Schlüssel. Informieren Sie sich über die Verwendung erweiterter Muster und Best Practices für die Codesignierung mit [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Darüber hinaus kann eine Prüfsumme der Software, die Sie herunterladen, im Vergleich zu der Prüfsumme vom Anbieter helfen, sicherzustellen, dass sie nicht manipuliert wurde.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Untersuchen von Mechanismen: Die Codesignierung ist ein Mechanismus, der zur Validierung der Softwareintegrität verwendet werden kann.
+ [NIST: Sicherheitsüberlegungen für die Codesignierung](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [New – Code Signing, a Trust and Integrity Control for (Neu: Codesignierung, eine Vertrauens- und Integritätskontrolle für AWS Lambda)](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Datenschutz
**Topics**
+ [SEC 7. Wie klassifizieren Sie Ihre Daten?](sec-07.md)
+ [SEC 8. Wie schützen Sie Ihre ruhenden Daten?](sec-08.md)
+ [SEC 9. Wie schützen Sie Ihre Daten bei der Übertragung?](sec-09.md)
# SEC 7. Wie klassifizieren Sie Ihre Daten?
Die Datenklassifizierung bietet eine Möglichkeit, Daten basierend auf Wichtigkeit und Sensibilität zu kategorisieren, um Ihnen dabei zu helfen, angemessene Schutz- und Aufbewahrungskontrollen zu bestimmen.
**Topics**
+ [SEC07-BP01 Identifizieren der Daten innerhalb Ihres Workloads](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Definieren von Datenschutzkontrollen:](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Definieren des Datenlebenszyklusmanagements:](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identifizieren der Daten innerhalb Ihres Workloads
Es ist wichtig, dass Sie mit den Typen und Klassifizierungen von Daten, die Ihr Workload verarbeitet, sowie den zugehörigen Geschäftsprozessen vertraut sind und wissen, wo Ihre Daten gespeichert sind und wer der Dateneigentümer ist. Sie sollten auch die anwendbaren rechtlichen und Compliance-Anforderungen Ihres Workloads kennen und wissen, welche Datenkontrollen durchgesetzt werden müssen. Die Identifizierung der Daten ist der erste Schritt zur Datenklassifizierung.
**Vorteile der Nutzung dieser bewährten Methode:**
Mithilfe der Datenklassifizierung können Workload-Eigentümer die Speicherorte von vertraulichen Daten identifizieren und festlegen, wie diese Daten aufgerufen und freigegeben werden sollten.
Die Datenklassifizierung zielt darauf ab, die folgenden Fragen zu beantworten:
+ **Welche Arten von Daten besitzen Sie?**
Dies könnten Daten sein wie:
+ geistiges Eigentum (Intellectual Property, IP) wie beispielsweise Geschäftsgeheimnisse, Patente oder Vertragsvereinbarungen
+ geschützte Gesundheitsinformationen (Protected Health Information, PHI) wie beispielsweise Krankenakten, die Informationen zur Anamnese von Personen enthalten
+ persönlich identifizierbare Informationen (PII) wie beispielsweise Name, Adresse, Geburtsdatum und Personalausweis- oder Kennzeichennummer
+ Kreditkartendaten wie beispielsweise Kartennummer, Name des Karteninhabers, Ablaufdatum und Sicherheitscode
+ Wo sind die vertraulichen Daten gespeichert?
+ Wer kann die Daten aufrufen, ändern oder löschen?
+ Die Benutzerberechtigungen zu verstehen, ist für den Schutz vor potenziellem Datenmissbrauch unerlässlich.
+ **Wer kann CRUD-Operationen (Create, Read, Update, Delete – Erstellen, Lesen, Aktualisieren, Löschen) ausführen? **
+ Berücksichtigen Sie die potenzielle Erweiterung von Benutzerrechten und ermitteln Sie, wer die Berechtigungen für die Daten verwalten kann.
+ **Welche geschäftlichen Auswirkungen könnten eine unbeabsichtigte Offenlegung, eine Änderung oder eine Löschung der Daten haben? **
+ Machen Sie sich damit vertraut, welche Risiken Änderungen, Löschungen oder unbeabsichtigte Offenlegungen der Daten nach sich ziehen könnten.
Wenn Sie die Antworten auf diese Fragen kennen, können Sie die folgenden Maßnahmen ergreifen:
+ Verringern Sie den Umfang an vertraulichen Daten (z. B. die Anzahl der Speicherorte von vertraulichen Daten) und schränken Sie den Zugriff auf vertrauliche Daten auf die genehmigten Benutzer ein.
+ Machen Sie sich mit den verschiedenen Arten von Daten vertraut, damit Sie angemessene Mechanismen und Verfahren zum Schutz der Daten implementieren können, z. B. Verschlüsselung, Data Loss Prevention sowie Identity and Access Management.
+ Optimieren Sie die Kosten, indem Sie die richtigen Kontrollziele für die Daten bereitstellen.
+ Beantworten Sie souverän Fragen von Regulierungsbehörden und Prüfern in Bezug auf die Arten und den Umfang der Daten sowie darauf, wie Daten mit unterschiedlichen Vertraulichkeitsstufen voneinander getrennt werden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Datenklassifizierung bezeichnet die Identifizierung der Vertraulichkeit von Daten. Dies kann Tagging umfassen, um die Daten leicht durchsuchbar und nachverfolgbar zu machen. Die Datenklassifizierung trägt auch zu einer Reduzierung der Datenduplizierung bei. Dadurch lassen sich die Kosten für Speicherung und Sicherung senken, während der Suchvorgang beschleunigt wird.
Verwenden Sie Services wie beispielsweise Amazon Macie, um sowohl die Ermittlung als auch die Klassifizierung vertraulicher Daten in großem Umfang zu automatisieren. Andere Services, z. B. Amazon EventBridge und AWS Config, können zur automatischen Behebung von Problemen mit der Datensicherheit wie beispielsweise unverschlüsselten Amazon Simple Storage Service (Amazon S3)-Buckets und Amazon EC2-EBS-Volumes oder nicht getaggten Datenressourcen verwendet werden. Eine vollständige Liste der AWS-Serviceintegrationen finden Sie in der [EventBridge-Dokumentation](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html).
[Das Erkennen von PII](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) in unstrukturierten Daten wie beispielsweise Kunden-E-Mails, Support-Tickets, Produktbewertungen und Social Media ist [mithilfe von Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) möglich. Dabei handelt es sich um einen Service für natürliche Sprachverarbeitung (NLP), der unter Verwendung von Machine Learning (ML) in unstrukturiertem Text nach Einblicken und Beziehungen wie Personen, Orten, Meinungen und Themen sucht. Eine Liste der AWS-Services, die Sie bei der Datenidentifikation unterstützen können, finden Sie unter [Common techniques to detect PHI and PII data using AWS services](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) (Gängige Techniken zur Ermittlung von PHI- und PII-Daten mithilfe von AWS-Services).
Eine weitere Methode, die die Klassifizierung und den Schutz von Daten unterstützt, ist das [AWS-Ressourcen-Tagging](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). Über das Tagging können Sie Ihren AWS-Ressourcen Metadaten zuweisen, die zum Verwalten, Identifizieren, Organisieren, Suchen und Filtern der Ressourcen verwendet werden können.
Unter Umständen möchten Sie vielleicht auch eine gesamte Ressource (z. B. einen S3-Bucket) taggen, insbesondere wenn Sie erwarten, dass ein spezifischer Workload oder Service Prozesse oder Übertragungen einer bereits bekannten Datenklassifizierung speichert.
Gegebenenfalls können Sie einen S3-Bucket anstelle einzelner Objekte taggen, um die Verwaltung und die Aufrechterhaltung der Sicherheit zu vereinfachen.
### Implementierungsschritte
**Ermittlung vertraulicher Daten innerhalb von Amazon S3: **
1. Stellen Sie vor Beginn sicher, dass Sie über die erforderlichen Berechtigungen für den Zugriff auf die Amazon Macie-Konsole und die API-Operationen verfügen. Weitere Informationen finden Sie unter [Getting started with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) (Erste Schritte mit Amazon Macie).
1. Verwenden Sie Amazon Macie für eine automatisierte Datenermittlung, wenn Ihre vertraulichen Daten in [Amazon S3](https://aws.amazon.com/s3/) gespeichert sind.
+ Konfigurieren Sie entsprechend den Anleitungen in [Getting Started with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) (Erste Schritte mit Amazon Macie) ein Repository für die Ergebnisse der Ermittlung von vertraulichen Daten und erstellen Sie einen Ermittlungsauftrag für vertrauliche Daten.
+ [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) (Amazon Macie für eine Vorschau der vertraulichen Daten in S3-Buckets verwenden)
Standardmäßig analysiert Macie Objekte mithilfe der verwalteten Datenkennungen, die wir für die automatisierte Ermittlung von vertraulichen Daten empfehlen. Sie können die Analyse anpassen, indem Sie Macie so konfigurieren, dass bei der automatisierten Ermittlung von vertraulichen Daten für Ihr Konto oder Ihre Organisation spezifische verwaltete Datenkennungen, benutzerdefinierte Datenkennungen und Whitelists verwendet werden. Sie können den Umfang der Analyse anpassen, indem Sie spezifische Buckets (z. B. S3-Buckets, in denen in der Regel AWS-Protokolldaten gespeichert werden) ausschließen.
1. Informationen zum Konfigurieren und Verwenden der automatisierten Ermittlung von vertraulichen Daten finden Sie unter [Performing automated sensitive data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) (Automatisierte Ermittlung von vertraulichen Daten mit Amazon Macie).
1. Sie sollten sich auch [Automated Data Discovery for Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) (Automatisierte Datenermittlung für Amazon Macie) ansehen.
**Ermittlung vertraulicher Daten innerhalb von Amazon RDS: **
Weitere Informationen zur Datenermittlung in [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/)-Datenbanken finden Sie unter [Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) (Die Datenklassifizierung für Amazon RDS-Datenbanken mit Macie aktivieren).
**Ermittlung vertraulicher Daten innerhalb von DynamoDB: **
+ Im Blog [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) (Vertrauliche Daten in DynamoDB mit Macie ermitteln) wird erläutert, wie Sie mithilfe von Amazon Macie vertrauliche Daten in [Amazon DynamoDB](https://aws.amazon.com/dynamodb/)-Tabellen ermitteln, indem die Daten zum Durchsuchen nach Amazon S3 exportiert werden.
**AWS-Partnerlösungen: **
+ Nutzen Sie unser umfassendes AWS Partner Network. AWS-Partner bieten umfassende Tools und Compliance-Regelwerke, die sich direkt in die AWS-Services integrieren lassen. Die Partner können Ihnen eine maßgeschneiderte Governance- und Compliance-Lösung bereitstellen, mit der Sie den Anforderungen Ihrer Organisation gerecht werden.
+ Informationen zu benutzerdefinierten Lösungen für die Datenklassifizierung finden Sie unter [Data governance in the age of regulation and compliance requirements](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/) (Daten-Governance im Zeitalter von Regulierungs- und Compliance-Anforderungen).
Sie können die Tagging-Standards, die Ihre Organisation anwendet, automatisch durchsetzen, indem Sie mit AWS Organizations Richtlinien erstellen und bereitstellen. Mit Tag-Richtlinien können Sie Regeln festlegen, die gültige Schlüsselnamen und die für die einzelnen Schlüssel gültigen Werte definieren. Sie können sich für die ausschließliche Überwachung entscheiden, wodurch Sie Ihre vorhandenen Tags bewerten und bereinigen können. Wenn Ihre Tags den gewählten Standards entsprechen, können Sie die Durchsetzung in den Tag-Richtlinien aktivieren. Dadurch verhindern Sie, dass Tags erstellt werden, die nicht den Standards entsprechen. Weitere Informationen finden Sie unter [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) (Ressourcen-Tags für die Autorisierung mithilfe einer Service-Kontrollrichtlinie in AWS Organizations schützen) sowie in der Beispielrichtlinie unter [Verhindern, dass Tags geändert werden, außer von autorisierten Prinzipalen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin).
+ Für die erstmalige Verwendung von Tag-Richtlinien in [AWS Organizations](https://aws.amazon.com/organizations/) wird dringend empfohlen, den unter [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) beschriebenen Workflow zu befolgen, bevor Sie mit fortgeschritteneren Tag-Richtlinien fortfahren. Wenn Sie sich damit vertraut machen, welche Auswirkungen das Anfügen einer einfachen Tag-Richtlinie auf ein einzelnes Konto hat, bevor sie auf eine ganze Organisationseinheit (OU) oder Organisation ausgeweitet wird, können Sie die Auswirkungen einer Tag-Richtlinie verstehen, bevor Sie die Compliance mit der Tag-Richtlinie durchsetzen. Unter [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) finden Sie Links zu Anleitungen für fortgeschrittenere Aufgaben rund um Richtlinien.
+ Ziehen Sie die Bewertung anderer [Services und Funktionen von AWS](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features) in Betracht, die die Datenklassifizierung unterstützen. Eine entsprechende Liste finden Sie im Whitepaper [Data Classification](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) (Datenklassifizierung).
## Ressourcen
**Zugehörige Dokumente:**
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Automated data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html) (Automatisierte Datenermittlung mit Amazon Macie)
+ [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ [Detecting PII entities](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) (Ermitteln von PII-Entitäten)
**Zugehörige Blogs:**
+ [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) (Amazon Macie für eine Vorschau der vertraulichen Daten in S3-Buckets verwenden)
+ [Performing automated sensitive data discovery with Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) (Automatisierte Ermittlung von vertraulichen Daten mit Amazon Macie)
+ [Common techniques to detect PHI and PII data using AWS Services](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) (Gängige Techniken zur Ermittlung von PHI- und PII-Daten mithilfe von AWS-Services)
+ [Detecting and redacting PII using Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) (Mit Amazon Comprehend PII ermitteln und redigieren)
+ [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) (Ressourcen-Tags für die Autorisierung mithilfe einer Service-Kontrollrichtlinie in AWS Organizations schützen)
+ [Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) (Die Datenklassifizierung für Amazon RDS-Datenbanken mit Macie aktivieren)
+ [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) (Vertrauliche Daten in DynamoDB mit Macie ermitteln)
**Zugehörige Videos:**
+ [Event-driven data security using Amazon Macie](https://www.youtube.com/watch?v=onqA7MJssoU) (Ereignisgesteuerte Datensicherheit mit Amazon Macie)
+ [Amazon Macie for data protection and governance](https://www.youtube.com/watch?v=SmMSt0n6a4k) (Amazon Macie für Datenschutz und -Governance)
+ [Fine-tune sensitive data findings with allow lists](https://www.youtube.com/watch?v=JmQ_Hybh2KI) (Die Suche nach vertraulichen Daten mit Whitelists optimieren)
# SEC07-BP02 Definieren von Datenschutzkontrollen:
Schützen Sie Daten entsprechend ihrer Klassifizierungsstufe. Schützen Sie beispielsweise Daten, die als öffentlich klassifiziert werden, indem Sie relevante Empfehlungen anwenden und gleichzeitig sensible Daten durch zusätzliche Kontrollen schützen.
Durch die Verwendung von Ressourcen-Tags, separater AWS-Konten je nach Sensibilität (und möglicherweise auch nach Vorbehalt, Enklave oder Interessensgemeinschaft), IAM-Richtlinien, AWS Organizations-SCPs, AWS Key Management Service (AWS KMS) und AWS CloudHSM können Sie Ihre Richtlinien für die Datenklassifizierung und den Datenschutz mit Verschlüsselung definieren und implementieren. Wenn Sie beispielsweise S3-Buckets mit hoch kritischen Daten oder Amazon Elastic Compute Cloud (Amazon EC2)-Instances haben, die vertrauliche Daten verarbeiten, können Sie diese mit dem Tag `Project=ABC` kennzeichnen. Nur Ihr direktes Team weiß, was der Projektcode bedeutet, und es bietet eine Möglichkeit, die attributbasierte Zugriffskontrolle zu verwenden. Sie können für die AWS KMS-Kodierungsschlüssel mithilfe von Schlüsselrichtlinien Zugriffsebenen definieren. Auf diese Weise stellen Sie sicher, dass nur die entsprechenden Services sicher auf die sensiblen Inhalte zugreifen können. Wenn Sie Autorisierungsentscheidungen basierend auf Tags treffen, sollten Sie sicherstellen, dass die Berechtigungen für die Tags mithilfe von Tag-Richtlinien in AWS Organizations entsprechend definiert sind.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Definieren eines Datenidentifikations- und -klassifizierungsschemas: Eine Identifikation und Klassifizierung Ihrer Daten wird durchgeführt, um potenzielle Auswirkungen und den Typ der gespeicherten Daten zu bewerten und festzulegen, welche Personen Zugriff auf die Daten haben sollen.
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ Ermitteln verfügbarer AWS-Kontrollen: Ermitteln Sie die Sicherheitskontrollen für die AWS-Services, die Sie verwenden oder verwenden möchten. Die Dokumentation vieler Services umfasst einen Sicherheitsabschnitt.
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ Identifizieren von AWS-Compliance-Ressourcen: Ermitteln Sie die Ressourcen, die AWS zur Verfügung stellt, um Sie zu unterstützen.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Fehlender Text](https://aws.amazon.com/compliance/)
**Zugehörige Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung
Durch die Automatisierung der Identifizierung und Klassifizierung von Daten können Sie die richtigen Kontrollen implementieren. Die Verwendung von Automatisierung für diesen Zweck anstelle des direkten Zugriffs durch eine Person reduziert das Risiko menschlichen Versagens und unbeabsichtigter Offenlegung. Sie sollten die Nutzung eines Tools wie [Amazon Macie](https://aws.amazon.com/macie/)in Betracht ziehen. Das Tool verwendet Machine Learning, um sensible Daten in AWS automatisch zu erkennen, zu klassifizieren und zu schützen. Amazon Macie erkennt vertrauliche Daten wie persönlich identifizierbare Informationen (PII) oder geistiges Eigentum und stellt Ihnen Dashboards und Warnungen zur Verfügung, die sichtbar machen, wie auf diese Daten zugegriffen wird bzw. wie diese bewegt werden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Verwenden von Amazon Simple Storage Service (Amazon S3) Inventory: Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Verwenden von Amazon Macie: Amazon Macie nutzt Machine Learning, um in Amazon S3 gespeicherte Daten automatisch zu erkennen und zu klassifizieren.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Ressourcen
**Ähnliche Dokumente:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Ähnliche Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Definieren des Datenlebenszyklusmanagements:
Ihre definierte Lebenszyklusstrategie sollte auf Vertraulichkeitsstufen sowie auf gesetzlichen und organisatorischen Anforderungen basieren. Aspekte, einschließlich des Zeitraums für die Aufbewahrung von Daten, Datenvernichtungsprozesse, Datenzugriffsverwaltung, Datentransformation und Datenfreigabe sollten berücksichtigt werden. Wenn Sie eine Datenklassifizierungsmethode erwägen, achten Sie auf ein ausgewogenes Verhältnis zwischen Nutzbarkeit und Zugriff. Berücksichtigen Sie auch die unterschiedlichen Zugriffsebenen und Nuancen bei der Implementierung eines sicheren und dennoch anwendbaren Ansatzes für jede Ebene. Verwenden Sie immer einen umfassenden Ansatz zur Verteidigung und reduzieren Sie den menschlichen Zugriff auf Daten und Mechanismen zum Umwandeln, Löschen oder Kopieren von Daten. Legen Sie beispielsweise fest, dass Benutzer sich bei einer Anwendung stark authentifizieren müssen, und geben Sie der Anwendung anstelle der Benutzer die erforderliche Zugriffsberechtigung, um Aktionen aus der Ferne auszuführen. Stellen Sie außerdem sicher, dass Benutzer einen vertrauenswürdigen Netzwerkpfad verwenden und Zugriff auf die Verschlüsselungsschlüssel benötigen. Nutzen Sie Tools wie Dashboards oder die automatisierte Berichterstellung, um Benutzern Informationen zu diesen Daten bereitzustellen, statt ihnen direkten Zugriff auf die Daten zu gewähren.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Identifizieren von Datentypen: Identifizieren Sie die Datentypen, die Sie in Ihrer Workload speichern oder verarbeiten. Diese Daten können Text, Bilder, Binärdatenbanken usw. sein.
## Ressourcen
**Zugehörige Dokumente:**
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Zugehörige Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8. Wie schützen Sie Ihre ruhenden Daten?
Schützen Sie Ihre Daten im Ruhezustand, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder eines Missbrauchs zu reduzieren.
**Topics**
+ [SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand:](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Durchsetzen der Zugriffskontrolle](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Verwenden von Mechanismen, die den direkten Zugriff auf Daten verhindern](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung
Eine sichere Schlüsselverwaltung umfasst die Speicherung, Rotation, Zugriffskontrolle und Überwachung von Schlüsseldaten, die zur Sicherung von Daten im Ruhezustand für Ihre Workloads erforderlich sind.
**Gewünschtes Ergebnis:** Ein skalierbarer, wiederholbarer und automatisierter Schlüsselverwaltungsmechanismus. Der Mechanismus sollte die Möglichkeit bieten, den Zugriff mit den geringsten Berechtigungen auf Schlüsseldaten zu erzwingen, und das richtige Gleichgewicht zwischen Schlüsselverfügbarkeit, Vertraulichkeit und Integrität bieten. Der Zugriff auf Schlüssel sollte überwacht werden und Schlüsseldaten sollten mit einem automatisierten Prozess rotiert werden. Schlüsseldaten sollten niemals für menschliche Identitäten zugänglich sein.
**Typische Anti-Muster:**
+ Personen haben Zugriff auf unverschlüsselte Schlüsseldaten.
+ Es werden benutzerdefinierte kryptografische Algorithmen erstellt.
+ Die Berechtigungen für den Zugriff auf Schlüsseldaten sind zu weit gefasst.
**Vorteile der Nutzung dieser bewährten Methode:** Indem Sie einen sicheren Mechanismus für die Schlüsselverwaltung für Ihren Workload einrichten, können Sie dazu beitragen, Ihre Inhalte vor unbefugtem Zugriff zu schützen. Darüber hinaus gelten möglicherweise gesetzliche Anforderungen zur Verschlüsselung Ihrer Daten. Eine effektive Schlüsselverwaltungslösung kann technische Mechanismen bereitstellen, die diesen Vorschriften zum Schutz von Schlüsseldaten entsprechen.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Hoch
## Implementierungsleitfaden
Viele regulatorische Anforderungen und bewährte Methoden beinhalten die Verschlüsselung von Daten im Ruhezustand als grundlegende Sicherheitskontrolle. Um diese Bedingung zu erfüllen, benötigt Ihr Workload einen Mechanismus, mit dem Schlüsseldaten, die zur Verschlüsselung Ihrer Daten im Ruhezustand verwendet werden, sicher gespeichert und verwaltet werden können.
AWS bietet AWS Key Management Service (AWS KMS) zur dauerhaften, sicheren und redundanten Speicherung von AWS KMS-Schlüsseln. [Viele AWS-Services lassen sich in AWS KMS integrieren,](https://aws.amazon.com/kms/features/#integration) um die Verschlüsselung Ihrer Daten zu unterstützen. AWS KMS verwendet FIPS 140-2 Level 3-validierte Hardware-Sicherheitsmodule zum Schutz Ihrer Schlüssel. Es gibt keinen Mechanismus zum Exportieren von AWS KMS-Schlüsseln als Klartext.
Bei der Bereitstellung von Workloads mit einer Strategie für mehrere Konten gilt es als [bewährte Methode,](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) AWS KMS-Schlüssel im selben Konto zu speichern wie der Workload, der sie verwendet. In diesem verteilten Modell liegt die Verantwortung für die Verwaltung der AWS KMS-Schlüssel beim Anwendungsteam. In anderen Anwendungsfällen können sich Unternehmen dafür entscheiden, AWS KMS-Schlüssel in einem zentralen Konto zu speichern. Diese zentralisierte Struktur erfordert zusätzliche Richtlinien, um den kontoübergreifenden Zugriff zu ermöglichen, der benötigt wird, damit das Workload-Konto auf Schlüssel zugreifen kann, die im zentralen Konto gespeichert sind. Dieses Verfahren kann jedoch in Anwendungsfällen, in denen ein einzelner Schlüssel von mehreren AWS-Konten gemeinsam genutzt wird, besser geeignet sein.
Unabhängig davon, wo die Schlüsseldaten gespeichert werden, sollte der Zugriff auf den Schlüssel durch [Schlüsselrichtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) und IAM-Richtlinien streng kontrolliert werden. Schlüsselrichtlinien sind die wichtigste Methode, um den Zugriff auf einen AWS KMS-Schlüssel zu kontrollieren. Darüber hinaus können AWS KMS-Schlüsselzuweisungen den Zugriff auf AWS-Services ermöglichen, mit denen Daten in Ihrem Namen ver- und entschlüsselt werden. Nehmen Sie sich Zeit, um die [bewährten Methoden für die Steuerung des Zugriffs auf AWS KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html)durchzugehen.
Es hat sich bewährt, die Verwendung von Verschlüsselungsschlüsseln zu überwachen, um ungewöhnliche Zugriffsmuster zu erkennen. Vorgänge, die mit von AWS verwalteten Schlüsseln und kundenseitig verwalteten Schlüsseln ausgeführt werden, die in AWS KMS gespeichert sind, können in AWS CloudTrail protokolliert werden. Sie sollten regelmäßig überprüft werden. Besondere Aufmerksamkeit sollte dabei der Überwachung von Schlüsselzerstörungsereignissen gelten. Um die versehentliche oder böswillige Zerstörung von Schlüsseldaten zu verhindern, werden Schlüsseldaten bei Schlüsselzerstörungsereignissen nicht sofort gelöscht. Für Versuche, Schlüssel in AWS KMS zu löschen, gilt eine [Wartezeit](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works), die standardmäßig auf 30 Tage festgelegt ist. So haben Administratoren Zeit, diese Aktionen zu überprüfen und die Anfrage gegebenenfalls rückgängig zu machen.
Die meisten AWS-Services verwenden AWS KMS auf eine Weise, die für Sie transparent ist. Sie müssen lediglich entscheiden, ob Sie einen in AWS verwalteten oder einen kundenseitig verwalteten Schlüssel verwenden möchten. Wenn Ihr Workload die direkte Verwendung von AWS KMS zum Verschlüsseln oder Entschlüsseln von Daten erfordert, empfiehlt sich eine [Umschlagverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) zum Schutz Ihrer Daten. Das [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) kann Ihren Anwendungen clientseitige Verschlüsselungsprimitive bereitstellen, um die Umschlagverschlüsselung zu implementieren und eine Integration in AWS KMS zu ermöglichen.
### Implementierungsschritte
1. Ermitteln Sie die geeigneten [Schlüsselverwaltungsoptionen](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) (von AWS verwaltet oder vom Kunden verwaltet) für den Schlüssel.
+ Aus Gründen der Benutzerfreundlichkeit bietet AWS für die meisten Services AWS-eigene und von AWS verwaltete Schlüssel. Diese stellen eine Funktion für die Verschlüsselung von Daten im Ruhezustand bereit, ohne dass Schlüsseldaten oder -richtlinien verwaltet werden müssen.
+ Wenn Sie kundenseitig verwaltete Schlüssel verwenden, sollten Sie den Standard-Schlüsselspeicher in Betracht ziehen, um das beste Gleichgewicht zwischen Agilität, Sicherheit, Datenhoheit und Verfügbarkeit zu erzielen. Andere Anwendungsfälle erfordern möglicherweise die Verwendung von benutzerdefinierten Schlüsselspeichern mit [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) oder einem [externen Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html).
1. Gehen Sie die Liste der Services durch, die Sie für Ihren Workload verwenden, um zu verstehen, wie AWS KMS in den Service integriert wird. EC2-Instances können beispielsweise verschlüsselte EBS-Volumes verwenden, um zu überprüfen, dass die von diesen Volumes erstellten Amazon EBS-Snapshots auch mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. So wir die versehentliche Offenlegung unverschlüsselter Snapshot-Daten verhindert.
+ [So nutzen AWS-Services AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html)
+ Ausführliche Informationen zu den Verschlüsselungsoptionen, die ein AWS-Service bietet, finden Sie im Thema „Verschlüsselung im Ruhezustand“ im Benutzerhandbuch oder Entwicklerhandbuch für den Service.
1. Implementieren Sie AWS KMS: AWS KMS erleichtert Ihnen das Erstellen und Verwalten von Schlüsseln sowie die Kontrolle der Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen.
+ [Erste Schritte mit AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Lesen Sie die [bewährten Methoden für die Steuerung des Zugriffs auf AWS KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
1. Erwägen Sie die Verwendung des AWS Encryption SDK: Verwenden Sie das AWS Encryption SDK mit AWS KMS-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
1. Aktivieren Sie [IAM Access Analyzer,](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) um automatisch zu überprüfen und benachrichtigt zu werden, wenn zu weit gefasste AWS KMS-Schlüsselrichtlinien vorhanden sind.
1. Aktivieren Sie [Security Hub CSPM,](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) um Benachrichtigungen zu erhalten, wenn falsch konfigurierte Schlüsselrichtlinien, Schlüssel mit geplanter Löschung oder Schlüssel ohne aktivierte automatische Rotation vorhanden sind.
1. Ermitteln Sie die für Ihre AWS KMS-Schlüssel geeignete Protokollierungsstufe. Da Aufrufe von AWS KMS, einschließlich schreibgeschützter Ereignisse, protokolliert werden, können die CloudTrail-Protokolle für AWS KMS sehr umfangreich werden.
+ Einige Organisationen ziehen es vor, die AWS KMS-Protokollierungsaktivitäten in einem eigenen Pfad zu separieren. Weitere Details finden Sie im Abschnitt [Logging AWS KMS API calls with CloudTrail (Protokollieren von AWS KMS-API-Aufrufen mit CloudTrail)](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) im AWS KMS-Entwicklerhandbuch.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
+ [AWS cryptographic services and tools (Kryptografische AWS-Services und -Tools)](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Protecting Amazon S3 Data Using Encryption (Schutz von S3-Daten durch Verschlüsselung)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [Umschlagverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)
+ [Das Versprechen zu digitaler Souveränität](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/)
+ [Demystifying AWS KMS key operations, bring your own key, custom key store, and ciphertext portability (Das Geheimnis von AWS KMS-Schlüsselvorgängen, Bring Your Own Key, benutzerdefinierten Schlüsselspeichern und Portabilität von Geheimtext)](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/)
+ [AWS Key Management Service cryptographic details (Kryptografische Details in AWS Key Management Service)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Zugehörige Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
+ [AWS data protection: Using locks, keys, signatures, and certificates (Datenschutz in AWS: Verwenden von Schlössern, Schlüsseln, Signaturen und Zertifikaten)](https://www.youtube.com/watch?v=lD34wbc7KNA)
**Zugehörige Beispiele:**
+ [Implement advanced access control mechanisms using AWS KMS (Implementieren erweiterter Zugriffskontrollmechanismen mit AWS KMS)](https://catalog.workshops.aws/advkmsaccess/en-US/introduction)
# SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand
Sie sollten die Verwendung der Verschlüsselung von Daten im Ruhezustand erzwingen. Durch die Verschlüsselung wird die Vertraulichkeit sensitiver Daten im Falle eines unautorisierten Zugriffs oder einer unbeabsichtigten Offenlegung gewahrt.
**Gewünschtes Ergebnis:** Private Daten sollten im Ruhezustand standardmäßig verschlüsselt werden. Die Verschlüsselung wahrt die Vertraulichkeit der Daten und bietet eine zusätzliche Schutzebene gegen beabsichtigte oder unbeabsichtigte Datenoffenlegung oder Exfiltration. Verschlüsselte Daten können ohne vorherige Entschlüsselung nicht gelesen oder genutzt werden. Alle unverschlüsselt gespeicherten Daten sollten inventarisiert und kontrolliert werden.
**Typische Anti-Muster:**
+ keine Verwendung von Konfigurationen mit standardmäßiger Verschlüsselung
+ Bereitstellung von Zugriffsmöglichkeiten mit zu vielen Berechtigungen für Entschlüsselungsschlüssel
+ fehlende Überwachung der Ver- und Entschlüsselungsschlüssel
+ Speichern von Daten ohne Verschlüsselung
+ Verwendung desselben Verschlüsselungsschlüssels für alle Daten, ohne Berücksichtigung von Datennutzung, -typen und -klassifizierung
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Ordnen Sie den Datenklassifizierungen in Ihren Workloads Verschlüsselungsschlüssel zu. Dies hilft beim Schutz vor Zugriffsmöglichkeiten mit zu vielen Berechtigungen bei Verwendung eines einzigen oder sehr weniger Verschlüsselungsschlüssel für Ihre Daten (vgl. [SEC07-BP01 Identifizieren der Daten innerhalb Ihres Workloads](sec_data_classification_identify_data.md)).
AWS Key Management Service (AWS KMS) kann in viele AWS-Services integriert werden, um die Verschlüsselung Ihrer Daten im Ruhezustand zu vereinfachen. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) für einen Bucket festlegen, sodass neue Objekte automatisch verschlüsselt werden. Berücksichtigen Sie bei der Verwendung von AWS KMS, wie eng die Daten eingeschränkt werden müssen. Standard- und servicegesteuerte AWS KMS-Schlüssel werden für Sie von AWS verwaltet und verwendet. Ziehen Sie für sensible Daten, die einen differenzierten Zugriff auf den zugrunde liegenden Verschlüsselungsschlüssel erfordern, kundenverwaltete Schlüssel (CMKs) in Betracht. Sie haben die vollständige Kontrolle über CMKs, einschließlich Rotation und Zugriffsmanagement mithilfe von Schlüsselrichtlinien.
Zudem unterstützen [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) und [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) das Erzwingen der Verschlüsselung durch Festlegen einer Standardverschlüsselung. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden, um automatisch zu überprüfen, ob Sie die Verschlüsselung nutzen, z. B. für [Amazon Elastic Block Store (Amazon EBS)-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS)-Instances](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) und [Amazon S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
AWS bietet auch Optionen für die clientseitige Verschlüsselung, mit der Sie Daten vor dem Laden in die Cloud verschlüsseln können. Das AWS Encryption SDK bietet eine Möglichkeit zur Verschlüsselung Ihrer Daten mit [Umschlagverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Sie stellen den Wrapping-Schlüssel bereit und das AWS Encryption SDK generiert einen eindeutigen Datenschlüssel für jedes verschlüsselte Datenobjekt. Ziehen Sie AWS CloudHSM in Betracht, wenn Sie ein verwaltetes Single-Tenant-Hardware-Sicherheitsmodul (HSM) benötigen. Mit AWS CloudHSM können Sie kryptographische Schlüssel auf einem nach FIPS 140-2 Level 3 validierten HSM generieren, importieren und verwalten. Einige Anwendungsfälle von AWS CloudHSM umfassen den Schutz privater Schlüssel für die Ausgabe einer Zertifizierungsstelle (Certificate authority, CA) und die Aktivierung der transparenten Datenverschlüsselung (Transparent Data Encryption, TDE) für Oracle-Datenbanken. Das AWS CloudHSM-Client-SDK bietet Software, die die clientseitige Verschlüsselung von Daten mit innerhalb von AWS CloudHSM gespeicherten Schlüsseln ermöglicht, bevor die Daten zu AWS geladen werden. DerAmazon DynamoDB Encryption Client ermöglicht darüber hinaus das Verschlüsseln und Signieren von Elementen vor dem Laden in eine DynamoDB-Tabelle.
**Implementierungsschritte**
+ **Erzwingen Sie die Verschlüsselung von Daten im Ruhezustand für Amazon S3: ** Implementieren Sie die [Standardverschlüsselung für Amazon S3-Buckets.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)
**Konfigurieren Sie die [Standardverschlüsselung für neue Amazon EBS-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html):** Legen Sie fest, dass alle neu erstellten Amazon EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden.
**Konfigurieren Sie verschlüsselte Amazon Machine Images (AMIs):** Beim Kopieren eines vorhandenen AMI mit aktivierter Verschlüsselung werden Root-Volumes und Snapshots automatisch verschlüsselt.
**Konfigurieren Sie die [Amazon RDS-Verschlüsselung](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html):** Konfigurieren Sie die Verschlüsselung für Ihre Amazon RDS-Datenbank-Cluster und Snapshots im Ruhezustand durch Aktivieren der Verschlüsselungsoption.
**Erstellen und konfigurieren Sie AWS KMS-Schlüssel mit Richtlinien, die den Zugriff für jede Datenklassifizierung auf die jeweiligen Prinzipale beschränken:** Erstellen Sie beispielsweise einen AWS KMS-Schlüssel für die Verschlüsselung von Produktionsdaten und einen anderen Schlüssel für Entwicklungs- oder Testdaten. Sie können den Schlüsselzugriff auch für andere AWS-Konten gewähren. Ziehen Sie die Nutzung verschiedener Konten für Ihre Entwicklungs- und Produktionsumgebungen in Betracht. Wenn Ihre Produktionsumgebung Artefakte im Entwicklungskonto entschlüsseln muss, können Sie die zur Verschlüsselung der Entwicklungsartefakte verwendete CMK-Richtlinie so bearbeiten, dass das Produktionskonto diese Artefakte entschlüsseln kann. Die Produktionsumgebung kann dann die entschlüsselten Daten zur Verwendung in der Produktion einlesen.
**Konfigurieren Sie Verschlüsselung in weiteren AWS-Services:** Sehen Sie sich die [Sicherheitsdokumentation](https://docs.aws.amazon.com/security/) zu anderen verwendeten AWS-Services an, um die entsprechenden Verschlüsselungsoptionen festzustellen.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Dokumentation zu AWS](https://docs.aws.amazon.com/)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Whitepaper: Einführung in die kryptografischen Details von AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS cryptographic services and tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) (Kryptografische Services und Tools von AWS)
+ [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Default encryption for Amazon EBS volumes (Standardverschlüsselung für Amazon EBS-Volumes)](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [How do I enable default encryption for an Amazon S3 bucket?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) (Wie kann ich die Standardverschlüsselung für einen Amazon S3-Bucket aktivieren?)
+ [Protecting Amazon S3 Data Using Encryption](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) (Schutz von Amazon S3-Daten durch Verschlüsselung)
**Zugehörige Videos:**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) (So funktioniert die Verschlüsselung in AWS)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) (Sichern Ihres Blockspeichers in AWS)
# SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand:
Verwenden Sie automatisierte Tools zur kontinuierlichen Validierung und Durchsetzung von Kontrollen, z. B. um sicherzustellen, dass nur verschlüsselte Speicherressourcen verwendet werden. Sie können die [Validierung automatisieren, damit alle EBS-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) mit [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)speichern [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) kann auch verschiedene Kontrollen durch automatisierte Prüfungen auf Sicherheitsstandards überprüfen. Darüber hinaus können Ihre AWS-Config-Regeln [nicht konforme Ressourcen automatisch korrigieren](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
*Daten im Ruhezustand* stellen alle Daten dar, die Sie für einen beliebigen Zeitraum in Ihrem Workload im nichtflüchtigen Speicher speichern. Die Daten können sich in Blockspeichern, Objektspeichern, Datenbanken, Archiven, IoT-Geräten und sonstigen Speichermedien befinden. Durch den Schutz Ihrer ruhenden Daten verringert sich das Risiko eines nicht autorisierten Zugriffs, wenn die Verschlüsselung und entsprechende Zugriffskontrollen implementiert werden.
Erzwingen der Verschlüsselung von Daten im Ruhezustand: Sie sollten sicherstellen, dass die Verschlüsselung die einzige Möglichkeit zum Speichern von Daten bietet. AWS KMS lässt sich nahtlos in viele AWS-Services integrieren, um Ihnen die Verschlüsselung aller Daten im Ruhezustand zu erleichtern. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) für einen Bucket festlegen, sodass alle neuen Objekte automatisch verschlüsselt werden. Darüber hinaus bietet [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) und [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) Unterstützung für das Erzwingen der Verschlüsselung durch Festlegen der Standardverschlüsselung. Sie können [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden, um automatisch zu überprüfen, ob Sie die Verschlüsselung nutzen, z. B. für [EBS-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS)-Instances](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)und [Amazon S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Zugehörige Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Durchsetzen der Zugriffskontrolle
Um Ihre Daten im Ruhezustand zu schützen, sollten Sie Zugriffskontrollen über Mechanismen wie das Isolieren und die Versionsverwaltung durchsetzen und das Prinzip der geringsten Berechtigung anwenden. Verhindern Sie den öffentlichen Zugriff auf Ihre Daten.
**Gewünschtes Ergebnis:** Sie stellen sicher, dass nur autorisierte Benutzer auf Daten zugreifen können, wenn dies unbedingt erforderlich ist. Sie schützen Ihre Daten mit regelmäßigen Backups und Versionsverwaltung vor beabsichtigten oder unbeabsichtigten Änderungen oder Löschungen. Sie isolieren wichtige Daten von anderen Daten, um die Vertraulichkeit und Datenintegrität zu schützen.
**Typische Anti-Muster:**
+ gemeinsame Speicherung von Daten mit unterschiedlichen Anforderungen hinsichtlich Vertraulichkeit oder verschiedenen Klassifizierungen
+ Verwendung von übermäßig großzügigen Berechtigungen für Entschlüsselungsschlüssel
+ inkorrekte Klassifizierung von Daten
+ keine Aufbewahrung von Sicherheitskopien wichtiger Daten
+ Ermöglichen des dauerhaften Zugriffs auf Produktionsdaten
+ keine Prüfung des Datenzugriffs bzw. keine regelmäßige Prüfung der Berechtigungen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** niedrig
## Implementierungsleitfaden
Mehrere Kontrollen können zum Schutz Ihrer Daten im Ruhezustand beitragen, einschließlich Zugriff (unter Verwendung des Prinzips der geringsten Berechtigung), Isolierung und Versionsverwaltung. Der Zugriff auf Ihre Daten sollte mit Erkennungsmechanismen wie beispielsweise AWS CloudTrail und Service-Level-Protokollen (z. B. Amazon Simple Storage Service (Amazon S3)-Zugriffsprotokolle) überprüft werden. Sie sollten inventarisieren, welche Daten öffentlich zugänglich sind, und einen Plan erstellen, wie Sie die Menge an öffentlich verfügbaren Daten im Laufe der Zeit reduzieren können.
Amazon Glacier Vault Lock und Amazon S3 Object Lock bieten eine obligatorische Zugriffskontrolle für Objekte in Amazon S3. Sobald eine Tresorrichtlinie mit der Compliance-Option gesperrt ist, kann sie nicht einmal der Root-Benutzer ändern, bis die Sperre abläuft.
### Implementierungsschritte
+ **Erzwingen der Zugriffskontrolle**: Erzwingen Sie die Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung, einschließlich des Zugriffs auf Verschlüsselungsschlüssel.
+ **Trennen von Daten anhand unterschiedlicher Klassifizierungsstufen**: Verwenden Sie unterschiedliche AWS-Konten für die Datenklassifizierungsstufen und verwalten Sie diese Konten mit [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
+ **Überprüfen von AWS Key Management Service (AWS KMS)-Richtlinien**: [Überprüfen Sie die gewährte Zugriffsebene](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) in den AWS KMS-Richtlinien.
+ **Überprüfen der Berechtigungen für Amazon S3-Buckets und -Objekte**: Überprüfen Sie regelmäßig den in S3-Bucket-Richtlinien gewährten Zugriff. Als bewährte Methode gilt, keine öffentlich lesbaren oder schreibbaren Buckets zu haben. Erwägen Sie, [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden. Stellen Sie sicher, dass Buckets, die den öffentlichen Zugriff nicht gewähren sollten, so konfiguriert sind, dass ein öffentlicher Zugriff verhindert wird. Standardmäßig sind alle S3 Buckets privat. Der Zugriff ist nur für Benutzer möglich, denen der Zugriff ausdrücklich gewährt wurde.
+ **Aktivieren von [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html):** IAM Access Analyzer analysiert Amazon S3-Buckets und generiert ein Ergebnis, wenn [eine S3-Richtlinie Zugriff auf eine externe Entität gewährt.](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3)
+ **Aktivieren der [Amazon S3-Versionsverwaltung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) und der [Objektsperre](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)**, wenn dies angemessen ist.
+ **Verwenden von [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)**: Amazon S3 Inventory kann verwendet werden, um den Replikations- und Verschlüsselungsstatus Ihrer S3-Objekte zu prüfen und zu melden.
+ **Überprüfen von [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)- und [AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)-Freigabeberechtigungen**: Mit Freigabeberechtigungen können Images und Volumes für AWS-Konten außerhalb Ihres Workloads freigegeben werden.
+ **Regelmäßiges Überprüfen der Freigaben von [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html), um zu bestimmen, ob Ressourcen weiterhin freigegeben werden sollten.** Resource Access Manager ermöglicht die Freigabe von Ressourcen wie beispielsweise Richtlinien für AWS Network Firewall, Amazon Route 53-Resolver-Regeln und Subnetzen innerhalb Ihrer Amazon VPCs. Überprüfen Sie die freigegebenen Ressourcen regelmäßig und beenden Sie die Freigabe von Ressourcen, die keine Freigabe mehr erfordern.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC03-BP01 Definieren von Zugriffsanforderungen](sec_permissions_define.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
**Zugehörige Dokumente:**
+ [Whitepaper: Einführung in die kryptografischen Details von AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [Einführung in die Verwaltung von Zugriffsberechtigungen für Ihre Amazon S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [Übersicht über die Verwaltung des Zugriffs auf Ihre AWS KMS-Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: A Match Made in the Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) (Amazon S3 \$1 Amazon CloudFront: Die perfekte Kombination in der Cloud)
+ [Verwenden der Versionsverwaltung](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Locking Objects Using Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) (Sperren von Objekten mit der Amazon S3-Objektsperre)
+ [Teilen eines Amazon EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [Gemeinsame AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [Hosting a single-page application on Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) (Hosten einer Single-Page-Anwendung in Amazon S3)
**Zugehörige Videos:**
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) (Sichern Ihres Blockspeichers in AWS)
# SEC08-BP05 Verwenden von Mechanismen, die den direkten Zugriff auf Daten verhindern
Halten Sie alle Benutzer davon ab, unter normalen Betriebsbedingungen direkt auf sensible Daten und Systeme zuzugreifen. Verwenden Sie beispielsweise einen Änderungsmanagement-Workflow, um Amazon Elastic Compute Cloud (Amazon EC2)-Instances mithilfe von Tools zu verwalten, statt direkten Zugriff oder Zugriff über einen Bastion-Host zuzulassen. Dies kann mit [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)erreicht werden. Dabei werden [Automatisierungsdokumente](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) verwendet, welche die Anweisungen enthalten, um Automationsaufgaben auszuführen. Diese Dokumente können in der Quellcodeverwaltung gespeichert und von Kollegen vor ihrer Ausführung geprüft und gründlich getestet werden. Das Vorgehen minimiert die Risiken im Vergleich zu direktem Shell-Zugriff. Geschäftliche Benutzer könnten statt direktem Zugriff ein Dashboard erhalten, um Abfragen auszuführen. Bestimmen Sie, wenn keine CI/CD-Pipelines verwendet werden, welche Kontrollen und Prozesse erforderlich sind, um einen normalerweise deaktivierten Mechanismus für den Notfallzugriff bereitzustellen.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Implementieren von Mechanismen, die den direkten Zugriff auf Daten verhindern: Mechanismen umfassen die Verwendung von Dashboards wie Quick, um Benutzern Daten anzuzeigen, anstatt direkt abzufragen.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatisieren der Konfigurationsverwaltung: Führen Sie Aktionen aus der Ferne aus und erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. Vermeiden Sie die Verwendung von Bastion-Hosts oder den direkten Zugriff auf EC2-Instances.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [CI/CD-Pipeline für AWS CloudFormation-Vorlagen in AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Zugehörige Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9. Wie schützen Sie Ihre Daten bei der Übertragung?
Schützen Sie Ihre Daten während der Übertragung, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder Verlusts zu reduzieren.
**Topics**
+ [SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifizieren der Netzwerkkommunikation](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung
Transport Layer Security-Zertifikate (TLS) werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites, Ressourcen und Workloads über das Internet sowie in privaten Netzwerken festzulegen.
**Gewünschtes Ergebnis:** Ein sicheres Zertifikatverwaltungssystem, das Zertifikate in einer Public-Key-Infrastruktur (PKI) bereitstellen, speichern und verlängern kann. Ein sicherer Schlüssel- und Zertifikatsverwaltungsmechanismus verhindert die Offenlegung von Zertifikatsmaterial mit privaten Schlüsseln und erneuert das Zertifikat automatisch in regelmäßigen Abständen. Es lässt sich auch in andere Services integrieren, um eine sichere Netzwerkkommunikation und Identität für Maschinenressourcen innerhalb Ihres Workloads zu gewährleisten. Schlüsseldaten sollten niemals für menschliche Identitäten zugänglich sein.
**Typische Anti-Muster:**
+ Während der Bereitstellung oder Verlängerung von Zertifikaten werden manuelle Schritte ausgeführt.
+ Beim Entwurf einer privaten Zertifizierungsstelle (Certificate Authority, CA) wird die Hierarchie der Zertifizierungsstelle nicht ausreichend beachtet.
+ Für öffentliche Ressourcen werden selbstsignierte Zertifikate verwendet.
**Vorteile der Nutzung dieser bewährten Methode: **
+ Die Zertifikatverwaltung wird durch automatisierte Bereitstellung und Verlängerung vereinfacht.
+ Die Verschlüsselung von Daten während der Übertragung wird mithilfe von TLS-Zertifikaten gefördert.
+ Sicherheit und Überprüfbarkeit der von der Zertifizierungsstelle ausgeführten Zertifikataktionen werden gesteigert.
+ Verwaltungsaufgaben werden auf verschiedenen Ebenen der CA-Hierarchie angeordnet.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Hoch
## Implementierungsleitfaden
Moderne Workloads nutzen verschlüsselte Netzwerkkommunikation mithilfe von PKI-Protokollen wie TLS in großem Umfang. Die Verwaltung von PKI-Zertifikaten kann komplex sein, durch automatisierte Bereitstellung und Verlängerung von Zertifikaten können aber Reibungsverluste im Zusammenhang mit der Zertifikatverwaltung verringert werden.
AWS bietet zwei Services zur Verwaltung von allgemeinen PKI-Zertifikaten: [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) und [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). ACM ist der primäre Service, den Kunden für die Bereitstellung und Verwaltung von Zertifikaten sowohl für öffentliche als auch für private AWS-Workloads verwenden. ACM stellt Zertifikate mithilfe von AWS Private CA aus und [lässt sich](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) in viele andere verwaltete AWS-Services zur Bereitstellung sicherer TLS-Zertifikate für Workloads integrieren.
AWS Private CA ermöglicht es Ihnen, Ihre eigene Stamm- oder untergeordnete Zertifizierungsstelle einzurichten und TLS-Zertifikate über eine API auszustellen. Sie können diese Art von Zertifikaten in Szenarien verwenden, in denen Sie die Vertrauenskette auf der Clientseite der TLS-Verbindung kontrollieren und verwalten. Zusätzlich zu TLS-Anwendungsfällen kann AWS Private CA für die Ausstellung von Zertifikaten für Kubernetes-Pods, Matter-Geräteproduktbescheinigungen, Codesignaturen und andere Anwendungsfälle verwendet werden, und zwar mit einer [benutzerdefinierten Vorlage](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html). Sie können auch [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden, um temporäre IAM-Anmeldeinformationen für On-Premises-Workloads bereitzustellen, für die von Ihrer privaten CA signierte X.509-Zertifikate ausgestellt wurden.
Zusätzlich zu ACM und AWS Private CA bietet [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html) spezielle Unterstützung für die Bereitstellung und Verwaltung von PKI-Zertifikaten für IoT-Geräte. AWS IoT Core bietet spezielle Mechanismen für das [das groß angelegte Onboarding von IoT-Geräten](https://docs.aws.amazon.com/whitepapers/latest/device-manufacturing-provisioning/device-manufacturing-provisioning.html) in Ihre Public-Key-Infrastruktur.
**Überlegungen zur Einrichtung einer privaten CA-Hierarchie **
Wenn Sie eine private Zertifizierungsstelle einrichten müssen, ist es wichtig, dass Sie besonders darauf achten, die CA-Hierarchie im Voraus richtig zu entwerfen. Es hat sich bewährt, beim Erstellen einer privaten CA-Hierarchie jede Ebene der Hierarchie in separaten AWS-Konten bereitzustellen. Dieser gezielte Schritt reduziert die Oberfläche für jede Ebene in der CA-Hierarchie, wodurch es einfacher wird, Anomalien in CloudTrail-Protokolldaten zu erkennen und den Umfang des Zugriffs oder die Auswirkungen eines unbefugten Zugriffs auf eines der Konten zu reduzieren. Die Stammzertifizierungsstelle sollte sich in einem eigenen separaten Konto befinden und nur zur Ausstellung eines oder mehrerer Zertifikate für eine Zwischenzertifizierungsstelle verwendet werden.
Erstellen Sie dann eine oder mehrere Zwischenzertifizierungsstellen in Konten, die vom Konto der Stammzertifizierungsstelle getrennt sind, um Zertifikate für Endbenutzer, Geräte oder andere Workloads auszustellen. Stellen Sie abschließend Zertifikate von Ihrer Stammzertifizierungsstelle an die Zwischenzertifizierungsstellen aus, die wiederum Zertifikate für die Endbenutzer oder Geräte ausstellen. Weitere Informationen zur Planung Ihrer CA-Bereitstellung und zum Entwerfen einer CA-Hierarchie, einschließlich Planung von Ausfallsicherheit, regionsübergreifender Replikation, gemeinsamer Nutzung von Zertifizierungsstellen in Ihrer Organisation und mehr, finden Sie unter [Planung Ihrer AWS Private CA-Bereitstellung ](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html).
### Implementierungsschritte
1. Ermitteln Sie die relevanten AWS-Services, die für Ihren Anwendungsfall erforderlich sind:
+ Viele Anwendungsfälle können die bestehende Public-Key-Infrastruktur von AWS mithilfe von [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)nutzen. ACM kann zur Bereitstellung von TLS-Zertifikaten für Webserver, Load Balancer oder für andere Zwecke für öffentlich vertrauenswürdige Zertifikate verwendet werden.
+ Erwägen Sie die [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) , wenn Sie Ihre eigene private Zertifizierungsstellenhierarchie einrichten müssen oder Zugriff auf exportierbare Zertifikate benötigen. Mit ACM können dann [viele Arten von Endentitätszertifikaten](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html) mit dem AWS Private CA ausgegeben werden.
+ Für Anwendungsfälle, in denen Zertifikate für eingebettete Geräte des Internet der Dinge (IoT) in großem Umfang bereitgestellt werden müssen, erwägen Sie den Einsatz von [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html).
1. Implementieren Sie nach Möglichkeit eine automatische Zertifikatsverlängerung:
+ Verwenden Sie [ACM verwaltete Verlängerung](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) für Zertifikate, die von ACM zusammen mit integrierten AWS Managed Services ausgestellt wurden.
1. Richten Sie die Sie Protokollierung und Prüfpfade ein:
+ Aktivieren Sie [CloudTrail-Protokolle,](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html) um Zugriff auf die Konten zu verfolgen, die Zertifizierungsstellen enthalten. Erwägen Sie, die Integritätsprüfung der Protokolldatei in CloudTrail zu konfigurieren, um die Authentizität der Protokolldaten zu überprüfen.
+ Generieren und überprüfen Sie regelmäßig [Auditberichte,](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html) in denen die Zertifikate aufgeführt werden, die Ihre private CA ausgestellt oder widerrufen hat. Diese Berichte können in einen S3-Bucket exportiert werden.
+ Wenn Sie eine private CA bereitstellen, müssen Sie auch einen S3-Bucket einrichten, um die CRL (Certificate Revocation List, Zertifikatssperrliste) zu speichern. Anleitungen zur Konfiguration dieses S3-Buckets basierend auf den Anforderungen Ihres Workloads finden Sie unter [Planung einer Zertifikatssperrliste (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung](sec_protect_data_rest_key_mgmt.md)
+ [SEC09-BP04 Authentifizieren der Netzwerkkommunikation](sec_protect_data_transit_authentication.md)
**Zugehörige Dokumente:**
+ [Hosten und Verwalten einer ganzen privaten Zertifikatinfrastruktur in AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ [Sichern einer ACM Private CA-Hierarchie auf Unternehmensebene für die Automobil- und Produktionsbranche](https://aws.amazon.com/blogs/security/how-to-secure-an-enterprise-scale-acm-private-ca-hierarchy-for-automotive-and-manufacturing/)
+ [Bewährte Private-CA-Methoden](https://docs.aws.amazon.com/privateca/latest/userguide/ca-best-practices.html)
+ [So verwenden Sie AWS RAM, um Ihre ACM Private CA kontoübergreifend zu teilen](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)
**Zugehörige Videos:**
+ [Aktivieren von AWS Certificate Manager Certificate Manager Private CA (Workshop)](https://www.youtube.com/watch?v=XrrdyplT3PE)
**Zugehörige Beispiele:**
+ [Private CA-Workshop](https://catalog.workshops.aws/certificatemanager/en-US/introduction)
+ [Workshop zur IOT-Geräteverwaltung](https://iot-device-management.workshop.aws/en/) (einschließlich der Gerätebereitstellung)
**Zugehörige Tools:**
+ [Plugin für Kubernetes-Zertifikatmanager für die Verwendung von AWS Private CA](https://github.com/cert-manager/aws-privateca-issuer)
# SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung
Erzwingen Sie Ihre definierten Verschlüsselungsanforderungen basierend auf den Richtlinien, regulatorischen Verpflichtungen und Standards Ihrer Organisation, damit Sie Ihre Unternehmens-, Rechts- und Compliance-Anforderungen erfüllen können. Verwenden Sie nur Protokolle mit Verschlüsselung, wenn Sie vertrauliche Daten außerhalb Ihrer Virtual Private Cloud (VPC) übertragen. Verschlüsselung hilft bei der Wahrung der Datenvertraulichkeit auch dann, wenn die Daten nicht vertrauenswürdige Netzwerke durchqueren.
**Gewünschtes Ergebnis:** Alle Daten sollten während der Übertragung mithilfe von sicheren TLS-Protokollen und Verschlüsselungssammlungen verschlüsselt werden. Der Netzwerkverkehr zwischen Ihren Ressourcen und dem Internet muss verschlüsselt werden, um nicht autorisierten Zugriff auf die Daten zu verhindern. Nur der Netzwerkverkehr in Ihrer internen AWS-Umgebung sollte wenn möglich mit TLS verschlüsselt werden. Das interne AWS-Netzwerk ist standardmäßig verschlüsselt und der Netzwerkverkehr innerhalb einer VPC kann nicht manipuliert oder analysiert werden, es sei denn, eine unbefugte Partei hat sich Zugang zu der Ressource verschafft, die den Datenverkehr generiert (wie beispielsweise Amazon EC2-Instances und Amazon ECS-Container). Überlegen Sie, ob Sie den Netzwerk-zu-Netzwerk-Datenverkehr mit einem IPsec Virtual Private Network (VPN) schützen sollten.
**Typische Anti-Muster:**
+ Verwendung veralteter Versionen von SSL, TLS und Komponenten von Verschlüsselungssammlungen (z. B. SSL v3.0, RSA-Schlüssel mit 1 024 Bit und RC4-Verschlüsselung)
+ Zulassen von unverschlüsseltem (HTTP-)Datenverkehr zu oder von öffentlich zugänglichen Ressourcen
+ keine Überwachung und kein Ersatz von X.509-Zertifikaten, bevor sie ablaufen
+ Verwendung von selbstsignierten X.509-Zertifikaten für TLS
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
AWS-Services bieten HTTPS-Endpunkte, die für die Kommunikation TLS nutzen. Dadurch werden die Daten bei der Kommunikation mit den AWS-APIs während der Übertragung verschlüsselt. Unsichere Protokolle wie HTTP können in einer VPC durch die Verwendung von Sicherheitsgruppen überprüft und blockiert werden. HTTP-Anfragen können in Amazon CloudFront oder einem [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions) auch [automatisch an HTTPS umgeleitet](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) werden. Sie haben uneingeschränkte Kontrolle über Ihre Datenverarbeitungsressourcen und können die Verschlüsselung während der Übertragung in alle Ihre Services implementieren. Darüber hinaus können Sie die VPN-Konnektivität mit Ihrer VPC von einem externen Netzwerk oder [AWS Direct Connect](https://aws.amazon.com/directconnect/) aus verwenden, um die Verschlüsselung des Datenverkehrs zu erleichtern. Stellen Sie sicher, dass Ihre Kunden AWS-API-Aufrufe mindestens mit TLS 1.2 tätigen, da [AWS die Verwendung von TLS 1.0 und 1.1 im Juni 2023 einstellt](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Sollten Sie besondere Anforderungen haben, finden Sie Lösungen von Drittanbietern im AWS Marketplace.
**Implementierungsschritte**
+ **Erzwingen der Verschlüsselung bei der Übertragung:** Die definierten Verschlüsselungsanforderungen sollten sich nach den neuesten Standards und bewährten Methoden richten und nur sichere Protokolle zulassen. Konfigurieren Sie beispielsweise eine Sicherheitsgruppe, die nur das HTTPS-Protokoll für einen Application Load Balancer oder eine Amazon EC2-Instance zulässt.
+ **Konfigurieren von sicheren Protokollen bei Edge-Services:** [Konfigurieren Sie HTTPS mit Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) und verwenden Sie ein [für Ihren Sicherheitsstatus und Ihren Anwendungsfall geeignetes Sicherheitsprofil](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers).
+ **Verwenden eines [VPN für die externe Konnektivität](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):** Ziehen Sie ein IPsec-VPN in Betracht, um Punkt-zu-Punkt- oder Netzwerk-zu-Netzwerk-Verbindungen zu sichern und so den Datenschutz und die Datenintegrität zu gewährleisten.
+ **Konfigurieren von sicheren Protokollen bei Load Balancern:** Wählen Sie eine Sicherheitsrichtlinie aus, die die stärksten Verschlüsselungssammlungen bereitstellt, die von den Clients unterstützt werden, die eine Verbindung mit dem Listener herstellen. [Erstellen Sie einen HTTPS-Listener für Ihren Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ **Konfigurieren von sicheren Protokollen in Amazon Redshift:** Konfigurieren Sie Ihren Cluster so, dass eine [Verbindung über Secure Socket Layer (SSL) or Transport Layer Security (TLS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html) vorgeschrieben ist.
+ **Konfigurieren von sicheren Protokollen:** Sehen Sie sich die AWS-Servicedokumentation an, um die Funktionen zur Verschlüsselung während der Übertragung zu bestimmen.
+ **Konfigurieren von sicherem Zugriff beim Hochladen in Amazon S3-Buckets:** Verwenden Sie die Richtlinienkontrolle für Amazon S3-Buckets, um [sicheren Zugriff](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) auf Daten zu erzwingen.
+ **Erwägen der Verwendung von [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):** ACM ermöglicht das Bereitstellen und Verwalten von öffentlichen TLS-Zertifikaten zur Verwendung mit AWS-Services.
+ **Erwägen der Verwendung von [AWS Private Certificate Authority](https://aws.amazon.com/private-ca/) für private PKI-Anforderungen:** AWS Private CA ermöglicht das Erstellen privater Zertifizierungsstellenhierarchien, um X.509-Endentitätszertifikate auszustellen, die zum Erstellen verschlüsselter TLS-Kanäle verwendet werden können.
## Ressourcen
**Zugehörige Dokumente:**
+ [ Dokumentation zu AWS](https://docs.aws.amazon.com/index.html)
+ [ Verwenden von HTTPS mit CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Verbinden Ihrer VPC mit Remote-Netzwerken über AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Create an HTTPS listener for your Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)(Erstellen eines HTTPS-Listeners für Ihren Application Load Balancer)
+ [ Tutorial: SSL/TLS unter Amazon Linux 2 konfigurieren ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [Konfigurieren von Sicherheitsoptionen für Verbindungen ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
# SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff
Verwenden Sie Tools wie Amazon GuardDuty zum automatischen Erkennen von verdächtigen Aktivitäten oder Versuchen, Daten außerhalb definierter Grenzen zu verschieben. GuardDuty kann beispielsweise ungewöhnliche Amazon Simple Storage Service (Amazon S3)-Leseaktivitäten erkennen. Verwendet wird dafür [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Zusätzlich zu GuardDuty können auch [Amazon VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), die die Netzwerkverkehrsinformationen erfassen, zusammen mit Amazon EventBridge verwendet werden, um die Erkennung anormaler Verbindungen – sowohl erfolgreich als auch abgelehnt – zu berichten. [Mit Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) können Sie ermitteln, welche Daten für wen in Ihren Amazon S3-Buckets zugänglich sind.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Automatisieren der Erkennung von unbefugtem Datenzugriff: Setzen Sie Tools oder Erkennungsmechanismen ein, die automatisch erkennen, wenn versucht wird, Daten außerhalb festgelegter Grenzen zu verschieben. Damit lässt sich beispielsweise ein Datenbanksystem erkennen, das Daten auf einen unbekannten Host kopiert.
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Erwägen von Amazon Macie: Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der mithilfe von Machine Learning und Mustervergleichen Ihre sensiblen Daten in AWS erkennt und schützt.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Ressourcen
**Ähnliche Dokumente:**
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Authentifizieren der Netzwerkkommunikation
Überprüfen Sie die Identität der Kommunikation mithilfe von Protokollen, die die Authentifizierung unterstützen, wie Transport Layer Security (TLS) oder IPsec.
Entwerfen Sie Ihren Workload so, dass bei der Kommunikation zwischen Services, Anwendungen oder Benutzern sichere, authentifizierte Netzwerkprotokolle verwendet werden. Die Verwendung von Netzwerkprotokollen, die Authentifizierung und Autorisierung unterstützen, bietet eine strengere Kontrolle über den Netzwerkfluss und reduziert die Auswirkungen von nicht autorisiertem Zugriff.
**Gewünschtes Ergebnis: ** Ein Workload mit klar definierten Datenflüssen auf der Daten- und Steuerebene zwischen den Services. Die Datenflüsse verwenden authentifizierte und verschlüsselte Netzwerkprotokolle, sofern dies technisch möglich ist.
**Typische Anti-Muster:**
+ Unverschlüsselte oder unauthentifizierte Datenflüsse innerhalb Ihres Workloads
+ Wiederverwendung von Authentifizierungsdaten für mehrere Benutzer oder Entitäten
+ Die alleinige Verwendung von Netzwerkkontrollen als Zugriffskontrolle
+ Erstellen eines benutzerdefinierten Authentifizierungsmechanismus, anstatt sich auf die Standard-Authentifizierungsmechanismen der Branche zu verlassen
+ Übermäßig freizügige Datenflüsse zwischen Servicekomponenten oder anderen Ressourcen in der VPC
**Vorteile der Nutzung dieser bewährten Methode:**
+ Schränkt den Umfang der Auswirkungen eines unberechtigten Zugriffs auf einen Teil des Workloads ein
+ Bietet ein höheres Maß an Sicherheit, dass Aktionen nur von authentifizierten Personen durchgeführt werden können
+ Verbessert die Entkopplung von Diensten, indem die vorgesehenen Schnittstellen für die Datenübertragung klar definiert und durchgesetzt werden
+ Verbessert die Überwachung, Protokollierung und Reaktion auf Vorfälle durch die Zuordnung von Anfragen und gut definierte Kommunikationsschnittstellen
+ Bietet durch die Kombination von Netzwerkkontrollen mit Authentifizierungs- und Autorisierungskontrollen einen umfassenden Schutz für Ihre Workloads
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** niedrig
## Implementierungsleitfaden
Die Netzwerkverkehrsmuster Ihres Workloads lassen sich in zwei Kategorien einteilen:
+ Der *Ost-West-Verkehr* steht für Datenflüsse zwischen Services, die einen Workload ausmachen.
+ Der *Nord-Süd-Verkehr* stellt die Datenflüsse zwischen Ihrem Workload und den Verbrauchern dar.
Während es üblich ist, den Nord-Süd-Verkehr zu verschlüsseln, ist die Sicherung des Ost-West-Verkehrs mit authentifizierten Protokollen weniger verbreitet. Moderne Sicherheitspraktiken empfehlen, dass das Netzwerkdesign allein noch keine vertrauenswürdige Beziehung zwischen zwei Entitäten gewährleistet. Auch wenn sich zwei Services innerhalb einer gemeinsamen Netzwerkgrenze befinden, ist es immer noch die beste Methode, die Kommunikation zwischen diesen Services zu verschlüsseln, zu authentifizieren und zu autorisieren.
Beispielsweise verwenden AWS-Service-APIs das Signaturprotokoll [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html), um den Anforderer zu authentifizieren, unabhängig davon, aus welchem Netzwerk die Anfrage stammt. Diese Authentifizierung stellt sicher, dass AWS-APIs die Identität des Anforderers der Aktion überprüfen können. Diese Identität kann dann mit Richtlinien kombiniert werden, um eine Autorisierungsentscheidung zu treffen, ob die Aktion erlaubt werden soll oder nicht.
Mit Services wie [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/access-management-overview.html) und [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) können Sie das gleiche SigV4-Signaturprotokoll verwenden, um den Ost-West-Verkehr in Ihren eigenen Workloads zu authentifizieren und zu autorisieren. Wenn Ressourcen außerhalb Ihrer AWS-Umgebung mit Services kommunizieren müssen, die eine SigV4-basierte Authentifizierung und Autorisierung erfordern, können Sie [AWS Identity and Access Management (IAM) Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) auf der AWS-fremden Ressource verwenden, um temporäre AWS-Anmeldeinformationen zu erhalten. Diese Anmeldeinformationen können verwendet werden, um Anfragen an Services zu signieren, die mit SigV4 den Zugriff autorisieren.
Ein weiterer gängiger Mechanismus zur Authentifizierung des Ost-West-Verkehrs ist die gegenseitige TLS-Authentifizierung (mTLS). Viele Internet der Dinge (IoT)- und Business-to-Business-Anwendungen sowie Microservices verwenden mTLS, um die Identität beider Seiten einer TLS-Kommunikation durch die Verwendung von X.509-Zertifikaten auf Client- und Server-Seite zu validieren. Diese Zertifikate können von AWS Private Certificate Authority (AWS Private CA) ausgestellt werden. Sie können Services wie [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) und [AWS App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html) verwenden, um die mTLS-Authentifizierung für die Kommunikation zwischen oder innerhalb eines Workloads bereitzustellen. Während mTLS Authentifizierungsinformationen für beide Seiten einer TLS-Kommunikation bereitstellt, bietet es keinen Mechanismus zur Autorisierung.
Die Protokolle OAuth 2.0 und OpenID Connect (OIDC) schließlich werden in der Regel für die Kontrolle des Zugriffs von Benutzern auf Services verwendet, erfreuen sich aber inzwischen auch für den Datenverkehr zwischen Services zunehmender Beliebtheit. API Gateway bietet einen [JSON Web Token (JWT)-Genehmiger](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html), mit dem Workloads den Zugriff auf API-Routen mithilfe von JWTs beschränken können, die von OIDC- oder OAuth 2.0-Identitätsanbietern ausgestellt werden. OAuth2-Bereiche können als Quelle für grundlegende Autorisierungsentscheidungen verwendet werden, aber die Autorisierungsprüfungen müssen immer noch in der Anwendungsschicht implementiert werden. Und OAuth2-Bereiche allein können komplexere Autorisierungsanforderungen nicht unterstützen.
### Implementierungsschritte
+ **Definieren und Dokumentieren der Netzwerkflüsse Ihres Workloads:** Der erste Schritt bei der Implementierung einer umfassenden Verteidigungsstrategie ist die Definition der Datenflüsse Ihres Workloads.
+ Erstellen Sie ein Datenflussdiagramm, das klar definiert, wie Daten zwischen den verschiedenen Services, aus denen Ihr Workload besteht, übertragen werden. Dieses Diagramm ist der erste Schritt zur Durchsetzung dieser Datenflüsse über authentifizierte Netzwerkkanäle.
+ Nutzen Sie Ihre Workloads in der Entwicklungs- und Testphase, um zu überprüfen, ob das Datenflussdiagramm das Verhalten der Workloads zur Laufzeit korrekt wiedergibt.
+ Ein Datenflussdiagramm kann auch bei der Durchführung einer Bedrohungsmodellierung nützlich sein, wie in [SEC01-BP07 Identifizierung von Bedrohungen und Priorisierung von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html) beschrieben.
+ **Einrichten von Netzwerkkontrollen:** Erwägen Sie AWS-Funktionen, um Netzwerkkontrollen einzurichten, die auf Ihre Datenflüsse abgestimmt sind. Netzwerkgrenzen sollten zwar nicht die einzige Sicherheitskontrolle sein, aber sie stellen eine Stufe der umfassenden Verteidigungsstrategie zum Schutz Ihres Workloads dar.
+ Verwenden Sie [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html), um den Datenfluss zwischen Ressourcen zu definieren und einzuschränken.
+ Verwenden Sie [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html), um sowohl mit AWS als auch mit Drittanbieterservices zu kommunizieren, die AWS PrivateLink unterstützen. Daten, die über einen AWS PrivateLink-Schnittstellen-Endpunkt gesendet werden, bleiben innerhalb des AWS-Netzwerk-Backbones und durchlaufen nicht das öffentliche Internet.
+ **Implementieren von Authentifizierung und Autorisierung für alle Services in Ihrem Workload:** Wählen Sie die AWS-Services aus, die am besten geeignet sind, um authentifizierte, verschlüsselte Datenflüsse in Ihrem Workload bereitzustellen.
+ Erwägen Sie [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html), um die serviceübergreifende Kommunikation zu sichern. VPC Lattice kann die [SigV4-Authentifizierung in Kombination mit Authentifizierungsrichtlinien](https://docs.aws.amazon.com/vpc-lattice/latest/ug/auth-policies.html) verwenden, um den Zugriff von Service zu Service zu kontrollieren.
+ Für die serviceübergreifende Kommunikation mit mTLS sollten Sie [API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) oder [App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html) in Betracht ziehen. [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) kann verwendet werden, um eine private CA-Hierarchie einzurichten, die Zertifikate für die Verwendung mit mTLS ausstellen kann.
+ Bei der Integration mit Services, die OAuth 2.0 oder OIDC verwenden, sollten Sie den [API GatewayJWT-Genehmiger](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html) verwenden.
+ Für die Kommunikation zwischen Ihrem Workload und IoT-Geräten sollten Sie [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/client-authentication.html) in Betracht ziehen, das mehrere Optionen für die Verschlüsselung und Authentifizierung des Netzwerkverkehrs bietet.
+ **Überwachung auf nicht autorisierten Zugriff:** Überwachen Sie kontinuierlich unbeabsichtigte Kommunikationskanäle, nicht autorisierte Auftraggeber, die versuchen, auf geschützte Ressourcen zuzugreifen, und andere unzulässige Zugriffsmuster.
+ Wenn Sie VPC Lattice zur Verwaltung des Zugriffs auf Ihre Services verwenden, sollten Sie die Zugriffsprotokolle von [VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html) aktivieren und überwachen. Diese Zugriffsprotokolle enthalten Informationen über die anfragende Entität, Netzwerkinformationen einschließlich Quell- und Ziel-VPC und Metadaten der Anfrage.
+ Erwägen Sie die Aktivierung von [VPC Flow-Protokollen](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), um Metadaten zu Netzwerkflüssen zu erfassen und regelmäßig auf Anomalien zu überprüfen.
+ Weitere Hinweise zum Planen, Simulieren und Reagieren auf Sicherheitsvorfälle finden Sie in der [AWS-Sicherheits- und Vorfallreaktionsanleitung](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) und im [Vorfallreaktionsabschnitt](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) der Sicherheitssäule des AWS-Well-Architected-Framework.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)
**Zugehörige Dokumente:**
+ [ Evaluating access control methods to secure Amazon API Gateway APIs ](https://aws.amazon.com/blogs/compute/evaluating-access-control-methods-to-secure-amazon-api-gateway-apis/)(Evaluierung von Zugriffskontrollmethoden zur Sicherung von Amazon API Gateway-APIs)
+ [ Konfiguration der gegenseitigen TLS-Authentifizierung für eine REST-API ](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html)
+ [ How to secure API Gateway HTTP endpoints with JWT authorizer ](https://aws.amazon.com/blogs/security/how-to-secure-api-gateway-http-endpoints-with-jwt-authorizer/)(So sichern Sie API Gateway-HTTP-Endpunkte mit dem JWT-Genehmiger)
+ [ Authorizing direct calls to AWS services using AWS IoT Core credential provider ](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)(Autorisieren von direkten Aufrufen von AWS-Services mithilfe des AWS IoT Core-Anbieters von Anmeldeinformationen)
+ [AWS-Sicherheits- und Vorfallreaktionsanleitung ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
**Zugehörige Videos:**
+ [AWS re:invent 2022: Introducing VPC Lattice ](https://www.youtube.com/watch?v=fRjD1JI0H5w)(AWS re:invent 2022: Einführung in VPC Lattice)
+ [AWS re:invent 2020: Serverless API authentication for HTTP APIs on AWS](https://www.youtube.com/watch?v=AW4kvUkUKZ0)(Serverless-API-Authentifizierung für HTTP-APIs in AWS)
**Zugehörige Beispiele:**
+ [ Amazon VPC Lattice-Workshop ](https://catalog.us-east-1.prod.workshops.aws/workshops/9e543f60-e409-43d4-b37f-78ff3e1a07f5/en-US)
+ [ Zero-Trust Episode 1 – The Phantom Service Perimeter workshop ](https://catalog.us-east-1.prod.workshops.aws/workshops/dc413216-deab-4371-9e4a-879a4f14233d/en-US)(Workshop zum Phantomdienst „Perimeter“)
# Vorfallsreaktion
**Topics**
+ [SEC 10. Wie können Sie Vorfälle voraussagen, darauf reagieren und diese beheben?](sec-10.md)
# SEC 10. Wie können Sie Vorfälle voraussagen, darauf reagieren und diese beheben?
Obwohl die präventiven und Erkennungskontrollen mittlerweile ausgereift sind, sollte Ihr Unternehmen Verfahren etablieren, um auf Sicherheitsvorfälle reagieren und mögliche Auswirkungen mindern zu können. Ihre Vorbereitung wirkt sich stark auf die Fähigkeit Ihrer Teams aus, während eines Vorfalls effektiv zu arbeiten, Probleme zu isolieren, einzudämmen und forensisch zu untersuchen sowie den Betrieb in einem bekannten guten Zustand wiederherzustellen. Durch die Bereitstellung von Tools und Zugriff vor einem Sicherheitsvorfall und die routinemäßige Reaktion auf Vorfälle im Alltag können Sie sicherstellen, dass Sie eine Wiederherstellung durchführen und die Betriebsunterbrechung minimieren können.
**Topics**
+ [SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Entwickeln von Vorfallmanagementplänen](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Vorbereiten forensischer Funktionen](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle](sec_incident_response_playbooks.md)
+ [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Vorabbereitstellen von Tools](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Durchführen von Simulationen](sec_incident_response_run_game_days.md)
+ [SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen](sec_incident_response_establish_incident_framework.md)
# SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen
Ermitteln Sie interne und externe Mitarbeiter und Ressourcen, die bei Auftreten eines Vorfalls reagieren können.
Wenn Sie Ihren Ansatz zur Vorfallreaktion in der Cloud definieren, müssen Sie in Zusammenarbeit mit anderen Teams (z. B. Rechtsberater, Geschäftsleitung, Business-Stakeholder, AWS-Support-Services usw.) wichtige Mitarbeiter, Interessengruppen und relevante Kontakte identifizieren. Um Abhängigkeiten zu reduzieren und die Reaktionszeit zu verkürzen, müssen Sie sicherstellen, dass Ihr Team, die spezialisierten Sicherheitsteams und die Kundendienstmitarbeiter über die Services informiert sind, die Sie nutzen, und die Gelegenheit erhalten, praktische Erfahrungen zu sammeln.
Wir empfehlen Ihnen, externe AWS-Sicherheitspartner zu identifizieren, die Ihnen externes Fachwissen und eine andere Perspektive bieten können, um Ihre Reaktionsfähigkeit zu verbessern. Ihre vertrauenswürdigen Sicherheitspartner können Ihnen dabei helfen, potenzielle Risiken oder Bedrohungen zu identifizieren, mit denen Sie möglicherweise nicht vertraut sind.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Hoch
## Implementierungsleitfaden
+ **Ermitteln von Personal in Schlüsselfunktionen im Unternehmen:** Pflegen Sie eine Kontaktliste mit Mitarbeitern Ihres Unternehmens, die bei Eintreten eines Vorfalls hinzugezogen werden müssen, um darauf zu reagieren und die Sicherheit wiederherzustellen.
+ **Externe Partner ermitteln** Beauftragen Sie gegebenenfalls externe Partner, die bei der Reaktion auf einen Vorfall und bei der Wiederherstellung der Sicherheit behilflich sein können.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Security Incident Response Guide (AWS-Sicherheitsleitfaden für die Vorfallreaktion)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Zugehörige Videos:**
+ [Prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://youtu.be/8uiO0Z5meCs)
**Zugehörige Beispiele:**
# SEC10-BP02 Entwickeln von Vorfallmanagementplänen
Das erste Dokument, das für die Vorfallreaktion entwickelt werden muss, ist der Vorfallreaktionsplan. Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert.
**Vorteile der Nutzung dieser bewährten Methode:** Die Entwicklung gründlicher und klar definierter Prozesse zur Vorfallreaktion ist der Schlüssel zu einem erfolgreichen und skalierbaren Vorfallreaktionsprogramm. Wenn ein Sicherheitsereignis eintritt, können Ihnen klare Schritte und Workflows dabei helfen, rechtzeitig zu reagieren. Möglicherweise verfügen Sie bereits über bestehende Prozesse zur Vorfallreaktion. Unabhängig von Ihrem aktuellen Status ist es wichtig, Ihre Prozesse zur Vorfallreaktion regelmäßig zu aktualisieren, zu wiederholen und zu testen.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Hoch
## Implementierungsleitfaden
Ein Vorfallreaktionsplan ist von entscheidender Bedeutung, um auf Sicherheitsvorfälle zu reagieren, sie einzudämmen und ihre potenziellen Folgen zu beheben. Ein Vorfallmanagementplan ist ein strukturierter Prozess für die Identifizierung und Behebung von Sicherheitsvorfällen sowie die zeitgerechte Reaktion darauf.
In der Cloud gibt es viele der betrieblichen Rollen und Anforderungen, die auch für eine On-Premises-Umgebung typisch sind. Bei der Erstellung eines Vorfallmanagementplans ist es wichtig, Reaktions- und Wiederherstellungsstrategien zu berücksichtigen, die optimal zu Ihren Anforderungen an geschäftliche Ergebnisse und Compliance passen. Wenn Sie beispielsweise Workloads in AWS bearbeiten, die mit FedRAMP in den USA kompatibel sind, sollten Sie den [NIST SP 800-61 Computer Security Handling Guide berücksichtigen](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Ähnlich gilt beim Betrieb von Workloads mit persönlich identifizierbaren Informationen (PII) in Europa, dass Sie an Szenarien denken sollten, in denen Sie diese schützen und auf Probleme reagieren müssen, die im Zusammenhang mit den Bestimmungen zu Datenspeicherorten der [Regulierungen der Datenschutz-Grundverordnung (DSGVO) der EU stehen](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Wenn Sie einen Vorfallmanagementplan für Ihre Workloads in AWS erstellen, beginnen Sie mit dem [AWS-Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) zum Aufbau eines gründlichen Verteidigungskonzepts im Rahmen Ihrer Vorfallreaktionen. In diesem Modell kümmert sich AWS um die Sicherheit der Cloud und Sie sind für die Sicherheit in der Cloud verantwortlich. Dies bedeutet, dass Sie die Kontrolle behalten und für die Sicherheitskontrollen verantwortlich sind, für deren Implementierung Sie sich entscheiden. Der [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) enthält zentrale Konzepte und grundlegende Anleitungen für den Aufbau eines cloudbasierten Vorfallmanagementplans.
Ein effektiver Vorfallmanagementplan muss kontinuierlich iteriert und stets an die Ziele Ihrer Cloud-Operationen angepasst werden. Erwägen Sie die Verwendung der nachfolgend erläuterten Implementierungspläne für die Erstellung und Weiterentwicklung Ihres Vorfallmanagementplans.
## Implementierungsschritte
**Definieren von Rollen und Zuständigkeiten**
Der Umgang mit Sicherheitsereignissen erfordert organisationsübergreifende Disziplin und Handlungsbereitschaft. Innerhalb Ihrer Organisationsstruktur sollte es viele Personen geben, die für einen Vorfall verantwortlich, rechenschaftspflichtig, konsultiert oder auf dem Laufenden gehalten werden, z. B. Vertreter der Personalabteilung (HR), des Führungsteams und der Rechtsabteilung. Berücksichtigen Sie diese Rollen und Verantwortlichkeiten und ob Dritte beteiligt sein müssen. Beachten Sie, dass in vielen Regionen lokale Gesetze gelten, die regeln, was getan werden sollte und was nicht. Auch wenn es bürokratisch erscheinen mag, ein Diagramm für Verantwortung, Rechenschaftspflicht, Berater und zu Informierende (RACI) für Ihre Sicherheitspläne zu erstellen, erleichtert dies eine schnelle und direkte Kommunikation und gibt einen klaren Überblick über die Führungskräfte in den verschiedenen Phasen des Ereignisses.
Bei einem Vorfall ist es von entscheidender Bedeutung, die Eigentümer und Entwickler der betroffenen Anwendungen und Ressourcen einzubeziehen, da es sich um Fachexperten (SMEs) handelt, die Informationen und Zusammenhänge bereitstellen können, um die Auswirkungen zu messen. Üben Sie und bauen Sie Beziehungen zu den Entwicklern und Anwendungsbesitzern auf, bevor Sie sich bei der Vorfallreaktion auf deren Fachwissen verlassen. Anwendungsinhaber oder SMEs, wie Ihre Cloud-Administratoren oder Techniker, müssen möglicherweise in Situationen handeln, in denen die Umgebung nicht vertraut oder komplex ist oder in denen die Handelnden keinen Zugriff haben.
Schließlich könnten vertrauenswürdige Partner in die Untersuchung oder Reaktion einbezogen werden, da sie zusätzliches Fachwissen und wertvolle Einblicke bereitstellen können. Wenn Sie in Ihrem eigenen Team nicht über diese Fähigkeiten verfügen, sollten Sie eine externe Partei mit der Unterstützung beauftragen.
**Die AWS-Reaktionsteams und der Support**
+ **AWS Support**
+ [Support](https://aws.amazon.com/premiumsupport/) bietet eine Reihe von Tarifen, die den Zugriff auf Tools und Fachwissen ermöglichen, um den Erfolg und die Betriebssicherheit Ihrer AWS-Lösungen zu unterstützen. Wenn Sie technischen Support und weitere Ressourcen benötigen, um Ihre AWS-Umgebung zu planen, bereitzustellen und zu optimieren, können Sie einen Supportplan auswählen, der am besten zu Ihrem AWS-Anwendungsfall passt.
+ Das [Support-Center](https://console.aws.amazon.com/support) in der AWS-Managementkonsole (Anmeldung erforderlich) ist Ihre zentrale Anlaufstelle, um Unterstützung bei Problemen zu erhalten, die sich auf Ihre AWS-Ressourcen auswirken. Der Zugriff auf den Support wird über AWS Identity and Access Management gesteuert. Weitere Informationen zum Zugriff auf Support-Funktionen finden Sie unter [Erste Schritte mit Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support).
+ **AWS-Kundenvorfallreaktionsteam (CIRT)**
+ Das AWS-Kundenvorfallreaktionsteam (CIRT) ist ein spezialisiertes globales, rund um die Uhr verfügbares AWS-Team, das Kunden bei aktiven Sicherheitsereignissen auf Kundenseite des [AWS-Modells der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/).
+ Wenn das AWS-CIRT Sie unterstützt, bietet es Hilfe bei der Fehlererkennung und Wiederherstellung eines aktiven Sicherheitsereignisses auf AWS an. Sie können mithilfe von AWS-Serviceprotokollen bei der Ursachenanalyse helfen und Ihnen Empfehlungen für die Wiederherstellung geben. Sie können Ihnen auch Sicherheitsempfehlungen und bewährte Methoden an die Hand geben, mit denen Sie Sicherheitsereignisse in Zukunft vermeiden können.
+ AWS-Kunden können das AWS-CIRT über einen [Support-Fall](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
+ **Unterstützung für DDoS-Response**
+ AWS bietet [AWS Shield](https://aws.amazon.com/shield/), das einen verwalteten Distributed Denial of Service (DDoS)-Schutzservice bereitstellt, der laufende Webanwendungen auf AWS schützt. Shield bietet eine ständig aktive Erkennung und automatische Inline-Schutzmaßnahmen, mit denen Ausfallzeiten und Latenz von Anwendungen minimiert werden können. Sie müssen also nicht Support kontaktieren, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von Shield: AWS Shield Standard und AWS Shield Advanced. Weitere Informationen zu den Unterschieden zwischen diesen beiden Stufen finden Sie unter [Shield-Funktionsdokumentation](https://aws.amazon.com/shield/features/).
+ **AWS Managed Services (AMS)**
+ [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) stellt eine fortlaufende Verwaltung Ihrer AWS-Infrastruktur bereit, damit Sie sich auf Ihre Anwendungen konzentrieren können. AMS trägt durch eine Implementierung bewährter Methoden zur Verwaltung Ihrer Infrastruktur dazu bei, den Betriebsaufwand zu reduzieren und das Risiko zu senken. Außerdem automatisiert AMS häufige Aktivitäten wie Änderungsanforderungen, Überwachung, Patch-Verwaltung, Sicherheit sowie Backup-Services und bietet während der gesamten Lebensdauer Services zum Bereitstellen, Ausführen und Unterstützen Ihrer Infrastruktur.
+ AMS übernimmt die Verantwortung für die Bereitstellung einer Reihe von Sicherheitskontrollen und bietet rund um die Uhr Erstreaktion auf Warnmeldungen an. Wenn eine Warnung ausgelöst wird, befolgt AMS eine Reihe automatisierter und manueller Standard-Playbooks, um sicherzustellen, dass eine konsistente Reaktion gewährleistet ist. Diese Playbooks werden den AMS-Kunden während des Onboardings zur Verfügung gestellt, damit sie eine Antwort entwickeln und mit AMS abstimmen können.
**Erstellen des Vorfallreaktionsplans**
Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. Er sollte immer formell schriftlich festgehalten werden. Ein Vorfallreaktionsplan enthält in der Regel folgende Abschnitte:
+ **Ein Überblick über das Vorfallreaktionsteam:** Er enthält die Ziele und Funktionen des Vorfallreaktionsteams.
+ **Rollen und Zuständigkeiten:** Hier sind die für die Vorfallreaktion zuständigen Interessenvertreter aufgeführt und ihre Rollen im Falle eines Vorfalls werden beschrieben.
+ **Ein Kommunikationsplan:** Dieser enthält Kontaktinformationen und gibt an, wie Sie während eines Vorfalls kommunizieren.
+ **Alternative Kommunikationsmethoden:** Es hat sich bewährt, Out-of-Band-Kommunikation als Backup für die Kommunikation bei Vorfällen zu verwenden. Ein Beispiel für eine Anwendung, die einen sicheren Out-of-Band-Kommunikationskanal bereitstellt, ist AWS Wickr.
+ **Phasen der Vorfallreaktion und zu ergreifende Maßnahmen:** Hier sind die Phasen der Vorfallreaktion aufgeführt (z. B. Erkennung, Analyse, Beseitigung, Eindämmung und Wiederherstellung), einschließlich der in diesen Phasen zu ergreifenden allgemeinen Maßnahmen.
+ **Definitionen des Schweregrads und der Priorisierung des Vorfalls:** Hier wird erläutert, wie der Schweregrad eines Vorfalls klassifiziert wird, wie der Vorfall priorisiert wird und wie sich die Schweregraddefinitionen dann auf die Eskalationsverfahren auswirken.
Diese Abschnitte sind zwar in Unternehmen verschiedener Größen und Branchen üblich, der Vorfallreaktionsplan ist jedoch für jedes Unternehmen einzigartig. Sie müssen einen Vorfallreaktionsplan erstellen, der für Ihr Unternehmen am besten geeignet ist.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC04 (Wie erkenne und untersuche ich Sicherheitsereignisse?)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Zugehörige Dokumente:**
+ [Leitfaden für AWS Security Incident Response](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: Computer Security Incident Handling Guide ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
# SEC10-BP03 Vorbereiten forensischer Funktionen
Im Vorfeld eines Sicherheitsvorfalls sollten Sie erwägen, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel
Konzepte aus der traditionellen On-Premises-Forensik gelten für AWS. Wichtige Informationen für den Einstieg in den Aufbau forensischer Funktionen finden Sie AWS Cloud in den [Strategien für forensische Untersuchungsumgebungen in der AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/).
Sobald Sie Ihre Umgebung und AWS-Konto-Struktur für die Forensik eingerichtet haben, definieren Sie die Technologien, die für die effektive Durchführung forensisch fundierter Methoden in den vier Phasen erforderlich sind:
+ **Sammlung:** Erfassen Sie relevante AWS-Protokolle wie AWS CloudTrail, AWS Config, VPC Flow Logs und Protokolle auf Host-Ebene. Erfassen Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS-Ressourcen, sofern verfügbar.
+ **Prüfung:** Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten.
+ **Analyse:** Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und daraus Schlüsse zu ziehen.
+ **Berichterstellung:** Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben.
## Implementierungsschritte
**Vorbereiten Ihrer forensischen Umgebung**
[AWS Organizations](https://aws.amazon.com/organizations/) hilft Ihnen bei der zentralen Verwaltung und Steuerung einer AWS-Umgebung, während Sie AWS-Ressourcen erweitern und skalieren. Eine AWS-Organisation konsolidiert Ihre AWS-Konten, sodass Sie sie als eine einzige Einheit verwalten können. Sie können Organisationseinheiten (OEs) verwenden, um Konten zu gruppieren und als eine einzige Einheit zu verwalten.
Für die Reaktion auf Vorfälle ist es hilfreich, eine AWS-Konto-Struktur zu haben, die die Funktionen der Vorfallsreaktion unterstützt. Dazu gehören eine *Sicherheits-OE* und eine *Forensik-OE*. Innerhalb der Sicherheits-OE sollten Sie Konten für Folgendes haben:
+ **Archivierung des Protokolls:** Aggregieren Sie Protokolle in einem AWS-Konto für Protokollarchivierung mit eingeschränkten Berechtigungen.
+ **Sicherheitstools:** Zentralisieren Sie Sicherheitsservices in einem AWS-Konto für Sicherheitstools. Dieses Konto fungiert als delegierter Administrator für Sicherheitsservices.
Innerhalb der Forensik-OE haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, ein oder mehrere forensische Konten zu implementieren, je nachdem, welche für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie ein forensisches Konto pro Region erstellen, können Sie die Erstellung von AWS-Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in US East (N. Virginia) Region (`us-east-1`) und US West (Oregon) (`us-west-2`) arbeiten, hätten Sie zwei Konten in der forensischen Organisationseinheit: eine für `us-east-1` und eine für `us-west-2`.
Sie können ein forensisches AWS-Konto für mehrere Regionen erstellen. Sie sollten beim Kopieren von AWS-Ressourcen auf dieses Konto Vorsicht walten lassen, um sicherzustellen, dass Sie Ihre Anforderungen an die Datensouveränität einhalten. Da die Bereitstellung neuer Konten einige Zeit in Anspruch nimmt, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams darauf vorbereitet sind, sie effektiv für die Reaktion zu nutzen.
Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer Forensik-OE mit regionalen forensischen Konten:
![\[Flussdiagramm, das eine regionale Kontenstruktur für die Vorfallsreaktion zeigt und in eine Sicherheits- und Forensik-OE aufgespaltet wird.\]](http://docs.aws.amazon.com/de_de/wellarchitected/2023-10-03/framework/images/region-account-structure.png)
**Erfassen von Backups und Snapshots**
Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme in ihren vorherigen sicheren Zustand zurückversetzen. In AWS können Sie Snapshots von verschiedenen Ressourcen erstellen. Snapshots bieten Ihnen zeitpunktbezogene Backups dieser Ressourcen. Es gibt viele AWS-Services, die Sie beim Backup und der Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter [Präskriptive Leitlinien für Backup und Wiederherstellung](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) und [Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/).
Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zur Sicherung Ihrer Backups finden Sie in den [10 besten Sicherheitsmethoden für die Sicherung von Backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/). Zusätzlich zur Sicherung Ihrer Backups sollten Sie Ihre Backup- und Wiederherstellungsprozesse regelmäßig testen, um sicherzustellen, dass die vorhandenen Technologien und Prozesse wie erwartet funktionieren.
**Automatisieren der Forensik**
Während eines Sicherheitsereignisses muss Ihr Vorfallsreaktionsteam in der Lage sein, schnell Nachweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum rund um das Ereignis aufrechtzuerhalten (z. B. das Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder das Erfassen von Speicherabbildern einer Amazon EC2-Instance). Für das Vorfallsreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Beweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Aus diesen Gründen sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren.
AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die im Abschnitt Ressourcen unten aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die wir entwickelt und Kunden implementiert haben. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Sicherheits- und Vorfallsreaktionsanleitung – Forensische Funktionen entwickeln ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ [AWS-Sicherheits- und Vorfallsreaktionsanleitung – Forensische Ressourcen ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [Strategien für forensische Untersuchungsumgebungen in der AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+ [Automatisieren der forensischen Datenträgererfassung in AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
+ [Präskriptive AWS-Anleitung – Automatisieren der Vorfallsreaktion und Forensik ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)
**Zugehörige Videos:**
+ [ Automating Incident Response and Forensics ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
**Zugehörige Beispiele:**
+ [ Framework für automatisierte Vorfallsreaktion und Forensik ](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Automatisierter forensischer Orchestrator für Amazon EC2 ](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)
# SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle
Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallsreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallsreaktion enthalten eine Reihe von präskriptiven Anleitungen und Schritten, die Sie befolgen müssen, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel
## Implementierungsleitfaden
Playbooks sollten für Vorfallsszenarien wie die folgenden erstellt werden:
+ **Erwartete Vorfälle**: Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen.
+ **Bekannte Sicherheitserkenntnisse oder Warnungen**: Sie sollten Playbooks für Ihre bekannten Sicherheitserkenntnisse und Warnmeldungen wie GuardDuty-Ergebnisse erstellen. Möglicherweise erhalten Sie eine GuardDuty-Erkenntnis und denken: „Wie geht es weiter?“ Um zu verhindern, dass eine GuardDuty-Erkenntnis unsachgemäß gehandhabt oder ignoriert wird, sollten Sie für jede potenzielle GuardDuty-Erkenntnis ein Playbook erstellen. Einige Einzelheiten und Anleitungen zur Mängelbeseitigung finden Sie in der [GuardDuty-Dokumentation](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html). Es ist erwähnenswert, dass GuardDuty standardmäßig nicht aktiviert ist und dafür Kosten anfallen. Weitere Informationen finden GuardDuty Sie in [Anhang A: Definitionen der Cloud-Funktionen –Sichtbarkeit und Warnmeldungen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/visibility-and-alerting.html).
Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren.
### Implementierungsschritte
Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören:
+ **Playbook-Übersicht**: Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks?
+ **Voraussetzungen**: Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung?
+ **Kommunikations- und Eskalationsinformationen**: Wer ist beteiligt und wie lauten ihre Kontaktinformationen? Welche Verantwortlichkeiten haben die einzelnen Interessenvertreter?
+ **Reaktionsschritte**: Welche taktischen Maßnahmen sollten in allen Phasen der Vorfallsreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen?
+ **Erkennen**: Wie wird der Vorfall erkannt?
+ **Analysieren**: Wie wird der Umfang der Auswirkungen bestimmt?
+ **Eindämmen**: Wie wird der Vorfall isoliert, um den Umfang zu begrenzen?
+ **Beseitigen**: Wie wird die Bedrohung aus der Umgebung entfernt?
+ **Wiederherstellen**: Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt?
+ **Erwartete Ergebnisse**: Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden?
## Ressourcen
**Zugehörige bewährte Methoden für Well-Architected:**
+ [SEC10-BP02 – Entwickeln von Vorfallmanagementplänen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html)
**Zugehörige Dokumente:**
+ [Framework für Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [Entwickeln eigener Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)
+ [Beispiele von Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-incident-response-playbooks)
+ [Entwicklung eines Runbooks für die Vorfallsreaktion in AWS mit Jupyter Playbooks und CloudTrail Lake](https://catalog.workshops.aws/incident-response-jupyter/en-US)
# SEC10-BP05 Vorab bereitgestellter Zugriff
Stellen Sie sicher, dass Notfallteams über den richtigen vorab bereitgestellten Zugriff in AWS verfügen, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.
**Typische Anti-Muster:**
+ Verwenden des Root-Kontos für die Reaktion auf Vorfälle
+ Verändern bestehender Benutzerkonten
+ Direkte Manipulation von IAM-Berechtigungen bei Bereitstellung von Just-in-time-Berechtigungserhöhungen
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel
## Implementierungsleitfaden
AWS empfiehlt die Reduzierung oder Ausschaltung der Abhängigkeit von langlebigen Anmeldeinformationen wenn möglich und ihren Ersatz durch *Just-in-Time-* Berechtigungseskalationsmechanismen. Langlebige Anmeldeinformationen sind anfällig für Sicherheitsrisiken und erhöhen den Verwaltungsaufwand. Für die meisten Managementaufgaben sowie für Vorfallreaktionsaufgaben empfehlen wir die Implementierung eines [Identitätsverbunds](https://docs.aws.amazon.com/identity/federation/) neben [der temporären Eskalierung für den administrativen Zugriff](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). In diesem Modell beantragt ein Benutzer seine Erhöhung auf eine höhere Berechtigungsstufe (etwa zu einer Vorfallreaktionsrolle). Anschließend wird, sofern der Benutzer grundsätzlich dafür infrage kommt, eine Anfrage an einen Genehmiger gesendet. Wenn die Anfrage genehmigt wurde, erhält der Benutzer einen Satz temporärer [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) für die Durchführung seiner Aufgaben. Wenn diese Anmeldeinformationen ablaufen, muss der Benutzer eine neue Erhöhungsanfrage stellen.
Wir empfehlen für die meisten Vorfallreaktionsszenarien die Verwendung temporärer Berechtigungseskalierungen. Die korrekte Vorgehensweise ist die Verwendung von [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) und [von Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) zur Festlegung der Zugriffsbereiche.
Es gibt Szenarien, in denen Verbundidentitäten nicht verfügbar sind, zum Beispiel:
+ Ausfall durch Problem mit einem Identitätsanbieter (IdP)
+ Fehlerhafte Konfiguration oder menschlicher Fehler, die/der das Managementsystem für den Verbundzugriff beschädigt
+ Böswillige Aktivität, z. B. ein DDoS-Angriff (Distributed Denial of Service) oder anderweitig verursachte Nichtverfügbarkeit des Systems
Für diese Fälle sollte Notfall- *„Break Glass“-* Zugriff konfiguriert werden, um Untersuchungen und die schnelle Behebung des Vorfalls zu ermöglichen. Wir empfehlen die Verwendung eines [IAM-Benutzers mit ausreichenden Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) für die Durchführung von Aufgaben und den Zugriff auf AWS-Ressourcen. Verwenden Sie die Root-Anmeldeinformationen nur für [Aufgaben, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Zur Prüfung, ob die Vorfallreaktionskräfte über die korrekte Zugriffsstufe auf AWS und andere relevante Systeme verfügen, empfehlen wir die Bereitstellung dedizierter Benutzerkonten. Die Benutzerkonten erfordern privilegierten Zugriff und müssen eng kontrolliert und überwacht werden. Die Konten müssen mit den geringstmöglichen Berechtigungen versehen sein, die für die erforderlichen Aufgaben benötigt werden, und die Zugriffsstufe muss auf den Playbooks basieren, die Teil des Vorfallmanagementplans sind.
Verwenden Sie als bewährte Methode zweckgerichtet erstellte und dedizierte Benutzer und Rollen. Die vorübergehende Eskalierung des Zugriffs eines Benutzers oder einer Rolle über IAM-Richtlinien macht es unklar, welche Zugriffsmöglichkeiten Benutzer während eines Vorfalls hatten, und birgt die Gefahr, dass die eskalierten Berechtigungen später nicht widerrufen werden.
Es ist wichtig, so viele Abhängigkeiten wie möglich zu entfernen, um sicherzustellen, dass Zugriff bei einer möglichst großen Anzahl von Ausfallszenarien möglich ist. Erstellen Sie deshalb ein Playbook, um sicherzustellen, dass Vorfallreaktionsbenutzer als AWS Identity and Access Management-Benutzer in einem dedizierten Sicherheitskonto erstellt und nicht durch einen vorhandenen Verbund oder eine Single Sign-On (SSO)-Lösung verwaltet werden. Alle einzelnen Reaktionskräfte müssen ein eigenes benanntes Konto haben. Die Kontokonfiguration muss [eine Richtlinie für sichere Passwörter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) und Multi-Faktor-Authentifizierung (MFA) durchsetzen. Wenn die Playbooks zur Vorfallreaktion nur Zugriff auf die AWS-Managementkonsole benötigen, sollten für den Benutzer keine Zugriffsschlüssel konfiguriert werden und er sollte auch explizit keine Zugriffsschlüssel erstellen dürfen. Dies kann mit IAM-Richtlinien oder Service-Kontrollrichtlinien (SCPs) konfiguriert werden, wie in den bewährten AWS-Sicherheitsmethoden für [AWS Organizations SCPs erläutert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Die Benutzer sollten keine Berechtigungen außer der Möglichkeit zur Übernahme von Vorfallreaktionsrollen in anderen Konten haben.
Während eines Vorfalls kann es erforderlich sein, anderen internen oder externen Personen Zugriff zu gewähren, um Untersuchungs-, Korrektur- oder Wiederherstellungsaktivitäten zu unterstützen. Verwenden Sie in diesem Fall den vorher erwähnten Playbook-Mechanismus. Darüber hinaus muss ein Prozess vorhanden sein, um sicherzustellen, dass jeglicher zusätzliche Zugriff sofort nach Abschluss des Vorfalls widerrufen wird.
Zur Sicherstellung, dass die Verwendung von Vorfallreaktionsrollen in korrekter Weise überwacht und geprüft werden kann, ist es entscheidend, dass die für diesen Zweck erstellten IAM-Benutzerkonten nicht zwischen Personen weitergegeben werden und dass der AWS-Konto-Root-Benutzer nicht verwendet wird, [sofern dies nicht für eine bestimmte Aufgabe erforderlich ist](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Wenn der Root-Benutzer erforderlich ist (zum Beispiel wenn der IAM-Zugriff auf ein bestimmtes Konto nicht verfügbar ist), verwenden Sie einen separaten Prozess mit einem Playbook, um die Verfügbarkeit des Root-Benutzer-Passworts und des MFA-Tokens zu prüfen.
Erwägen Sie zur Konfiguration der IAM-Richtlinien für die Vorfallreaktionsrollen die Verwendung von [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) zum Erstellen von Richtlinien auf der Grundlage von AWS CloudTrail-Protokollen. Gewähren Sie dazu der Vorfallreaktionsrolle in einem Nicht-Produktionskonto Administratorzugriff und durchlaufen Sie das Playbook. Sobald dies geschehen ist, kann eine Richtlinie erstellt werden, die nur die entsprechenden Aktionen zulässt. Diese Richtlinie kann dann auf alle Vorfallreaktionsrollen über alle Konten hinweg angewendet werden. Möglicherweise möchten Sie eine separate IAM-Richtlinie für jedes Playbook erstellen, um Management und Auditing zu vereinfachen. Beispiel-Playbooks können Reaktionspläne für Ransomware-Angriffe, Datenschutzverletzungen, Verlust von produktionsrelevantem Zugriff oder andere Szenarien enthalten.
Verwenden Sie die Vorfallreaktionsbenutzerkonten zur Annahme dedizierter Vorfallreaktions- [IAM-Rollen in anderen AWS-Konten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Diese Rollen müssen so konfiguriert sein, dass sie nur von Benutzern im Sicherheitskonto angenommen werden können, und das Vertrauensverhältnis muss erfordern, dass der aufrufende Prinzipal per MFA authentifiziert wurde. Die Rollen müssen eng gefasste IAM-Richtlinien verwenden, um den Zugriff zu kontrollieren. Stellen Sie sicher, dass alle `AssumeRole-` Anfragen für diese Rollen in CloudTrail protokolliert und gemeldet werden und dass alle mit diesen Rollen durchgeführten Aktivitäten protokolliert werden.
Es wird nachdrücklich empfohlen, die IAM-Benutzerkonten und die IAM-Rollen deutlich zu benennen, damit sie in CloudTrail-Protokollen leicht zu finden sind. Ein Beispiel ist die Benennung der IAM-Konten als `-BREAK-GLASS` und der IAM-Rollen als `BREAK-GLASS-ROLE`.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) wird verwendet, um API-Aktivitäten in Ihren AWS-Konten zu protokollieren, und sollte zur [Konfiguration von Alarmen zur Nutzung der Vorfallreaktionsrollen eingesetzt werden](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Weitere Informationen finden Sie im Blog-Beitrag zur Konfiguration von Alarmen bei Verwendung von Root-Schlüsseln. Die Anweisungen können können geändert werden, um die Metrik [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) so zu konfigurieren, dass sie nach `AssumeRole-` Ereignissen gefiltert wird, die mit der Vorfallreaktions-IAM-Rolle zusammenhängen.
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Da die Vorfallreaktionsrollen sehr wahrscheinlich eine hohe Zugriffsstufe haben, ist es wichtig, dass diese Alarme an eine breite Gruppe gehen und dass sofort darauf reagiert wird.
Während eines Vorfalls kann es geschehen, dass eine Reaktionskraft Zugriff auf Systeme benötigt, die nicht direkt von IAM gesichert sind. Dazu können Amazon Elastic Compute Cloud-Instances, Amazon Relational Database Service-Datenbanken oder SaaS-Plattformen gehören. Es wird nachdrücklich empfohlen, anstelle nativer Protokolle wie SSH oder RDP [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) für alle administrativen Zugriffe auf Amazon EC2-Instances zu verwenden. Dieser Zugriff kann mit IAM (sicher und geprüft) kontrolliert werden. Es kann auch möglich sein, Teile Ihrer Playbooks mit [AWS Systems Manager-Run-Command-Dokumenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)zu automatisieren, wodurch sich möglicherweise Benutzerfehler reduzieren und Wiederherstellungszeiten verkürzen lassen. Für den Zugriff auf Datenbanken und Tools von Drittanbietern empfehlen wir die Speicherung von Anmeldeinformationen in AWS Secrets Manager und die Gewährung des Zugriffs auf die Vorfallreaktionsrollen.
Schließlich sollte die Verwaltung der Vorfallreaktions-IAM-Benutzerkonten Ihren [Joiners-, Movers- und Leavers-Prozessen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) hinzugefügt sowie regelmäßig geprüft und getestet werden, um sicherzustellen, dass nur die beabsichtigten Zugriffsrechte gewährt werden.
## Ressourcen
**Zugehörige Dokumente:**
+ [Verwaltung des vorübergehend erhöhten Zugriffs auf Ihre AWS-Umgebung](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [Leitfaden für AWS Security Incident Response ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Konfigurieren des kontoübergreifenden Zugriffs mit MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Verwenden von IAM Access Analyzer zum Erstellen von IAM-Richtlinien ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Bewährte Methoden für AWS Organizations-Servicekontrollrichtlinien in einer Mehrkontenumgebung ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ Empfang von Benachrichtigungen, wenn die Root-Zugriffsschlüssel Ihres AWS-Kontos verwendet werden ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Erstellen detaillierter Sitzungsberechtigungen mithilfe von IAM-verwalteten Richtlinien ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Zugehörige Videos:**
+ [ Automating Incident Response and ForensicsAWS (Automatisieren der Vorfallreaktion und Forensik in AWS) ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [DIY guide to runbooks, incident reports, and incident response (DIY-Leitfaden für Runbooks, Vorfallberichte und Vorfallreaktion)](https://youtu.be/E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Zugehörige Beispiele:**
+ [ Übung: AWS-Kontoeinrichtung und Root-Benutzer ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Übung: Vorfallreaktion mit AWS-Konsole und CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 Vorabbereitstellen von Tools
Stellen Sie sicher, dass Sicherheitspersonal über die richtigen Tools verfügt, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel
## Implementierungsleitfaden
Zur Automatisierung von Sicherheitsreaktionen und Betriebsfunktionen können Sie eine umfassende Palette von APIs und Tools von AWS verwenden. Sie können die Identitätsverwaltung, Netzwerksicherheit, Datenschutz und Überwachungsfunktionen vollständig automatisieren und diese mithilfe gängiger Softwareentwicklungsmethoden bereitstellen, die Sie bereits eingerichtet haben. Wenn Sie die Sicherheitsautomatisierung erstellen, kann Ihr System eine Reaktion überwachen, prüfen und initiieren, statt nur Ihre Sicherheitslage zu überwachen und manuell auf Ereignisse zu reagieren.
Wenn Ihre Vorfallreaktionsteams auf Warnungen weiterhin auf die gleiche Weise reagieren, riskieren sie eine Abstumpfung der Warnung. Im Laufe der Zeit kann das Team für Warnungen desensibilisiert werden und entweder Fehler bei der Verarbeitung normaler Situationen machen oder außergewöhnliche Warnungen übersehen. Automatisierung hilft, eine Abstumpfung von Warnungen zu vermeiden, indem Funktionen verwendet werden, die sich wiederholende und gewöhnliche Warnungen verarbeiten, sodass Mitarbeiter die nötigen freien Kapazitäten haben, um sich um sensible und einzigartige Vorfälle zu kümmern. Die Integration von Systemen zur Erkennung von Anomalien wie Amazon GuardDuty, AWS CloudTrail Insights und Amazon CloudWatch Anomaly Detection kann den durch schwellenwertbasierte Warnmeldungen verursachten Aufwand reduzieren.
Sie können manuelle Prozesse verbessern, indem Sie die Schritte im Prozess automatisieren. Nachdem Sie das Korrekturmuster für ein Ereignis definiert haben, können Sie dieses Muster in umsetzbare Logik zerlegen und den Code schreiben, um diese Logik auszuführen. Notfallteams können anschließend diesen Code ausführen, um das Problem zu beheben. Mit der Zeit können Sie immer mehr Schritte automatisieren und schließlich häufige Vorfälle automatisch verarbeiten.
Bei einer Sicherheitsuntersuchung müssen Sie relevante Protokolle konsultieren können, um alle Aspekte und den Zeitrahmen des Vorfalls zu verstehen. Protokolle werden auch für die Generierung von Alarmen benötigt, die darauf hinweisen, dass bestimmte Ereignisse vorgekommen sind. Es ist sehr wichtig, Abfrage- und Abrufmechanismen auszuwählen, zu aktivieren, zu speichern und einzurichten sowie die Alarmierung einzurichten. Darüber hinaus besteht eine effektive Möglichkeit zur Nutzung von Tools zum Durchsuchen von Protokolldaten in [Amazon Detective](https://aws.amazon.com/detective/).
AWS bietet über 200 Cloud-Services und Tausende von Funktionen. Wir empfehlen Ihnen, die Services zu konsultieren, die Ihre Strategie zur Vorfallsreaktion unterstützen und vereinfachen können.
Zusätzlich zur Protokollierung sollten Sie eine [Markierungsstrategie entwickeln und implementieren](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Die Markierung kann dabei helfen, einen Kontext zum Zweck einer AWS-Ressource bereitzustellen. Die Markierung kann auch für die Automatisierung verwendet werden.
### Implementierungsschritte
**Auswählen und Einrichten von Protokollen für die Analyse und Alarmierung**
In der folgenden Dokumentation finden Sie Informationen zur Konfiguration der Protokollierung für die Vorfallsreaktion:
+ [ Protokollierungsstrategien für die Reaktion auf Sicherheitsvorfälle ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md)
**Aktivieren von Sicherheitsservices zur Unterstützung von Erkennung und Reaktion**
AWS bietet native Erkennungs-, Präventions- und Reaktionsfunktionen, und andere Services können für den Aufbau benutzerdefinierter Sicherheitslösungen verwendet werden. Eine Liste der wichtigsten Services für die Reaktion auf Sicherheitsvorfälle finden Sie unter [Definitionen der Cloud-Funktionen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html).
**Entwickeln und Implementieren einer Markierungsstrategie**
Es kann schwierig sein, kontextbezogene Informationen zum geschäftlichen Anwendungsfall und zu relevanten internen Interessenvertretern rund um eine AWS-Ressource zu erhalten. Eine Möglichkeit, dies zu tun, sind Tags, die Ihren AWS-Ressourcen Metadaten zuweisen und aus einem benutzerdefinierten Schlüssel und Wert bestehen. Sie können Tags erstellen, um Ressourcen nach Zweck, Besitzer, Umgebung, Art der verarbeiteten Daten und anderen Kriterien Ihrer Wahl zu kategorisieren.
Eine konsistente Markierungsstrategie kann die Reaktionszeiten verkürzen und den Zeitaufwand für den organisatorischen Kontext minimieren, da Sie Kontextinformationen zu einer AWS-Ressource schnell identifizieren und erkennen können. Tags können auch als Mechanismus zur Initiierung von Reaktionsautomatisierungen dienen. Weitere Informationen über zu markierende Elemente finden Sie unter [Markieren Ihrer AWS-Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Sie sollten zunächst die Tags definieren, die Sie in Ihrer Organisation implementieren möchten. Danach implementieren Sie diese Markierungsstrategie und setzen sie durch. Weitere Einzelheiten zur Umsetzung und Durchsetzung finden Sie unter [Implementieren einer Markierungsstrategie für AWS-Ressourcen mithilfe von AWS-Markierungsrichtlinien und Service-Kontrollrichtlinien (SCPs)](https://aws.amazon.com/blogs/mt/implement-aws-resource-tagging-strategy-using-aws-tag-policies-and-service-control-policies-scps/).
## Ressourcen
**Zugehörige bewährte Methoden für Well-Architected:**
+ [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Zentrale Analyse von Protokollen, Ergebnissen und Metriken](sec_detect_investigate_events_analyze_all.md)
**Zugehörige Dokumente:**
+ [ Protokollierungsstrategien für die Reaktion auf Sicherheitsvorfälle ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [ Cloud-Capability-Definitionen für die Vorfallsreaktion ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html)
**Zugehörige Beispiele:**
+ [ Bedrohungserkennung und -reaktion mit Amazon GuardDuty und Amazon Detective ](https://catalog.workshops.aws/guardduty/en-US)
+ [ Security-Hub-Workshop ](https://catalog.workshops.aws/security-hub/en-US)
+ [ Management von Schwachstellen mit Amazon Inspector ](https://catalog.workshops.aws/inspector/en-US)
# SEC10-BP07 Durchführen von Simulationen
Ebenso wie Unternehmen im Laufe der Zeit wachsen und sich weiterentwickeln, wächst auch die Bedrohungslandschaft. Daher ist es wichtig, Ihre Fähigkeiten zur Vorfallreaktion kontinuierlich zu überprüfen. Die Durchführung von Simulationen (auch bekannt als Gamedays) ist eine Methode, mit der diese Bewertung durchgeführt werden kann. Bei Simulationen werden reale Sicherheitsereignisse als Szenarien verwendet, die die Taktiken, Techniken und Verfahren (TTPs) eines Bedrohungsakteurs nachahmen und es einer Organisation ermöglichen, ihre Fähigkeiten zur Vorfallreaktion einzusetzen und zu bewerten, indem sie auf diese simulierten Cyberereignisse so reagieren, wie sie es im Ernstfall tun würden.
**Vorteile der Nutzung dieser bewährten Methode:** Simulationen haben eine Vielzahl von Vorteilen:
+ Validierung der Cybersicherheit und Stärkung des Vertrauens Ihres Vorfallreaktionsteams
+ Testen der Genauigkeit und Effizienz von Tools und Workflows
+ Optimierung der Kommunikations- und Eskalationsmethoden Ihres Vorfallreaktionsplans
+ Die Möglichkeit, auf weniger verbreitete Vektoren zu reagieren
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Es gibt drei Hauptarten von Simulationen:
+ **Tabletop-Übungen:** Der Tabletop-Ansatz für Simulationen besteht aus einer Diskussionsrunde, in der die verschiedenen Interessenvertreter des Bereichs Vorfallreaktion teilnehmen, um Rollen und Verantwortlichkeiten zu üben und etablierte Kommunikationstools und Playbooks zu verwenden. Die Übung kann in der Regel an einem ganzen Tag an einem virtuellen Ort, einem physischen Veranstaltungsort oder einer Kombination daraus durchgeführt werden. Da sie auf Diskussionen basiert, konzentriert sich die Tabletop-Übung auf Prozesse, Menschen und Zusammenarbeit. Technologie ist ein integraler Bestandteil der Diskussion, aber der tatsächliche Einsatz von Tools oder Skripten für die Vorfallreaktion ist in der Regel kein Teil der praktischen Übung.
+ **Lila Teamübungen:** Lila Teamübungen verbessern die Zusammenarbeit zwischen dem Vorfallreaktionsteam (blaues Team) und den simulierten Bedrohungsakteuren (rotes Team). Das blaue Team besteht aus Mitgliedern des Security Operations Center (SOC), kann aber auch andere Interessenvertreter einbeziehen, die an einem tatsächlichen Cyberereignis beteiligt wären. Das rote Team besteht aus einem Penetrationstest-Team oder wichtigen Interessenvertretern, die in offensiver Sicherheit trainiert sind. Das rote Team arbeitet bei der Planung eines Szenarios mit den Übungsleitern zusammen, damit das Szenario korrekt und durchführbar ist. Bei den lila Teamübungen liegt das Hauptaugenmerk auf den Erkennungsmechanismen, den Tools und den Standard-Betriebsabläufen (SOPs), mit denen die Maßnahmen zur Vorfallreaktion unterstützt werden.
+ **Übungen des roten Teams:** Bei einer Übung des roten Teams führt das Offensivteam (rotes Team) eine Simulation durch, um ein bestimmtes Ziel oder eine Reihe von Zielen aus einem vorher festgelegten Umfang zu erreichen. Die Verteidiger (blaues Team) kennen nicht unbedingt den Umfang und die Dauer der Übung, was eine realistischere Einschätzung darüber ermöglicht, wie sie auf einen tatsächlichen Vorfall reagieren würden. Da es sich bei den Übungen des roten Teams um invasive Tests handeln kann, sollten Sie vorsichtig sein und Kontrollen implementieren, um sicherzustellen, dass die Übung Ihrer Umgebung nicht tatsächlich schadet.
Erwägen Sie, in regelmäßigen Abständen Cybersimulationen durchzuführen. Jeder Übungstyp kann den Teilnehmern und der gesamten Organisation einzigartige Vorteile bieten. Sie können also mit weniger komplexen Simulationstypen beginnen (z. B. mit Tabletop-Übungen) und zu komplexeren Simulationstypen übergehen (Übungen des roten Teams). Wählen Sie einen Simulationstyp anhand Ihres Sicherheitsgrads, Ihrer Ressourcen und der gewünschten Ergebnisse aus. Einige Kunden entscheiden sich aufgrund der Komplexität und der Kosten möglicherweise gegen Übungen des roten Teams.
## Implementierungsschritte
Unabhängig von der Art der gewählten Simulation folgen diese im Allgemeinen den folgenden Implementierungsschritten:
1. **Definieren Sie die wichtigsten Übungselemente:** Definieren Sie das Simulationsszenario und die Ziele der Simulation. Beide sollten von den Führungskräften akzeptiert werden.
1. **Identifizieren Sie die wichtigsten Interessenvertreter:** Für eine Übung sind mindestens Übungsleiter und Teilnehmer erforderlich. Je nach Szenario können weitere Interessengruppen wie Recht, Kommunikation oder Geschäftsleitung einbezogen werden.
1. **Erstellen und testen Sie das Szenario:** Das Szenario muss möglicherweise während der Erstellung neu definiert werden, falls bestimmte Elemente nicht realisierbar sind. Als Ergebnis dieser Phase wird ein fertiges Szenario erwartet.
1. **Führen Sie die Simulation durch:** Die Art der Simulation bestimmt die Durchführung (ein Szenario auf Papier im Vergleich zu einem hochtechnischen, simulierten Szenario). Die Übungsleiter sollten ihre Moderationstaktiken an den Übungsobjekten ausrichten und alle Übungsteilnehmer nach Möglichkeit einbeziehen, um den größtmöglichen Nutzen zu erzielen.
1. **Arbeiten Sie den After-Action Report (AAR, Abschlussbericht) aus:** Identifizieren Sie Bereiche, die gut gelaufen sind, diejenigen, die verbessert werden können, und potenzielle Lücken. Der AAR sollte die Effektivität der Simulation sowie die Reaktion des Teams auf das simulierte Ereignis messen, damit der Fortschritt mit zukünftigen Simulationen im Laufe der Zeit verfolgt werden kann.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Zugehörige Videos:**
+ [AWS GameDay – Sicherheitsausgabe](https://www.youtube.com/watch?v=XnfDWID_OQs)
# SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen
Die Implementierung eines *Erkenntnis-Frameworks* für Erkenntnisse und der Fähigkeit zur Ursachenanalyse trägt nicht nur dazu bei, die Reaktionsfähigkeit auf Vorfälle zu verbessern, sondern auch zu verhindern, dass sich der Vorfall wiederholt. Indem Sie aus jedem Vorfall lernen, können Sie verhindern, dass dieselben Fehler, Risiken oder Fehlkonfigurationen wiederholt werden. Dies verbessert nicht nur Ihre Sicherheitslage, sondern minimiert auch den Zeitverlust durch vermeidbare Situationen.
**Risikostufe bei fehlender Befolgung dieser Best Practice:** Mittel
## Implementierungsleitfaden
Die Implementierung eines *Erkenntnis-Frameworks* ist wichtig, der die folgenden Punkte allgemein festlegt und erreicht:
+ Wann finden Erkenntnisse statt?
+ Was beinhaltet der Erkenntnisprozess?
+ Wie werden Erkenntnisse durchgeführt?
+ Wer ist am Prozess beteiligt und wie?
+ Wie werden verbesserungswürdige Bereiche identifiziert?
+ Wie stellen Sie sicher, dass Verbesserungen effektiv verfolgt und implementiert werden?
Das Framework sollte sich nicht auf Einzelpersonen konzentrieren oder ihnen die Schuld geben, sondern stattdessen den Fokus auf die Verbesserung der Tools und Prozesse legen.
### Implementierungsschritte
Abgesehen von den zuvor aufgeführten Ergebnissen auf hoher Ebene ist es wichtig, sicherzustellen, dass Sie die richtigen Fragen stellen, um den größtmöglichen Nutzen (Informationen, die zu umsetzbaren Verbesserungen führen) aus dem Prozess zu ziehen. Beachten Sie die folgenden Fragen, um Ihre Diskussionen über Erkenntnisse zu fördern:
+ Was ist vorgefallen?
+ Wann wurde der Vorfall zum ersten Mal identifiziert?
+ Wie wurde er identifiziert?
+ Welche Systeme haben über die Aktivität alarmiert?
+ Welche Systeme, Services und Daten waren beteiligt?
+ Was ist konkret passiert?
+ Was hat gut funktioniert?
+ Was hat nicht gut funktioniert?
+ Welcher Prozess oder welche Verfahren haben versagt oder konnten nicht skaliert werden, um auf den Vorfall zu reagieren?
+ Was kann in den folgenden Bereichen verbessert werden:
+ **Mitarbeiter**
+ Waren die Mitarbeiter, die kontaktiert werden mussten, tatsächlich verfügbar und war die Kontaktliste auf dem neuesten Stand?
+ Fehlten den Mitarbeitern Trainings oder Fähigkeiten, die erforderlich waren, um effektiv auf den Vorfall reagieren und ihn untersuchen zu können?
+ Waren die erforderlichen Ressourcen bereit und verfügbar?
+ **Prozess**
+ Wurden Prozesse und Verfahren eingehalten?
+ Wurden Prozesse und Verfahren für diese(n) (Art von) Vorfall dokumentiert und waren sie dafür verfügbar?
+ Fehlten die erforderlichen Prozesse und Verfahren?
+ Konnten die Notfallteams rechtzeitig auf die erforderlichen Informationen zugreifen, um auf das Problem zu reagieren?
+ **Technologie**
+ Haben die bestehenden Warnsysteme die Aktivität effektiv identifiziert und gemeldet?
+ Wie hätten wir die Zeit bis zur Erkennung um 50 % reduzieren können?
+ Müssen bestehende Warnungen verbessert werden oder müssen neue Warnungen für diese(n) (Art von) Vorfall erstellt werden?
+ Ermöglichten die vorhandenen Tools eine effektive Untersuchung (Suche/Analyse) des Vorfalls?
+ Was kann getan werden, um diese(n) (Art von) Vorfall früher zu erkennen?
+ Was kann getan werden, um zu verhindern, dass sich diese(r) (Art von) Vorfall wiederholt?
+ Wem gehört der Verbesserungsplan und wie testen Sie, ob er umgesetzt wurde?
+ Wie sieht der Zeitplan für die Implementierung und das Testen zusätzlicher Überwachungs- oder präventiver Kontrollen und Prozesse aus?
Diese Liste ist nicht vollständig, soll aber als Ausgangspunkt dienen, um zu ermitteln, was die Organisations- und Geschäftsanforderungen sind und wie Sie diese analysieren können, um am effektivsten aus Vorfällen zu lernen und Ihre Sicherheitslage kontinuierlich zu verbessern. Am wichtigsten ist es, zunächst die Erkenntnisse als Standardbestandteil Ihres Prozesses zur Vorfallsreaktion, der Dokumentation und der Erwartungen der Interessenvertreter zu berücksichtigen.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Sicherheits- und Vorfallreaktionsanleitung – Entwickeln eines Frameworks, um aus Vorfällen zu lernen](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html)
+ [NCSC-CAF-Leitfaden – Erkenntnisse](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)
# Anwendungssicherheit
**Topics**
+ [SEC 11. Wie beziehen Sie die Sicherheitseigenschaften von Anwendungen während des gesamten Entwurfs-, Entwicklungs- und Bereitstellungslebenszyklus ein und validieren sie?](sec-11.md)
# SEC 11. Wie beziehen Sie die Sicherheitseigenschaften von Anwendungen während des gesamten Entwurfs-, Entwicklungs- und Bereitstellungslebenszyklus ein und validieren sie?
Das Schulen von Personen, das Testen mithilfe von Automatisierung, ein Verständnis der Abhängigkeiten und die Validierung der Sicherheitseigenschaften von Tools und Anwendungen helfen dabei, die Wahrscheinlichkeit eines Sicherheitsproblems bei Produktions-Workloads zu verringern.
**Topics**
+ [SEC11-BP01 Für Anwendungssicherheit schulen](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren](sec_appsec_automate_testing_throughout_lifecycle.md)
+ [SEC11-BP03 Regelmäßig Penetrationstests durchführen](sec_appsec_perform_regular_penetration_testing.md)
+ [SEC11-BP04 Manuelle Codeüberprüfungen](sec_appsec_manual_code_reviews.md)
+ [SEC11-BP05 Services für Pakete und Abhängigkeiten zentralisieren](sec_appsec_centralize_services_for_packages_and_dependencies.md)
+ [SEC11-BP06 Software programmgesteuert bereitstellen](sec_appsec_deploy_software_programmatically.md)
+ [SEC11-BP07 Die Sicherheitseigenschaften der Pipelines regelmäßig bewerten](sec_appsec_regularly_assess_security_properties_of_pipelines.md)
+ [SEC11-BP08 Ein Programm entwickeln, das den Workload-Teams die Verantwortung für die Sicherheit überträgt](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
# SEC11-BP01 Für Anwendungssicherheit schulen
Bieten Sie den Entwicklern in Ihrer Organisation Schulungsmöglichkeiten zu allgemeinen Praktiken für die sichere Entwicklung und den sicheren Betrieb von Anwendungen. Die Einführung sicherheitsbezogener Entwicklungsmethoden hilft, die Wahrscheinlichkeit von Problemen zu verringern, die nur während der Phase der Sicherheitsüberprüfung erkannt werden.
**Gewünschtes Ergebnis:** Beim Entwerfen und Entwickeln von Software sollte Sicherheit berücksichtigt werden. Wenn Entwickler in einer Organisation hinsichtlich sicherer Entwicklungspraktiken, die mit einem Bedrohungsmodell beginnen, geschult sind, wird die gesamte Qualität und Sicherheit der entwickelten Software verbessert. Mithilfe dieses Ansatzes kann die Zeit bis zum Ausliefern von Software oder Funktionen verringert werden, da der Überarbeitungsaufwand nach Sicherheitsüberprüfungen kleiner ist.
Für den Zweck dieser bewährten Methode bezieht sich *sichere Entwicklung* auf die Software, die geschrieben wird, und die Tools oder Systeme, die den Softwareentwicklungs-Lebenszyklus (SDLC) unterstützen.
**Typische Anti-Muster:**
+ Auf eine Sicherheitsüberprüfung warten und dann die Sicherheitseigenschaften eines Systems berücksichtigen.
+ Alle sicherheitsbezogenen Entscheidungen dem Sicherheitsteam überlassen.
+ Nicht kommunizieren, wie sich die im Softwareentwicklungs-Lebenszyklus getroffenen Entscheidungen auf die allgemeinen Sicherheitserwartungen- oder -richtlinien der Organisation beziehen.
+ Den Sicherheitsüberprüfungsprozess zu spät einsetzen.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Bessere Kenntnis der Unternehmensanforderungen hinsichtlich Sicherheit früh im Entwicklungszyklus.
+ Raschere Lieferung von Funktionen durch das schnelle Identifizieren und Lösen potenzieller Sicherheitsproblemen.
+ Verbesserte Qualität von Software und Systemen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Bieten Sie den Entwicklern in Ihrem Unternehmen Schulungen. Ein Kurs über [Bedrohungsmodellierung](https://catalog.workshops.aws/threatmodel/en-US) ist ein guter Start, um einen Grundstein für Sicherheitsschulungen zu legen. Idealerweise sollten Entwickler selbständig auf die Informationen zugreifen können, die für ihre Workloads relevant sind. Dieser Zugriff hilft ihnen dabei, informierte Entscheidungen zu den Sicherheitseigenschaften der Systeme zu treffen, die sie entwickelt haben, ohne ein anderes Team kontaktieren zu müssen. Der Vorgang zum Einbinden von Sicherheitsteams in Überprüfungen sollte klar definiert und einfach zu befolgen sein. Die Schritte des Überprüfungsprozesses sollten Inhalt der Sicherheitsschulung sein. Dort, wo bekannte Implementierungsmuster oder -vorlagen verfügbar sind, sollten sie einfach zu finden und mit den allgemeinen Sicherheitsanforderungen verknüpft sein. Erwägen Sie, [AWS CloudFormation,](https://aws.amazon.com/cloudformation/) [AWS Cloud Development Kit (AWS CDK)-Konstrukte](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html), [Service Catalog](https://aws.amazon.com/servicecatalog/) oder andere Vorlagen-Tools zu verwenden, um den Bedarf nach einer benutzerspezifischen Konfiguration zu verringern.
### Implementierungsschritte
+ Ein Kurs über [Bedrohungsmodellierung](https://catalog.workshops.aws/threatmodel/en-US) ist für Ihre Entwickler ein guter Start, um einen Grundstein für Sicherheitsüberlegungen zu legen.
+ Bieten Sie Zugriff auf [AWS Training and Certification](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult) und Branchen- oder AWS-Partner-Schulungen.
+ Bieten Sie Schulungen zum Sicherheitsüberprüfungsprozess Ihres Unternehmens an, die die Aufteilung von Verantwortlichkeiten zwischen Sicherheitsteams, Workload-Teams und anderen Beteiligten klären.
+ Veröffentlichen Sie Self-Service-Anweisungen zum Erfüllen von Sicherheitsanforderungen, einschließlich Codebeispielen und Vorlagen, wenn verfügbar.
+ Erhalten Sie regelmäßig Feedback von Entwicklerteams zu ihrer Erfahrung mit dem Sicherheitsüberprüfungsprozess und -schulungen und verwenden Sie dieses Feedback, um Verbesserungen zu implementieren.
+ Führen Sie Ernstfallübungen oder Kampagnen zum Beseitigen von Bugs durch, um die Anzahl von Fehlern zu verringern und die Fähigkeiten Ihrer Entwickler auszuweiten.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC11-BP08 Ein Programm entwickeln, das den Workload-Teams die Verantwortung für die Sicherheit überträgt](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
**Zugehörige Dokumente:**
+ [AWS Training und Zertifizierung](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)
+ [How to think about cloud security governance](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/) (Über Cloud-Sicherheits-Governance nachdenken)
+ [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (Konzepte für Bedrohungsmodellierung)
+ [Accelerating training – The AWS Skills Guild](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html) (Schulungen beschleunigen – AWS Skills Guild)
**Zugehörige Videos:**
+ [Proactive security: Considerations and approaches](https://www.youtube.com/watch?v=CBrUE6Qwfag) (Proaktive Sicherheit: Überlegungen und Ansätze)
**Zugehörige Beispiele:**
+ [Workshop on threat modeling](https://catalog.workshops.aws/threatmodel) (Workshop zur Bedrohungsmodellierung)
+ [Industry awareness for developers](https://owasp.org/www-project-top-ten/) (Branchenbewusstsein für Entwickler)
**Zugehörige Services:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Cloud Development Kit (AWS CDK) (AWS CDK) Konstrukte](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)
+ [Service Catalog](https://aws.amazon.com/servicecatalog/)
+ [AWS BugBust](https://docs.aws.amazon.com/codeguru/latest/bugbust-ug/what-is-aws-bugbust.html)
# SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren
Automatisieren Sie das Testen der Sicherheitseigenschaften während des Entwicklungs- und Veröffentlichungslebenszyklus. Automatisierung vereinfacht die kontinuierliche und wiederholbare Identifizierung potenzieller Probleme. Dadurch wird das Risiko von Sicherheitsproblemen bei der bereitgestellten Software verringert.
**Gewünschtes Resultat: **Das Ziel von automatisiertem Testen ist, eine programmatische Möglichkeit zur frühen Erkennung von potenziellen Problemen – häufig im Laufe des Entwicklungslebenszyklus – zu bieten. Wenn Sie Regressionstests automatisieren, können Sie funktionale und nicht-funktionale Tests erneut durchführen, um zu überprüfen, ob zuvor getestete Software nach einer Änderung weiterhin wie erwartet funktioniert. Wenn Sie Sicherheitstests für Komponenten definieren, um nach häufigen Fehlkonfigurationen zu suchen, wie einer fehlerhaften oder fehlenden Authentifizierung, können Sie diese Fehler früh im Entwicklungsprozess identifizieren und beheben.
Testautomatisierung verwendet speziell entwickelte Testfälle zur Anwendungsvalidierung auf Basis der Anforderungen und der gewünschten Funktionalität der Anwendung. Das Ergebnis von automatisiertem Testen basiert auf dem Vergleich zwischen der erstellten Testausgabe und der erwarteten Ausgabe, wodurch der gesamte Lebenszyklus des Testens beschleunigt wird. Testmethoden wie Regressionstests und Komponententestsuites eignen sich am besten zur Automatisierung. Durch die Automatisierung des Testens von Sicherheitseigenschaften können Entwickler automatisiertes Feedback erhalten, ohne auf eine Sicherheitsüberprüfung warten zu müssen. Automatisierte Tests in Form von statischer oder dynamischer Codeanalyse können die Qualität von Code erhöhen und dabei helfen, potenzielle Softwareprobleme früh im Entwicklungslebenszyklus zu erkennen.
**Typische Anti-Muster:**
+ Testfälle und Testergebnisse des automatisierten Testens nicht kommunizieren.
+ Automatisiertes Testen nur vor einer Veröffentlichung durchführen.
+ Testfälle mit sich häufig ändernden Anforderungen automatisieren.
+ Keine Anweisungen für den Umgang mit den Ergebnissen von Sicherheitstests bieten.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Verringerte Abhängigkeit von Menschen, um die Sicherheitseigenschaften eines Systems zu evaluieren.
+ Beständige Resultate bei mehreren Arbeitsabläufen verbessern die Konsistenz.
+ Verringerte Wahrscheinlichkeit, dass Sicherheitsprobleme in die Softwareproduktion eingeschleppt werden.
+ Kürzeres Zeitfenster zwischen der Erkennung und Lösung von Softwareproblemen, da sie früher entdeckt werden.
+ Erhöhte Sichtbarkeit von systemischem oder wiederholtem Verhalten bei mehreren Arbeitsabläufen, dank derer unternehmensweite Verbesserungen vorangetrieben werden können.
** Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Setzen Sie während der Entwicklung Ihrer Software unterschiedliche Mechanismen für das Testen von Software ein, um sicherzustellen, dass Sie Ihre Anwendung sowohl auf funktionale Anforderungen – basierend auf Ihrer Geschäftslogik – als auch auf nicht-funktionale Anforderungen testen, die sich auf die Zuverlässigkeit, Leistung und Sicherheit der Anwendung konzentrieren.
Statisches Anwendungssicherheitstesten (SAST) untersucht Ihren Quellcode auf Anomalien bei Sicherheitsmustern und bietet Hinweise auf einen fehleranfälligen Code. SAST nutzt statische Eingaben, wie Dokumentation (Anforderungsspezifikationen, Designdokumentation und Designspezifikationen) und den Anwendungscode, um Tests in Bezug auf eine Reihe von bekannten Sicherheitsproblemen durchzuführen. Statische Code-Analyzer helfen dabei, die Analyse von großen Codemengen zu beschleunigen. Die [NIST Quality Group](https://www.nist.gov/itl/ssd/software-quality-group) bietet einen Vergleich von [Source Code Security Analyzers](https://www.nist.gov/itl/ssd/software-quality-group/source-code-security-analyzers), die Open-Source-Tools für [Byte Code Scanner](https://samate.nist.gov/index.php/Byte_Code_Scanners.html) und [Binary Code Scanner](https://samate.nist.gov/index.php/Binary_Code_Scanners.html) enthalten.
Ergänzen Sie Ihr statisches Testen mit Methodologien zum dynamischen Anwendungssicherheitstesten (DAST), wobei die Anwendung bei ihrer Ausführung getestet wird, um potenzielles unerwartetes Verhalten zu identifizieren. Dynamisches Testen kann verwendet werden, um potenzielle Probleme zu erkennen, die über die statische Analyse nicht gefunden werden können. Das Testen der Code-Repository-, Build- und Pipeline-Stadien ermöglicht Ihnen, nach unterschiedlichen Arten potenzieller Fehler in Ihrem Code zu suchen. [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/) bietet Codeempfehlungen, einschließlich Sicherheitsscans in der IDE des Entwicklers. [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) kann kritische Fehler, Sicherheitsprobleme und schwer zu findende Bugs während der Anwendungsentwicklung identifizieren und bietet Empfehlungen zur Verbesserung der Codequalität.
Der [Workshop „Security for Developers“](https://catalog.workshops.aws/sec4devs) verwendet AWS-Entwickler-Tools, wie [AWS CodeBuild](https://aws.amazon.com/codebuild/), [AWS CodeCommit](https://aws.amazon.com/codecommit/) und [AWS CodePipeline](https://aws.amazon.com/codepipeline/) für die Automatisierung der Veröffentlichungs-Pipeline, die SAST- und DAST-Testmethodologien umfasst.
Richten Sie beim Durchlaufen Ihres Softwareentwicklungs-Lebenszyklus einen iterativen Prozess ein, der regelmäßige Anwendungsüberprüfungen mit Ihrem Sicherheitsteam enthält. Aus diesen Sicherheitsüberprüfungen gewonnenes Feedback sollte adressiert und im Rahmen der Bereitschaftsüberprüfung Ihrer Softwareversion validiert werden. Diese Überprüfungen schaffen einen robusten Sicherheitsstatus der Anwendungen und bieten Entwicklern umsetzbares Feedback, um Maßnahmen zum Beheben von Problemen zu ergreifen.
### Implementierungsschritte
+ Implementieren Sie eine integrierte Entwicklungsumgebung, Codeüberprüfung und CI/CD-Tools, die Sicherheitstests enthalten.
+ Überlegen Sie, wo im Softwareentwicklungs-Lebenszyklus Pipelines blockiert werden können, anstatt Entwickler darüber zu informieren, dass Probleme behoben werden müssen.
+ Der [Workshop „Security for Developers“](https://catalog.workshops.aws/sec4devs) bietet ein Beispiel für das Integrieren von statischem und dynamischem Testen in eine Veröffentlichungs-Pipeline.
+ Das Durchführen von Tests oder Codeanalyse mithilfe von automatisierten Tools, wie [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/), das mit IDEs von Entwicklern integriert ist, und [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) für das Scannen von Code beim Commit, ermöglicht Entwicklern, Feedback zur richtigen Zeit zu erhalten.
+ Beim Entwickeln mithilfe von AWS Lambda können Sie [Amazon Inspector](https://aws.amazon.com/about-aws/whats-new/2023/02/code-scans-lambda-functions-amazon-inspector-preview/) verwenden, um den Anwendungscode in Ihren Funktionen zu scannen.
+ Der [AWS CI/CD-Workshop](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/) bietet einen Ausgangspunkt für das Entwickeln von CI/CD-Pipelines auf AWS.
+ Wenn automatisiertes Testen bei CI/CD-Pipelines enthalten ist, sollten Sie ein Ticketing-System verwenden, um das Melden und Lösen von Softwareproblemen nachzuverfolgen.
+ Bei Sicherheitstests, die möglicherweise Erkenntnisse liefern, sollten Sie Lösungsanweisungen bieten, damit Entwickler die Codequalität verbessern können.
+ Analysieren Sie von automatisierten Tools gewonnenen Einblicke, um die nächste Automatisierung, Entwicklerschulung oder Bewusstmachungskampagne zu planen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Continuous Delivery und Continuous Deployment](https://aws.amazon.com/devops/continuous-delivery/)
+ [AWS DevOps Competency Partners](https://aws.amazon.com/devops/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=partner-type%23technology&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-location=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&awsm.page-partner-solutions-cards=1) (AWS-Dev-Ops-Kompetenzpartner)
+ [AWS Security Competency Partners](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=use-case%23app-security&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc) for Application Security (Sicherheitskompetenzpartner für Anwendungssicherheit)
+ [Choosing a Well-Architected CI/CD approach](https://aws.amazon.com/blogs/devops/choosing-well-architected-ci-cd-open-source-software-aws-services/) (Auswählen eines Well-Architected-CI/CD-Ansatzes)
+ [Monitoring CodeCommit events in Amazon EventBridge and Amazon CloudWatch Events](https://docs.aws.amazon.com/codecommit/latest/userguide/monitoring-events.html) (Überwachen von AWS-CodeCommit-Ereignissen in Amazon EventBridge und Amazon CloudWatch Events)
+ [Secrets detection in Amazon CodeGuru Review](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/recommendations.html#secrets-detection) (Secrets-Erkennung bei der Code-Überprüfung in CodeGuru Reviewer)
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/) (Beschleunigen von Bereitstellungen auf AWS mit effektiver Governance)
+ [How AWS approaches automating safe, hands-off deployments](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/) (Wie AWS die Automatisierung sicherer, vollautomatischer Bereitstellungen durchführt)
**Zugehörige Videos:**
+ [Hands-off: Automating continuous delivery pipelines at Amazon](https://www.youtube.com/watch?v=ngnMj1zbMPY) (Vollständige Automatisierung: Automatisieren der Pipelines für kontinuierliche Bereitstellung bei Amazon)
+ [Automating cross-account CI/CD pipelines](https://www.youtube.com/watch?v=AF-pSRSGNks) (Automatisieren von kontoübergreifenden CI/CD-Pipelines)
**Zugehörige Beispiele:**
+ [Industry awareness for developers](https://owasp.org/www-project-top-ten/) (Branchenbewusstsein für Entwickler)
+ [AWS CodePipeline Governance](https://github.com/awslabs/aws-codepipeline-governance) (GitHub)
+ [Workshop „Security for Developers“](https://catalog.us-east-1.prod.workshops.aws/workshops/66275888-6bab-4872-8c6e-ed2fe132a362/en-US) (Workshop „Sicherheit für Entwickler“)
+ [AWS-CI/CD-Workshop](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
# SEC11-BP03 Regelmäßig Penetrationstests durchführen
Führen Sie regelmäßige Penetrationstests bei Ihrer Software durch. Dieser Mechanismus hilft bei der Identifizierung potenzieller Softwareprobleme, die bei automatisierten Tests oder einer manuellen Überprüfung des Codes nicht erkannt werden können. Er kann Ihnen außerdem dabei helfen, die Wirksamkeit Ihrer Erkennungskontrollen zu verstehen. Penetrationstests sollten feststellen, ob es möglich ist, die Software so zu beeinflussen, dass sie auf unerwartete Weise ausgeführt wird, beispielsweise das Freigeben von Daten, die geschützt sein sollten, oder die Gewährung umfassenderer Berechtigungen als erwartet.
**Gewünschtes Ergebnis:** Penetrationstests werden verwendet, um die Sicherheitseigenschaften Ihrer Anwendung zu erkennen, zu lösen und zu validieren. Regelmäßige und geplante Penetrationstests sollten als Teil des Softwareentwicklungs-Lebenszyklus durchgeführt werden. Die aus Penetrationstests gewonnenen Erkenntnisse sollten vor der Veröffentlichung der Software adressiert werden. Sie sollten die Ergebnisse von Penetrationstests verwenden, um festzustellen, ob es sich um Probleme handelt, die mithilfe von Automatisierung gefunden werden könnten. Ein regelmäßiger und wiederholbarer Prozess für Penetrationstests, der einen aktiven Feedback-Mechanismus umfasst, fließt in die Anweisungen für Entwickler ein und verbessert die Softwarequalität.
**Typische Anti-Muster:**
+ Penetrationstests nur für bekannte oder weit verbreitete Sicherheitsprobleme verwenden.
+ Penetrationstests bei Anwendungen ohne abhängige Drittanbieter-Tools und -Bibliotheken durchführen.
+ Penetrationstests nur bei Paketsicherheitsproblemen durchführen und die implementierte Geschäftslogik nicht evaluieren.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Gesteigertes Vertrauen in die Sicherheitseigenschaften der Software vor der Veröffentlichung.
+ Die Möglichkeit, bevorzugte Anwendungsmuster zu identifizieren, wodurch die Softwarequalität erhöht wird.
+ Verbresserte Sicherheitseigenschaften von Software durch eine Feedbackschleife, die früher im Entwicklungszyklus bestimmt, wo Automatisierung oder zusätzliche Schulungen erforderlich sind.
** Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Penetrationstests sind eine strukturierte Sicherheitstestübung, wobei Sie Szenarios mit geplanten Sicherheitsverstößen durchführen, um Sicherheitskontrollen zu erkennen, zu lösen und zu validieren. Penetrationstests starten mit einer Erkundung, bei der Daten basierend auf dem aktuellen Design der Anwendung und ihrer Abhängigkeiten erfasst werden. Eine kuratierte Liste an sicherheitsspezifischen Testszenarios wird entwickelt und ausgeführt. Der wesentliche Zweck dieser Tests ist, die Sicherheitsprobleme in Ihrer Anwendung aufzudecken, die dazu genutzt werden könnten, unbeabsichtigten Zugriff auf Ihre Umgebung oder unautorisierten Zugriff auf Daten zu erhalten. Sie sollten Penetrationstests durchführen, wenn Sie neue Funktionen einführen oder wenn bei Ihrer Anwendung wesentliche Änderungen hinsichtlich der Funktion oder technischen Implementierung erfolgt sind.
Sie sollten in Ihrem Entwicklungslebenszyklus die am besten geeignete Phase bestimmen, um Penetrationstests durchzuführen. Das Testen sollte so spät stattfinden, dass sich das System nahe am vorgesehenen Veröffentlichungszustand befindet, aber es sollte ausreichend Zeit vorhanden sein, damit Probleme behoben werden können.
### Implementierungsschritte
+ Implementieren Sie einen strukturierten Prozess für den Umfang der Penetrationstests und dieser Prozess sollte auf einem [Bedrohungsmodell](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) basieren, um den Kontext zu bewahren.
+ Bestimmen Sie den geeigneten Zeitpunkt im Entwicklungszyklus zum Durchführen von Penetrationstests. Penetrationstests sollten dann erfolgen, wenn die geringsten Änderungen an der Anwendung erwartet werden, aber noch ausreichend Zeit für die Fehlerbehebung übrig ist.
+ Schulen Sie Ihre Entwickler in Bezug darauf, was sie von den Ergebnissen von Penetrationstests erwarten und wie Informationen zur Mängelbeseitigung erhalten können.
+ Verwenden Sie Tools zum Beschleunigen des Penetrationstestvorgangs, indem Sie gängige oder wiederholbare Tests automatisieren.
+ Analysieren Sie Ergebnisse von Penetrationstests, um systemische Sicherheitsprobleme zu identifizieren, und verwenden Sie diese Daten, um sie in zusätzliche automatisierte Tests und fortlaufende Entwicklerschulungen einfließen zu lassen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC11-BP01 Für Anwendungssicherheit schulen](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren](sec_appsec_automate_testing_throughout_lifecycle.md)
**Zugehörige Dokumente:**
+ [AWS-Penetrationstest](https://aws.amazon.com/security/penetration-testing/) bieten ausführliche Anweisungen für Penetrationstests mit AWS
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/) (Beschleunigen von Bereitstellungen auf AWS mit effektiver Governance)
+ [AWS Security Competency Partners](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc) (AWS-Kompetenzpartner für Sicherheit)
+ [Modernize your penetration testing architecture on AWS Fargate](https://aws.amazon.com/blogs/architecture/modernize-your-penetration-testing-architecture-on-aws-fargate/) (Modernisieren Ihrer Penetrationstestarchitektur auf AWS Fargate)
+ [AWS Fault Injection Simulator](https://aws.amazon.com/fis/)
**Zugehörige Beispiele:**
+ [Automate API testing with AWS CodePipeline](https://github.com/aws-samples/aws-codepipeline-codebuild-with-postman) (Automatisieren von API-Testen mit AWS Codepipeline mit Postman) (GitHub)
+ [Automated security helper](https://github.com/aws-samples/automated-security-helper) (Automatisierter Sicherheitshelfer) (GitHub)
# SEC11-BP04 Manuelle Codeüberprüfungen
Führen Sie eine manuelle Codeüberprüfung der von Ihnen produzierten Software durch. Dieser Prozess hilft zu verifizieren, dass die Person, die den Code geschrieben hat, die Qualität des Codes nicht allein überprüft.
**Gewünschtes Ergebnis:** Das Hinzufügen einer manuellen Codeüberprüfung während der Entwicklung erhöht die Qualität der geschriebenen Software, hilft dabei, weniger erfahrene Teammitglieder weiterzubilden, und bietet eine Möglichkeit, Stellen zum Einsetzen von Automatisierung zu identifizieren. Manuelle Codeüberprüfungen können von automatisierten Tools und Tests unterstützt werden.
**Typische Anti-Muster:**
+ Keine Codeüberprüfungen vor der Bereitstellung durchführen.
+ Die gleiche Person zum Schreiben und Überprüfen des Codes einsetzen.
+ Keine Automatisierung zum Unterstützen und Orchestrieren von Codeüberprüfungen einsetzen.
+ Entwickler nicht hinsichtlich Anwendungssicherheit schulen, bevor sie Code überprüfen.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Verbesserte Codequalität.
+ Erhöhte Konsistenz bei der Codeentwicklung durch das erneute Verwenden von gängigen Ansätzen.
+ Verringerte Anzahl von Schwierigkeiten, die bei Penetrationstests und in späteren Phasen entdeckt werden.
+ Verbesserter Wissenstransfer innerhalb des Teams.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Der Überprüfungsschritt sollte als Teil des allgemeinen Codeverwaltungs-Flows implementiert werden. Die Details hängen vom Ansatz an, der für Verzweigen, Pull-Anforderungen und Zusammenführen verwendet wird. Sie verwenden möglicherweise AWS CodeCommit oder Drittanbieterlösungen wie GitHub, GitLab oder Bitbucket. Welche Methode auch immer Sie verwenden – es ist wichtig, dass Sie verifizieren, dass Ihre Prozesse eine Überprüfung von Code erfordern, bevor dieser in einer Produktionsumgebung bereitgestellt wird. Das Verwenden von Tools wie [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) kann das Orchestrieren des Codeüberprüfungsvorgangs vereinfachen.
### Implementierungsschritte
+ Implementieren Sie einen Schritt zur manuellen Überprüfung als Teil Ihres Codeverwaltungs-Flows und führen Sie diese Überprüfung durch, bevor Sie fortfahren.
+ Erwägen Sie [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) für das Verwalten und Unterstützen bei Codeüberprüfungen.
+ Implementieren Sie einen Genehmigungs-Workflow, bei dem eine Codeüberprüfung erforderlich ist, bevor Code zur nächsten Stufe übergehen kann.
+ Verifizieren Sie, dass es einen Vorgang gibt, um Probleme bei manuellen Codeüberprüfungen zu finden, die automatisch erkannt werden könnten.
+ Integrieren Sie den Schritt zur manuellen Codeüberprüfung auf eine Weise, die mit Ihren Codeentwicklungspraktiken übereinstimmt.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren](sec_appsec_automate_testing_throughout_lifecycle.md)
**Zugehörige Dokumente:**
+ [Working with pull requests in AWS CodeCommit repositories](https://docs.aws.amazon.com/codecommit/latest/userguide/pull-requests.html) (Arbeiten Mit Pull-Anforderungen in AWS CodeCommit)
+ [Working with approval rule templates in AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/approval-rule-templates.html) (Arbeiten mit Genehmigungsregelvorlagen in AWS CodeCommit)
+ [About pull requests in GitHub](https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-pull-requests) (Informationen über Pull-Anforderungen auf GitHub)
+ [Automate code reviews with Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/automate-code-reviews-with-amazon-codeguru-reviewer/) (Automatisieren von Codeüberprüfungen mit Amazon CodeGuru Reviewer)
+ [Automating detection of security vulnerabilities and bugs in CI/CD pipelines using Amazon CodeGuru Reviewer CLI](https://aws.amazon.com/blogs/devops/automating-detection-of-security-vulnerabilities-and-bugs-in-ci-cd-pipelines-using-amazon-codeguru-reviewer-cli/) (Automatisieren der Erkennung von Sicherheitsschwachstellen und Bugs in CI/CD-Pipelines mithilfe der CLI von Amazon CodeGuru Reviewer
**Zugehörige Videos:**
+ [Continuous improvement of code quality with Amazon CodeGuru](https://www.youtube.com/watch?v=iX1i35H1OVw) (Kontinuierliche Verbesserung der Codequalität mit Amazon CodeGuru)
**Zugehörige Beispiele:**
+ [Security for Developers workshop](https://catalog.workshops.aws/sec4devs) (Workshop „Sicherheit für Entwickler“)
# SEC11-BP05 Services für Pakete und Abhängigkeiten zentralisieren
Stellen Sie zentralisierte Services für Entwicklungsteams bereit, sodass sie Softwarepakete und andere Abhängigkeiten erhalten können. Dadurch können Pakete validiert werden, bevor sie in die von Ihnen geschriebene Software integriert werden, und es kann eine Datenquelle für die Analyse der Software bereitgestellt werden, die in Ihrer Organisation verwendet wird.
**Gewünschtes Ergebnis:** Software besteht aus einem Set aus anderen Softwarepaketen zusätzlich zum Code, der geschrieben wird. Dadurch wird die Implementierung von häufig verwendeten Funktionen vereinfacht, wie einem JSON-Parser oder einer Verschlüsselungsbibliothek. Das logische Zentralisieren der Quellen und Abhängigkeiten für diese Pakete bietet einen Mechanismus für Sicherheitsteams, damit diese die Eigenschaften der Pakete validieren können, bevor sie verwendet werden. Dieser Ansatz verringert auch das Risiko, dass ein unerwartetes Problem durch die Änderung eines vorhandenen Pakets verursacht wird oder dass Entwicklungsteams beliebige Pakete direkt aus dem Internet einbeziehen. Verwenden Sie diesen Ansatz zusammen mit manuellem und automatischem Testen, um das Vertrauen in die Qualität der entwickelten Software zu steigern.
**Typische Anti-Muster:**
+ Pakete aus beliebigen Repositorys im Internet abrufen.
+ Neue Pakete nicht testen, bevor sie für Entwickler verfügbar gemacht werden.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Besseres Verständnis darüber, welche Pakete in der entwickelten Software verwendet werden.
+ Benachrichtigung von Workload-Teams, wenn ein Paket aktualisiert werden muss – basierend auf dem Verständnis davon, wer was verwendet.
+ Geringeres Risiko, dass ein Paket mit Problemen in Ihrer Software enthalten ist.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel
## Implementierungsleitfaden
Stellen Sie zentralisierte Services für Pakete und Abhängigkeiten so bereit, dass sie von Entwicklern einfach verwendet werden können. Zentralisierte Services können logisch zentral sein, anstatt als monolithisches System implementiert zu werden. Mit diesem Ansatz können Sie Services anbieten, die die Anforderungen Ihrer Entwickler erfüllen. Sie sollten eine effiziente Möglichkeit zum Hinzufügen von Paketen zum Repository implementieren, wenn Updates erfolgen oder neue Anforderungen aufkommen. Mithilfe von AWS-Services wie [AWS CodeArtifact](https://aws.amazon.com/codeartifact/) oder ähnlichen AWS-Partnerlösungen kann diese Funktion geboten werden.
### Implementierungsschritte:
+ Implementieren Sie einen logisch zentralisierten Repository-Service, der in allen Umgebungen, in welchen die Software entwickelt wird, verfügbar ist.
+ Fügen Sie den Zugriff auf das Repository als Teil des AWS-Konto-Vergabeprozesses hinzu.
+ Entwickeln Sie eine Automatisierung zum Testen von Paketen, bevor diese in einem Repository veröffentlicht werden.
+ Pflegen Sie Metriken der am häufigsten verwendeten Pakete, Sprachen und Teams mit den häufigsten Änderungen.
+ Stellen Sie Entwicklungsteams einen automatisierten Mechanismus bereit, damit sie neue Pakete anfordern und Feedback abgeben können.
+ Scannen Sie regelmäßig Pakete in Ihrem Repository, um die Auswirkungen von kürzlich entdecken Problemen zu identifizieren.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren](sec_appsec_automate_testing_throughout_lifecycle.md)
**Zugehörige Dokumente:**
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/) (Beschleunigen von Bereitstellungen auf AWS mit effektiver Governance)
+ [Tighten your package security with CodeArtifact Package Origin Control toolkit](https://aws.amazon.com/blogs/devops/tighten-your-package-security-with-codeartifact-package-origin-control-toolkit/) (Erhöhen Ihrer Paketsicherheit mit dem Toolkit von CodeArtifact Package Origin Control)
+ [Detecting security issues in logging with Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/detecting-security-issues-in-logging-with-amazon-codeguru-reviewer/) (Erkennen von Sicherheitsproblemen beim Protokollieren mit Amazon CodeGuru Reviewer)
+ [Supply chain Levels for Software Artifacts (SLSA)](https://slsa.dev/) (Lieferkettenebenen für Software-Artefakte)
**Zugehörige Videos:**
+ [Proactive security: Considerations and approaches](https://www.youtube.com/watch?v=CBrUE6Qwfag) (Proaktive Sicherheit: Überlegungen und Ansätze)
+ [The AWS Philosophy of Security (re:Invent 2017)](https://www.youtube.com/watch?v=KJiCfPXOW-U) (Die AWS-Philosophie zu Sicherheit)
+ [When security, safety, and urgency all matter: Handling Log4Shell](https://www.youtube.com/watch?v=pkPkm7W6rGg) (Wenn Sicherheit und Dringlichkeit von Bedeutung sind: Umgang mit Log4Shell)
**Zugehörige Beispiele:**
+ [Multi Region Package Publishing Pipeline](https://github.com/aws-samples/multi-region-python-package-publishing-pipeline) (Mehrregions-Veröffentlichungs-Pipeline für Pakete) (GitHub)
+ [Publishing Node.js Modules on AWS CodeArtifact using AWS CodePipeline](https://github.com/aws-samples/aws-codepipeline-publish-nodejs-modules) (Node.js-Module auf AWS CodeArtifact mithilfe von AWS CodePipeline veröffentlichen) (GitHub)
+ [AWS CDK Java CodeArtifact Pipeline Sample](https://github.com/aws-samples/aws-cdk-codeartifact-pipeline-sample) (Beispiel für eine Java-CodeArtifact-Pipeline) (GitHub)
+ [Distribute private .NET NuGet packages with AWS CodeArtifact](https://github.com/aws-samples/aws-codeartifact-nuget-dotnet-pipelines) (Verteilen von privaten .NET-NuGet-Pakete mit AWS CodeArtifact) (GitHub)
# SEC11-BP06 Software programmgesteuert bereitstellen
Führen Sie Bereitstellungen von Software möglichst programmgesteuert durch. Dieser Ansatz verringert die Wahrscheinlichkeit eines Bereitstellungsfehlers oder der Einführung eines unerwarteten Problem aufgrund eines menschlichen Fehlers.
**Gewünschtes Ergebnis: **Menschen von Daten fernhalten ist eines der Prinzipien für sicheres Entwickeln in der AWS Cloud. Dieses Prinzip umfasst, wie Sie Ihre Software bereitstellen.
Wenn Sie sich nicht auf Menschen verlassen müssen, um Software bereitzustellen, bietet dies den Vorteil, dass Sie mehr Vertrauen darin haben können, dass das, was getestet wird, auch das ist, was bereitgestellt wird, und dass die Bereitstellung jedes Mal konsistent durchgeführt wird. Die Software sollte nicht geändert werden müssen, um in unterschiedlichen Umgebungen zu funktionieren. Mithilfe der Prinzipien der 12-Faktor-Anwendungsentwicklung, insbesondere dem Externalisieren der Konfiguration, können Sie denselben Code ohne Änderungen in mehreren Umgebungen bereitstellen. Das kryptografische Signieren von Softwarepaketen ist eine gute Möglichkeit, zu verifizieren, dass sich zwischen den Umgebungen nichts geändert hat. Das Gesamtergebnis dieses Ansatzes ist die Risikoverringerung bei Ihrem Änderungsprozess und die Verbesserung der Konsistenz von Softwareveröffentlichungen.
**Typische Anti-Muster:**
+ Software manuell in die Produktion bereitstellen.
+ Manuelle Änderungen an Software durchführen, um unterschiedliche Umgebungen zu bedienen.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Gesteigertes Vertrauen in den Prozess der Softwareveröffentlichung.
+ Verringertes Risiko, dass eine fehlgeschlagene Änderung, die Geschäftsfunktionen beeinträchtigt.
+ Erhöhte Veröffentlichungsfrequenz, aufgrund eines geringeren Änderungsrisikos.
+ Automatische Rollback-Funktion für unerwartete Ereignisse während der Bereitstellung.
+ Die Möglichkeit, kryptografisch zu beweisen, dass es sich bei der getesteten Software um die bereitgestellte Software handelt.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Entwickeln Sie Ihre AWS-Konto-Struktur, um den fortlaufenden menschlichen Zugriff über Umgebungen zu verhindern und CI/CD-Tools zum Durchführen von Bereitstellungen zu verwenden. Entwerfen Sie Ihre Anwendungen so, dass umgebungsspezifische Konfigurationsdaten von externen Quellen gewonnen werden, wie [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html). Signieren Sie Pakete, nachdem sie getestet wurden, und validieren Sie diese Signaturen während der Bereitstellung. Konfigurieren Sie Ihre CI/CD-Pipelines, um den Anwendungscode zu übertragen und verwenden Sie Canaries, um die erfolgreiche Bereitstellung zu bestätigen. Verwenden Sie Tools wie [AWS CloudFormation](https://aws.amazon.com/cloudformation/) oder [AWS CDK](https://aws.amazon.com/cdk/), um Ihre Infrastruktur zu definieren, und verwenden Sie dann [AWS CodeBuild](https://aws.amazon.com/codebuild/) und [AWS CodePipeline](https://aws.amazon.com/codepipeline/), um CI/CD-Vorgänge durchzuführen.
### Implementierungsschritte
+ Entwicklen Sie gut definierte CI/CD-Pipelines, um den Bereitstellungsprozess zu optimieren.
+ Die Verwendung von [AWS CodeBuild](https://aws.amazon.com/codebuild/) und [AWS Code Pipeline](https://aws.amazon.com/codepipeline/), um die CI/CD-Funktionalität zu bieten, vereinfacht das Integrieren von Sicherheitstesten in Ihre Pipelines.
+ Befolgen Sie die Anweisungen für die Trennung von Umgebungen im Whitepaper [Organisation Ihrer AWS-Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
+ Verifzieren Sie, dass es keinen fortlaufenden Zugriff durch Personen auf Umgebungen gibt, in welchen Produktions-Workloads ausgeführt werden.
+ Entwickeln Sie Ihre Anwendungen so, dass sie die Externalisierung von Konfigurationsdaten unterstützen.
+ Ziehen Sie eine Bereitstellung mithilfe eines Blau/Grün-Modells in Betracht.
+ Setzen Sie Canaries ein, um die erfolgreiche Bereitstellung der Software zu validieren.
+ Verwenden Sie kryptografische Tools wie [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) oder [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/), um die Softwarepakete, die Sie bereitstellen, zu signieren und zu verifizieren.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren](sec_appsec_automate_testing_throughout_lifecycle.md)
**Zugehörige Dokumente:**
+ [AWS-CI/CD-Workshop](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
+ [Accelerate deployments on AWS with effective governance](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/) (Beschleunigen von Bereitstellungen auf AWS mit effektiver Governance)
+ [Automating safe, hands-off deployments](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/) (Automatisierung sicherer, vollautomatischer Bereitstellungen)
+ [Code signing using AWS Certificate Manager Private CA and AWS Key Management Service asymmetric keys](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/) (Codesignatur mithilfe von AWS Certificate Manager Private CA und asymmetrischen Schlüsseln von AWS Key Management Service)
+ [Code Signing, a Trust and Integrity Control for AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/) (Codesignatur, eine Vertrauens- und Integritätskontrolle für AWS Lambda)
**Zugehörige Videos:**
+ [Hands-off: Automating continuous delivery pipelines at Amazon](https://www.youtube.com/watch?v=ngnMj1zbMPY) (Vollständige Automatisierung: Automatisieren der Pipelines für kontinuierliche Bereitstellung bei Amazon)
**Zugehörige Beispiele:**
+ [Blue/Green deployments with AWS Fargate](https://catalog.us-east-1.prod.workshops.aws/workshops/954a35ee-c878-4c22-93ce-b30b25918d89/en-US) (Blau/Grün-Bereitstellungen mit AWS Fargate)
# SEC11-BP07 Die Sicherheitseigenschaften der Pipelines regelmäßig bewerten
Wenden Sie die Prinzipien der Säule der Well-Architected-Sicherheit bei Ihren Pipelines an und achten Sie dabei besonders auf die Trennung von Berechtigungen. Bewerten Sie die Sicherheitseigenschaften Ihrer Pipeline-Infrastruktur regelmäßig. Durch die effektive Verwaltung *der* Pipeline-Sicherheit können Sie bei der Software, die diese Pipelines *durchläuft*, für Sicherheit sorgen.
**Gewünschtes Ergebnis:** Die Pipelines, die zum Entwickeln und Bereitstellen Ihrer Software verwendet werden, sollten dieselben empfohlenen Praktiken wie jeder andere Workload in Ihrer Umgebung befolgen. Die Tests, die in den Pipelines implementiert sind, sollten nicht von Entwicklern bearbeitet werden können, die sie verwenden. Die Pipelines sollten nur Berechtigungen für die Bereitstellungen haben, die sie durchführen, und sollten Sicherheitsmaßnahmen zum Verhindern von Bereitstellungen in den falschen Umgebungen implementieren. Pipelines sollten sich nicht auf langfristige Anmeldeinformationen verlassen und sollten konfiguriert sein, um den Status auszugeben, sodass die Integrität der Entwicklungsumgebung validiert werden kann.
**Typische Anti-Muster:**
+ Sicherheitstests können von Entwicklern umgangen werden.
+ Berechtigungen für Bereitstellungs-Pipelines sind übermäßig breit gefasst.
+ Pipelines sind nicht konfiguriert, um Eingaben zu validieren.
+ Berechtigungen in Zusammenhang mit Ihrer CI/CD-Infrastruktur werden nicht regelmäßig überprüft.
+ Langfristige oder fest codierte Anmeldeinformationen werden verwendet.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Größeres Vertrauen in die Integrität der Software, die über die Pipelines entwickelt und bereitgestellt wird.
+ Eine Bereitstellung kann angehalten werden, wenn es verdächtige Aktivitäten gibt.
** Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
Durch den Beginn mit CI/CD-Services, die IAM-Rollen unterstützen, wird das Risiko von Anmeldeinformationslecks verringert. Durch das Anwenden der Prinzipien der Säule „Sicherheit“ auf Ihre CI/CD-Pipeline-Infrastruktur können Sie bestimmen, wo Sicherheitsverbesserungen durchgeführt werden können. Das Befolgen der [AWS Deployment Pipelines Reference Architecture](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/) (Referenzarchitektur für AWS-Bereitstellungs-Pipelines) ist ein guter Startpunkt für das Erstellen Ihrer eigenen CI/CD-Umgebungen. Regelmäßige Überprüfungen der Pipeline-Implementierung und Untersuchungen von Protokollen auf unerwartetes Verhalten können Ihnen dabei helfen, die Verwendungsmuster der Pipelines, die zum Bereitstellen der Software verwendet werden, besser zu verstehen.
### Implementierungsschritte
+ Beginnen Sie mit der [AWS Deployment Pipelines Reference Architecture](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/) (Referenzarchitektur für AWS-Bereitstellungs-Pipelines).
+ Erwägen Sie, [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) zu verwenden, um für die Pipelines programmatisch IAM-Richtlinien mit der geringsten Berechtigung zu erstellen.
+ Integrieren Sie Ihre Pipelines mit Überwachung und Benachrichtigung, sodass Sie über unerwartete oder abnorme Aktivitäten benachrichtigt werden. Bei von AWS verwalteten Services können Sie mithilfe von [Amazon EventBridge](https://aws.amazon.com/eventbridge/) Daten zu Zielen wie [AWS Lambda](https://aws.amazon.com/lambda/) oder [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS) umleiten.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Deployment Pipelines Reference Architecture](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/) (Referenzarchitektur für AWS-Bereitstellungs-Pipelines)
+ [Monitoring AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/monitoring.html) (Überwachen von AWS CodePipeline)
+ [Security best practices for AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/security-best-practices.html) (Bewährte Methoden für die Sicherheit mit AWS CodePipeline)
**Zugehörige Beispiele:**
+ [DevOps monitoring dashboard](https://github.com/aws-solutions/aws-devops-monitoring-dashboard) (DevOps-Überwachungs-Dashboard) (GitHub)
# SEC11-BP08 Ein Programm entwickeln, das den Workload-Teams die Verantwortung für die Sicherheit überträgt
Entwickeln Sie ein Programm oder einen Mechanismus, der es Entwicklerteams ermöglicht, Entscheidungen bezüglich der Sicherheit der von ihnen erstellten Software zu treffen. Zwar muss Ihr Sicherheitsteam diese Entscheidungen immer noch während einer Überprüfung validieren, doch macht das Übertragen der Sicherheitsverantwortlichkeit auf Entwicklerteams eine schnellere und sicherer Workload-Erstellung möglich. Zudem fördert dieser Mechanismus eine Kultur der Verantwortlichkeit, die einen positiven Einfluss auf den Betrieb der von Ihnen entwickelten Systeme hat.
**Gewünschtes Ergebnis:** Um Entwicklungsteams Verantwortung und Entscheidungsfindung zu überlassen, können Sie entweder Entwickler in Bezug darauf schulen, wie sie über Sicherheit nachdenken, oder Sie können ihre Schulung mithilfe von Sicherheitsexperten verbessern, die Teil des Entwicklungsteams sind oder damit in Kontakt stehen. Beide Ansätze sind valide und ermöglichen dem Team, bessere Sicherheitsentscheidungen früher im Entwicklungszyklus zu treffen. Dieses Verantwortungsmodell basiert auf Schulungen in Anwendungssicherheit. Wenn Sie mit einem Bedrohungsmodell für den bestimmten Workload beginnen, hilft Ihnen dies dabei, das Design Thinking auf den entsprechenden Kontext zu konzentrieren. Ein weiterer Vorteil, eine Community an sicherheitsorientierten Entwicklern oder eine Gruppe an Sicherheitstechnikern zu haben, die mit Entwicklungsteams zusammenarbeiten, ist, dass Sie ein besseres Verständnis darüber erlangen, wie Code geschrieben wird. Dieses Verständnis hilft Ihnen dabei, die nächsten verbesserungswürdigen Bereiche bei Ihrem Automatisierungsunterfangen zu bestimmen.
**Typische Anti-Muster:**
+ Einem Sicherheitsteam alle Entscheidungen bezüglich des Sicherheitsdesigns überlassen.
+ Sicherheitsanforderungen nicht früh genug im Entwicklungsprozess adressieren.
+ Kein Feedback bezüglich des Programmbetriebs von Entwicklern und Sicherheitsexperten einholen.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Kürzere Dauer zum Abschließen von Sicherheitsüberprüfungen.
+ Verringerung von Sicherheitsproblemen, die nur auf der Ebene der Sicherheitsüberprüfung erkannt werden.
+ Verbesserung der gesamten Qualität der Software, die geschrieben wird.
+ Die Möglichkeit, systemische Probleme oder Bereiche mit hoher Wertverbesserung zu identifizieren und zu verstehen.
+ Verringerung der erforderlichen Überarbeitung aufgrund von Erkenntnissen in Bezug auf Sicherheit.
+ Verbesserung der Wahrnehmung von Sicherheitsfunktionen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** niedrig
## Implementierungsleitfaden
Beginnen Sie mit den Anweisungen unter [SEC11-BP01 Für Anwendungssicherheit schulen](sec_appsec_train_for_application_security.md). Bestimmen Sie danach das Betriebsmodell für das Programm, von dem Sie denken, dass es am besten für Ihr Unternehmen funktioniert. Die zwei Hauptmuster bestehen daraus, Entwickler zu schulen oder Sicherheitsexperten in in Entwicklungsteams zu positionieren. Nachdem Sie sich für eine anfängliche Verfahrensweise entschieden haben, sollten Sie einen Pilotlauf mit einem einzelnen Team oder einer kleinen Gruppe von Workload-Teams durchführen, um zu bestätigen, dass das Modell für Ihr Unternehmen funktioniert. Unterstützung der Führungskräfte aus den Entwicklungs- und Sicherheitsbereichen des Unternehmens hilft Ihnen beim Durchführen und dem Erfolg des Programms. Während Sie dieses Programm entwickeln, ist es wichtig, Metriken auszuwählen, die auf den Wert des Programms hinweisen. Zu erfahren, wie AWS mit diesem Problem umgegangen ist, bietet eine gute Lernerfahrung. Die bewährte Methode konzentriert sich auf die Veränderung und Kultur des Unternehmens. Die von Ihnen eingesetzten Tools sollten die Zusammenarbeit zwischen den Entwicklung- und Sicherheits-Communities unterstützen.
### Implementierungsschritte
+ Beginnen Sie damit, Ihre Entwickler im Bereich der Anwendungssicherheit zu schulen.
+ Schaffen Sie eine Community und ein Onboarding-Programm zum Schulen der Entwickler.
+ Geben Sie dem Programm einen Namen. Guardians, Champions oder Advocates werden häufig verwendet.
+ Bestimmen Sie das Modell, das verwendet werden soll: Schulen Sie Entwickler und bringen Sie Sicherheitstechniker oder andere verwandte Sicherheitsrollen ein.
+ Identifizieren Sie Projektsponsoren aus Sicherheitsexperten, Entwicklern und anderen potenziell relevanten Gruppen.
+ Verfolgen Sie Metriken für die Anzahl der im Programm involvierten Personen, die für Überprüfungen erforderliche Zeit und das Feedback von Entwicklern und Sicherheitsexperten. Nutzen Sie diese Metriken, um Verbesserungen vorzunehmen.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC11-BP01 Für Anwendungssicherheit schulen](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Das Testen während des Entwicklungs- und Veröffentlichungslebenszyklus automatisieren](sec_appsec_automate_testing_throughout_lifecycle.md)
**Zugehörige Dokumente:**
+ [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (Konzepte für Bedrohungsmodellierung)
+ [How to think about cloud security governance](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/) (Über Cloud-Sicherheits-Governance nachdenken)
**Zugehörige Videos:**
+ [Proactive security: Considerations and approaches](https://www.youtube.com/watch?v=CBrUE6Qwfag) (Proaktive Sicherheit: Überlegungen und Ansätze)