View a markdown version of this page

Unveränderlichen Speicher verwenden - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Unveränderlichen Speicher verwenden

Stellen Sie beim Kopieren von Protokollen und anderen Beweisen in ein alternatives Konto sicher, dass die replizierten Daten geschützt sind. Sie müssen nicht nur die sekundären Beweise schützen, sondern auch die Integrität der Daten an der Quelle. Diese als unveränderlicher Speicher bekannten Mechanismen schützen die Integrität Ihrer Daten, indem sie die Manipulation oder Löschung von Daten verhindern.

Mit den nativen Funktionen von Amazon S3 können Sie einen Amazon S3-Bucket konfigurieren, um die Integrität Ihrer Daten zu schützen. Mit der S3-Objektsperre können Sie für einen festen Zeitraum oder auf unbegrenzte Zeit beispielsweise verhindern, dass ein Objekt gelöscht oder überschrieben wird. Die Verwaltung von Zugriffsberechtigungen mit S3-Bucket-Richtlinien, die Konfigurierung des S3-Versioning und die Aktivierung von MFA Delete sind weitere Möglichkeiten, um einzuschränken, wie Daten geschrieben oder gelesen werden können. Diese Art der Konfiguration eignet sich zum Speichern von Untersuchungsprotokollen und Beweisen und wird oft als Write Once, Read Many (WORM) bezeichnet. Sie können die Daten auch durch eine serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) schützen und sicherstellen, dass nur geeignete IAM-Prinzipale berechtigt sind, die Daten zu entschlüsseln.

Wenn Sie Daten nach Abschluss der Untersuchung sicher in einem Langzeitspeicher aufbewahren möchten, sollten Sie erwägen, die Daten mithilfe von Objektlebenszyklusrichtlinien von Amazon S3 zu Amazon S3 Glacier zu verschieben. Amazon S3 Glacier ist ein sicherer, dauerhafter und äußerst kostengünstiger Cloud-Speicherservice für die langfristige Sicherung und Archivierung von Daten. Amazon S3 Glacier wurde für eine Zuverlässigkeit von 99,999999999 % entwickelt und bietet umfassende Sicherheits- und Compliance-Funktionen.

Darüber hinaus können Sie die Daten in Amazon S3 Glacier mit Amazon S3 Glacier Vault Lock schützen, mit der Sie die Compliancekontrollen für einzelne Amazon S3 Glacier Vaults mit einer Vault Lock-Richtlinie einfach bereitstellen und durchsetzen können. Sie können in einer Vault Lock-Richtlinie Sicherheitskontrollen festlegen (z. B. WORM) und die Richtlinie vor zukünftigen Änderungen schützen. Nachdem Sie die Richtlinie geschützt haben, kann sie nicht mehr geändert werden. Amazon S3 Glacier erzwingt die in der Vault Lock-Richtlinie festgelegten Kontrollen, um Sie bei der Erfüllung Ihrer Compliance-Vorgaben, z. B. im Hinblick auf die Datenaufbewahrung, zu unterstützen. Sie können eine Vielzahl von Konformitätskontrollen in einer Vault Lock-Richtlinie mit der AWS Identity and Access Management-Richtliniensprache (IAM) bereitstellen.