Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden in AWS CloudTrail
AWS CloudTrail bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Themen
CloudTrail Bewährte Methoden zur Detektivsicherheit
Einen Trail anlegen
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto müssen Sie einen Trail erstellen. In der CloudTrail Konsole werden zwar Informationen zum Ereignisverlauf von 90 Tagen für Verwaltungsereignisse CloudTrail bereitgestellt, ohne dass ein Protokoll erstellt wird, es handelt sich jedoch nicht um eine permanente Aufzeichnung und es werden keine Informationen zu allen möglichen Ereignistypen bereitgestellt. Für eine fortlaufende Aufzeichnung, die auch alle Ereignisarten berücksichtigt, die Sie angeben, müssen Sie einen Trail erstellen, der die Protokolldateien an einen von Ihnen angegebenen Amazon-S3-Bucket überträgt.
Um Ihnen die Verwaltung Ihrer CloudTrail Daten zu erleichtern, sollten Sie erwägen, einen Trail zu erstellen, der alle Verwaltungsereignisse protokolliert AWS-Regionen, und dann zusätzliche Trails zu erstellen, die bestimmte Ereignistypen für Ressourcen protokollieren, wie z. B. Amazon S3 S3-Bucket-Aktivitäten oder AWS Lambda -Funktionen.
Im Folgenden werden einige mögliche Maßnahmen aufgeführt:
Wenden Sie Trails auf alle an AWS-Regionen
Um eine vollständige Aufzeichnung der Ereignisse zu erhalten, die von einer IAM Identität oder einem Dienst in Ihrem AWS Konto erfasst wurden, sollte jeder Trail so konfiguriert sein, dass alle Ereignisse protokolliert werden AWS-Regionen. Indem Sie alle Ereignisse protokollieren AWS-Regionen, stellen Sie sicher, dass alle Ereignisse in Ihrem AWS Konto protokolliert werden, unabhängig davon, in welcher AWS Region sie aufgetreten sind. Dazu gehört die Protokollierung globaler Serviceereignisse, die in einer für diesen Dienst spezifischen AWS Region protokolliert werden. Wenn Sie einen Trail erstellen, der für alle Regionen gilt, Ereignisse in jeder Region CloudTrail aufzeichnet und die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen S3-Bucket übermittelt. Wenn eine AWS -Region hinzugefügt wird, nachdem Sie einen Trail erstellt haben, der auf alle Regionen angewendet wird, wird diese neue Region automatisch aufgenommen, und alle Ereignisse in dieser Region werden protokolliert. Dies ist die Standardoption, wenn Sie einen Trail in der CloudTrail Konsole erstellen.
Im Folgenden werden einige mögliche Maßnahmen aufgeführt:
-
Aktualisieren eines vorhandenen Trails für das Protokollieren von Ereignissen in allen AWS-Regionen
-
Implementieren Sie fortlaufende Erkennungskontrollen, um sicherzustellen, dass alle erstellten Trails Ereignisse protokollieren, AWS-Regionen indem Sie die Regel in multi-region-cloud-trail AWS Config-enabled verwenden.
Aktivieren Sie die Integrität der CloudTrail Protokolldatei
Validierte Protokolldateien sind bei Sicherheits- und kriminaltechnischen Ermittlungen unersetzlich. Mit einer validierten Protokolldatei können Sie beispielsweise nachweisen, dass sich die Protokolldatei selbst nicht geändert hat oder dass bestimmte IAM Identitätsdaten eine bestimmte API Aktivität ausgeführt haben. Der Prozess zur Überprüfung der Integrität von CloudTrail Protokolldateien informiert Sie auch darüber, ob eine Protokolldatei gelöscht oder geändert wurde, oder bestätigt, dass in einem bestimmten Zeitraum keine Protokolldateien an Ihr Konto übermittelt wurden. CloudTrail Bei der Überprüfung der Integrität von Protokolldateien werden Industriestandardalgorithmen verwendet: SHA -256 für Hashing und SHA -256 RSA für digitale Signaturen. Das macht es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. CloudTrail Weitere Informationen finden Sie unter Aktivieren der Validierung und Validieren der Dateien.
Integrieren Sie mit Amazon CloudWatch Logs
CloudWatch Logs ermöglicht es Ihnen, bestimmte Ereignisse zu überwachen und Benachrichtigungen zu erhalten, die von erfasst wurden CloudTrail. Die an CloudWatch Logs gesendeten Ereignisse sind so konfiguriert, dass sie von Ihrem Trail protokolliert werden. Stellen Sie also sicher, dass Sie Ihren Trail oder Ihre Trails so konfiguriert haben, dass die Ereignistypen (Verwaltungsereignisse, Datenereignisse und/oder Netzwerkaktivitätsereignisse (in der Vorschau)) protokolliert werden, die Sie überwachen möchten.
Sie können beispielsweise wichtige sicherheits- und netzwerkbezogene Verwaltungsereignisse überwachen, z. B. fehlgeschlagene AWS Management Console Anmeldeereignisse.
Im Folgenden werden einige mögliche Maßnahmen aufgeführt:
-
Sehen Sie sich das Beispiel für die Integration von CloudWatch Logs für an. CloudTrail
-
Konfigurieren Sie Ihren Trail so, dass Ereignisse an CloudWatch Logs gesendet werden.
-
Erwägen Sie die Implementierung fortlaufender Erkennungskontrollen, um sicherzustellen, dass alle Trails Ereignisse zur Überwachung an CloudWatch Logs senden, indem Sie die Regel cloud-trail-cloud-watch-logs-enabled in verwenden. AWS Config
Amazon verwenden GuardDuty
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.
Erkennt beispielsweise eine potenzielle Exfiltration von Anmeldeinformationen, falls Anmeldeinformationen erkannt GuardDuty werden, die ausschließlich für eine EC2 Amazon-Instance über eine Instance-Startrolle erstellt wurden, aber von einem anderen Konto innerhalb verwendet werden. AWS Weitere Informationen finden Sie im GuardDuty Amazon-Benutzerhandbuch.
Verwenden Sie AWS Security Hub
Überwachen Sie Ihre Nutzung von CloudTrail in Bezug auf bewährte Sicherheitsmethoden mithilfe von AWS Security Hub. Security Hub verwendet aufdeckende Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub zur Bewertung von CloudTrail Ressourcen finden Sie unter AWS CloudTrail Kontrollen im AWS Security Hub Benutzerhandbuch.
CloudTrail Bewährte Methoden zur präventiven Sicherheit
Die folgenden bewährten Methoden für CloudTrail können dazu beitragen, Sicherheitsvorfälle zu verhindern.
Anmelden bei einem dedizierten und zentralisierten Amazon-S3-Bucket
CloudTrail Protokolldateien sind ein Auditprotokoll der Aktionen, die von einer IAM Identität oder einem AWS Dienst ausgeführt werden. Die Integrität, Vollständigkeit und Verfügbarkeit dieser Protokolle ist entscheidend für forensische und Auditing-Zwecke. Durch die Protokollierung in einem dedizierten und zentralisierten Amazon-S3-Bucket können Sie strenge Sicherheitskontrollen, Zugriff und Aufgabentrennungen durchsetzen.
Im Folgenden werden einige mögliche Maßnahmen aufgeführt:
-
Erstellen Sie ein separates AWS Konto als Protokollarchivkonto. Wenn Sie dieses Konto verwenden AWS Organizations, registrieren Sie es in der Organisation und erwägen Sie, einen Organisationspfad zu erstellen, um Daten für alle AWS Konten in Ihrer Organisation zu protokollieren.
-
Wenn Sie Organizations nicht verwenden, aber Daten für mehrere AWS Konten protokollieren möchten, erstellen Sie einen Trail, um Aktivitäten in diesem Protokollarchivkonto zu protokollieren. Beschränken Sie den Zugriff auf dieses Konto auf vertrauenswürdige administrative Benutzer, die auf Konto- und Auditing-Daten zugreifen können sollten.
-
Erstellen Sie im Rahmen der Erstellung eines Trails, unabhängig davon, ob es sich um einen Organisations-Trail oder einen Trail für ein einzelnes AWS Konto handelt, einen speziellen Amazon S3 S3-Bucket, um Protokolldateien für diesen Trail zu speichern.
-
Wenn Sie Aktivitäten für mehr als ein AWS Konto protokollieren möchten, ändern Sie die Bucket-Richtlinie so, dass Protokolldateien für alle AWS Konten protokolliert und gespeichert werden können, für die Sie AWS Kontoaktivitäten protokollieren möchten.
-
Wenn Sie keinen Organisationstrail verwenden, erstellen Sie Trails in allen Ihren AWS -Konten und geben Sie den Amazon-S3-Bucket im Protokollarchivkonto an.
Verwenden Sie serverseitige Verschlüsselung mit AWS KMS verwalteten Schlüsseln
Standardmäßig werden die von Ihrem S3-Bucket CloudTrail übermittelten Protokolldateien mithilfe einer serverseitigen Verschlüsselung mit einem KMS Schlüssel (SSE-KMS) verschlüsselt. Um SSE - KMS mit zu verwenden CloudTrail, erstellen und verwalten Sie einen AWS KMS key, auch als KMS Schlüssel bezeichnet.
Anmerkung
Wenn Sie die Validierung SSE von Protokolldateien verwenden KMS und Ihre Amazon S3 S3-Bucket-Richtlinie so geändert haben, dass sie nur KMS verschlüsselte Dateien zulässtSSE, können Sie keine Trails erstellen, die diesen Bucket nutzen, es sei denn, Sie ändern Ihre Bucket-Richtlinie so, dass sie ausdrücklich die AES256 Verschlüsselung zulässt, wie in der folgenden Beispielrichtlinienzeile gezeigt.
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }
Im Folgenden werden einige mögliche Maßnahmen aufgeführt:
-
Sehen Sie sich die Vorteile der Verschlüsselung Ihrer Protokolldateien mit SSE - KMS an.
-
Erstellen Sie einen KMS Schlüssel für die Verschlüsselung von Protokolldateien.
-
Konfigurieren Sie die Protokolldateiverschlüsselung für Ihre Trails.
-
Erwägen Sie die Implementierung fortlaufender Erkennungskontrollen, um sicherzustellen, dass alle Protokolle Protokolldateien mit SSE — verschlüsseln, KMS indem Sie die cloud-trail-encryption-enabledRegel in verwenden. AWS Config
Fügen Sie der standardmäßigen SNS Amazon-Themenrichtlinie einen Bedingungsschlüssel hinzu
Wenn Sie einen Trail zum Senden von Benachrichtigungen an Amazon konfigurierenSNS, CloudTrail fügt er Ihrer SNS Themenzugriffsrichtlinie eine Richtlinienerklärung hinzu, die das Senden von Inhalten an ein SNS Thema ermöglicht CloudTrail . Aus Sicherheitsgründen empfehlen wir, der Datenschutzerklärung zum SNS Thema Amazon einen aws:SourceArn (oder optionalaws:SourceAccount) Bedingungsschlüssel hinzuzufügen. Dies hilft, unbefugten Kontozugriff auf Ihr SNS Thema zu verhindern. Weitere Informationen finden Sie unter SNSAmazon-Themenrichtlinie für CloudTrail.
Implementieren des Zugriffs mit den geringsten Berechtigungen zu Amazon-S3-Buckets, in denen Sie Protokolldateien speichern
CloudTrail protokolliert Ereignisse in einem von Ihnen angegebenen Amazon S3 S3-Bucket. Diese Protokolldateien enthalten ein Auditprotokoll der Aktionen, die von IAM Identitäten und AWS Diensten ausgeführt wurden. Die Integrität und Vollständigkeit dieser Protokolldateien sind von zentraler Bedeutung für Audit- und forensische Zwecke. Um diese Integrität zu gewährleisten, sollten Sie bei der Erstellung oder Änderung des Zugriffs auf einen Amazon S3 S3-Bucket, der zum Speichern von CloudTrail Protokolldateien verwendet wird, das Prinzip der geringsten Rechte einhalten.
Gehen Sie dazu wie folgt vor:
-
Überprüfen Sie die Amazon S3-Bucket-Richtlinie für alle Buckets, in denen Sie Protokolldateien speichern und passen Sie sie gegebenenfalls an, um unnötige Zugriffsrechte entfernen. Diese Bucket-Richtlinie wird für Sie generiert, wenn Sie mit der CloudTrail Konsole einen Trail erstellen. Sie kann aber auch manuell erstellt und verwaltet werden.
-
Als bewährte Sicherheitsmethode gilt es, der Bucket-Richtlinie manuell einen
aws:SourceArn-Bedingungsschlüssel hinzuzufügen. Weitere Informationen finden Sie unter Amazon S3 S3-Bucket-Richtlinie für CloudTrail. -
Wenn Sie denselben Amazon S3 S3-Bucket verwenden, um Protokolldateien für mehrere AWS Konten zu speichern, folgen Sie den Anweisungen zum Empfangen von Protokolldateien für mehrere Konten.
-
Wenn Sie einen Organisationstrail verwenden, stellen Sie sicher, dass Sie die Anleitung für Organisationstrails befolgen, uns sehen Sie sich die Beispielrichtlinie für einen Amazon-S3-Bucket für einen Organisationstrail in Erstellen eines Trails für eine Organisation mit dem AWS CLI an.
-
Überprüfen Sie die Amazon-S3-Sicherheits-Dokumentation und die beispielhafte Anleitung zum Sichern eines Buckets.
Aktivieren MFA Sie das Löschen im Amazon S3 S3-Bucket, in dem Sie Protokolldateien speichern
Wenn Sie die Multi-Faktor-Authentifizierung (MFA) konfigurieren, erfordern Versuche, den Versionsstatus eines Buckets zu ändern oder eine Objektversion in einem Bucket zu löschen, eine zusätzliche Authentifizierung. Auf diese Weise können Sie auch dann, wenn ein Benutzer das Passwort eines IAM Benutzers erhält, der berechtigt ist, Amazon S3 S3-Objekte dauerhaft zu löschen, Vorgänge verhindern, die Ihre Protokolldateien gefährden könnten.
Im Folgenden werden einige mögliche Maßnahmen aufgeführt:
-
Lesen MFASie die Hinweise zum Löschen im Amazon Simple Storage Service-Benutzerhandbuch.
Anmerkung
Sie können MFA Delete nicht mit Lebenszykluskonfigurationen verwenden. Weitere Informationen zu Lebenszykluskonfigurationen und deren Interaktion mit anderen Konfigurationen finden Sie unter Lebenszykluskonfigurationen und andere Bucket-Konfigurationen im Benutzerhandbuch von Amazon Simple Storage Service.
Konfigurieren des Objekt-Lebenszyklusmanagements auf dem Amazon-S3-Bucket, in dem Sie Protokolldateien speichern
Standardmäßig werden Protokolldateien auf unbestimmte Zeit in dem für den Trail konfigurierten Amazon S3 S3-Bucket gespeichert. CloudTrail Sie können die Amazon S3-Objektlebenszyklusregeln verwenden, um Ihre eigene Aufbewahrungsrichtlinie zu erstellen, die besser zu Ihren geschäftlichen und Auditing-Anforderungen passt. So könnten Sie beispielsweise Protokolldateien, die mehr als ein Jahr alt sind, in Amazon Glacier archivieren wollen, oder Protokolldateien nach Ablauf einer bestimmten Zeit löschen.
Anmerkung
Die Lebenszykluskonfiguration für Buckets mit Multi-Faktor-Authentifizierung (MFA) wird nicht unterstützt.
Beschränken Sie den Zugriff auf die Richtlinie AWSCloudTrail_FullAccess
Benutzer mit der FullAccess Richtlinie AWSCloudTrail_ haben die Möglichkeit, die sensibelsten und wichtigsten Prüfungsfunktionen in ihren AWS Konten zu deaktivieren oder neu zu konfigurieren. Diese Richtlinie ist nicht dazu bestimmt, mit anderen geteilt oder allgemein auf IAM Identitäten in Ihrem AWS Konto angewendet zu werden. Beschränken Sie die Anwendung dieser Richtlinie auf so wenige Personen wie möglich, d. h. auf Personen, von denen Sie erwarten, dass sie als AWS Kontoadministratoren agieren.
