Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Workloads OU — Anwendungskonto
Nehmen Sie an einer kurzen Umfrage teil |
Das folgende Diagramm zeigt die AWS Sicherheitsdienste, die im Anwendungskonto konfiguriert sind (zusammen mit der Anwendung selbst).
Das Anwendungskonto hostet die primäre Infrastruktur und die Dienste für die Ausführung und Wartung einer Unternehmensanwendung. Das Anwendungskonto und die Organisationseinheit Workloads dienen einigen primären Sicherheitszielen. Zunächst erstellen Sie für jede Anwendung ein separates Konto, um Grenzen und Kontrollen zwischen Workloads bereitzustellen und so Probleme mit der Vermischung von Rollen, Berechtigungen, Daten und Verschlüsselungsschlüsseln zu vermeiden. Sie möchten einen separaten Kontencontainer bereitstellen, in dem dem Anwendungsteam umfassende Rechte zur Verwaltung seiner eigenen Infrastruktur eingeräumt werden können, ohne andere zu beeinträchtigen. Als Nächstes fügen Sie eine Schutzebene hinzu, indem Sie dem Sicherheitsteam einen Mechanismus zur Überwachung und Erfassung von Sicherheitsdaten bereitstellen. Verwenden Sie einen Organisationsplan und lokale Bereitstellungen von Kontosicherheitsdiensten (Amazon GuardDuty, AWS Config, AWS Security Hub, Amazon EventBridge, AWS IAM Access Analyzer), die vom Sicherheitsteam konfiguriert und überwacht werden. Schließlich ermöglichen Sie es Ihrem Unternehmen, Kontrollen zentral festzulegen. Sie passen das Anwendungskonto an die umfassendere Sicherheitsstruktur an, indem Sie es zu einem Mitglied der Workloads-Organisationseinheit machen, über die es die entsprechenden Serviceberechtigungen, Einschränkungen und Schutzmaßnahmen erbt.
Designüberlegung
-
In Ihrer Organisation verfügen Sie wahrscheinlich über mehr als eine Geschäftsanwendung. Die Workloads OU ist für die Unterbringung der meisten Ihrer geschäftsspezifischen Workloads vorgesehen, einschließlich Produktions- und Nichtproduktionsumgebungen. Bei diesen Workloads kann es sich um eine Mischung aus kommerziellen off-the-shelf (COTS) Anwendungen und Ihren eigenen, intern entwickelten kundenspezifischen Anwendungen und Datendiensten handeln. Es gibt nur wenige Muster für die Organisation verschiedener Geschäftsanwendungen zusammen mit ihren Entwicklungsumgebungen. Ein Muster besteht darin, OUs je nach Entwicklungsumgebung mehrere untergeordnete Konten zu haben, z. B. Produktion, Staging, Test und Entwicklung, und separate untergeordnete AWS Konten unter Konten zu verwendenOUs, die sich auf verschiedene Anwendungen beziehen. Ein anderes gängiges Muster besteht darin, OUs pro Anwendung separate untergeordnete Konten zu haben und dann separate untergeordnete AWS Konten für einzelne Entwicklungsumgebungen zu verwenden. Die genaue Organisationseinheit und Kontostruktur hängt von Ihrem Anwendungsdesign und den Teams ab, die diese Anwendungen verwalten. Denken Sie darüber nach, welche Sicherheitskontrollen Sie durchsetzen möchten, unabhängig davon, ob sie umgebungs- oder anwendungsspezifisch sind, da es einfacher ist, diese Kontrollen sofort zu implementieren. SCPs OUs Weitere Überlegungen zur Workload-orientierten Organisation finden Sie im OUs Abschnitt Workload-orientiertes OUs Organisieren des Whitepapers Organizing Your Environment Using Multiple Accounts. AWS AWS
Anwendung VPC
Die virtuelle private Cloud (VPC) im Anwendungskonto benötigt sowohl eingehenden Zugriff (für die einfachen Webdienste, die Sie modellieren) als auch ausgehenden Zugriff (für Anwendungs- oder AWS Dienstanforderungen). Standardmäßig VPC sind Ressourcen innerhalb von a untereinander routbar. Es gibt zwei private Subnetze: eines zum Hosten der EC2 Instances (Anwendungsschicht) und das andere für Amazon Aurora (Datenbankschicht). Die Netzwerksegmentierung zwischen verschiedenen Ebenen, z. B. der Anwendungs- und Datenbankebene, erfolgt über VPC Sicherheitsgruppen, die den Datenverkehr auf Instance-Ebene einschränken. Aus Gründen der Ausfallsicherheit erstreckt sich der Workload über zwei oder mehr Availability Zones und verwendet zwei Subnetze pro Zone.
Designüberlegung
-
Sie können Traffic Mirroring verwenden, um Netzwerkdatenverkehr von einer elastic network interface von EC2 Instances zu kopieren. Anschließend können Sie den Datenverkehr zur Inhaltsinspektion, Bedrohungsüberwachung oder Fehlerbehebung an out-of-band Sicherheits- und Monitoring-Appliances weiterleiten. Möglicherweise möchten Sie beispielsweise den Datenverkehr überwachen, der Ihr System verlässt, VPC oder den Verkehr, dessen Quelle sich außerhalb Ihres befindetVPC. In diesem Fall spiegeln Sie den gesamten Datenverkehr mit Ausnahme des Datenverkehrs innerhalb Ihres Netzwerks wider VPC und senden ihn an eine einzige Überwachungs-Appliance. Amazon VPC Flow Logs erfassen keinen gespiegelten Datenverkehr; sie erfassen im Allgemeinen nur Informationen aus Paket-Headern. Traffic Mirroring bietet tiefere Einblicke in den Netzwerkverkehr, indem es Ihnen ermöglicht, den tatsächlichen Datenverkehrsinhalt, einschließlich der Nutzlast, zu analysieren. Aktivieren Sie Traffic Mirroring nur für die elastic network interface von EC2 Instances, die möglicherweise als Teil sensibler Workloads betrieben werden oder für die Sie im Falle eines Problems voraussichtlich detaillierte Diagnosen benötigen.
VPCEndpunkte
VPCEndgeräte bieten eine weitere Ebene der Sicherheitskontrolle sowie Skalierbarkeit und Zuverlässigkeit. Verwenden Sie diese, um Ihre Anwendung mit anderen AWS Diensten VPC zu verbinden. (Im Anwendungskonto AWS SRA verwendet das VPC Endgeräte für AWSKMS, AWS Systems Manager und Amazon S3.) Endpunkte sind virtuelle Geräte. Es handelt sich um horizontal skalierte, redundante und hochverfügbare Komponenten. VPC Sie ermöglichen die Kommunikation zwischen Ihren Instanzen VPC und Diensten, ohne Ihren Netzwerkverkehr mit Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen zu belasten. Sie können einen VPC Endpunkt verwenden, um sich privat mit unterstützten AWS Diensten und VPC Endpunktdiensten VPC zu verbinden, die von bereitgestellt werden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT Gerät, eine VPN Verbindung oder eine AWS Direct Connect-Verbindung erforderlich ist. Instanzen in Ihrem VPC System benötigen keine öffentlichen IP-Adressen, um mit anderen AWS Diensten zu kommunizieren. Der Verkehr zwischen Ihrem VPC und dem anderen AWS Service verlässt das Amazon-Netzwerk nicht.
Ein weiterer Vorteil der Verwendung von VPC Endpunkten besteht darin, die Konfiguration von Endpunktrichtlinien zu ermöglichen. Eine VPC Endpunktrichtlinie ist eine IAM Ressourcenrichtlinie, die Sie einem Endpunkt zuordnen, wenn Sie den Endpunkt erstellen oder ändern. Wenn Sie beim Erstellen eines Endpunkts keine IAM Richtlinie anhängen, AWS fügt es eine IAM Standardrichtlinie für Sie an, die vollen Zugriff auf den Dienst ermöglicht. Eine Endpunktrichtlinie überschreibt oder ersetzt keine IAM Richtlinien oder dienstspezifischen Richtlinien (wie S3-Bucket-Richtlinien). Es handelt sich um eine separate IAM Richtlinie zur Steuerung des Zugriffs vom Endpunkt auf den angegebenen Dienst. Auf diese Weise wird eine weitere Kontrollebene hinzugefügt, über die AWS Prinzipale mit Ressourcen oder Diensten kommunizieren können.
Amazon EC2
Die EC2Amazon-Instances
Verwenden Sie separate VPCs (als Teil der Kontogrenzen), um die Infrastruktur nach Workload-Segmenten zu isolieren. Verwenden Sie Subnetze, um die Ebenen Ihrer Anwendung (z. B. Web, Anwendung und Datenbank) innerhalb einer einzigen Ebene zu isolieren. VPC Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen. Um Amazon EC2 API von Ihrem privaten Subnetz aus anzurufen, ohne ein Internet-Gateway zu verwenden, verwenden Sie AWS PrivateLink. Beschränken Sie den Zugriff auf Ihre Instances mithilfe von Sicherheitsgruppen. Verwenden Sie VPCFlow Logs, um den Traffic zu überwachen, der Ihre Instances erreicht. Verwenden Sie Session Manager, eine Funktion von AWS Systems Manager, um remote auf Ihre Instanzen zuzugreifen, anstatt eingehende SSH Ports zu öffnen und SSH Schlüssel zu verwalten. Verwenden Sie separate Amazon Elastic Block Store (AmazonEBS) -Volumes für das Betriebssystem und Ihre Daten. Sie können Ihr AWS Konto so konfigurieren, dass die Verschlüsselung der neuen EBS Volumes und Snapshot-Kopien, die Sie erstellen, erzwungen wird.
Beispiel für eine Implementierung
Die AWSSRACodebibliothek
Application Load Balancer
Application Load Balancer
AWSCertificate Manager (ACM) ist nativ in Application Load Balancers integriert und dient ACM zur AWS SRA Generierung und Verwaltung der erforderlichen öffentlichen X.509-Zertifikate (TLSServer). Mithilfe der Sicherheitsrichtlinie von Application Load Balancer können Sie TLS 1.2- und starke Verschlüsselungen für Front-End-Verbindungen erzwingen. Weitere Informationen finden Sie im Elastic Load Balancing-Benutzerhandbuch.
Designüberlegungen
-
Für allgemeine Szenarien, wie z. B. rein interne Anwendungen, die ein privates TLS Zertifikat auf dem Application Load Balancer benötigen, können Sie ACM innerhalb dieses Kontos verwenden, um ein privates Zertifikat aus AWS Private CA zu generieren. In der AWS SRA wird die private ACM Stammzertifizierungsstelle im Security Tooling-Konto gehostet und kann mit der gesamten AWS Organisation oder mit bestimmten AWS Konten gemeinsam genutzt werden, um Endentitätszertifikate auszustellen, wie weiter oben im Abschnitt Security Tooling-Konto beschrieben.
-
Öffentliche Zertifikate können Sie verwenden, um diese Zertifikate ACM zu generieren und zu verwalten, einschließlich automatisierter Rotation. Alternativ können Sie Ihre eigenen Zertifikate generieren, indem Sie mit den TLS ToolsSSL/eine Zertifikatssignierungsanforderung (CSR) erstellen, die von einer Zertifizierungsstelle (CA) CSR signieren lassen, um ein Zertifikat zu IAM erstellen, und dann das Zertifikat in den Application Load Balancer importieren ACM oder hochladen. Wenn Sie ein Zertifikat in importierenACM, müssen Sie das Ablaufdatum des Zertifikats überwachen und es verlängern, bevor es abläuft.
-
Für zusätzliche Schutzebenen können Sie AWS WAF Richtlinien zum Schutz des Application Load Balancer bereitstellen. Edge-Richtlinien, Anwendungsrichtlinien und sogar private oder interne Ebenen zur Durchsetzung von Richtlinien erhöhen die Sichtbarkeit von Kommunikationsanfragen und sorgen für eine einheitliche Durchsetzung von Richtlinien. Weitere Informationen finden Sie im Blogbeitrag Tiefgehendes Deployment Defensive using AWS Managed Rules for AWS WAF
.
AWS Private CA
AWS Private Certificate Authority(AWS Private CA) wird im Anwendungskonto verwendet, um private Zertifikate für die Verwendung mit einem Application Load Balancer zu generieren. Es ist ein übliches Szenario, in dem Application Load Balancer sichere Inhalte bereitstellen. TLS Dazu müssen TLS Zertifikate auf dem Application Load Balancer installiert sein. Für rein interne Anwendungen können private TLS Zertifikate den sicheren Kanal bieten.
In der AWSSRA, AWS Private CA wird im Security Tooling-Konto gehostet und über das Anwendungskonto gemeinsam genutzt. AWS RAM Auf diese Weise können Entwickler in einem Anwendungskonto ein Zertifikat von einer gemeinsam genutzten privaten Zertifizierungsstelle anfordern. Die gemeinsame CAs Nutzung innerhalb Ihrer Organisation oder für mehrere AWS Konten trägt dazu bei, die Kosten und die Komplexität der Erstellung und Verwaltung von Duplikaten CAs in all Ihren AWS Konten zu reduzieren. Wenn Sie früher ACM private Zertifikate von einer gemeinsamen Zertifizierungsstelle ausstellen, wird das Zertifikat lokal im anfragenden Konto generiert und ACM ermöglicht die vollständige Verwaltung und Verlängerung des Lebenszyklus.
Amazon Inspector
The AWS SRA verwendet Amazon Inspector, um EC2 Instances
Amazon Inspector wird dem Anwendungskonto zugeordnet, da es Schwachstellen-Management-Services für EC2 Instances in diesem Konto bereitstellt. Darüber hinaus meldet Amazon Inspector unerwünschte Netzwerkpfade zu und von EC2 Instances.
Amazon Inspector in Mitgliedskonten wird zentral vom delegierten Administratorkonto verwaltet. In der ist AWS SRA das Security Tooling-Konto das delegierte Administratorkonto. Mit dem delegierten Administratorkonto können Ergebnisdaten und bestimmte Einstellungen für Mitglieder der Organisation verwaltet werden. Dazu gehören das Anzeigen aggregierter Ergebnisdetails für alle Mitgliedskonten, das Aktivieren oder Deaktivieren von Scans für Mitgliedskonten und das Überprüfen gescannter Ressourcen innerhalb der Organisation. AWS
Designüberlegung
-
Sie können Patch Manager, eine Funktion von AWS Systems Manager, verwenden, um On-Demand-Patches auszulösen, um Zero-Day-Schwachstellen oder andere kritische Sicherheitslücken in Amazon Inspector zu beheben. Patch Manager hilft Ihnen dabei, diese Sicherheitslücken zu patchen, ohne auf Ihren normalen Patching-Zeitplan warten zu müssen. Die Behebung erfolgt mithilfe des Systems Manager Automation-Runbooks. Weitere Informationen finden Sie in der zweiteiligen Blogserie Automatisieren Sie das Schwachstellenmanagement und die Behebung von Sicherheitslücken AWS mithilfe von Amazon Inspector und AWS Systems Manager
.
Amazon-Systemmanager
AWSSystems Manager
Zusätzlich zu diesen allgemeinen Automatisierungsfunktionen unterstützt Systems Manager eine Reihe von präventiven, detektiven und reaktionsschnellen Sicherheitsfunktionen. AWSSystems Manager Agent (SSMAgent) ist Amazon-Software, die auf einer EC2 Instanz, einem lokalen Server oder einer virtuellen Maschine (VM) installiert und konfiguriert werden kann. SSMDer Agent ermöglicht es Systems Manager, diese Ressourcen zu aktualisieren, zu verwalten und zu konfigurieren. Systems Manager unterstützt Sie bei der Aufrechterhaltung von Sicherheit und Compliance, indem es diese verwalteten Instanzen scannt und alle Verstöße, die er in Ihren Patch-, Konfiguration- und benutzerdefinierten Richtlinien entdeckt, meldet (oder Korrekturmaßnahmen ergreift).
Der AWS SRA verwendet Session Manager, eine Funktion von Systems Manager, um eine interaktive, browserbasierte Shell und CLI Erfahrung bereitzustellen. Dies ermöglicht eine sichere und überprüfbare Instanzverwaltung, ohne dass eingehende Ports geöffnet, Bastion-Hosts verwaltet oder Schlüssel verwaltet werden müssen. SSH Der AWS SRA verwendet Patch Manager, eine Funktion von Systems Manager, um Patches auf EC2 Instanzen für Betriebssysteme und Anwendungen anzuwenden.
Der nutzt AWS SRA auch Automation, eine Funktion von Systems Manager, um allgemeine Wartungs- und Bereitstellungsaufgaben von EC2 Amazon-Instances und anderen AWS Ressourcen zu vereinfachen. Automatisierung kann übliche IT-Aufgaben vereinfachen, wie z. B. das Ändern des Zustands einer oder mehrerer Knoten (mithilfe einer Genehmigungs-Automatisierung) oder die Verwaltung von Knoten-Status gemäß einem Zeitplan. Systems Manager umfasst Funktionen, mit deren Hilfe Sie große Gruppen von Instances mithilfe von Tags und Geschwindigkeitskontrollen anvisieren können, um Änderungen entsprechend den von Ihnen festgelegten Grenzwerten durchzuführen. Automation bietet Automatisierungen mit einem Klick zur Vereinfachung komplexer Aufgaben wie der Erstellung goldener Amazon Machine Images (AMIs) und der Wiederherstellung nicht erreichbarer Instances. EC2 Darüber hinaus können Sie die Betriebssicherheit erhöhen, indem Sie IAM Rollen Zugriff auf bestimmte Runbooks gewähren, um bestimmte Funktionen auszuführen, ohne diesen Rollen direkt Berechtigungen zu erteilen. Wenn Sie beispielsweise möchten, dass eine IAM Rolle berechtigt ist, bestimmte EC2 Instanzen nach Patch-Updates neu zu starten, Sie die Berechtigung aber nicht direkt dieser Rolle erteilen möchten, können Sie stattdessen ein Automatisierungs-Runbook erstellen und der Rolle die Berechtigungen erteilen, nur das Runbook auszuführen.
Designüberlegungen
-
Systems Manager ist auf EC2 Instanzmetadaten angewiesen, um korrekt zu funktionieren. Systems Manager kann mithilfe von Version 1 oder Version 2 des Instanz-Metadatendienstes (IMDSv1undIMDSv2) auf Instanzmetadaten zugreifen.
-
SSMDer Agent muss mit verschiedenen AWS Diensten und Ressourcen wie Amazon EC2 Messages, Systems Manager und Amazon S3 kommunizieren. Damit diese Kommunikation stattfinden kann, benötigt das Subnetz entweder eine ausgehende Internetverbindung oder die Bereitstellung geeigneter Endpunkte. VPC Der AWS SRA verwendet VPC Endpunkte für den SSM Agenten, um private Netzwerkpfade zu verschiedenen Diensten einzurichten. AWS
-
Automation lässt Sie bewährte Methoden mit Ihrer restlichen Organisation teilen. Sie können bewährte Methoden für die Ressourcenverwaltung in Runbooks erstellen und die Runbooks über AWS Regionen und Gruppen hinweg gemeinsam nutzen. Sie können auch die zulässigen Werte für Runbook-Parameter einschränken. Für diese Anwendungsfälle müssen Sie möglicherweise Automatisierungs-Runbooks in einem zentralen Konto wie Security Tooling oder Shared Services erstellen und sie für den Rest der Organisation freigeben. AWS Zu den häufigsten Anwendungsfällen gehört die Möglichkeit, Patches und Sicherheitsupdates zentral zu implementieren, Abweichungen bei VPC Konfigurationen oder S3-Bucket-Richtlinien zu beheben und Instanzen in großem Umfang zu verwaltenEC2. Einzelheiten zur Implementierung finden Sie in der Systems Manager Manager-Dokumentation.
Amazon Aurora
In der AWS SRA bilden Amazon Aurora
Designüberlegung
-
Wie bei vielen Datenbankdiensten wird die Sicherheit für Aurora auf drei Ebenen verwaltet. Um zu kontrollieren, wer Amazon Relational Database Service (AmazonRDS) -Verwaltungsaktionen auf Aurora-DB-Clustern und DB-Instances ausführen kann, verwenden IAM Sie. Um zu steuern, welche Geräte und EC2 Instances Verbindungen zum Cluster-Endpunkt und Port der DB-Instance für Aurora-DB-Cluster in einem öffnen könnenVPC, verwenden Sie eine VPC Sicherheitsgruppe. Um Anmeldungen und Berechtigungen für einen Aurora-DB-Cluster zu authentifizieren, können Sie den gleichen Ansatz wie bei einer eigenständigen DB-Instance von My SQL oder Postgre verwendenSQL, oder Sie können die IAM Datenbankauthentifizierung für Aurora My -Compatible Edition verwenden. SQL Bei letzterem Ansatz authentifizieren Sie sich bei Ihrem Aurora My SQL -Compatible DB-Cluster, indem Sie eine IAM Rolle und ein Authentifizierungstoken verwenden.
Amazon S3
Amazon S3
AWS KMS
Dies AWS SRA veranschaulicht das empfohlene Verteilungsmodell für die Schlüsselverwaltung, bei dem sich der KMS Schlüssel in demselben AWS Konto befindet wie die zu verschlüsselnde Ressource. Aus diesem Grund AWS KMS wird es im Anwendungskonto verwendet und ist zusätzlich zum Security Tooling-Konto enthalten. AWSKMSWird im Anwendungskonto zur Verwaltung von Schlüsseln verwendet, die für die Anwendungsressourcen spezifisch sind. Sie können eine Aufgabentrennung implementieren, indem Sie Schlüsselrichtlinien verwenden, um lokalen Anwendungsrollen Schlüsselverwendungsberechtigungen zu erteilen und die Verwaltungs- und Überwachungsberechtigungen auf Ihre wichtigsten Verwalter zu beschränken.
Designüberlegung
-
In einem verteilten Modell liegt die Verantwortung für die AWS KMS Schlüsselverwaltung beim Anwendungsteam. Ihr zentrales Sicherheitsteam kann jedoch für die Steuerung und Überwachung wichtiger kryptografischer Ereignisse wie der folgenden verantwortlich sein:
-
Das importierte Schlüsselmaterial in einem KMS Schlüssel nähert sich seinem Ablaufdatum.
-
Das Schlüsselmaterial in einem KMS Schlüssel wurde automatisch gedreht.
-
Ein KMS Schlüssel wurde gelöscht.
-
Die Rate der Entschlüsselungsfehler ist hoch.
-
AWSWolke HSM
AWSCloud HSM
Designüberlegung
-
Wenn Sie eine strenge Anforderung für FIPS 140-2 Level 3 haben, können Sie auch die Konfiguration so konfigurieren, dass der HSM Cloud-Cluster als benutzerdefinierter Schlüsselspeicher verwendet wird, anstatt den nativen KMS Schlüsselspeicher AWS KMS zu verwenden. Auf diese Weise profitieren Sie von der Integration zwischen AWS Diensten, die Ihre Daten verschlüsseln, AWS KMS und sind gleichzeitig für die Dienste verantwortlich, HSMs die Ihre Schlüssel schützen. KMS Dies kombiniert einen einzigen Mandanten HSMs unter Ihrer Kontrolle mit der Benutzerfreundlichkeit und Integration von. AWS KMS Um Ihre HSM Cloud-Infrastruktur zu verwalten, müssen Sie eine Public-Key-Infrastruktur (PKI) einsetzen und über ein Team verfügen, das Erfahrung in der Verwaltung HSMs hat.
AWS Secrets Manager
AWSSecrets Manager
Mit Secrets Manager können Sie den Zugriff auf geheime Daten mithilfe detaillierter IAM Richtlinien und ressourcenbasierter Richtlinien verwalten. Sie können zum Schutz von Geheimnissen beitragen, indem Sie sie mit Verschlüsselungsschlüsseln verschlüsseln, mit denen Sie sie verwalten. AWS KMS Secrets Manager lässt sich auch in AWS Protokollierungs- und Überwachungsdienste integrieren, um eine zentrale Prüfung zu ermöglichen.
Secrets Manager verwendet eine Umschlagverschlüsselung mit AWS KMS Schlüsseln und Datenschlüsseln, um jeden geheimen Wert zu schützen. Wenn Sie einen geheimen Schlüssel erstellen, können Sie einen beliebigen symmetrischen, vom Kunden verwalteten Schlüssel im AWS Konto und in der Region auswählen, oder Sie können den AWS verwalteten Schlüssel für Secrets Manager verwenden.
Es hat sich bewährt, dass Sie Ihre Secrets überwachen können, um alle Änderungen daran zu protokollieren. Auf diese Weise können Sie sicherstellen, dass jede unerwartete Verwendung oder Änderung untersucht werden kann. Unerwünschte Änderungen können rückgängig gemacht werden. Secrets Manager unterstützt derzeit zwei AWS Dienste, mit denen Sie Ihre Organisation und Aktivitäten überwachen können: AWS CloudTrail und AWS Config. CloudTrail erfasst alle API Aufrufe von Secrets Manager als Ereignisse, einschließlich Aufrufe von der Secrets Manager-Konsole und von Codeaufrufen an den Secrets ManagerAPIs. CloudTrail Erfasst darüber hinaus weitere verwandte (Nicht-API) Ereignisse, die sich auf die Sicherheit oder die Einhaltung der Vorschriften auf Ihr AWS Konto auswirken oder Ihnen bei der Behebung betrieblicher Probleme helfen könnten. Dazu gehören bestimmte Ereignisse zur Rotation von Geheimnissen und das Löschen geheimer Versionen. AWSConfig kann detektivische Kontrollen bereitstellen, indem es Änderungen an Geheimnissen in Secrets Manager verfolgt und überwacht. Zu diesen Änderungen gehören die Beschreibung, die Rotationskonfiguration, die Tags und die Beziehung zu anderen AWS Quellen wie dem KMS Verschlüsselungsschlüssel oder den AWS Lambda-Funktionen, die für die geheime Rotation verwendet werden. Sie können Amazon EventBridge, das Benachrichtigungen über Konfigurations- und Compliance-Änderungen von AWS Config erhält, auch so konfigurieren, dass bestimmte geheime Ereignisse für Benachrichtigungen oder Abhilfemaßnahmen weitergeleitet werden.
In der befindet sich Secrets Manager im Anwendungskonto AWSSRA, um lokale Anwendungsfälle zu unterstützen und Geheimnisse zu verwalten, die ihrer Verwendung nahe kommen. Hier wird ein Instanzprofil an die EC2 Instanzen im Anwendungskonto angehängt. Separate Secrets können dann in Secrets Manager konfiguriert werden, sodass das Instance-Profil geheime Daten abrufen kann, z. B. um dem entsprechenden Active Directory oder der entsprechenden LDAP Domäne beizutreten und auf die Aurora-Datenbank zuzugreifen. Secrets Manager ist in Amazon integriert RDS, um Benutzeranmeldeinformationen zu verwalten, wenn Sie eine RDS Amazon-DB-Instance oder einen Multi-AZ-DB-Cluster erstellen, ändern oder wiederherstellen. Dies hilft Ihnen bei der Verwaltung der Erstellung und Rotation von Schlüsseln und ersetzt die hartcodierten Anmeldeinformationen in Ihrem Code durch programmatische API Aufrufe von Secrets Manager.
Designüberlegung
-
Im Allgemeinen sollten Sie Secrets Manager in dem Konto konfigurieren und verwalten, das dem Ort, an dem die Secrets verwendet werden, am nächsten ist. Dieser Ansatz nutzt die lokalen Kenntnisse des Anwendungsfalls und bietet Anwendungsentwicklungsteams Geschwindigkeit und Flexibilität. Für streng kontrollierte Informationen, bei denen eine zusätzliche Kontrollebene angebracht sein könnte, können Geheimnisse zentral vom Secrets Manager im Security Tooling-Konto verwaltet werden.
Amazon Cognito
Mit Amazon Cognito
Amazon Cognito bietet eine integrierte und anpassbare Benutzeroberfläche für die Benutzerregistrierung und -anmeldung. Sie können Android, iOS und JavaScript SDKs Amazon Cognito verwenden, um Benutzerregistrierungs- und Anmeldeseiten zu Ihren Apps hinzuzufügen. Amazon Cognito Sync ist eine AWS Service- und Client-Bibliothek, die die geräteübergreifende Synchronisierung anwendungsbezogener Benutzerdaten ermöglicht.
Amazon Cognito unterstützt die Multi-Faktor-Authentifizierung und Verschlüsselung von Daten im Ruhezustand und Daten während der Übertragung. Amazon Cognito Cognito-Benutzerpools bieten erweiterte Sicherheitsfunktionen, um den Zugriff auf Konten in Ihrer Anwendung zu schützen. Diese erweiterten Sicherheitsfunktionen bieten eine risikobasierte adaptive Authentifizierung und Schutz vor der Verwendung kompromittierter Anmeldeinformationen.
Designüberlegungen
-
Sie können eine AWS Lambda-Funktion erstellen und diese Funktion dann bei Benutzerpoolvorgängen wie Benutzeranmeldung, Bestätigung und Anmeldung (Authentifizierung) mit einem AWS Lambda-Trigger auslösen. Sie können Authentifizierungsaufforderungen hinzufügen, Benutzer migrieren und Verifizierungsnachrichten anpassen. Informationen zu allgemeinen Vorgängen und Benutzerabläufen finden Sie in der Amazon Cognito Cognito-Dokumentation. Amazon Cognito ruft Lambda-Funktionen synchron auf.
-
Sie können Amazon Cognito Cognito-Benutzerpools verwenden, um kleine, mandantenfähige Anwendungen zu sichern. Ein häufiger Anwendungsfall für Multi-Tenant-Designs ist die Ausführung von Workloads, um das Testen mehrerer Versionen einer Anwendung zu unterstützen. Ein Design mit mehreren Mandanten ist auch nützlich, um eine einzelne Anwendung mit unterschiedlichen Datensätzen zu testen, was die volle Nutzung Ihrer Clusterressourcen ermöglicht. Stellen Sie jedoch sicher, dass die Anzahl der Mandanten und das erwartete Volumen mit den entsprechenden Amazon Cognito-Servicekontingenten übereinstimmen. Diese Kontingente werden für alle Mandanten in Ihrer Anwendung freigegeben.
Amazon Verified Permissions
Amazon Verified Permissions
Sie können Ihre Anwendung über den mit dem Dienst verbinden, um API Benutzerzugriffsanfragen zu autorisieren. Für jede Autorisierungsanfrage ruft der Dienst die entsprechenden Richtlinien ab und bewertet diese Richtlinien, um anhand von Kontexteingaben wie Benutzern, Rollen, Gruppenmitgliedschaft und Attributen festzustellen, ob ein Benutzer eine Aktion an einer Ressource ausführen darf. Sie können verifizierte Berechtigungen konfigurieren und eine Verbindung herstellen, an die Ihre Richtlinienverwaltungs- und Autorisierungsprotokolle gesendet werden sollen. AWS CloudTrail Wenn Sie Amazon Cognito als Identitätsspeicher verwenden, können Sie Verified Permissions integrieren und die ID- und Zugriffstoken verwenden, die Amazon Cognito bei den Autorisierungsentscheidungen in Ihren Anwendungen zurückgibt. Sie stellen Amazon Cognito Cognito-Token für Verified Permissions bereit. Verified Permissions verwendet die Attribute, die die Token enthalten, um den Principal darzustellen und die Rechte des Prinzipals zu identifizieren. Weitere Informationen zu dieser Integration finden Sie im AWS Blogbeitrag Vereinfachung der feinkörnigen Autorisierung mit Amazon Verified Permissions und Amazon Cognito
Verified Permissions hilft Ihnen bei der Definition einer richtlinienbasierten Zugriffskontrolle (). PBAC PBACist ein Zugriffskontrollmodell, das mithilfe von Berechtigungen, die in Form von Richtlinien ausgedrückt werden, bestimmt, wer auf welche Ressourcen in einer Anwendung zugreifen kann. PBACvereint die rollenbasierte Zugriffskontrolle (RBAC) und die attributbasierte Zugriffskontrolle (ABAC), was zu einem leistungsfähigeren und flexibleren Zugriffskontrollmodell führt. Weitere Informationen über PBAC und wie Sie mithilfe verifizierter Berechtigungen ein Autorisierungsmodell entwerfen können, finden Sie im AWS Blogbeitrag Policy-based access control in application development with Amazon Verified
In der befindet sich Verifizierte Berechtigungen im Anwendungskonto AWSSRA, um die Berechtigungsverwaltung für Anwendungen durch die Integration mit Amazon Cognito zu unterstützen.
Mehrschichtiger Schutz
Das Anwendungskonto bietet die Möglichkeit, die Prinzipien der mehrschichtigen Verteidigung zu veranschaulichen, die dies AWS ermöglichen. Betrachten Sie die Sicherheit der EC2 Instanzen, die den Kern einer einfachen Beispielanwendung bilden, die in der dargestellt ist, AWS SRA und Sie können sehen, wie AWS Dienste in einer mehrschichtigen Verteidigung zusammenarbeiten. Dieser Ansatz entspricht der strukturellen Sicht der AWS Sicherheitsdienste, wie sie weiter oben in diesem Handbuch im Abschnitt Anwendung von Sicherheitsdiensten in der gesamten AWS Organisation beschrieben wurde.
-
Die innerste Schicht sind die EC2 Instanzen. Wie bereits erwähnt, enthalten EC2 Instances standardmäßig oder als Optionen viele native Sicherheitsfunktionen. Beispiele hierfür sind IMDSv2das Nitro-System
und die EBSAmazon-Speicherverschlüsselung. -
Die zweite Schutzschicht konzentriert sich auf das Betriebssystem und die Software, die auf den EC2 Instances ausgeführt werden. Dienste wie Amazon Inspector
und AWSSystems Manager ermöglichen es Ihnen, diese Konfigurationen zu überwachen, Berichte zu erstellen und Korrekturmaßnahmen zu ergreifen. Inspector überwacht Ihre Software auf Sicherheitslücken , und Systems Manager unterstützt Sie bei der Aufrechterhaltung von Sicherheit und Compliance, indem verwaltete Instanzen auf ihren Patch - und Konfigurationsstatus überprüft und anschließend alle von Ihnen angegebenen Korrekturmaßnahmen gemeldet und entsprechende Korrekturmaßnahmen ergriffen werden. -
Die Instances und die auf diesen Instances ausgeführte Software gehören zu Ihrer AWS Netzwerkinfrastruktur. Neben der Nutzung der Sicherheitsfunktionen von Amazon werden AWS SRA auch VPC Endpunkte verwendetVPC, um private Konnektivität zwischen den VPC und den unterstützten AWS Diensten bereitzustellen und um einen Mechanismus bereitzustellen, mit dem Zugriffsrichtlinien an der Netzwerkgrenze platziert werden können.
-
Die Aktivität und Konfiguration der EC2 Instances, der Software, des Netzwerks sowie der IAM Rollen und Ressourcen werden zusätzlich durch AWS kontoorientierte Dienste wie AWS Security Hub, Amazon, AWS Config GuardDuty AWS CloudTrail, AWS IAM Access Analyzer und Amazon Macie überwacht.
-
Darüber hinaus AWS RAM hilft Ihnen das Anwendungskonto dabei, zu kontrollieren, welche Ressourcen mit anderen Konten gemeinsam genutzt werden, und Richtlinien zur IAM Servicesteuerung helfen Ihnen dabei, einheitliche Berechtigungen im gesamten Unternehmen durchzusetzen. AWS