Forensik im Kontext der Reaktion auf Sicherheitsvorfälle Forensics-Konto Amazon GuardDuty AWS Security Hub Amazon EventBridge AWS Step Functions AWSLambda AWS KMS

Cyber-Forensik

Nehmen Sie an einer kurzen Umfrage teil

, um die future der AWS Security Reference Architecture (AWS SRA) mitzugestalten.

Im Zusammenhang mit verwenden wir die folgende Definition von Forensik AWSSRA, die vom National Institute of Standards and Technology (NIST) bereitgestellt wurde: „Anwendung wissenschaftlicher Erkenntnisse bei der Identifizierung, Erfassung, Untersuchung und Analyse von Daten unter Wahrung der Integrität der Informationen und Einhaltung einer strengen Aufbewahrungskette für die Daten“ (Quelle: NISTSonderpublikation 800-86 — Leitfaden zur Integration forensischer Techniken in die Reaktion auf Vorfälle).

Forensik im Kontext der Reaktion auf Sicherheitsvorfälle

Die Leitlinien zur Reaktion auf Vorfälle (IR) in diesem Abschnitt beziehen sich nur auf die Forensik und darauf, wie verschiedene Services und Lösungen den IR-Prozess verbessern können.

Im AWSSecurity Incident Response Guide sind bewährte Methoden für die Reaktion auf Sicherheitsvorfälle in der AWS Cloud aufgeführt, die auf den Erfahrungen des AWSCustomer Incident Response Teams basieren (AWSCIRT). Weitere Anleitungen finden Sie in den AWSCIRTWorkshops und Lektionen von AWS CIRT. AWS CIRT

Das Cybersicherheits-Framework des National Institute of Standards and Technology (NISTCSF) definiert vier Schritte im IR-Lebenszyklus: Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung und Wiederherstellung sowie Maßnahmen nach einem Vorfall. Diese Schritte können nacheinander durchgeführt werden. Diese Reihenfolge ist jedoch häufig zyklisch, da einige der Schritte wiederholt werden müssen, nachdem zum nächsten Schritt des Zyklus übergegangen wurde. Beispielsweise müssen Sie nach der Eindämmung und Beseitigung erneut analysieren, um zu bestätigen, dass Sie den Angreifer erfolgreich aus der Umgebung entfernen konnten.

Dieser wiederholte Zyklus von Analyse, Eindämmung, Beseitigung und Rückkehr zur Analyse ermöglicht es Ihnen, jedes Mal, wenn neue Indikatoren für eine Gefährdung () entdeckt werden, weitere Informationen zu sammeln. IoCs Diese IoCs sind aus einer Reihe von Perspektiven nützlich. Sie bieten Ihnen eine Geschichte über die Schritte, die der Gegner unternommen hat, um Ihre Umgebung zu gefährden. Durch eine ordnungsgemäße Überprüfung nach dem Vorfall können Sie außerdem Ihre Abwehrmaßnahmen und Erkennungen verbessern, sodass Sie den Vorfall zukünftig verhindern oder die Aktionen des Gegners schneller erkennen und so die Auswirkungen des Vorfalls verringern können.

Obwohl dieser IR-Prozess nicht das Hauptziel der Forensik ist, werden viele der Tools, Techniken und bewährten Methoden mit IR geteilt (insbesondere der Analyseschritt). Beispielsweise werden nach der Entdeckung eines Vorfalls im Rahmen der forensischen Erfassung die Beweise gesammelt. Als Nächstes können die Prüfung und Analyse von Beweisen bei der Extraktion helfen IoCs. Letztlich kann die forensische Berichterstattung bei Aktivitäten im Anschluss an die IR hilfreich sein.

Wir empfehlen Ihnen, den forensischen Prozess so weit wie möglich zu automatisieren, um die Reaktion zu beschleunigen und die Belastung der IT-Beteiligten zu verringern. Darüber hinaus können Sie weitere automatisierte Analysen hinzufügen, nachdem der forensische Erhebungsprozess abgeschlossen ist und die Beweise sicher aufbewahrt wurden, um eine Kontamination zu vermeiden. Weitere Informationen finden Sie im Muster Automatisierte Reaktion auf Vorfälle und Forensik auf der AWS Prescriptive Guidance-Website.

Designüberlegungen

So verbessern Sie Ihre IR-Bereitschaft:

Aktivieren und speichern Sie Protokolle, die möglicherweise während einer Untersuchung oder Reaktion auf einen Vorfall erforderlich sind, und bewahren Sie sie sicher auf.
Erstellen Sie vorab Abfragen für bekannte Szenarien und bieten Sie automatisierte Möglichkeiten zum Durchsuchen von Protokollen. Erwägen Sie, Amazon Detective zu verwenden.
Bereiten Sie Ihre IR-Tools vor, indem Sie Simulationen durchführen.
Testen Sie regelmäßig Sicherungs- und Wiederherstellungsprozesse, um sicherzustellen, dass sie erfolgreich sind.
Verwenden Sie szenariobasierte Playbooks und beginnen Sie mit häufigen potenziellen Ereignissen, die auf Ergebnissen von Amazon AWS basieren. GuardDuty Informationen darüber, wie Sie Ihre eigenen Playbooks erstellen können, finden Sie im Abschnitt Playbook-Ressourcen im Leitfaden zur Reaktion auf Sicherheitsvorfälle. AWS

Forensics-Konto

Haftungsausschluss

Die folgende Beschreibung eines AWS Forensik-Kontos sollte nur von Organisationen als Ausgangspunkt für die Entwicklung ihrer eigenen forensischen Fähigkeiten in Verbindung mit der Beratung durch ihre Rechtsberater verwendet werden.

Wir erheben keinen Anspruch darauf, dass diese Leitlinien für die Aufdeckung oder Untersuchung von Straftaten geeignet sind oder dass Daten oder forensische Beweise, die im Rahmen der Anwendung dieser Leitlinien gesammelt wurden, vor Gericht verwendet werden können. Sie sollten unabhängig prüfen, ob die hier beschriebenen bewährten Methoden für Ihren Anwendungsfall geeignet sind.

Das folgende Diagramm zeigt die AWS Sicherheitsdienste, die in einem speziellen Forensik-Konto konfiguriert werden können. Zum besseren Verständnis zeigt das Diagramm das Security Tooling-Konto, um die AWS Dienste darzustellen, die für Erkennungen oder Benachrichtigungen im Forensics-Konto verwendet werden.

Das Forensics-Konto ist ein separater und dedizierter Typ des Security-Tooling-Kontos, das sich innerhalb der Sicherheits-OE befindet. Der Zweck des Forensics-Kontos besteht darin, einen standardmäßigen, vorkonfigurierten und wiederholbaren Clean Room bereitzustellen, damit das Forensik-Team eines Unternehmens alle Phasen des forensischen Prozesses durchführen kann: Erfassung, Untersuchung, Analyse und Berichterstattung. Darüber hinaus ist der Quarantäne- und Isolationsprozess für im Umfang enthaltene Ressourcen ebenfalls in diesem Konto enthalten.

Wenn Sie den gesamten forensischen Prozess in einem separaten Konto speichern, können Sie zusätzliche Zugriffskontrollen auf die gesammelten und gespeicherten forensischen Daten anwenden. Es wird empfohlen, die Forensics- und Security-Tooling-Konten zu verwenden, und zwar aus den folgenden Gründen:

Forensik- und Sicherheitsressourcen befinden sich möglicherweise in unterschiedlichen Teams oder haben unterschiedliche Berechtigungen.
Das Security Tooling-Konto verfügt möglicherweise über eine Automatisierung, die sich darauf konzentriert, auf Sicherheitsereignisse auf der AWS Kontrollebene zu reagieren, z. B. die Aktivierung von Amazon S3 Block Public Access für S3-Buckets, wohingegen das Forensics-Konto auch AWS Datenebenenartefakte enthält, für die der Kunde möglicherweise verantwortlich ist, wie Betriebssystem- (OS) oder anwendungsspezifische Daten innerhalb einer Instance. EC2
Je nach Ihren organisatorischen oder behördlichen Anforderungen müssen Sie möglicherweise zusätzliche Zugriffsbeschränkungen oder gesetzliche Beschränkungen implementieren.
Der forensische Analyseprozess kann die Analyse von bösartigem Code wie Malware in einer gesicherten Umgebung gemäß den AWS Nutzungsbedingungen erfordern.

Das Forensics-Konto sollte eine Automatisierung beinhalten, um die Beweiserhebung in großem Umfang zu beschleunigen und gleichzeitig die menschliche Interaktion bei der forensischen Erfassung zu minimieren. Zur Vereinfachung der Nachverfolgungs- und Berichtsmechanismen sollte auch die Automatisierung der Reaktion und Quarantäne von Ressourcen in dieses Konto aufgenommen werden.

Die in diesem Abschnitt beschriebenen forensischen Funktionen sollten in jeder verfügbaren AWS Region eingesetzt werden, auch wenn Ihr Unternehmen die Funktionen nicht aktiv nutzt. Wenn Sie nicht beabsichtigen, bestimmte AWS Regionen zu verwenden, sollten Sie eine Servicesteuerungsrichtlinie (SCP) anwenden, um die Bereitstellung AWS von Ressourcen einzuschränken. Darüber hinaus trägt die Beibehaltung von Untersuchungen und der Aufbewahrung forensischer Artefakte innerhalb derselben Region dazu bei, Probleme mit dem sich ändernden regulatorischen Umfeld in Bezug auf Datenresidenz und Datenbesitz zu vermeiden.

In dieser Anleitung wird das Log Archive-Konto wie zuvor beschrieben verwendet, um Aktionen aufzuzeichnen, die in der Umgebung durchgeführt wurden AWSAPIs, einschließlich der Aktionen, APIs die Sie im Forensics-Konto ausführen. Solche Protokolle können dazu beitragen, Vorwürfe einer falschen Handhabung oder Manipulation von Artefakten zu vermeiden. Je nachdem, welchen Detaillierungsgrad Sie aktivieren (siehe Protokollierung von Verwaltungsereignissen und Protokollierung von Datenereignissen in der AWS CloudTrail Dokumentation), können die Protokolle Informationen über das Konto enthalten, das für die Erfassung der Artefakte verwendet wurde, den Zeitpunkt der Erfassung der Artefakte und die zur Erfassung der Daten unternommenen Schritte. Durch das Speichern von Artefakten in Amazon S3 können Sie auch erweiterte Zugriffskontrollen verwenden und Informationen darüber protokollieren, wer Zugriff auf die Objekte hatte. Ein detailliertes Protokoll der Aktionen ermöglicht es anderen, den Vorgang später bei Bedarf zu wiederholen (vorausgesetzt, die im Umfang enthaltenen Ressourcen sind noch verfügbar).

Designüberlegungen

Automatisierung ist hilfreich, wenn Sie viele Vorfälle gleichzeitig haben, da sie dazu beiträgt, die Erfassung wichtiger Beweise zu beschleunigen und zu skalieren. Sie sollten diese Vorteile jedoch sorgfältig abwägen. Im Falle eines falsch positiven Vorfalls kann sich eine vollautomatische forensische Reaktion beispielsweise negativ auf einen Geschäftsprozess auswirken, der durch eine umfangreiche AWS Arbeitslast unterstützt wird. Weitere Informationen finden Sie in den folgenden Abschnitten in den Überlegungen zum AWS GuardDuty Design von AWS Security Hub und AWS Step Functions.
Wir empfehlen separate Security-Tooling- und Forensics-Konten, auch wenn sich die Forensik- und Sicherheitsressourcen Ihres Unternehmens im selben Team befinden und alle Funktionen von jedem Teammitglied ausgeführt werden können. Durch die Aufteilung der Funktionen in separate Konten werden außerdem die geringste Berechtigung unterstützt, eine Verunreinigung durch eine fortlaufende Analyse von Sicherheitsereignissen vermieden und die Integrität der gesammelten Artefakte gewährleistet.
Sie können eine separate Forensik-Organisationseinheit für dieses Konto erstellen, wenn Sie die Trennung von Pflichten, geringsten Berechtigungen und restriktiven Schutzmaßnahmen noch stärker betonen möchten.
Wenn Ihre Organisation unveränderliche Infrastrukturressourcen verwendet, können forensisch wertvolle Informationen verloren gehen, wenn eine Ressource automatisch gelöscht wird (z. B. bei einer Herunterskalierung) und bevor ein Sicherheitsvorfall erkannt wird. Um dies zu vermeiden, sollten Sie erwägen, für jede dieser Ressourcen einen forensischen Erfassungsprozess durchzuführen. Um das Volumen der gesammelten Daten zu reduzieren, können Sie Faktoren wie die Umgebung, die geschäftliche Bedeutung des Workloads, die Art der verarbeiteten Daten usw. berücksichtigen.
Erwägen Sie WorkSpaces , Amazon zu nutzen, um saubere Workstations einzurichten. Dies kann dazu beitragen, die Aktionen der Beteiligten während einer Untersuchung voneinander zu trennen.

Amazon GuardDuty

Amazon GuardDuty ist ein Erkennungsservice, der kontinuierlich nach böswilligen Aktivitäten und unberechtigtem Verhalten sucht, um Ihre AWS Konten und Workloads zu schützen. Allgemeine AWS SRA Hinweise finden Sie bei Amazon GuardDuty im Bereich Security Tooling-Konto.

Sie können die GuardDuty Ergebnisse nutzen, um den forensischen Workflow einzuleiten, der Festplatten- und Speicherabbilder potenziell gefährdeter Instances erfasst. EC2 Dies reduziert die menschliche Interaktion und kann die Geschwindigkeit der forensischen Datenerfassung erheblich erhöhen. Sie können Amazon GuardDuty integrieren EventBridge , um Antworten auf neue GuardDuty Erkenntnisse zu automatisieren.

Die Liste der Arten GuardDuty von Ergebnissen wird immer länger. Sie sollten überlegen, welche Arten von Ergebnissen (z. B. AmazonEC2, AmazonEKS, Malware-Schutz usw.) den forensischen Workflow einleiten sollten.

Sie können die Integration des Eindämmungs- und forensischen Datenerfassungsprozesses vollständig automatisieren und dabei die GuardDuty Ergebnisse zur Erfassung der Untersuchung von Festplatten- und Speicherartefakten sowie Quarantäne-Instanzen erfassen. EC2 Wenn beispielsweise alle Eingangs- und Ausgangsregeln aus einer Sicherheitsgruppe entfernt werden, können Sie ein Netzwerk einrichten, um die bestehende Verbindung ACL zu unterbrechen, und eine Richtlinie anhängen, um alle Anfragen abzulehnen. IAM

Designüberlegungen

Je nach AWS Service kann die gemeinsame Verantwortung des Kunden variieren. Beispielsweise ist die Erfassung flüchtiger Daten zu EC2 Instanzen nur auf der Instanz selbst möglich und kann wertvolle Daten enthalten, die als forensische Beweise verwendet werden können. Umgekehrt erfordert die Beantwortung und Untersuchung eines Ergebnisses für Amazon S3 in erster Linie CloudTrail Daten oder Amazon S3 S3-Zugriffsprotokolle. Je nach der geteilten Verantwortung des Kunden, dem allgemeinen Prozessablauf und den erfassten Artefakten, die gesichert werden müssen, sollte die Automatisierung der Reaktion sowohl für das Security-Tooling- als auch für das Forensics-Konto organisiert werden.
Bevor Sie eine EC2 Instance unter Quarantäne stellen, sollten Sie ihre allgemeinen Auswirkungen auf das Unternehmen und ihre Wichtigkeit abwägen. Erwägen Sie die Einrichtung eines Prozesses, bei dem die entsprechenden Beteiligten konsultiert werden, bevor Sie die EC2 Instanz mithilfe der Automatisierung eindämmen.

AWS Security Hub

AWSSecurity Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Security Hub sammelt Sicherheitsdaten von AWS integrierten Diensten, unterstützten Produkten von Drittanbietern und anderen benutzerdefinierten Sicherheitsprodukten, die Sie möglicherweise verwenden. Er hilft Ihnen dabei, Ihre Sicherheitstrends laufend zu überwachen und zu analysieren und Sicherheitsprobleme mit höchster Priorität zu identifizieren. Allgemeine AWS SRA Hinweise finden Sie unter AWSSecurity Hub im Abschnitt Security Tooling-Konto.

Security Hub überwacht nicht nur Ihren Sicherheitsstatus, sondern unterstützt auch die Integration mit Amazon EventBridge , um die Behebung bestimmter Fehler zu automatisieren. Sie können beispielsweise benutzerdefinierte Aktionen definieren, die so programmiert werden können, dass sie eine AWS Lambda-Funktion oder einen AWS Step Functions Functions-Workflow ausführen, um einen forensischen Prozess zu implementieren.

Benutzerdefinierte Security-Hub-Aktionen bieten autorisierten Sicherheitsanalysten oder Ressourcen einen standardisierten Mechanismus zur Implementierung von Eindämmung und forensischer Automatisierung. Dadurch werden menschliche Interaktionen bei der Eindämmung und Erfassung forensischer Beweise reduziert. Sie können dem automatisierten Prozess einen manuellen Checkpoint hinzufügen, um zu bestätigen, dass eine forensische Erfassung tatsächlich erforderlich ist.

Designüberlegung

Security Hub kann in viele Dienste integriert werden, einschließlich AWS Partnerlösungen. Wenn Ihr Unternehmen detektivische Sicherheitskontrollen einsetzt, die nicht vollständig abgestimmt sind und manchmal zu Fehlalarmen führen, würde eine vollständige Automatisierung des forensischen Erfassungsprozesses dazu führen, dass dieser Prozess unnötig ausgeführt wird.

Amazon EventBridge

Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. Er wird häufig in der Sicherheitsautomatisierung eingesetzt. Allgemeine AWS SRA Hinweise finden Sie bei Amazon EventBridge im Bereich Security Tooling-Konto.

Sie können es beispielsweise EventBridge als Mechanismus verwenden, um einen forensischen Workflow in Step Functions zu initiieren, um Festplatten- und Speicherabbilder auf der Grundlage von Erkennungen durch Sicherheitsüberwachungstools wie z. GuardDuty Oder Sie könnten es manueller verwenden: Es EventBridge könnte Tag-Änderungsereignisse in erkennen CloudTrail, wodurch der forensische Workflow in Step Functions initiiert werden könnte.

AWS Step Functions

AWSStep Functions ist ein serverloser Orchestrierungsdienst, den Sie in AWSLambda-Funktionen und andere AWS Dienste integrieren können, um geschäftskritische Anwendungen zu erstellen. In der grafischen Konsole von Step Functions sehen Sie den Workflow Ihrer Anwendung als eine Reihe von ereignisgesteuerten Schritten. Step Functions basiert auf Zustandsautomaten und Aufgaben. In Step Functions wird ein Workflow als Zustandsautomat bezeichnet, bei dem es sich um eine Reihe ereignisgesteuerter Schritte handelt. Jeder Schritt in einem Workflow wird als Zustand bezeichnet. Ein Task-Status stellt eine Arbeitseinheit dar, die ein anderer AWS Dienst wie Lambda ausführt. Ein Task-Status kann jeden AWS Dienst aufrufen oderAPI. Sie können die integrierten Steuerelemente in Step Functions verwenden, um den Status der einzelnen Schritte in Ihrem Workflow zu überprüfen, um sicherzustellen, dass jeder Schritt in der richtigen Reihenfolge und wie erwartet ausgeführt wird. Je nach Anwendungsfall können Sie Step Functions AWS Dienste wie Lambda aufrufen lassen, um Aufgaben auszuführen. Sie können auch lang andauernde, automatisierte Workflows für Anwendungen erstellen, die menschliche Interaktion erfordern.

Step Functions ist ideal für die Verwendung mit einem forensischen Prozess, da es eine wiederholbare, automatisierte Reihe vordefinierter Schritte unterstützt, die anhand von Protokollen verifiziert werden können. AWS Auf diese Weise können Sie jegliche menschliche Beteiligung ausschließen und Fehler in Ihrem forensischen Prozess vermeiden.

Designüberlegungen

Sie können einen Step Functions Functions-Workflow manuell oder automatisch initiieren, um Sicherheitsdaten zu erfassen und zu analysieren, wenn GuardDuty Security Hub auf eine Sicherheitslücke hinweist. Durch die Automatisierung mit minimaler oder keiner menschlichen Interaktion kann Ihr Team im Falle eines schwerwiegenden Sicherheitsereignisses, das viele Ressourcen beeinträchtigt, schnell abskalieren.
Um vollautomatische Workflows einzuschränken, können Sie Schritte in den Automatisierungsablauf aufnehmen, um einige manuelle Eingriffe vorzunehmen. Beispielsweise könnten Sie von einem autorisierten Sicherheitsanalysten oder einem Teammitglied verlangen, die generierten Sicherheitsergebnisse zu überprüfen und zu entscheiden, ob eine Sammlung forensischer Beweise eingeleitet werden soll oder ob die betroffenen Ressourcen unter Quarantäne gestellt und zurückgehalten werden sollen oder beides.
Wenn Sie eine forensische Untersuchung einleiten möchten, ohne dass ein aktives Ergebnis mit Sicherheitstools (wie GuardDuty Security Hub) vorliegt, sollten Sie zusätzliche Integrationen implementieren, um einen forensischen Step Functions Functions-Workflow aufzurufen. Dies kann erreicht werden, indem eine EventBridge Regel erstellt wird, die nach einem bestimmten CloudTrail Ereignis sucht (z. B. einem Tag-Änderungsereignis), oder indem einem Sicherheitsanalysten oder Teammitglied ermöglicht wird, einen forensischen Step Functions Functions-Workflow direkt von der Konsole aus zu starten. Sie können Step Functions auch verwenden, um umsetzbare Tickets zu erstellen, indem Sie es in das Ticketsystem Ihrer Organisation integrieren.

AWSLambda

Mit AWSLambda können Sie Code ausführen, ohne Server bereitzustellen oder zu verwalten. Sie zahlen nur für die tatsächlich konsumierte Zeit. Es werden keine Gebühren berechnet, solange Ihr Code nicht ausgeführt wird. Lambda führt Ihren Code auf einer hochverfügbaren Datenverarbeitungsinfrastruktur aus und verwaltet alle Datenverarbeitungsressourcen, einschließlich Server- und Betriebssystemwartung, Kapazitätsbereitstellung und automatische Skalierung sowie Protokollierung. Sie stellen Ihren Code in einer der von Lambda unterstützten Laufzeiten bereit und organisieren Ihren Code dann in Lambda-Funktionen. Der Lambda-Service führt Ihre Funktion nur bei Bedarf aus und skaliert automatisch.

Im Rahmen einer forensischen Untersuchung hilft Ihnen die Verwendung von Lambda-Funktionen dabei, konstante Ergebnisse durch wiederholbare, automatisierte und vordefinierte Schritte zu erzielen, die im Lambda-Code definiert sind. Wenn eine Lambda-Funktion ausgeführt wird, erstellt sie ein Protokoll, anhand dessen Sie überprüfen können, ob der richtige Prozess implementiert wurde.

Designüberlegungen

Lambda-Funktionen haben ein Timeout von 15 Minuten, wohingegen ein umfassender forensischer Prozess zur Erfassung relevanter Beweise länger dauern kann. Aus diesem Grund empfehlen wir Ihnen, Ihren forensischen Prozess mithilfe von Lambda-Funktionen zu orchestrieren, die in einen Step-Functions-Workflow integriert sind. Mit dem Workflow können Sie Lambda-Funktionen in der richtigen Reihenfolge erstellen, und jede Lambda-Funktion implementiert einen individuellen Erfassungsschritt.
Indem Sie Ihre forensischen Lambda-Funktionen in einem Step-Functions-Workflow organisieren, können Sie Teile des forensischen Erfassungsverfahrens parallel ausführen, um die Erfassung zu beschleunigen. So können Sie beispielsweise schneller Informationen über die Erstellung von Datenträger-Images sammeln, wenn mehrere Volumes im Umfang enthalten sind.

AWS KMS

AWSMit Key Management Service (AWSKMS) können Sie kryptografische Schlüssel erstellen und verwalten und deren Verwendung in einer Vielzahl von AWS Diensten und in Ihren Anwendungen kontrollieren. Allgemeine AWS SRA Hinweise finden Sie AWSKMSim Abschnitt Security Tooling-Konto.

Im Rahmen des forensischen Prozesses sollten die Datenerfassung und Untersuchung in einer isolierten Umgebung erfolgen, um die Auswirkungen auf das Geschäft so gering wie möglich zu halten. Datensicherheit und -integrität dürfen während dieses Vorgangs nicht beeinträchtigt werden, und es muss ein Verfahren eingerichtet werden, das die gemeinsame Nutzung verschlüsselter Ressourcen wie Snapshots und Datenträger-Volumes zwischen dem potenziell gefährdeten Konto und dem Forensics-Konto ermöglicht. Um dies zu erreichen, muss Ihr Unternehmen sicherstellen, dass die zugehörige AWS KMS Ressourcenrichtlinie das Lesen der verschlüsselten Daten sowie das Sichern der Daten durch erneutes Verschlüsseln mit einem AWS KMS Schlüssel im Forensics-Konto unterstützt.

Designüberlegung

Die KMS wichtigsten Richtlinien einer Organisation sollten es autorisierten IAM Prinzipalen für die Forensik ermöglichen, den Schlüssel zum Entschlüsseln von Daten im Quellkonto und zum erneuten Verschlüsseln im Forensik-Konto zu verwenden. Verwenden Sie Infrastructure as Code (IaC), um alle Schlüssel Ihres Unternehmens zentral zu verwalten und so sicherzustellen, dass nur autorisierte IAM Prinzipale über AWS KMS den entsprechenden Zugriff mit den geringsten Rechten verfügen. Diese Berechtigungen sollten für alle KMS Schlüssel gelten, die zur Verschlüsselung von Ressourcen verwendet werden können und AWS die im Rahmen einer forensischen Untersuchung gesammelt werden könnten. Wenn Sie die KMS Schlüsselrichtlinie nach einem Sicherheitsereignis aktualisieren, kann sich die nachfolgende Aktualisierung der Ressourcenrichtlinie für einen KMS Schlüssel, der gerade verwendet wird, auf Ihr Unternehmen auswirken. Darüber hinaus können Berechtigungsprobleme die durchschnittliche Reaktionszeit (MTTR) für ein Sicherheitsereignis insgesamt verlängern.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Perimetersicherheit

Identitätsverwaltung