Security OU — Konto protokollieren - AWS Präskriptive Leitlinien
Arten von ProtokollenAmazon S3 als zentraler ProtokollspeicherAmazon Security Lake

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security OU — Konto protokollieren

Nehmen Sie an einer kurzen Umfrage teil, um die future der AWS Security Reference Architecture (AWS SRA) mitzugestalten.

Das folgende Diagramm zeigt die AWS Sicherheitsdienste, die im Log Archive-Konto konfiguriert sind.

Sicherheitsdienste im Log Archive-Konto

Das Log Archive-Konto dient der Erfassung und Archivierung aller sicherheitsrelevanten Protokolle und Backups. Mit zentralisierten Protokollen können Sie Amazon S3 S3-Objektzugriffe, unbefugte Aktivitäten anhand von Identitäten, IAM Richtlinienänderungen und andere kritische Aktivitäten, die mit sensiblen Ressourcen ausgeführt werden, überwachen, prüfen und Warnmeldungen dazu geben. Die Sicherheitsziele sind einfach: Es sollte sich um unveränderlichen Speicher handeln, auf den nur über kontrollierte, automatisierte und überwachte Mechanismen zugegriffen werden kann und der auf Beständigkeit ausgelegt sein (z. B. durch die Verwendung geeigneter Replikations- und Archivierungsprozesse). Es können tiefgreifende Kontrollen implementiert werden, um die Integrität und Verfügbarkeit der Protokolle und des Protokollverwaltungsprozesses zu schützen. Zusätzlich zu präventiven Kontrollen, wie der Zuweisung von Rollen mit den geringsten Rechten für den Zugriff und der Verschlüsselung von Protokollen mit einem kontrollierten AWS KMS Schlüssel, können Sie auch detektive Kontrollen wie AWS Config verwenden, um diese Sammlung von Berechtigungen für unerwartete Änderungen zu überwachen (und zu warnen und zu korrigieren).

Designüberlegung

  • Die von Ihren Infrastruktur-, Betriebs- und Workload-Teams verwendeten Betriebsprotokolldaten überschneiden sich häufig mit den Protokolldaten, die von Sicherheits-, Audit- und Compliance-Teams verwendet werden. Wir empfehlen Ihnen, Ihre Betriebsprotokolldaten im Log Archive-Konto zu konsolidieren. Je nach Ihren spezifischen Sicherheits- und Governance-Anforderungen müssen Sie möglicherweise die in diesem Konto gespeicherten Betriebsprotokolldaten filtern. Möglicherweise müssen Sie auch angeben, wer Zugriff auf die Betriebsprotokolldaten im Log Archive-Konto hat.

Arten von Protokollen

Zu den wichtigsten Protokollen, die in der AWS SRA Liste angezeigt werden, gehören CloudTrail (Organization Trail), VPC Amazon-Flow-Logs AWSWAF, DNS Zugriffsprotokolle von Amazon CloudFront und Logs von Amazon Route 53. Diese Protokolle bieten eine Prüfung der Aktionen, die von einem Benutzer, einer Rolle, einem AWS Dienst oder einer Netzwerkeinheit ergriffen (oder versucht) wurden (z. B. anhand einer IP-Adresse identifiziert). Andere Protokolltypen (z. B. Anwendungsprotokolle oder Datenbankprotokolle) können ebenfalls erfasst und archiviert werden. Weitere Informationen zu Protokollquellen und bewährten Methoden für die Protokollierung finden Sie in der Sicherheitsdokumentation der einzelnen Dienste.

Amazon S3 als zentraler Protokollspeicher

Viele AWS Dienste protokollieren Informationen in Amazon S3 — entweder standardmäßig oder ausschließlich. AWS CloudTrail, Amazon VPC Flow Logs, AWS Config und Elastic Load Balancing sind einige Beispiele für Dienste, die Informationen in Amazon S3 protokollieren. Das bedeutet, dass die Protokollintegrität durch die S3-Objektintegrität, die Protokollvertraulichkeit durch S3-Objektzugriffskontrollen und die Protokollverfügbarkeit durch S3 Object Lock, S3-Objektversionen und S3-Lebenszyklusregeln erreicht wird. Durch die Protokollierung von Informationen in einem dedizierten und zentralen S3-Bucket, der sich in einem speziellen Konto befindet, können Sie diese Protokolle in nur wenigen Buckets verwalten und strenge Sicherheitskontrollen, Zugriffskontrollen und Aufgabentrennung durchsetzen. 

Aus dem AWS SRA stammen die in Amazon S3 gespeicherten Primärprotokolle. In diesem Abschnitt wird daher beschrieben CloudTrail, wie Sie diese Objekte schützen können. Diese Anleitung gilt auch für alle anderen S3-Objekte, die entweder von Ihren eigenen Anwendungen oder von anderen AWS Diensten erstellt wurden. Wenden Sie diese Muster immer dann an, wenn Sie Daten in Amazon S3 haben, die eine hohe Integrität, strenge Zugriffskontrolle und automatische Aufbewahrung oder Zerstörung erfordern. 

Alle neuen Objekte (einschließlich CloudTrail Protokolle), die in S3-Buckets hochgeladen werden, werden standardmäßig mithilfe der serverseitigen Amazon-Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (-S3) verschlüsselt. SSE Dies trägt zum Schutz der gespeicherten Daten bei, die Zugriffskontrolle wird jedoch ausschließlich durch Richtlinien gesteuert. IAM Um eine zusätzliche verwaltete Sicherheitsebene bereitzustellen, können Sie serverseitige Verschlüsselung mit AWS KMS Schlüsseln verwenden, die Sie für alle Sicherheits-S3-Buckets verwalten (SSE-KMS). Dadurch wird eine zweite Ebene der Zugriffskontrolle hinzugefügt. Um Protokolldateien lesen zu können, muss ein Benutzer sowohl über Amazon S3 S3-Leseberechtigungen für das S3-Objekt als auch über eine zugewiesene IAM Richtlinie oder Rolle verfügen, die ihm Berechtigungen zum Entschlüsseln gemäß der zugehörigen Schlüsselrichtlinie gewährt.

Zwei Optionen helfen Ihnen, die Integrität von CloudTrail Protokollobjekten, die in Amazon S3 gespeichert sind, zu schützen oder zu überprüfen. CloudTrail bietet eine Überprüfung der Integrität von Protokolldateien, um festzustellen, ob eine Protokolldatei nach CloudTrail der Übermittlung geändert oder gelöscht wurde. Die andere Option ist S3 Object Lock.

Sie können nicht nur den S3-Bucket selbst schützen, sondern auch das Prinzip der geringsten Rechte für die Protokollierungsdienste (z. B. CloudTrail) und das Log Archive-Konto einhalten. Beispielsweise AWSCloudTrail_FullAccess können Benutzer mit Berechtigungen, die durch die AWS verwaltete IAM Richtlinie gewährt wurden, die sensibelsten und wichtigsten Überwachungsfunktionen in ihren AWS Konten deaktivieren oder neu konfigurieren. Beschränken Sie die Anwendung dieser IAM Richtlinie auf so wenige Personen wie möglich. 

Verwenden Sie detektive Kontrollen, wie sie beispielsweise von AWS Config and AWS IAM Access Analyzer bereitgestellt werden, um dieses breitere Kollektiv präventiver Kontrollen für unerwartete Änderungen zu überwachen (und zu warnen und zu korrigieren). 

Eine eingehendere Diskussion der bewährten Sicherheitsmethoden für S3-Buckets finden Sie in der Amazon S3-Dokumentation, in Online-Tech-Talks und im Blogbeitrag Die 10 besten Sicherheitsmethoden für die Sicherung von Daten in Amazon S3.

Beispiel für eine Implementierung

Die AWSSRACodebibliothek bietet eine Beispielimplementierung für den öffentlichen Zugriff Amazon S3 S3-Blockkonten. Dieses Modul blockiert den öffentlichen Zugriff auf Amazon S3 für alle bestehenden und future Konten in der AWS Organisation.

Amazon Security Lake

AWSSRAempfiehlt, dass Sie das Log Archive-Konto als delegiertes Administratorkonto für Amazon Security Lake verwenden. Wenn Sie dies tun, sammelt Security Lake unterstützte Protokolle in speziellen S3-Buckets im selben Konto wie andere von uns SRA empfohlene Sicherheitsprotokolle.

Um die Verfügbarkeit der Protokolle und den Protokollverwaltungsprozess zu schützen, sollte auf die S3-Buckets für Security Lake nur vom Security Lake-Dienst oder von IAM Rollen zugegriffen werden, die von Security Lake für Quellen oder Abonnenten verwaltet werden. Neben präventiven Kontrollen, wie der Zuweisung von Rollen mit den geringsten Zugriffsrechten und der Verschlüsselung von Protokollen mit einem kontrollierten AWS Key Management Services (AWSKMS) -Schlüssel, können Sie auch detektive Kontrollen wie AWS Config verwenden, um diese Sammlung von Berechtigungen für unerwartete Änderungen zu überwachen (und zu warnen und zu korrigieren).

Der Security Lake-Administrator kann die Protokollerfassung in Ihrer gesamten Organisation aktivieren. AWS Diese Protokolle werden in regionalen S3-Buckets im Log Archive-Konto gespeichert. Um die Protokolle zu zentralisieren und die Speicherung und Analyse zu vereinfachen, kann der Security Lake-Administrator außerdem eine oder mehrere Rollup-Regionen auswählen, in denen Protokolle aus allen regionalen S3-Buckets konsolidiert und gespeichert werden. Protokolle von unterstützten AWS Diensten werden automatisch in ein standardisiertes Open-Source-Schema namens Open Cybersecurity Schema Framework (OCSF) konvertiert und im Apache Parquet-Format in Security Lake S3-Buckets gespeichert. Mit dieser OCSF Unterstützung normalisiert und konsolidiert Security Lake effizient Sicherheitsdaten aus und anderen Sicherheitsquellen des Unternehmens, um ein einheitliches AWS und zuverlässiges Repository für sicherheitsrelevante Informationen zu schaffen.

Security Lake kann Protokolle sammeln, die mit AWS CloudTrail Verwaltungsereignissen und CloudTrail Datenereignissen für Amazon S3 und AWS Lambda verknüpft sind. Um CloudTrail Verwaltungsereignisse in Security Lake zu erfassen, benötigen Sie mindestens einen CloudTrail regionsübergreifenden Organisationspfad, der CloudTrail Verwaltungsereignisse mit Lese- und Schreibzugriff sammelt. Die Protokollierung muss für den Trail aktiviert sein. Ein Trail mit mehreren Regionen liefert Protokolldateien aus mehreren Regionen an einen einzigen S3-Bucket für ein einzelnes AWS Konto. Wenn sich die Regionen in verschiedenen Ländern befinden, sollten Sie die Anforderungen für den Datenexport berücksichtigen, um festzustellen, ob Trails für mehrere Regionen aktiviert werden können.

AWSSecurity Hub ist eine unterstützte native Datenquelle in Security Lake, und Sie sollten Security Hub Hub-Ergebnisse zu Security Lake hinzufügen. Security Hub generiert Erkenntnisse aus vielen verschiedenen AWS Diensten und Integrationen von Drittanbietern. Diese Ergebnisse helfen Ihnen dabei, sich einen Überblick über Ihre Compliance-Situation zu verschaffen und festzustellen, ob Sie die Sicherheitsempfehlungen für AWS und AWS Partnerlösungen befolgen.

Um Transparenz und umsetzbare Erkenntnisse aus Protokollen und Ereignissen zu gewinnen, können Sie die Daten mithilfe von Tools wie Amazon Athena, Amazon OpenSearch Service, Amazon Quicksight und Lösungen von Drittanbietern abfragen. Benutzer, die Zugriff auf die Security Lake-Protokolldaten benötigen, sollten nicht direkt auf das Log Archive-Konto zugreifen. Sie sollten nur über das Security Tooling-Konto auf Daten zugreifen. Oder sie können andere AWS Konten oder lokale Standorte verwenden, die Analysetools wie OpenSearch Service oder Tools von Drittanbietern wie Sicherheitsinformations- und Event-Management-Tools (SIEM) bereitstellen. QuickSight Um Zugriff auf die Daten zu gewähren, sollte der Administrator Security Lake-Abonnenten im Log Archive-Konto konfigurieren und das Konto, das Zugriff auf die Daten benötigt, als Abfragezugriffs-Abonnent konfigurieren. Weitere Informationen finden Sie unter Amazon Security Lake im Abschnitt Security OU — Security Tooling-Konto dieses Handbuchs.

Security Lake bietet eine AWS verwaltete Richtlinie, mit der Sie den Administratorzugriff auf den Service verwalten können. Weitere Informationen finden Sie im Security Lake-Benutzerhandbuch. Als bewährte Methode empfehlen wir, die Konfiguration von Security Lake über Entwicklungspipelines einzuschränken und Konfigurationsänderungen über die AWS Konsolen oder die AWS Befehlszeilenschnittstelle (AWSCLI) zu verhindern. Darüber hinaus sollten Sie strenge IAM Richtlinien und Richtlinien zur Dienstkontrolle (SCPs) einrichten, um nur die für die Verwaltung von Security Lake erforderlichen Berechtigungen bereitzustellen. Sie können Benachrichtigungen so konfigurieren, dass jeder direkte Zugriff auf diese S3-Buckets erkannt wird.