Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
SEC06-BP05 Automatisieren Sie den Computerschutz - AWS Well-Architected Framework
ImplementierungsleitfadenRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC06-BP05 Automatisieren Sie den Computerschutz

PDFRSS

Automatisieren Sie den Datenverarbeitungsschutz, um das Erfordernis menschlichen Eingreifens zu reduzieren. Nutzen Sie automatisierte Scans, um potenzielle Probleme in Ihren Datenverarbeitungsressourcen zu erkennen und mit automatisierten programmatischen Reaktionen oder Flottenmanagement-Vorgängen zu beheben.  Integrieren Sie Automatisierung in Ihre CI/CD-Prozesse, um vertrauenswürdige Workloads mit Abhängigkeiten bereitzustellen. up-to-date

Gewünschtes Ergebnis: Automatisierte Systeme führen alle Scans und Patches von Datenverarbeitungsressourcen durch. Mithilfe der automatisierten Überprüfung überprüfen Sie, ob Software-Images und Abhängigkeiten aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Workloads werden automatisch auf up-to-date Abhängigkeiten überprüft und signiert, um die Vertrauenswürdigkeit in Computerumgebungen zu gewährleisten. AWS  Automatisierte Abhilfemaßnahmen werden eingeleitet, wenn nicht konforme Ressourcen entdeckt werden. 

Typische Anti-Muster:

  • Verfolgen des Ansatzes einer unveränderlichen Infrastruktur, aber ohne eine Lösung für Notfall-Patches oder den Austausch von Produktionssystemen

  • Verwenden von Automatisierung, um falsch konfigurierte Ressourcen zu korrigieren, ohne dass ein manueller Überschreibungsmechanismus vorhanden ist  Es können Situationen entstehen, in denen Sie die Anforderungen anpassen müssen, und es kann sein, dass Sie die Automatisierungen aussetzen müssen, bis Sie diese Änderungen vorgenommen haben.

Vorteile der Nutzung dieser bewährten Methode: Die Automatisierung kann das Risiko des unbefugten Zugriffs und der Nutzung Ihrer Datenverarbeitungsressourcen verringern.  Sie hilft zu verhindern, dass Fehlkonfigurationen in Produktionsumgebungen gelangen, und Fehlkonfigurationen zu erkennen und zu beheben, wenn sie auftreten.  Die Automatisierung hilft auch bei der Erkennung von unbefugtem Zugriff und der Nutzung von Datenverarbeitungsressourcen, um Ihre Reaktionszeit zu verkürzen.  Dies wiederum kann den Gesamtumfang der Auswirkungen des Problems verringern.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Sie können die in den Methoden der Sicherheitssäule beschriebenen Automatisierungen zum Schutz Ihrer Datenverarbeitungsressourcen anwenden. SEC06-BP01 Perform Vulnerability Management beschreibt, wie Sie Amazon Inspector sowohl in Ihren CI/CD-Pipelines als auch zum kontinuierlichen Scannen Ihrer Laufzeitumgebungen auf bekannte allgemeine Sicherheitslücken und Risiken () verwenden können. CVEs  Sie können AWS Systems Manager verwenden, um Patches anzuwenden oder neue Images über automatisierte Runbooks bereitzustellen, damit Ihre Computerflotte stets mit der neuesten Software und den neuesten Bibliotheken ausgestattet ist.  Nutzen Sie diese Techniken, um den Bedarf an manuellen Prozessen und interaktivem Zugriff auf Ihre Datenverarbeitungsressourcen zu reduzieren.  Weitere Informationen finden Sie unter SEC06-BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff.

Automatisierung spielt auch eine Rolle bei der Bereitstellung vertrauenswürdiger Workloads, wie in SEC06-BP02 Bereitstellung von Rechenleistung anhand gehärteter Images und 06-BP04 Softwareintegrität überprüfen beschrieben. SEC  Sie können Dienste wie EC2Image Builder, AWS SignerAWS CodeArtifact, und Amazon Elastic Container Registry (ECR) verwenden, um gehärtete und genehmigte Images und Codeabhängigkeiten herunterzuladen, zu verifizieren, zu erstellen und zu speichern.   Neben Inspector kann jeder von ihnen eine Rolle in Ihrem CI/CD-Prozess spielen, sodass Ihr Workload nur dann in die Produktion gelangt, wenn bestätigt wird, dass seine Abhängigkeiten vertrauenswürdig sind up-to-date und von vertrauenswürdigen Quellen stammen.  Ihr Workload ist auch signiert, sodass AWS Rechenumgebungen wie AWS LambdaAmazon Elastic Kubernetes Service (EKS) überprüfen können, ob er nicht manipuliert wurde, bevor er ausgeführt werden kann.

Über diese präventiven Kontrollen hinaus können Sie die Automatisierung auch bei den detektivischen Kontrollen für Ihre Datenverarbeitungsressourcen einsetzen.  Als Beispiel AWS Security Hubbietet der Standard NIST800-53 Rev. 5, der Prüfungen wie [EC2.8] beinhaltet, dass EC2 Instances Instance Metadata Service Version 2 () verwenden sollten. IMDSv2  IMDSv2verwendet die Techniken der Sitzungsauthentifizierung, blockiert Anfragen, die einen X-Forwarded-For HTTP Header enthalten, und verwendet ein 1-Netzwerk, um den Datenverkehr zu unterbinden, TTL der aus externen Quellen stammt und Informationen über die Instanz abruft. EC2 Diese Überprüfung im Security Hub kann erkennen, wann EC2 Instances automatische Problembehebungen verwenden, IMDSv1 und diese einleiten. Weitere Informationen zur automatisierten Erkennung und Problembehebung finden Sie unter SEC04-BP04 Initiate Remediation für Ressourcen, die nicht richtlinientreu sind.

Implementierungsschritte

  1. Automatisieren Sie die Erstellung sicherer, konformer und AMIs robuster Produkte mit EC2Image Builder.  Sie können anhand von Basis AWS - und APN Partnerimages Images erstellen, die Steuerelemente aus den Standards des Center for Internet Security (CIS) Benchmarks oder Security Technical Implementation Guide (STIG) enthalten.

  2. Automatische Konfigurationsverwaltung. Erzwingen und validieren Sie sichere Konfigurationen in Ihren Datenverarbeitungsressourcen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. 

    1. Automatisiertes Konfigurationsmanagement mit AWS Config

    2. Automatisiertes Sicherheits- und Compliance-Management mit AWS Security Hub

  3. Automatisieren Sie das Patchen oder Ersetzen von Amazon Elastic Compute Cloud (AmazonEC2) -Instances. AWS Systems Manager Patch Manager automatisiert den Prozess des Patchens verwalteter Instanzen mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patchmanager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen.

    1. AWS Systems Manager Patch Manager

  4. Automatisieren Sie das Scannen von Rechenressourcen nach häufigen Sicherheitslücken und Sicherheitsrisiken (CVEs) und integrieren Sie Sicherheitsscanning-Lösungen in Ihre Build-Pipeline.

    1. Amazon Inspector

    2. ECRScannen von Bildern

  5. Ziehen Sie Amazon GuardDuty für die automatische Erkennung von Malware und Bedrohungen zum Schutz von Rechenressourcen in Betracht. GuardDuty kann auch potenzielle Probleme identifizieren, wenn eine AWS LambdaFunktion in Ihrer AWS Umgebung aufgerufen wird. 

    1. Amazon GuardDuty

  6. Ziehen Sie AWS Partnerlösungen in Betracht. AWS Partner bieten branchenführende Produkte an, die den vorhandenen Steuerungen in Ihren lokalen Umgebungen entsprechen, diese identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS -Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können.

    1. Sicherheit der Infrastruktur

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Nächstes Thema:

Datenschutz

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.