SEC08-BP04 Erzwingen der Zugriffskontrolle - AWS Well-Architected Framework

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC08-BP04 Erzwingen der Zugriffskontrolle

Um Ihre Daten im Ruhezustand zu schützen, sollten Sie Zugriffskontrollen über Mechanismen wie Isolierung und Versionsverwaltung durchsetzen. Wenden Sie das Prinzip der geringsten Berechtigung und bedingte Zugriffskontrollen an. Verhindern Sie das Erteilen von öffentlichem Zugriff auf Ihre Daten.

Gewünschtes Ergebnis: Sie vergewissern sich, dass nur autorisierte Benutzer auf Daten zugreifen können und dass dabei das Need-to-know-Prinzip gilt. Sie schützen Ihre Daten mit regelmäßigen Backups und Versionsverwaltung vor beabsichtigten oder unbeabsichtigten Änderungen oder Löschungen. Sie isolieren wichtige Daten von anderen Daten, um ihre Vertraulichkeit und Datenintegrität zu schützen.

Typische Anti-Muster:

  • gemeinsame Speicherung von Daten mit unterschiedlichen Anforderungen hinsichtlich Vertraulichkeit oder verschiedenen Klassifizierungen

  • Verwendung von übermäßigen Berechtigungen für Entschlüsselungsschlüssel

  • nicht ordnungsgemäße Klassifizierung von Daten

  • keine Aufbewahrung von Backups wichtiger Daten

  • Gewährung von dauerhaftem Zugriff auf Produktionsdaten

  • keine Prüfung des Datenzugriffs bzw. keine regelmäßige Prüfung der Berechtigungen

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Hoch

Implementierungsleitfaden

Der Schutz von Daten im Ruhezustand ist wichtig, um die Integrität und Vertraulichkeit der Daten zu wahren und die Einhaltung gesetzlicher Anforderungen sicherzustellen. Um dies zu erreichen, können Sie mehrere Kontrollen implementieren, darunter Zugriffskontrolle, Isolierung, bedingter Zugriff und Versionsverwaltung.

Sie können die Zugriffskontrolle mit dem Prinzip der geringsten Berechtigung durchsetzen, das Benutzern und Services nur die zur Ausführung ihrer Aufgaben erforderlichen Berechtigungen gewährt. Hierzu gehört auch der Zugriff auf Verschlüsselungsschlüssel. Überprüfen Sie Ihre Richtlinien für AWS Key Management Service(AWS KMS), um sicherzustellen, dass die von Ihnen gewährte Zugriffsebene angemessen ist und die entsprechenden Bedingungen gelten.

Sie können Daten auf der Grundlage verschiedener Klassifizierungsebenen trennen, indem Sie unterschiedliche AWS-Konten für jede Ebene verwenden, und diese Konten mithilfe von AWS Organizations verwalten. Diese Isolierung kann helfen, unbefugten Zugriff zu verhindern und das Risiko einer Offenlegung von Daten zu minimieren.

Überprüfen Sie regelmäßig die in Amazon-S3-Bucket-Richtlinien gewährte Zugriffsebene. Vermeiden Sie die Verwendung von öffentlich lesbaren oder beschreibbaren Buckets, sofern dies nicht unbedingt erforderlich ist. Erwägen Sie, AWS Config zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden. Vergewissern Sie sich, dass Buckets, die keinen öffentlichen Zugriff gewähren sollen, entsprechend konfiguriert sind, dass dies verhindert wird.

Implementieren Sie Mechanismen zur Versionsverwaltung und Objektsperre für kritische Daten, die in Amazon S3 gespeichert sind. Die Amazon-S3-Versionsverwaltung behält frühere Versionen von Objekten bei, um Daten nach versehentlichem Löschen oder Überschreiben wiederherstellen zu können. Amazon S3 Object Lock bietet eine obligatorische Zugriffskontrolle für Objekte, die das Löschen oder Überschreiben von Objekten auch durch den Root-Benutzer verhindert, bis die Sperre abläuft. Darüber hinaus bietet Amazon S3 Glacier Vault Lock eine ähnliche Funktion für in Amazon S3 Glacier gespeicherte Archive.

Implementierungsschritte

  1. Durchsetzung der Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung:

    • Überprüfen Sie die den Benutzern und Services gewährten Zugriffsberechtigungen und stellen Sie sicher, dass die Benutzer und Services nur über die erforderlichen Berechtigungen verfügen, um ihre Aufgaben auszuführen.

    • Überprüfen Sie den Zugriff auf Verschlüsselungsschlüssel durch Prüfung der Richtlinien von AWS Key Management Service (AWS KMS).

  2. Trennung von Daten auf der Grundlage verschiedener Klassifizierungsebenen:

    • Verwenden Sie unterschiedliche AWS-Konten für jede Datenklassifizierungsebene.

    • Verwalten Sie diese Konten mit AWS Organizations.

  3. Überprüfung der Berechtigungen für Amazon-S3-Buckets und -Objekte:

    • Überprüfen Sie regelmäßig die in Amazon-S3-Bucket-Richtlinien gewährte Zugriffsebene.

    • Vermeiden Sie die Verwendung von öffentlich lesbaren oder beschreibbaren Buckets, sofern dies nicht unbedingt erforderlich ist.

    • Erwägen Sie die Verwendung von AWS Config zur Erkennung von öffentlich verfügbaren Buckets.

    • Verwenden Sie Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3.

    • Vergewissern Sie sich, dass Buckets, die keinen öffentlichen Zugriff gewähren sollen, entsprechend konfiguriert sind, dass dies verhindert wird.

    • Sie können dasselbe Prüfverfahren für Datenbanken und alle anderen Datenquellen anwenden, die die IAM-Authentifizierung verwenden, z. B. SQS oder Datenspeicher von Drittanbietern.

  4. Verwendung von AWS IAM Access Analyzer:

    • Sie können AWS IAM Access Analyzer] (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) so konfigurieren, dass Amazon-S3-Buckets analysiert und Ergebnisse generiert werden, wenn eine S3-Richtlinie Zugriff auf eine externe Entität gewährt.

  5. Implementierung von Mechanismen zur Versionsverwaltung und Objektsperre:

    • Verwenden Sie die Amazon-S3-Versionsverwaltung, um frühere Versionen von Objekten beizubehalten, wodurch Daten nach versehentlichem Löschen oder Überschreiben wiederhergestellt werden können.

    • Verwenden Sie Amazon S3 Object Lock, um eine obligatorische Zugriffskontrolle für Objekte zu bieten, die das Löschen oder Überschreiben von Objekten auch durch den Root-Benutzer verhindert, bis die Sperre abläuft.

    • Verwenden Sie Amazon S3 Glacier Vault Lock für Archive, die in Amazon S3 Glacier gespeichert sind.

  6. Verwendung von Amazon S3 Inventory:

    • Sie können Amazon S3 Inventory verwenden, um den Replikations- und Verschlüsselungsstatus Ihrer S3-Objekte zu prüfen und zu melden.

  7. Überprüfung von Berechtigungen für Amazon EBS und AMI-Freigabe:

    • Überprüfen Sie Ihre Freigabeberechtigungen für Amazon EBS und AMI-Freigabe, um sicherzustellen, dass Ihre Images und Volumes nicht für AWS-Konten außerhalb Ihres Workloads freigegeben werden.

  8. Regelmäßige Überprüfung der Freigaben von AWS Resource Access Manager:

    • Sie können AWS Resource Access Manager für die Freigabe von Ressourcen wie beispielsweise Richtlinien für AWS Network Firewall, Regeln für Amazon Route 53 Resolver und Subnetzen innerhalb Ihrer Amazon VPCs verwenden.

    • Überprüfen Sie die freigegebenen Ressourcen regelmäßig und beenden Sie die Freigabe von Ressourcen, die keine Freigabe mehr erfordern.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos: