SEC06-BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff - Säule der Sicherheit

SEC06-BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff

Nutzen Sie Automatisierung für die Bereitstellung, Konfiguration, Wartung und Untersuchung, wo immer dies möglich ist. Erwägen Sie den manuellen Zugriff auf Datenverarbeitungsressourcen in Notfällen oder in sicheren (Sandbox-)Umgebungen, wenn keine Automatisierung möglich ist.

Gewünschtes Ergebnis: Programmatische Skripte und Automatisierungsdokumente (Runbooks) erfassen autorisierte Aktionen in Ihren Datenverarbeitungsressourcen. Diese Runbooks werden entweder automatisch durch Systeme zur Erkennung von Änderungen oder manuell ausgelöst, wenn ein menschliches Urteilsvermögen erforderlich ist. Der direkte Zugriff auf Datenverarbeitungsressourcen wird nur in Notfällen gewährt, wenn keine Automatisierung verfügbar ist. Alle manuellen Aktivitäten werden protokolliert und in einen Überprüfungsprozess einbezogen, um Ihre Automatisierungsmöglichkeiten kontinuierlich zu verbessern.

Typische Anti-Muster:

  • Interaktiver Zugriff auf EC2 Amazon-Instances mit Protokollen wie SSH oderRDP.

  • Verwalten einzelner Benutzeranmeldungen wie /etc/passwd oder lokaler Windows-Benutzer.

  • Gemeinsame Nutzung eines Passworts oder privaten Schlüssels für den Zugriff auf eine Instance durch mehrere Benutzer.

  • Manuelles Installieren von Software und Erstellen oder Aktualisieren von Konfigurationsdateien.

  • Manuelles Aktualisieren oder Patchen von Software.

  • Einloggen in eine Instance, um Probleme zu beheben.

Vorteile der Nutzung dieser bewährten Methode: Die Durchführung automatisierter Aktionen hilft Ihnen, das betriebliche Risiko unbeabsichtigter Änderungen und Fehlkonfigurationen zu verringern. Wenn Sie die Verwendung von Secure Shell (SSH) und Remote Desktop Protocol (RDP) für den interaktiven Zugriff entfernen, wird der Umfang des Zugriffs auf Ihre Rechenressourcen reduziert. Damit wird ein gängiger Weg für unbefugte Aktionen abgeschnitten. Die Erfassung Ihrer Aufgaben zur Verwaltung von Datenverarbeitungsressourcen in Automatisierungsdokumenten und programmatischen Skripten bietet einen Mechanismus, mit dem Sie den gesamten Umfang der autorisierten Aktivitäten bis ins kleinste Detail definieren und überprüfen können.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Das Protokollieren einer Instance ist eine klassische Methode der Systemverwaltung. Nach der Installation des Server-Betriebssystems würden sich die Benutzer normalerweise manuell anmelden, um das System zu konfigurieren und die gewünschte Software zu installieren. Während der Lebensdauer des Servers melden sich die Benutzer möglicherweise an, um Software-Updates durchzuführen, Patches anzuwenden, Konfigurationen zu ändern und Probleme zu beheben.

Der manuelle Zugriff birgt jedoch eine Reihe von Risiken. Dazu ist ein Server erforderlich, der Anfragen abhört, z. B. einen SSH RDP OR-Dienst, der einen potenziellen Weg zu unberechtigtem Zugriff bieten kann. Außerdem erhöht sich dadurch das Risiko menschlicher Fehler bei der Durchführung manueller Schritte. Diese können zu Störungen des Workloads, zur Beschädigung oder Zerstörung von Daten oder zu anderen Sicherheitsproblemen führen. Der menschliche Zugriff erfordert außerdem Schutzmaßnahmen gegen die Weitergabe von Anmeldeinformationen, was zusätzlichen Verwaltungsaufwand bedeutet. 

Um diese Risiken zu minimieren, können Sie eine agentenbasierte Fernzugriffslösung wie AWS Systems Manager implementieren. AWS Systems Manager Der Agent (SSMAgent) initiiert einen verschlüsselten Kanal und ist daher nicht darauf angewiesen, extern initiierte Anfragen abzuhören. Erwägen Sie, den SSM Agenten so zu konfigurieren, dass dieser Kanal über einen Endpunkt eingerichtet wird. VPC

Systems Manager gibt Ihnen eine fein abgestufte Kontrolle darüber, wie Sie mit Ihren verwalteten Instances interagieren können. Sie legen fest, welche Automatisierungen ausgeführt werden sollen, wer sie ausführen darf und wann sie ausgeführt werden können. Systems Manager ist in der Lage, Patches anzuwenden, Software zu installieren und Konfigurationsänderungen ohne interaktiven Zugriff auf die Instance vorzunehmen. Systems Manager kann auch Zugriff auf eine Remote-Shell gewähren und jeden während der Sitzung aufgerufenen Befehl und seine Ausgabe in Protokollen und Amazon S3 protokollieren. AWS CloudTrailzeichnet Aufrufe von Systems Manager APIs zur Inspektion auf.

Implementierungsschritte

  1. Installieren Sie AWS Systems Manager Agent (SSMAgent) auf Ihren EC2 Amazon-Instances. Prüfen Sie, ob SSM Agent in Ihrer AMI Basiskonfiguration enthalten ist und automatisch gestartet wird.

  2. Stellen Sie sicher, dass die IAM Rollen, die Ihren EC2 Instanzprofilen zugeordnet sind, die AmazonSSMManagedInstanceCore verwaltete IAM Richtlinie enthalten.

  3. Deaktivieren Sie SSHRDP, und andere Fernzugriffsdienste, die auf Ihren Instances ausgeführt werden. Sie können dies tun, indem Sie Skripts ausführen, die im Benutzerdatenbereich Ihrer Startvorlagen konfiguriert sind, oder indem Sie benutzerdefinierte Skripts AMIs mit Tools wie EC2 Image Builder erstellen.

  4. Stellen Sie sicher, dass die für Ihre EC2 Instances geltenden Regeln für den Zugriff auf Sicherheitsgruppen keinen Zugriff auf Port 22/tcp (SSH) oder Port 3389/tcp () zulassen. RDP Implementieren Sie die Erkennung und Alarmierung bei falsch konfigurierten Sicherheitsgruppen mit Services wie AWS Config.

  5. Definieren Sie entsprechende Automatisierungen, Runbooks und Run Commands in Systems Manager. Definieren Sie mithilfe von IAM Richtlinien, wer diese Aktionen ausführen kann und unter welchen Bedingungen sie zulässig sind. Testen Sie diese Automatisierungen gründlich in einer nicht produktiven Umgebung. Rufen Sie diese Automatisierungen bei Bedarf auf, anstatt interaktiv auf die Instance zuzugreifen.

  6. Verwenden Sie AWS Systems Manager Session Manager, um bei Bedarf interaktiven Zugriff auf Instances zu ermöglichen. Aktivieren Sie die Protokollierung der Sitzungsaktivitäten, um einen Prüfpfad in Amazon CloudWatch Logs oder Amazon S3 zu führen. 

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Beispiele:

Zugehörige Tools:

Zugehörige Videos: