SEC01-BP01 Trennen von Workloads mithilfe von Konten - Säule der Sicherheit
ImplementierungsleitfadenRessourcen

SEC01-BP01 Trennen von Workloads mithilfe von Konten

Sorgen Sie mit einer Mehrkonten-Strategie für wirksamen Integritätsschutz und Isolierungen zwischen Umgebungen (etwa Produktion, Entwicklung und Test) sowie Workloads. Die Trennung auf Kontoebene wird nachdrücklich angeraten, da diese für die wirksame Isolierung für Sicherheits-, Fakturierungs- und Zugriffszwecke sorgt.

Gewünschtes Ergebnis: eine Kontostruktur, die Cloud-Vorgänge, nicht zusammengehörige Workloads und Umgebungen in separaten Konten voneinander isoliert, sodass die Sicherheit in der gesamten Cloud-Infrastruktur verbessert wird.

Typische Anti-Muster:

  • Platzierung mehrerer nicht zusammengehöriger Workloads mit unterschiedlicher Datensensitivität in einem einzigen Konto

  • Schlecht definierte Organizational Unit (OU, Organisationseinheit)-Struktur

Vorteile der Nutzung dieser bewährten Methode:

  • Geringere Auswirkungen bei versehentlichen Zugriffen auf eine Workload

  • Zentrale Verwaltung des Zugriffes auf AWS-Services, Ressourcen und Regionen

  • Wahrung der Sicherheit der Cloud-Infrastruktur durch Richtlinien und die zentralisierte Verwaltung von Sicherheitsservices

  • Automatisierte Kontoerstellung und Wartungsprozesse

  • Zentralisierte Prüfung Ihrer Infrastruktur auf Compliance- und regulatorische Anforderungen

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Hoch

Implementierungsleitfaden

AWS-Konten bieten eine Sicherheitsisolierungsgrenze zwischen Workloads oder Ressourcen, die auf unterschiedlichen Sensitivitätsstufen operieren. AWS bietet Tools, mit denen Sie Ihre umfangreichen Cloud-Workloads über eine Mehrkonten-Strategie verwalten und so die Isolierungsgrenze nutzen können. Erläuterungen der Konzepte, Muster und der Implementierung einer Mehrkonten-Strategie in AWS finden Sie unter Organizing Your AWS Environment Using Multiple Accounts.

Wenn Sie mehrere AWS-Konten zentral verwalten, sollten Ihre Konten in einer gemäß den Ebenen der Organisationseinheiten (OEs) definierten Hierarchie organisiert sein. Dadurch können Sicherheitskontrollen anhand der OEs und der Mitgliedskonten organisiert und auf diese angewendet werden, was eine konsistente präventive Kontrolle der Mitgliedskonten in der Organisation ermöglicht. Die Sicherheitskontrollen werden weitergegeben, sodass Sie nach verfügbaren Berechtigungen für Mitgliedskonten auf unteren Ebenen der OE-Hierarchie filtern können. Ein gutes Design macht sich diese Weitergabe zunutze, um die Anzahl und die Komplexität der Sicherheitsrichtlinien, die für die erwünschten Sicherheitskontrollen für jedes Mitgliedskonto erforderlich sind, zu reduzieren.

AWS Organizations und AWS Control Tower sind zwei Services, mit denen Sie diese Mehrkontenstruktur in Ihrer AWS-Umgebung implementieren und verwalten können. AWS Organizations ermöglicht die Organisation von Konten in einer von einer oder mehreren OE-Ebenen definierten Hierarchie, wobei jede OE eine Reihe von Mitgliedskonten enthält. Service-Kontrollrichtlinien (SCPs) ermöglichen einem Organisationsadministrator die Einrichtung detaillierter präventiver Kontrollen für Mitgliedskonten und AWS Config kann verwendet werden, um proaktive und erkennende Kontrollen für Mitgliedskonten zu aktivieren. Viele AWS-Services lassen sich in AWS Organizations integrieren und bieten so delegierte administrative Kontrollen und führen servicespezifische Aufgaben für alle Mitgliedskonten in der Organisation durch.

Auf der Ebene über AWS Organizations ermöglicht AWS Control Tower die Einrichtung bewährter Methoden mit einem Klick für eine AWS-Mehrkontenumgebung mit einer Landing Zone. Die Landing Zone ist der Einstiegspunkt für die Mehrkonten-Umgebung, eingerichtet von Control Tower. Control Tower bietet mehrere Vorteile gegenüber AWS Organizations. Hier sind drei Vorteile, die die Kontoverwaltung verbessern:

  • Integrierter verpflichtender Integritätsschutz, der automatisch auf für die Organisation zugelassene Konten angewendet wird

  • Optionaler Integritätsschutz, der für einen bestimmten Satz von OEs aktiviert und deaktiviert werden kann

  • AWS Control Tower Account Factory bietet eine automatisierte Bereitstellung von Konten mit vorab genehmigten Baselines und Konfigurationsoptionen innerhalb Ihrer Organisation.

Implementierungsschritte

  1. Entwurf einer Struktur für Organisationseinheiten: Eine ordnungsgemäß gestaltete Struktur für Organisationseinheiten reduziert den Verwaltungsaufwand für die Erstellung und Wahrung von Service-Kontrollrichtlinien und anderen Sicherheitskontrollen. Ihre Struktur für Organisationseinheiten sollte an Ihre geschäftlichen Anforderungen, die Sensitivität der Daten und die Workload-Struktur angepasst sein.

  2. Erstellen einer Landing Zone für Ihre Mehrkontenumgebung: Eine Landing Zone bietet eine konsistente Sicherheits- und Infrastrukturbasis, über die Ihre Organisation Workloads schnell entwickeln, starten und bereitstellen kann. Sie können eine individuell erstellte Landing ZoneAWS Control Tower oder für die Orchestrierung Ihrer Umgebung verwenden.

  3. Einrichtung von Integritätsschutz: Implementieren Sie konsistenten Integritätsschutz für Ihre Umgebung über Ihre Landing Zone. AWS Control Tower bietet eine Liste verpflichtender und optionaler Kontrollen, die bereitgestellt werden können. Verpflichtende Kontrollen werden automatisch bereitgestellt, wenn Control Tower implementiert wird. Überprüfen Sie die Liste nachdrücklich empfohlener sowie optionaler Kontrollen und implementieren Sie diejenigen, die Ihren Anforderungen entsprechen.

  4. Einschränken des Zugriffs auf neu hinzugefügte Regionen: Für neue AWS-Regionen werden IAM-Ressourcen, z. B. Benutzer und Rollen, nur an die von Ihnen angegebenen Regionen weitergegeben. Dieser Vorgang kann über die Konsole durchgeführt werden, wenn Sie Control Tower verwenden, oder durch die Anpassung von IAM-Berechtigungsrichtlinien in AWS Organizations.

  5. Erwägen der Verwendung von AWS CloudFormation StackSets: StackSets helfen dabei, Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten-Konten und Regionen bereitzustellen.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Workshops: