SEC08-BP03 自动执行静态数据保护
使用自动化技术来验证和执行静态数据控制。 使用自动扫描功能来检测数据存储解决方案的错误配置,并在可能的情况下通过自动程序化响应进行修复。 在 CI/CD 流程中融入自动化功能,以便在数据存储部署到生产环境之前检测出错误配置。
期望结果:自动化系统对数据存储位置进行扫描和监控,防止出现控制措施配置错误、未经授权的访问和意外使用。 检测到配置错误的存储位置后,自动修复措施就会启动。 自动化流程可创建数据备份,并在原始环境之外存储不可更改的副本。
常见反模式:
-
在支持的情况下,不考虑通过默认设置启用加密的选项。
-
在制定自动备份和恢复策略时,除操作事件外,不考虑安全事件。
-
不对存储服务执行公共访问设置。
-
不监控和审计保护静态数据的控制措施。
建立此最佳实践的好处:自动化有助于防止错误配置数据存储位置的风险。这有助于防止错误配置进入生产环境。这种最佳实践还有助于在发生错误配置时进行检测和修复。
在未建立这种最佳实践的情况下暴露的风险等级:中
实施指导
自动化是整个静态数据保护实践的主题。SEC01-BP06 自动部署标准安全控制措施介绍如何使用基础设施即代码(IaC)模板(例如 AWS CloudFormation
您可以在 CI/CD 管道中使用 AWS CloudFormation Guard 中的规则,来检查您在 IaC 模板中定义的设置是否存在配置错误。 您可以使用 AWS Config
将自动化功能融入权限管理策略,也是自动化数据保护不可或缺的组成部分。SEC03-BP02 授予最低访问权限和 SEC03-BP04 持续减少权限描述了如何配置最低权限访问策略,这些策略会受到 AWS Identity and Access Management Access Analyzer
在检测敏感数据何时存储在未经授权的位置时,自动化功能也能发挥作用。SEC07-BP03 自动识别和分类描述了 Amazon Macie
按照 REL09 备份数据中的做法,制定自动数据备份和恢复策略。对于从安全事件中恢复和从操作事件中恢复,备份数据和恢复数据同样重要。
实施步骤
-
在 IaC 模板中捕获数据存储配置。 在 CI/CD 管道中使用自动检查来检测错误配置。
-
您可以使用 AWS CloudFormation
来处理 IaC 模板,并使用 AWS CloudFormation Guard 来检查模板是否存在配置错误。 -
使用 AWS Config
以主动评估模式运行规则。使用此设置可在创建资源前,检查资源作为 CI/CD 管道中的一个步骤的合规性。
-
-
监控资源中是否存在数据存储配置错误。
-
设置 AWS Config
以监控数据存储资源中控制措施配置的变化,并在检测到错误配置时生成警报,以便调用修复措施。 -
有关自动修复的更多指导,请参见 SEC04-BP04 启动对不合规资源的修复。
-
-
通过自动化功能持续监控和减少数据访问权限。
-
IAM Access Analyzer
可持续运行,在权限可能减少时发出警报。
-
-
监控异常数据访问行为并发出警报。
-
GuardDuty
可监控已知威胁特征,还监控 EBS 卷、S3 存储桶和 RDS 数据库等数据存储资源的基线访问行为偏差。
-
-
对存储在意外位置的敏感数据进行监控并发出警报。
-
使用 Amazon Macie
持续扫描 S3 存储桶,查找敏感数据。
-
-
自动对数据进行安全加密备份。
-
AWS Backup 是一项托管服务,可为 AWS 上的各种数据来源创建加密和安全的备份。 弹性灾难恢复
允许您复制完整的服务器工作负载,并保持持续的数据保护,恢复点目标(RPO)以秒为单位。 您可以配置这两项服务,使之协同工作,从而自动创建数据备份并复制到失效转移位置。 这有助于在受到操作或安全事件影响时保持数据可用。
-
资源
相关最佳实践:
相关文档:
相关示例:
相关工具: