Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Reaktion auf Sicherheitsvorfälle für eine Architektur mit mehreren Konten
Bei der Umstellung auf mehrere ist es wichtig AWS-Konten, dass Sie den Überblick über Sicherheitsereignisse behalten, die in Ihrem Unternehmen auftreten können. In Identitätsmanagement und Zugriffskontrolle haben Sie AWS Control Tower benutzt, um Ihre Landing Zone einzurichten. Während dieses Einrichtungsprozesses AWS Control Tower wurde ein bestimmter AWS-Konto Sicherheitsaspekt festgelegt. Sie sollten die Verwaltung der Sicherheitsdienste an das Konto delegieren und dieses security-tooling-prodKonto verwenden, um diese Dienste zentral zu verwalten.
In diesem Leitfaden wird beschrieben, wie Sie sich AWS-Konten und Ihr Unternehmen AWS-Services mit folgenden Maßnahmen schützen können:
Amazon GuardDuty
Amazon GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der Datenquellen wie AWS CloudTrail Ereignisprotokolle analysiert. Eine vollständige Liste der unterstützten Datenquellen finden Sie unter So GuardDuty verwendet Amazon seine Datenquellen (GuardDuty Dokumentation). Er verwendet Bedrohungsdaten, z. B. Listen bösartiger IP-Adressen und Domains, ebenso wie Machine Learning, um unerwartete und potenziell nicht autorisierte bösartige Aktivitäten in Ihrer AWS -Umgebung zu identifizieren.
Wenn Sie GuardDuty mit verwenden AWS Organizations, kann das Verwaltungskonto in der Organisation jedes Konto in der Organisation als GuardDuty delegierten Administrator bestimmen. Der delegierte Administrator wird zum GuardDuty Administratorkonto für die Region. GuardDuty ist in folgenden Bereichen automatisch aktiviert:AWS-Region, und das delegierte Administratorkonto ist berechtigt, alle Konten in der Organisation in dieser Region zu aktivieren und zu verwalten GuardDuty . Weitere Informationen finden Sie unter GuardDuty Konten verwalten mit AWS Organizations (GuardDuty Dokumentation).
GuardDuty ist ein regionaler Dienst. Das bedeutet, dass Sie GuardDuty in jeder Region, die Sie überwachen möchten, die Aktivierung vornehmen müssen.
Best Practices
-
GuardDuty In allen unterstützten Bereichen aktivieren AWS-Regionen. GuardDuty kann Erkenntnisse über unbefugte oder ungewöhnliche Aktivitäten generieren, auch in Regionen, die Sie nicht aktiv nutzen. Die Preisgestaltung für GuardDuty richtet sich nach der Anzahl der analysierten Ereignisse. Selbst in Regionen, in denen Sie keine Workloads ausführen, GuardDuty ist Enabling ein effektives und kostengünstiges Erkennungstool, das Sie vor potenziell bösartigen Aktivitäten warnt. Weitere Informationen zu den Regionen, in denen GuardDuty es verfügbar ist, finden Sie unter Amazon GuardDuty Service Endpoints (Allgemeine AWS-Referenz).
-
Delegieren Sie innerhalb jeder Region das security-tooling-prodKonto an die Verwaltung Ihrer Organisation GuardDuty . Weitere Informationen finden Sie unter Benennen eines GuardDuty delegierten Administrators (Dokumentation). GuardDuty
-
Konfigurieren Sie GuardDuty die Konfiguration so, dass neue Benutzer automatisch registriert werden AWS-Konten , sobald sie der Organisation hinzugefügt werden. Weitere Informationen finden Sie unter Schritt 3 — Automatisieren des Hinzufügens neuer Organisationskonten als Mitglieder unter Konten verwalten mit AWS Organizations (GuardDuty Dokumentation).
Amazon Macie
Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der Machine Learning und Musterabgleich verwendet, um Ihre sensiblen Daten in Amazon Simple Storage Service (Amazon S3) zu erkennen, zu überwachen und zu schützen. Sie können Daten von Amazon Relational Database Service (Amazon RDS) und Amazon DynamoDB in einen S3-Bucket exportieren und dann Macie verwenden, um die Daten zu scannen.
Wenn Sie Macie mit verwenden AWS Organizations, kann das Verwaltungskonto in der Organisation jedes Konto in der Organisation als Macie-Administratorkonto festlegen. Das Administratorkonto kann Macie für die Mitgliedskonten in der Organisation aktivieren und verwalten, auf Amazon-S3-Inventory-Daten zugreifen und Aufträge zur Erkennung sensibler Daten für die Konten ausführen. Weitere Informationen finden Sie unter Verwalten von Konten mit AWS Organizations (Macie-Dokumentation).
Macie ist ein regionaler Service. Das bedeutet, dass Sie Macie in jeder Region aktivieren müssen, die Sie überwachen möchten, und dass das Macie-Administratorkonto Mitgliedskonten nur innerhalb derselben Region verwalten kann.
Best Practices
-
Folgen Sie sich den Überlegungen und Empfehlungen zur Verwendung von Macie mit AWS Organizations (Macie-Dokumentation).
-
Delegieren Sie innerhalb jeder Region das security-tooling-prodKonto an die Verwaltung von Macie für Ihre Organisation. Um Macie-Konten in mehreren Ländern zentral zu verwalten AWS-Regionen, muss sich das Verwaltungskonto in jeder Region anmelden, in der die Organisation Macie derzeit verwendet oder verwenden wird, und dann das Macie-Administratorkonto für jede dieser Regionen festlegen. Das Macie-Administratorkonto kann dann die Organisation in jeder dieser Regionen konfigurieren. Weitere Informationen finden Sie unter Integrieren und Konfigurieren einer Organisation (Macie-Dokumentation).
-
Macie bietet ein monatliches kostenloses Kontingent für die Suche nach sensiblen Daten. Wenn Sie möglicherweise sensible Daten in Amazon S3 gespeichert haben, verwenden Sie Macie, um Ihre S3-Buckets im Rahmen des monatlichen kostenlosen Kontingents zu analysieren. Wenn Sie das kostenlose Kontingent überschreiten, fallen für Ihr Konto Gebühren für die Erfassung sensibler Daten an.
AWS Security Hub CSPM
AWS Security Hub CSPMbietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Sie können damit Ihre Umgebung anhand von Industriestandards und bewährten Methoden der Sicherheit überprüfen. Security Hub CSPM sammelt Sicherheitsdaten aus all Ihren AWS-Konten Diensten (einschließlich Macie) GuardDuty und unterstützten Produkten von Drittanbietern. Security Hub CSPM hilft Ihnen dabei, Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Security Hub CSPM bietet verschiedene Sicherheitsstandards, die Sie aktivieren können, um in jedem Standard Konformitätsprüfungen durchzuführen. AWS-Konto
Wenn Sie Security Hub CSPM mit verwenden AWS Organizations, kann das Verwaltungskonto in der Organisation jedes Konto in der Organisation als Security Hub CSPM-Administratorkonto festlegen. Das Security Hub CSPM-Administratorkonto kann dann andere Mitgliedskonten in der Organisation aktivieren und verwalten. Weitere Informationen finden Sie unter AWS Organizations Zur Verwaltung von Konten verwenden (Security Hub CSPM-Dokumentation).
Security Hub CSPM ist ein regionaler Dienst. Das bedeutet, dass Sie Security Hub CSPM in jeder Region aktivieren müssen, die Sie analysieren möchten, und in AWS Organizations der Sie den delegierten Administrator für jede Region definieren müssen.
Best Practices
-
Halten Sie sich an die Voraussetzungen und Empfehlungen (Security Hub CSPM-Dokumentation).
-
Delegieren Sie das security-tooling-prodKonto in jeder Region, um Security Hub CSPM für Ihr Unternehmen zu verwalten. Weitere Informationen finden Sie unter Benennen eines Security Hub CSPM-Administratorkontos (Security Hub CSPM-Dokumentation).
-
Konfigurieren Sie Security Hub CSPM so, dass neue Benutzer automatisch registriert werden AWS-Konten , wenn sie der Organisation hinzugefügt werden.
-
Aktivieren Sie den Standard AWS Foundational Security Best Practices (Security Hub CSPM-Dokumentation), um zu erkennen, wenn Ressourcen von den bewährten Sicherheitsmethoden abweichen.
-
Aktivieren Sie die regionsübergreifende Aggregation (Security Hub CSPM-Dokumentation), sodass Sie alle Ihre Security Hub-CSPM-Ergebnisse von einer einzigen Region aus anzeigen und verwalten können.
