# Datenschutz
**Topics**
+ [SICH 7 Wie klassifizieren Sie Ihre Daten?](w2aac19b7c13b5.md)
+ [SICH 8 Wie schützen Sie Ihre Daten im Ruhezustand?](w2aac19b7c13b7.md)
+ [SICH 9 Wie schützen Sie Ihre Daten bei der Übertragung?](w2aac19b7c13b9.md)
# SICH 7 Wie klassifizieren Sie Ihre Daten?
Die Datenklassifizierung bietet eine Möglichkeit, Daten basierend auf Wichtigkeit und Sensibilität zu kategorisieren, um Ihnen dabei zu helfen, angemessene Schutz- und Aufbewahrungskontrollen zu bestimmen.
**Topics**
+ [SEC07-BP01 Identifizieren der Daten innerhalb Ihrer Workload](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Definieren von Datenschutzkontrollen:](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Definieren des Datenlebenszyklusmanagements:](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identifizieren der Daten innerhalb Ihrer Workload
Sie müssen den Typ und die Klassifizierung der von Ihrem Workload verarbeiteten Daten, die zugehörigen Geschäftsprozesse, den Dateneigentümer, die geltenden gesetzlichen und Compliance-Anforderungen, wo sie gespeichert werden, sowie die resultierenden Kontrollen, die durchgesetzt werden müssen, verstehen. Dies kann Klassifizierungen umfassen, um anzugeben, ob die Daten öffentlich verfügbar sein sollen, ob die Daten nur zur internen Verwendung dienen, wie z. B. personenbezogene Daten des Kunden (PII), oder ob die Daten für einen eingeschränkten Zugriff vorgesehen sind, wie z. B. geistiges Eigentum, gesetzlich privilegierte oder als sensibel gekennzeichnete Daten. Indem Sie entsprechend den Sicherheitsanforderungen jeder Workload ein passendes Datenklassifizierungssystem verwalten, können Sie die für die Daten geeigneten Kontrollen und Zugriffsebenen/Schutzmaßnahmen zuweisen. Öffentliche Inhalte sind beispielsweise für jedermann zugänglich. Wichtige Inhalte hingegen werden verschlüsselt und sicher gespeichert. Hierfür ist der autorisierte Zugriff auf einen Schlüssel für die Entschlüsselung erforderlich.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Erwägen der Datenermittlung mit Amazon Macie: Macie erkennt vertrauliche Daten wie persönlich identifizierbare Informationen (PII) oder geistiges Eigentum.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Ressourcen
**Zugehörige Dokumente:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Zugehörige Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Definieren von Datenschutzkontrollen:
Schützen Sie Daten entsprechend ihrer Klassifizierungsstufe. Schützen Sie beispielsweise Daten, die als öffentlich klassifiziert werden, indem Sie relevante Empfehlungen anwenden und gleichzeitig sensible Daten durch zusätzliche Kontrollen schützen.
Durch die Verwendung von Ressourcen-Tags, separater AWS-Konten je nach Sensibilität (und möglicherweise auch nach Vorbehalt, Enklave oder Interessensgemeinschaft), IAM-Richtlinien, AWS Organizations-SCPs, AWS Key Management Service (AWS KMS) und AWS CloudHSM können Sie Ihre Richtlinien für die Datenklassifizierung und den Datenschutz mit Verschlüsselung definieren und implementieren. Wenn Sie beispielsweise S3-Buckets mit hoch kritischen Daten oder Amazon Elastic Compute Cloud (Amazon EC2)-Instances haben, die vertrauliche Daten verarbeiten, können Sie diese mit dem Tag `Project=ABC` kennzeichnen. Nur Ihr direktes Team weiß, was der Projektcode bedeutet, und es bietet eine Möglichkeit, die attributbasierte Zugriffskontrolle zu verwenden. Sie können für die AWS KMS-Kodierungsschlüssel mithilfe von Schlüsselrichtlinien Zugriffsebenen definieren. Auf diese Weise stellen Sie sicher, dass nur die entsprechenden Services sicher auf die sensiblen Inhalte zugreifen können. Wenn Sie Autorisierungsentscheidungen basierend auf Tags treffen, sollten Sie sicherstellen, dass die Berechtigungen für die Tags mithilfe von Tag-Richtlinien in AWS Organizations entsprechend definiert sind.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Definieren eines Datenidentifikations- und -klassifizierungsschemas: Eine Identifikation und Klassifizierung Ihrer Daten wird durchgeführt, um potenzielle Auswirkungen und den Typ der gespeicherten Daten zu bewerten und festzulegen, welche Personen Zugriff auf die Daten haben sollen.
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ Ermitteln verfügbarer AWS-Kontrollen: Ermitteln Sie die Sicherheitskontrollen für die AWS-Services, die Sie verwenden oder verwenden möchten. Die Dokumentation vieler Services umfasst einen Sicherheitsabschnitt.
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ Identifizieren von AWS-Compliance-Ressourcen: Ermitteln Sie die Ressourcen, die AWS zur Verfügung stellt, um Sie zu unterstützen.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Fehlender Text](https://aws.amazon.com/compliance/)
**Zugehörige Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung
Durch die Automatisierung der Identifizierung und Klassifizierung von Daten können Sie die richtigen Kontrollen implementieren. Die Verwendung von Automatisierung für diesen Zweck anstelle des direkten Zugriffs durch eine Person reduziert das Risiko menschlichen Versagens und unbeabsichtigter Offenlegung. Sie sollten die Nutzung eines Tools wie [Amazon Macie](https://aws.amazon.com/macie/)in Betracht ziehen. Das Tool verwendet Machine Learning, um sensible Daten in AWS automatisch zu erkennen, zu klassifizieren und zu schützen. Amazon Macie erkennt vertrauliche Daten wie persönlich identifizierbare Informationen (PII) oder geistiges Eigentum und stellt Ihnen Dashboards und Warnungen zur Verfügung, die sichtbar machen, wie auf diese Daten zugegriffen wird bzw. wie diese bewegt werden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Verwenden von Amazon Simple Storage Service (Amazon S3) Inventory: Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Verwenden von Amazon Macie: Amazon Macie nutzt Machine Learning, um in Amazon S3 gespeicherte Daten automatisch zu erkennen und zu klassifizieren.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Ressourcen
**Ähnliche Dokumente:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Ähnliche Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Definieren des Datenlebenszyklusmanagements:
Ihre definierte Lebenszyklusstrategie sollte auf Vertraulichkeitsstufen sowie auf gesetzlichen und organisatorischen Anforderungen basieren. Aspekte, einschließlich des Zeitraums für die Aufbewahrung von Daten, Datenvernichtungsprozesse, Datenzugriffsverwaltung, Datentransformation und Datenfreigabe sollten berücksichtigt werden. Wenn Sie eine Datenklassifizierungsmethode erwägen, achten Sie auf ein ausgewogenes Verhältnis zwischen Nutzbarkeit und Zugriff. Berücksichtigen Sie auch die unterschiedlichen Zugriffsebenen und Nuancen bei der Implementierung eines sicheren und dennoch anwendbaren Ansatzes für jede Ebene. Verwenden Sie immer einen umfassenden Ansatz zur Verteidigung und reduzieren Sie den menschlichen Zugriff auf Daten und Mechanismen zum Umwandeln, Löschen oder Kopieren von Daten. Legen Sie beispielsweise fest, dass Benutzer sich bei einer Anwendung stark authentifizieren müssen, und geben Sie der Anwendung anstelle der Benutzer die erforderliche Zugriffsberechtigung, um Aktionen aus der Ferne auszuführen. Stellen Sie außerdem sicher, dass Benutzer einen vertrauenswürdigen Netzwerkpfad verwenden und Zugriff auf die Verschlüsselungsschlüssel benötigen. Nutzen Sie Tools wie Dashboards oder die automatisierte Berichterstellung, um Benutzern Informationen zu diesen Daten bereitzustellen, statt ihnen direkten Zugriff auf die Daten zu gewähren.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Identifizieren von Datentypen: Identifizieren Sie die Datentypen, die Sie in Ihrer Workload speichern oder verarbeiten. Diese Daten können Text, Bilder, Binärdatenbanken usw. sein.
## Ressourcen
**Zugehörige Dokumente:**
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Zugehörige Videos:**
+ [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SICH 8 Wie schützen Sie Ihre Daten im Ruhezustand?
Schützen Sie Ihre Daten im Ruhezustand, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder eines Missbrauchs zu reduzieren.
**Topics**
+ [SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand:](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Durchsetzen der Zugriffskontrolle](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Verwenden von Mechanismen, die den direkten Zugriff auf Daten verhindern](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung
Durch die Definition eines Verschlüsselungsansatzes, der die Speicherung, regelmäßige Änderung und Zugriffskontrolle von Schlüsseln umfasst, können Sie Ihren Inhalt vor nicht autorisierten Benutzern und vor unnötiger Offenlegung gegenüber autorisierten Benutzern schützen. AWS Key Management Service (AWS KMS) erleichtert die Verwaltung der Verschlüsselungsschlüssel und [lässt sich in zahlreiche AWS-Services integrieren](https://aws.amazon.com/kms/details/#integration). Der Service bietet eine langlebige, sichere und redundante Speicherung Ihrer AWS KMS-Schlüssel. Sie können sowohl Schlüsselaliase als auch schlüsselspezifische Richtlinien festlegen. Die Richtlinien erleichtern das Festlegen von Schlüsseladministratoren und Schlüsselbenutzern. Mit dem Cloud-basierten Hardwaresicherheitsmodul (HSM) AWS CloudHSM können Sie zudem auf einfache Weise eigene Verschlüsselungsschlüssel erstellen und in der AWS Cloud verwenden. Es hilft Ihnen, unternehmensspezifische, vertragliche und gesetzliche Compliance-Anforderungen hinsichtlich der Datensicherheit zu erfüllen. Dazu werden nach FIPS 140-2 Level 3 validierte HSMs verwendet.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Implementieren von AWS KMS: Der AWS KMS erleichtert Ihnen das Erstellen und Verwalten von Schlüsseln sowie die Kontrolle der Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen.AWS KMS ist ein sicherer und widerstandsfähiger Service, der FIPS 140-2-validierte Hardwaresicherheitsmodule zum Schutz Ihrer Schlüssel nutzt.
+ [Erste Schritte: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Erwägen des AWS-Verschlüsselungs-SDK: Verwenden Sie das AWS-Verschlüsselungs-SDK mit AWS KMS-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss.
+ [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Kryptografische AWS-Services und -Tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Erste Schritte: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protecting Amazon S3 Data Using Encryption (Amazon S3-Daten durch Verschlüsselung schützen)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Ähnliche Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand
Sie sollten sicherstellen, dass die Verschlüsselung die einzige Möglichkeit zum Speichern von Daten bietet. AWS Key Management Service (AWS KMS) lässt sich nahtlos in viele AWS-Services integrieren, um Ihnen die Verschlüsselung aller Daten im Ruhezustand zu erleichtern. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) für einen Bucket festlegen, sodass alle neuen Objekte automatisch verschlüsselt werden. Darüber hinaus bietet [Virtuelle Server-Instances in der Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)und [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) Unterstützung für das Erzwingen der Verschlüsselung durch Festlegen der Standardverschlüsselung. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden, um automatisch zu überprüfen, ob Sie die Verschlüsselung nutzen, z. B. für [Amazon Elastic Block Store (Amazon EBS)-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS)-Instances](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)und [Amazon S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Erzwingen der Verschlüsselung von Daten im Ruhezustand für Amazon Simple Storage Service (Amazon S3): Implementieren Sie die Standardverschlüsselung für Amazon S3-Buckets.
+ [Wie kann ich die Standardverschlüsselung für einen S3-Bucket aktivieren?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Verwenden von AWS Secrets Manager: Secrets Manager ist ein AWS-Service für die einfache Verwaltung geheimer Schlüssel. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Konfigurieren der Standardverschlüsselung für neue EBS-Volumes: Legen Sie fest, dass alle neu erstellten EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden.
+ [Standardverschlüsselung für EBS-Volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Konfigurieren verschlüsselter Amazon Machine Images (AMIs): Beim Kopieren eines vorhandenen AMI mit aktivierter Verschlüsselung werden Stammvolumes und Snapshots automatisch verschlüsselt.
+ [AMIs mit verschlüsselten Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Konfigurieren der Amazon Relational Database Service (Amazon RDS)-Verschlüsselung: Konfigurieren Sie die Verschlüsselung für Ihre Amazon RDS-Datenbank-Cluster und Snapshots im Ruhezustand durch Aktivieren der Verschlüsselungsoption.
+ [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Konfigurieren der Verschlüsselung in weiteren AWS-Services: Bestimmen Sie die Verschlüsselungsfunktionen für die AWS-Services, die Sie nutzen.
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
## Ressourcen
**Ähnliche Dokumente:**
+ [AMIs mit verschlüsselten Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)
+ [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Kryptografische AWS-Services und -Tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Standardverschlüsselung für EBS-Volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Wie kann ich die Standardverschlüsselung für einen S3-Bucket aktivieren?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protecting Amazon S3 Data Using Encryption (Amazon S3-Daten durch Verschlüsselung schützen)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Ähnliche Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand:
Verwenden Sie automatisierte Tools zur kontinuierlichen Validierung und Durchsetzung von Kontrollen, z. B. um sicherzustellen, dass nur verschlüsselte Speicherressourcen verwendet werden. Sie können die [Validierung automatisieren, damit alle EBS-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) mit [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)speichern [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) kann auch verschiedene Kontrollen durch automatisierte Prüfungen auf Sicherheitsstandards überprüfen. Darüber hinaus können Ihre AWS-Config-Regeln [nicht konforme Ressourcen automatisch korrigieren](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
*Daten im Ruhezustand* stellen alle Daten dar, die Sie für einen beliebigen Zeitraum in Ihrem Workload im nichtflüchtigen Speicher speichern. Die Daten können sich in Blockspeichern, Objektspeichern, Datenbanken, Archiven, IoT-Geräten und sonstigen Speichermedien befinden. Durch den Schutz Ihrer ruhenden Daten verringert sich das Risiko eines nicht autorisierten Zugriffs, wenn die Verschlüsselung und entsprechende Zugriffskontrollen implementiert werden.
Erzwingen der Verschlüsselung von Daten im Ruhezustand: Sie sollten sicherstellen, dass die Verschlüsselung die einzige Möglichkeit zum Speichern von Daten bietet. AWS KMS lässt sich nahtlos in viele AWS-Services integrieren, um Ihnen die Verschlüsselung aller Daten im Ruhezustand zu erleichtern. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) für einen Bucket festlegen, sodass alle neuen Objekte automatisch verschlüsselt werden. Darüber hinaus bietet [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) und [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) Unterstützung für das Erzwingen der Verschlüsselung durch Festlegen der Standardverschlüsselung. Sie können [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden, um automatisch zu überprüfen, ob Sie die Verschlüsselung nutzen, z. B. für [EBS-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS)-Instances](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)und [Amazon S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Zugehörige Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Durchsetzen der Zugriffskontrolle
Erzwingen Sie eine Zugriffskontrolle mit minimal erforderlichen Berechtigungen und Mechanismen, einschließlich Datensicherungen, Isolierung und Versionsverwaltung, zum Schutz Ihrer ruhenden Daten. Verhindern Sie, dass Operatoren öffentlichen Zugriff auf Ihre Daten gewähren.
Verschiedene Kontrollen z. B. für den Zugriff (mit dem Prinzip der geringsten Berechtigung), Backups (siehe [Whitepaper zur Zuverlässigkeit](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), Isolierung und Versionsverwaltung können helfen, Ihre Daten im Ruhezustand zu schützen. Der Zugriff auf Ihre Daten sollte mit den zuvor in diesem Whitepaper behandelten Erkennungsmechanismen überprüft werden, einschließlich CloudTrail und Service Level-Protokoll, z. B. Amazon Simple Storage Service (Amazon S3)-Zugriffsprotokolle. Sie sollten inventarisieren, welche Daten öffentlich zugänglich sind, und planen, wie Sie die verfügbare Datenmenge im Laufe der Zeit reduzieren können. Amazon Glacier Vault Lock und Amazon S3 Object Lock sind Funktionen, die eine obligatorische Zugriffskontrolle ermöglichen. Sobald eine Tresorrichtlinie mit der Compliance-Option gesperrt ist, kann sie nicht einmal der Root-Benutzer ändern, bis die Sperre abläuft. Der Mechanismus erfüllt die Anforderungen an die Aufzeichnungs- und Datenverwaltung der SEC, CFTC und FINRA. Weitere Informationen finden Sie in [diesem Whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Erzwingen der Zugriffskontrolle: Erzwingen Sie die Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung, einschließlich des Zugriffs auf Verschlüsselungsschlüssel.
+ [Einführung in die Verwaltung von Zugriffsberechtigungen für Ihre Amazon S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Trennen von Daten anhand unterschiedlicher Klassifizierungsstufen: Verwenden Sie unterschiedliche AWS-Konten für die von AWS Organizations verwalteten Datenklassifizierungsstufen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Überprüfen von AWS KMS-Richtlinien: Überprüfen Sie die gewährte Zugriffsebene in den AWS KMS-Richtlinien.
+ [Übersicht über die Verwaltung des Zugriffs auf Ihre AWS KMS-Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Überprüfen der Berechtigungen für Amazon S3-Buckets und -Objekte: Überprüfen Sie regelmäßig den in Amazon S3-Bucket-Richtlinien gewährten Zugriff. Als Best Practice gilt, keine öffentlich lesbaren oder schreibbaren Buckets zu haben. Erwägen Sie, AWS Config zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden.
+ [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: Die perfekte Kombination in der Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Aktivieren Sie die Amazon S3-Versionsverwaltung und Objektsperre.
+ [Verwenden von Versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Sperren von Objekten mit der Amazon S3-Objektsperre](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Verwenden von Amazon S3 Inventory: Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Überprüfen von Amazon EBS- und AMI-Freigabeberechtigungen: Mit Freigabeberechtigungen können Images und Volumes für AWS-Konten außerhalb Ihrer Workload freigegeben werden.
+ [Teilen eines Amazon EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [Gemeinsame AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Ähnliche Videos:**
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Verwenden von Mechanismen, die den direkten Zugriff auf Daten verhindern
Halten Sie alle Benutzer davon ab, unter normalen Betriebsbedingungen direkt auf sensible Daten und Systeme zuzugreifen. Verwenden Sie beispielsweise einen Änderungsmanagement-Workflow, um Amazon Elastic Compute Cloud (Amazon EC2)-Instances mithilfe von Tools zu verwalten, statt direkten Zugriff oder Zugriff über einen Bastion-Host zuzulassen. Dies kann mit [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)erreicht werden. Dabei werden [Automatisierungsdokumente](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) verwendet, welche die Anweisungen enthalten, um Automationsaufgaben auszuführen. Diese Dokumente können in der Quellcodeverwaltung gespeichert und von Kollegen vor ihrer Ausführung geprüft und gründlich getestet werden. Das Vorgehen minimiert die Risiken im Vergleich zu direktem Shell-Zugriff. Geschäftliche Benutzer könnten statt direktem Zugriff ein Dashboard erhalten, um Abfragen auszuführen. Bestimmen Sie, wenn keine CI/CD-Pipelines verwendet werden, welche Kontrollen und Prozesse erforderlich sind, um einen normalerweise deaktivierten Mechanismus für den Notfallzugriff bereitzustellen.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Implementieren von Mechanismen, die den direkten Zugriff auf Daten verhindern: Mechanismen umfassen die Verwendung von Dashboards wie Quick, um Benutzern Daten anzuzeigen, anstatt direkt abzufragen.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatisieren der Konfigurationsverwaltung: Führen Sie Aktionen aus der Ferne aus und erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. Vermeiden Sie die Verwendung von Bastion-Hosts oder den direkten Zugriff auf EC2-Instances.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [CI/CD-Pipeline für AWS CloudFormation-Vorlagen in AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Zugehörige Videos:**
+ [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SICH 9 Wie schützen Sie Ihre Daten bei der Übertragung?
Schützen Sie Ihre Daten während der Übertragung, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder Verlusts zu reduzieren.
**Topics**
+ [SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifizieren der Netzwerkkommunikation](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung
Speichern Sie Verschlüsselungsschlüssel und Zertifikate sicher und ändern Sie sie in angemessenen Zeitintervallen mit strenger Zugriffskontrolle. Um dies zu erreichen, verwenden Sie am besten einen verwalteten Service, wie z. B. [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Damit können Sie problemlos öffentliche und private TLS-Zertifikate (Transport Layer Security) zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen verwalten und bereitstellen. TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites über das Internet sowie Ressourcen in privaten Netzwerken zu bestimmen. ACM lässt sich in AWS-Ressourcen wie Elastic Load Balancers (ELBs), AWS-Verteilungen und APIs auf API Gateway integrieren und verarbeitet auch automatische Zertifikatserneuerungen. Wenn Sie ACM verwenden, um eine private Root-CA bereitzustellen, können von ihr sowohl Zertifikate als auch private Schlüssel zur Verwendung in Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Containern usw. bereitgestellt werden.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung: Implementieren Sie die definierte Lösung zur sicheren Schlüssel- und Zertifikatverwaltung.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Hosten und Verwalten einer ganzen privaten Zertifikatinfrastruktur in AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementieren sicherer Protokolle: Verwenden Sie sichere Protokolle wie Transport Layer Security (TLS) oder IPsec, die Authentifizierung und Vertraulichkeit bieten, um das Risiko der Manipulation oder des Verlusts von Daten zu reduzieren. Überprüfen Sie die AWS-Dokumentation auf Protokolle und Sicherheitsinformationen, die für die von Ihnen verwendeten Services relevant sind.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Dokumentation ](https://docs.aws.amazon.com/)
# SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung
Erzwingen Sie Ihre definierten Verschlüsselungsanforderungen basierend auf geeigneten Standards und Empfehlungen, damit Sie Ihre Unternehmens-, Rechts- und Compliance-Anforderungen erfüllen können. AWS-Services bieten HTTPS-Endpunkte, die für die Kommunikation TLS nutzen. Dadurch werden die Daten bei der Kommunikation mit den AWS-APIs während der Übertragung verschlüsselt. Unsichere Protokolle, wie z. B. HTTP, können in einer VPC durch die Verwendung von Sicherheitsgruppen überprüft und blockiert werden. HTTP-Anforderungen können auch [automatisch an HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) in Amazon CloudFront oder auf einen [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Sie haben uneingeschränkte Kontrolle über Ihre Datenverarbeitungsressourcen und können die Verschlüsselung während der Übertragung in alle Ihre Services implementieren. Darüber hinaus können Sie die VPN-Konnektivität mit Ihrer VPC von einem externen Netzwerk aus verwenden, um die Verschlüsselung des Datenverkehrs zu erleichtern. Sollten Sie besondere Anforderungen haben, finden Sie Lösungen von Drittanbietern im AWS Marketplace.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Erzwingen der Verschlüsselung bei der Übertragung: Die definierten Verschlüsselungsanforderungen sollten sich nach den neuesten Standards und Best Practices richten und nur sichere Protokolle zulassen. Konfigurieren Sie beispielsweise eine Sicherheitsgruppe, die nur das HTTPS-Protokoll für einen Application Load Balancer oder eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance zulässt.
+ Konfigurieren von sicheren Protokollen bei Edge-Services: Konfigurieren Sie HTTPS mit Amazon CloudFront und die erforderlichen Verschlüsselungsverfahren.
+ [ Verwenden von HTTPS mit CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Verwenden eines Virtual Private Network (VPN) für die externe Konnektivität: Ziehen Sie ein IPsec-VPN in Betracht, um Punkt-zu-Punkt- oder Netzwerk-zu-Netzwerk-Verbindungen zu sichern und so den Datenschutz und die Datenintegrität zu gewährleisten.
+ [ VPN-Verbindungen ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Konfigurieren von sicheren Protokollen bei Load Balancern: Aktivieren Sie HTTPS-Listener, um die Verbindung zu Load Balancern zu sichern.
+ [ HTTPS-Listener für den Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Konfigurieren von sicheren Protokollen für Instances: Ziehen Sie eine HTTPS-Verschlüsselung für Instances in Betracht.
+ [ Tutorial: SSL/TLS unter Amazon Linux 2 konfigurieren ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Konfigurieren sicherer Protokolle in Amazon Relational Database Service (Amazon RDS): Verwenden Sie Secure Socket Layer (SSL) oder Transport Layer Security (TLS) zum Verschlüsseln der Verbindung zu Datenbank-Instances.
+ [ Verwenden von SSL zum Verschlüsseln einer Verbindung zu einer Datenbank-Instance ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Konfigurieren sicherer Protokolle in Amazon Redshift: Konfigurieren Sie Ihr Cluster so, dass eine SSL- oder TLS-Verbindung vorgeschrieben ist.
+ [ Konfigurieren von Sicherheitsoptionen für Verbindungen ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Konfigurieren sicherer Protokolle in weiteren AWS-Services: Bestimmen Sie die Funktionen zur Verschlüsselung während der Übertragung für die AWS-Services, die Sie nutzen.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Dokumentation ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff
Verwenden Sie Tools wie Amazon GuardDuty zum automatischen Erkennen von verdächtigen Aktivitäten oder Versuchen, Daten außerhalb definierter Grenzen zu verschieben. GuardDuty kann beispielsweise ungewöhnliche Amazon Simple Storage Service (Amazon S3)-Leseaktivitäten erkennen. Verwendet wird dafür [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Zusätzlich zu GuardDuty können auch [Amazon VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), die die Netzwerkverkehrsinformationen erfassen, zusammen mit Amazon EventBridge verwendet werden, um die Erkennung anormaler Verbindungen – sowohl erfolgreich als auch abgelehnt – zu berichten. [Mit Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) können Sie ermitteln, welche Daten für wen in Ihren Amazon S3-Buckets zugänglich sind.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Automatisieren der Erkennung von unbefugtem Datenzugriff: Setzen Sie Tools oder Erkennungsmechanismen ein, die automatisch erkennen, wenn versucht wird, Daten außerhalb festgelegter Grenzen zu verschieben. Damit lässt sich beispielsweise ein Datenbanksystem erkennen, das Daten auf einen unbekannten Host kopiert.
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Erwägen von Amazon Macie: Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der mithilfe von Machine Learning und Mustervergleichen Ihre sensiblen Daten in AWS erkennt und schützt.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Ressourcen
**Ähnliche Dokumente:**
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Authentifizieren der Netzwerkkommunikation
Überprüfen Sie die Identität der Kommunikation mithilfe von Protokollen, die die Authentifizierung unterstützen, wie Transport Layer Security (TLS) oder IPsec.
Durch die Verwendung von Netzwerkprotokollen, die die Authentifizierung unterstützen, kann eine Vertrauensstellung zwischen den kommunizierenden Einheiten hergestellt werden. Dadurch wird die im Protokoll verwendete Verschlüsselung hinzugefügt, um das Risiko zu verringern, dass die Kommunikation geändert oder abgefangen wird. Häufig verwendete Protokolle, die die Authentifizierung implementieren, sind Transport Layer Security (TLS), das in vielen AWS-Services verwendet wird, sowie IPsec, welches in [AWS Virtual Private Network (Site-to-Site VPN) verwendet wird](http://aws.amazon.com/vpn).
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Implementieren sicherer Protokolle: Verwenden Sie sichere Protokolle wie TLS oder IPsec, die Authentifizierung und Vertraulichkeit bieten, um das Risiko der Manipulation oder des Verlusts von Daten zu reduzieren. Überprüfen Sie die [AWS-Dokumentation](https://docs.aws.amazon.com/) auf Protokolle und Sicherheitsinformationen, die für die von Ihnen verwendeten Services relevant sind.
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)