# SICH 8  Wie schützen Sie Ihre Daten im Ruhezustand?
<a name="w2aac19b7c13b7"></a>

Schützen Sie Ihre Daten im Ruhezustand, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder eines Missbrauchs zu reduzieren.

**Topics**
+ [SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand:](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Durchsetzen der Zugriffskontrolle](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Verwenden von Mechanismen, die den direkten Zugriff auf Daten verhindern](sec_protect_data_rest_use_people_away.md)

# SEC08-BP01: Implementieren einer sicheren Schlüsselverwaltung
<a name="sec_protect_data_rest_key_mgmt"></a>

 Durch die Definition eines Verschlüsselungsansatzes, der die Speicherung, regelmäßige Änderung und Zugriffskontrolle von Schlüsseln umfasst, können Sie Ihren Inhalt vor nicht autorisierten Benutzern und vor unnötiger Offenlegung gegenüber autorisierten Benutzern schützen. AWS Key Management Service (AWS KMS) erleichtert die Verwaltung der Verschlüsselungsschlüssel und  [lässt sich in zahlreiche AWS-Services integrieren](https://aws.amazon.com/kms/details/#integration). Der Service bietet eine langlebige, sichere und redundante Speicherung Ihrer AWS KMS-Schlüssel. Sie können sowohl Schlüsselaliase als auch schlüsselspezifische Richtlinien festlegen. Die Richtlinien erleichtern das Festlegen von Schlüsseladministratoren und Schlüsselbenutzern. Mit dem Cloud-basierten Hardwaresicherheitsmodul (HSM) AWS CloudHSM können Sie zudem auf einfache Weise eigene Verschlüsselungsschlüssel erstellen und in der AWS Cloud verwenden. Es hilft Ihnen, unternehmensspezifische, vertragliche und gesetzliche Compliance-Anforderungen hinsichtlich der Datensicherheit zu erfüllen. Dazu werden nach FIPS 140-2 Level 3 validierte HSMs verwendet. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren von AWS KMS: Der AWS KMS erleichtert Ihnen das Erstellen und Verwalten von Schlüsseln sowie die Kontrolle der Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen.AWS KMS ist ein sicherer und widerstandsfähiger Service, der FIPS 140-2-validierte Hardwaresicherheitsmodule zum Schutz Ihrer Schlüssel nutzt. 
  +  [Erste Schritte: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  Erwägen des AWS-Verschlüsselungs-SDK: Verwenden Sie das AWS-Verschlüsselungs-SDK mit AWS KMS-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss. 
  +  [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Kryptografische AWS-Services und -Tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Erste Schritte: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [Protecting Amazon S3 Data Using Encryption (Amazon S3-Daten durch Verschlüsselung schützen)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Ähnliche Videos:** 
+  [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand
<a name="sec_protect_data_rest_encrypt"></a>

 Sie sollten sicherstellen, dass die Verschlüsselung die einzige Möglichkeit zum Speichern von Daten bietet. AWS Key Management Service (AWS KMS) lässt sich nahtlos in viele AWS-Services integrieren, um Ihnen die Verschlüsselung aller Daten im Ruhezustand zu erleichtern. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) für einen Bucket festlegen, sodass alle neuen Objekte automatisch verschlüsselt werden. Darüber hinaus bietet [Virtuelle Server-Instances in der Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)und [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) Unterstützung für das Erzwingen der Verschlüsselung durch Festlegen der Standardverschlüsselung. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden, um automatisch zu überprüfen, ob Sie die Verschlüsselung nutzen, z. B. für [Amazon Elastic Block Store (Amazon EBS)-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS)-Instances](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)und [Amazon S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Erzwingen der Verschlüsselung von Daten im Ruhezustand für Amazon Simple Storage Service (Amazon S3): Implementieren Sie die Standardverschlüsselung für Amazon S3-Buckets. 
  +  [Wie kann ich die Standardverschlüsselung für einen S3-Bucket aktivieren?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  Verwenden von AWS Secrets Manager: Secrets Manager ist ein AWS-Service für die einfache Verwaltung geheimer Schlüssel. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein. 
  +  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  Konfigurieren der Standardverschlüsselung für neue EBS-Volumes: Legen Sie fest, dass alle neu erstellten EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden. 
  +  [Standardverschlüsselung für EBS-Volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  Konfigurieren verschlüsselter Amazon Machine Images (AMIs): Beim Kopieren eines vorhandenen AMI mit aktivierter Verschlüsselung werden Stammvolumes und Snapshots automatisch verschlüsselt. 
  +  [AMIs mit verschlüsselten Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Konfigurieren der Amazon Relational Database Service (Amazon RDS)-Verschlüsselung: Konfigurieren Sie die Verschlüsselung für Ihre Amazon RDS-Datenbank-Cluster und Snapshots im Ruhezustand durch Aktivieren der Verschlüsselungsoption. 
  +  [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) 
+  Konfigurieren der Verschlüsselung in weiteren AWS-Services: Bestimmen Sie die Verschlüsselungsfunktionen für die AWS-Services, die Sie nutzen. 
  +  [AWS-Dokumentation](https://docs.aws.amazon.com/) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AMIs mit verschlüsselten Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS-Dokumentation](https://docs.aws.amazon.com/) 
+  [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  [Kryptografische AWS-Services und -Tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Standardverschlüsselung für EBS-Volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Wie kann ich die Standardverschlüsselung für einen S3-Bucket aktivieren?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Protecting Amazon S3 Data Using Encryption (Amazon S3-Daten durch Verschlüsselung schützen)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Ähnliche Videos:** 
+  [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand:
<a name="sec_protect_data_rest_automate_protection"></a>

 Verwenden Sie automatisierte Tools zur kontinuierlichen Validierung und Durchsetzung von Kontrollen, z. B. um sicherzustellen, dass nur verschlüsselte Speicherressourcen verwendet werden. Sie können die [Validierung automatisieren, damit alle EBS-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) mit [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)speichern [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) kann auch verschiedene Kontrollen durch automatisierte Prüfungen auf Sicherheitsstandards überprüfen. Darüber hinaus können Ihre AWS-Config-Regeln [nicht konforme Ressourcen automatisch korrigieren](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation). 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation_guidance"></a>

 *Daten im Ruhezustand* stellen alle Daten dar, die Sie für einen beliebigen Zeitraum in Ihrem Workload im nichtflüchtigen Speicher speichern. Die Daten können sich in Blockspeichern, Objektspeichern, Datenbanken, Archiven, IoT-Geräten und sonstigen Speichermedien befinden. Durch den Schutz Ihrer ruhenden Daten verringert sich das Risiko eines nicht autorisierten Zugriffs, wenn die Verschlüsselung und entsprechende Zugriffskontrollen implementiert werden. 

 Erzwingen der Verschlüsselung von Daten im Ruhezustand: Sie sollten sicherstellen, dass die Verschlüsselung die einzige Möglichkeit zum Speichern von Daten bietet. AWS KMS lässt sich nahtlos in viele AWS-Services integrieren, um Ihnen die Verschlüsselung aller Daten im Ruhezustand zu erleichtern. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) für einen Bucket festlegen, sodass alle neuen Objekte automatisch verschlüsselt werden. Darüber hinaus bietet [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) und [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) Unterstützung für das Erzwingen der Verschlüsselung durch Festlegen der Standardverschlüsselung. Sie können [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden, um automatisch zu überprüfen, ob Sie die Verschlüsselung nutzen, z. B. für [EBS-Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS)-Instances](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)und [Amazon S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

 **Zugehörige Videos:** 
+  [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP04 Durchsetzen der Zugriffskontrolle
<a name="sec_protect_data_rest_access_control"></a>

Erzwingen Sie eine Zugriffskontrolle mit minimal erforderlichen Berechtigungen und Mechanismen, einschließlich Datensicherungen, Isolierung und Versionsverwaltung, zum Schutz Ihrer ruhenden Daten. Verhindern Sie, dass Operatoren öffentlichen Zugriff auf Ihre Daten gewähren. 

 Verschiedene Kontrollen z. B. für den Zugriff (mit dem Prinzip der geringsten Berechtigung), Backups (siehe [Whitepaper zur Zuverlässigkeit](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), Isolierung und Versionsverwaltung können helfen, Ihre Daten im Ruhezustand zu schützen. Der Zugriff auf Ihre Daten sollte mit den zuvor in diesem Whitepaper behandelten Erkennungsmechanismen überprüft werden, einschließlich CloudTrail und Service Level-Protokoll, z. B. Amazon Simple Storage Service (Amazon S3)-Zugriffsprotokolle. Sie sollten inventarisieren, welche Daten öffentlich zugänglich sind, und planen, wie Sie die verfügbare Datenmenge im Laufe der Zeit reduzieren können. Amazon Glacier Vault Lock und Amazon S3 Object Lock sind Funktionen, die eine obligatorische Zugriffskontrolle ermöglichen. Sobald eine Tresorrichtlinie mit der Compliance-Option gesperrt ist, kann sie nicht einmal der Root-Benutzer ändern, bis die Sperre abläuft. Der Mechanismus erfüllt die Anforderungen an die Aufzeichnungs- und Datenverwaltung der SEC, CFTC und FINRA. Weitere Informationen finden Sie in [diesem Whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Erzwingen der Zugriffskontrolle: Erzwingen Sie die Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung, einschließlich des Zugriffs auf Verschlüsselungsschlüssel. 
  +  [Einführung in die Verwaltung von Zugriffsberechtigungen für Ihre Amazon S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Trennen von Daten anhand unterschiedlicher Klassifizierungsstufen: Verwenden Sie unterschiedliche AWS-Konten für die von AWS Organizations verwalteten Datenklassifizierungsstufen. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Überprüfen von AWS KMS-Richtlinien: Überprüfen Sie die gewährte Zugriffsebene in den AWS KMS-Richtlinien. 
  +  [Übersicht über die Verwaltung des Zugriffs auf Ihre AWS KMS-Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Überprüfen der Berechtigungen für Amazon S3-Buckets und -Objekte: Überprüfen Sie regelmäßig den in Amazon S3-Bucket-Richtlinien gewährten Zugriff. Als Best Practice gilt, keine öffentlich lesbaren oder schreibbaren Buckets zu haben. Erwägen Sie, AWS Config zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden. 
  +  [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront: Die perfekte Kombination in der Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Aktivieren Sie die Amazon S3-Versionsverwaltung und Objektsperre. 
  +  [Verwenden von Versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Sperren von Objekten mit der Amazon S3-Objektsperre](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Verwenden von Amazon S3 Inventory: Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können. 
  +  [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Überprüfen von Amazon EBS- und AMI-Freigabeberechtigungen: Mit Freigabeberechtigungen können Images und Volumes für AWS-Konten außerhalb Ihrer Workload freigegeben werden. 
  +  [Teilen eines Amazon EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [Gemeinsame AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Ähnliche Videos:** 
+  [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP05 Verwenden von Mechanismen, die den direkten Zugriff auf Daten verhindern
<a name="sec_protect_data_rest_use_people_away"></a>

 Halten Sie alle Benutzer davon ab, unter normalen Betriebsbedingungen direkt auf sensible Daten und Systeme zuzugreifen. Verwenden Sie beispielsweise einen Änderungsmanagement-Workflow, um Amazon Elastic Compute Cloud (Amazon EC2)-Instances mithilfe von Tools zu verwalten, statt direkten Zugriff oder Zugriff über einen Bastion-Host zuzulassen. Dies kann mit [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)erreicht werden. Dabei werden [Automatisierungsdokumente](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) verwendet, welche die Anweisungen enthalten, um Automationsaufgaben auszuführen. Diese Dokumente können in der Quellcodeverwaltung gespeichert und von Kollegen vor ihrer Ausführung geprüft und gründlich getestet werden. Das Vorgehen minimiert die Risiken im Vergleich zu direktem Shell-Zugriff. Geschäftliche Benutzer könnten statt direktem Zugriff ein Dashboard erhalten, um Abfragen auszuführen. Bestimmen Sie, wenn keine CI/CD-Pipelines verwendet werden, welche Kontrollen und Prozesse erforderlich sind, um einen normalerweise deaktivierten Mechanismus für den Notfallzugriff bereitzustellen. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren von Mechanismen, die den direkten Zugriff auf Daten verhindern: Mechanismen umfassen die Verwendung von Dashboards wie Quick, um Benutzern Daten anzuzeigen, anstatt direkt abzufragen. 
  +  [Quick](https://aws.amazon.com/quicksight/) 
+  Automatisieren der Konfigurationsverwaltung: Führen Sie Aktionen aus der Ferne aus und erzwingen und validieren Sie sichere Konfigurationen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. Vermeiden Sie die Verwendung von Bastion-Hosts oder den direkten Zugriff auf EC2-Instances. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [CI/CD-Pipeline für AWS CloudFormation-Vorlagen in AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Zugehörige Videos:** 
+  [How Encryption Works in AWS (So funktioniert die Verschlüsselung in AWS)](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)