# Schutz von Daten im Ruhezustand
<a name="protecting-data-at-rest"></a>

*Daten im Ruhezustand* stellen alle Daten dar, die Sie für einen beliebigen Zeitraum in Ihrer Workload im nichtflüchtigen Speicher speichern. Die Daten können sich in Blockspeichern, Objektspeichern, Datenbanken, Archiven, IoT-Geräten und sonstigen Speichermedien befinden. Durch den Schutz Ihrer ruhenden Daten verringert sich das Risiko eines nicht autorisierten Zugriffs, wenn die Verschlüsselung und entsprechende Zugriffskontrollen implementiert werden. 

Die Verschlüsselung und die Tokenisierung sind zwei wichtige, eigenständige Datenschutzschemata. 

Mit *Tokenisierung* können Sie ein Token definieren, das eine vertrauliche Information repräsentiert (beispielsweise die Kreditkartennummer eines Kunden). Ein Token muss selbst bedeutungslos sein und darf nicht von den Daten abgeleitet werden, für die es die Tokenisierung durchführt. Daher kann ein kryptografischer Digest nicht als Token verwendet werden. Durch eine sorgfältige Tokenisierung können Sie den Schutz Ihrer Inhalte erhöhen und Ihre Compliance-Anforderungen erfüllen. Sie können beispielsweise den Umfang der Compliance eines Kreditkarten-Verarbeitungssystems eingrenzen, indem Sie anstelle von Kreditkartennummern Token verwenden. 

*Verschlüsselung* dient dazu, Inhalte so umzuwandeln, dass sie ohne einen geheimen Schlüssel, mit dem der Inhalt wieder in normalen Text entschlüsselt wird, nicht lesbar sind. Sie haben die Möglichkeit, Informationen entsprechend Ihren Anforderungen sowohl durch die Tokenisierung als auch mittels Verschlüsselung sicher zu schützen. Darüber hinaus ist Maskierung eine Technik, die es ermöglicht, einen Teil eines Datenstammes bis zu einem Punkt zu verändern, an dem die verbleibenden Daten nicht mehr als sensibel betrachtet werden. Beispielsweise ermöglicht PCI-DSS, dass die letzten vier Ziffern einer Kartennummer außerhalb der Compliance-Rahmengrenze für die Indizierung beibehalten werden. 

**Überprüfen der Verwendung von Verschlüsselungsschlüsseln:** Vergewissern Sie sich, dass Sie die Verwendung von Verschlüsselungsschlüsseln verstehen und prüfen, um zu überprüfen, ob die Zugriffskontrollmechanismen für die Schlüssel angemessen implementiert sind. Beispielsweise protokolliert jeder AWS-Service, der einen AWS KMS-Schlüssel verwendet, jede Nutzung in AWS CloudTrail. Anschließend können Sie AWS CloudTrail mit einem Tool wie Amazon CloudWatch Logs Insights abfragen, um sicherzustellen, dass alle Nutzungen Ihrer Schlüssel gültig sind. 

**Topics**
+ [SEC08-BP01 Implementieren einer sicheren Schlüsselverwaltung](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Erzwingen der Zugriffskontrolle](sec_protect_data_rest_access_control.md)

# SEC08-BP01 Implementieren einer sicheren Schlüsselverwaltung
<a name="sec_protect_data_rest_key_mgmt"></a>

 Eine sichere Schlüsselverwaltung umfasst die Speicherung, Rotation, Zugriffskontrolle und Überwachung von Schlüsseldaten, die zum Schutz von Daten im Ruhezustand für Ihre Workloads erforderlich sind. 

 **Gewünschtes Ergebnis:** Ein skalierbarer, wiederholbarer und automatisierter Schlüsselverwaltungsmechanismus. Der Mechanismus setzt den Zugriff mit geringster Berechtigung auf Schlüsseldaten durch und stellt das richtige Gleichgewicht zwischen Schlüsselverfügbarkeit, Vertraulichkeit und Integrität her. Sie überwachen den Zugriff auf die Schlüssel. Wenn eine Rotation von Schlüsseldaten erforderlich ist, rotieren Sie diese mithilfe eines automatisierten Prozesses. Sie lassen keinen Zugriff auf Schlüsseldaten durch menschliche Bediener zu. 

**Typische Anti-Muster:** 
+  Personen haben Zugriff auf unverschlüsselte Schlüsseldaten. 
+  Es werden benutzerdefinierte kryptografische Algorithmen erstellt. 
+  Die Berechtigungen für den Zugriff auf Schlüsseldaten sind zu weit gefasst. 

 **Vorteile der Nutzung dieser bewährten Methode:** Indem Sie einen sicheren Mechanismus für die Schlüsselverwaltung für Ihre Workload einrichten, können Sie dazu beitragen, Ihre Inhalte vor unbefugtem Zugriff zu schützen. Darüber hinaus müssen möglicherweise regulatorische Anforderungen hinsichtlich der Verschlüsselung Ihrer Daten erfüllt werden. Eine effektive Schlüsselverwaltungslösung kann technische Mechanismen bereitstellen, die diesen Vorschriften zum Schutz von Schlüsseldaten entsprechen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Die Verschlüsselung von Daten im Ruhezustand ist eine Basis-Sicherheitskontrolle. Um diese Kontrolle zu implementieren, benötigt Ihr Workload einen Mechanismus, um die Schlüsseldaten sicher zu speichern und zu verwalten, die für die Verschlüsselung Ihrer Daten im Ruhezustand verwendet werden. 

 AWS bietet den AWS Key Management Service (AWS KMS), um eine dauerhafte, sichere und redundante Speicherung von AWS KMS-Schlüsseln bereitzustellen. [Viele AWS-Services lassen sich in AWS KMS integrieren](https://aws.amazon.com/kms/features/#integration), um die Verschlüsselung Ihrer Daten zu unterstützen. AWS KMS verwendet FIPS 140-3 Level 3-validierte Hardware-Sicherheitsmodule zum Schutz Ihrer Schlüssel. Es gibt keinen Mechanismus zum Exportieren von AWS KMS-Schlüsseln als Klartext. 

 Bei der Bereitstellung von Workloads mit einer Multi-Konten-Strategie sollten Sie AWS KMS-Schlüssel in dem Konto aufbewahren, in dem sich auch der Workload befindet, der sie verwendet. [Bei diesem verteilten Modell](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) liegt die Verantwortung für die Verwaltung der AWS KMS-Schlüssel bei Ihrem Team. In anderen Anwendungsfällen kann sich Ihre Organisation dafür entscheiden, AWS KMS-Schlüssel in einem zentralen Konto zu speichern. Diese zentralisierte Struktur erfordert zusätzliche Richtlinien, um den kontoübergreifenden Zugriff zu ermöglichen, der benötigt wird, damit das Workload-Konto auf Schlüssel zugreifen kann, die im zentralen Konto gespeichert sind. Dieses Verfahren kann jedoch in Anwendungsfällen, in denen ein einzelner Schlüssel von mehreren AWS-Konten gemeinsam genutzt wird, besser geeignet sein. 

 Unabhängig davon, wo die Schlüsseldaten gespeichert werden, sollte der Zugriff auf den Schlüssel durch [Schlüsselrichtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) und IAM-Richtlinien eng kontrolliert werden. Schlüsselrichtlinien sind die primäre Methode für die Kontrolle des Zugriffs auf einen AWS KMS-Schlüssel. Darüber hinaus können AWS KMS-Schlüsselzuweisungen den Zugriff auf AWS-Services ermöglichen, um Daten in Ihrem Namen zu verschlüsseln und zu entschlüsseln. Machen Sie sich mit dem [Leitfaden für die Steuerung des Zugriffs auf Ihre AWS KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html) vertraut. 

 Sie sollten die Verwendung von Verschlüsselungsschlüsseln auf ungewöhnliche Zugriffsmuster überwachen. Vorgänge, die mit von AWS verwalteten Schlüsseln und kundenseitig verwalteten Schlüsseln ausgeführt werden, die in AWS KMS gespeichert sind, können in AWS CloudTrail protokolliert werden. Sie sollten regelmäßig überprüft werden. Achten Sie besonders auf die Überwachung von Schlüsselzerstörungsereignissen. Um die versehentliche oder böswillige Zerstörung von Schlüsseldaten zu verhindern, werden Schlüsseldaten bei Schlüsselzerstörungsereignissen nicht sofort gelöscht. Versuche, Schlüssel in AWS KMS zu löschen, unterliegen einer [Wartezeit](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works), die standardmäßig 30 Tage beträgt. So haben Administratoren Zeit, diese Aktionen zu überprüfen und die Anforderung rückgängig zu machen, wenn notwendig. 

 Die meisten AWS-Services verwenden AWS KMS auf eine Weise, die für Sie transparent ist. Sie müssen lediglich entscheiden, ob Sie einen in AWS verwalteten oder einen kundenseitig verwalteten Schlüssel verwenden möchten. Wenn Ihr Workload die direkte Verwendung von AWS KMS zum Verschlüsseln oder Entschlüsseln von Daten erfordert, sollten Sie eine [Umschlagverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) verwenden, um Ihre Daten zu schützen. Das [AWS-Verschlüsselungs-SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) kann clientseitige Verschlüsselungsprimitive für Ihre Anwendungen bereitstellen, um die Umschlagverschlüsselung zu implementieren und eine Integration in AWS KMS zu ermöglichen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Ermitteln Sie die geeigneten [Schlüsselverwaltungsoptionen](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) (von AWS verwaltet oder kundenseitig verwaltet) für den Schlüssel. 

   1.  Aus Gründen der Benutzerfreundlichkeit bietet AWS für die meisten Services AWS-eigene und von AWS verwaltete Schlüssel. Diese stellen eine Funktion für die Verschlüsselung von Daten im Ruhezustand bereit, ohne dass Schlüsseldaten oder -richtlinien verwaltet werden müssen. 

   1.  Wenn Sie kundenseitig verwaltete Schlüssel verwenden, sollten Sie den Standard-Schlüsselspeicher in Betracht ziehen, um das beste Gleichgewicht zwischen Agilität, Sicherheit, Datenhoheit und Verfügbarkeit zu erzielen. Andere Anwendungsfälle erfordern möglicherweise die Verwendung von benutzerdefinierten Schlüsselspeichern mit [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) oder mit dem [externen Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html). 

1.  Gehen Sie die Liste der Services durch, die Sie für Ihre Workload verwenden, um zu verstehen, wie AWS KMS in den Service integriert wird. EC2-Instances können beispielsweise verschlüsselte EBS-Volumes verwenden, um zu überprüfen, dass die von diesen Volumes erstellten Amazon-EBS-Snapshots auch mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. So wird die versehentliche Offenlegung unverschlüsselter Snapshot-Daten verhindert. 

   1.  [Verwendung von AWS KMS durch AWS-Services](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) 

   1.  Ausführliche Informationen zu den Verschlüsselungsoptionen, die ein AWS-Service bietet, finden Sie im Benutzerhandbuch oder im Entwicklerhandbuch für den Service unter dem Thema „Verschlüsselung im Ruhezustand“. 

1.  Implementieren Sie AWS KMS: AWS KMS erleichtert Ihnen das Erstellen und Verwalten von Schlüsseln sowie die Steuerung der Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen. 

   1.  [Erste Schritte: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 

   1.  Machen Sie sich mit den [bewährten Methoden für die Steuerung des Zugriffs auf Ihre AWS KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html) vertraut. 

1.  Ziehen Sie das AWS Encryption SDK in Betracht: Verwenden Sie das AWS Encryption SDK mit AWS KMS-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss. 

   1.  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

1.  Aktivieren Sie [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), um automatisch zu überprüfen und benachrichtigt zu werden, wenn zu weit gefasste AWS KMS-Schlüsselrichtlinien vorhanden sind. 

   1.  Ziehen Sie die Verwendung [benutzerdefinierter Richtlinienprüfungen](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) in Betracht, um sicherzustellen, dass die Aktualisierung der Ressourcenrichtlinie keinen öffentlichen Zugriff auf KMS-Schlüssel gewährt. 

1.  Aktivieren Sie [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html), um Benachrichtigungen zu erhalten, wenn falsch konfigurierte Schlüsselrichtlinien, Schlüssel mit geplanter Löschung oder Schlüssel ohne aktivierte automatische Rotation vorhanden sind. 

1.  Ermitteln Sie die für Ihre AWS KMS-Schlüssel geeignete Protokollierungsstufe. Da Aufrufe von AWS KMS, einschließlich schreibgeschützter Ereignisse, protokolliert werden, können die CloudTrail-Protokolle für AWS KMS sehr umfangreich werden. 

   1.  Einige Organisationen ziehen es vor, die AWS KMS-Protokollierungsaktivitäten in einem eigenen Pfad zu separieren. Weitere Informationen finden Sie im AWS KMS-Entwicklerhandbuch im Abschnitt [Protokollieren von AWS KMS-API-Aufrufen mit CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 
+  [AWS Kryptografische -Services und -Tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Schützen von Amazon-S3-Daten durch Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 
+  [Umschlagverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) 
+  [Das Versprechen zu digitaler Souveränität](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) 
+  [Das Geheimnis von AWS KMS-Schlüsselvorgängen, Bring Your Own Key, benutzerdefiniertem Schlüsselspeicher und Portabilität von Geheimtext](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/) 
+  [AWS Key Management Service Kryptografische Details von](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Zugehörige Videos:** 
+  [So funktioniert die Verschlüsselung in AWS](https://youtu.be/plv7PQZICCM) 
+  [Schützen Ihres Blockspeichers in AWS](https://youtu.be/Y1hE1Nkcxs8) 
+  [AWS Datenschutz in : Verwenden von Schlössern, Schlüsseln, Signaturen und Zertifikaten](https://www.youtube.com/watch?v=lD34wbc7KNA) 

 **Zugehörige Beispiele:** 
+  [Implementieren erweiterter Zugriffskontrollsmechanismen mit AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction) 

# SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand
<a name="sec_protect_data_rest_encrypt"></a>

 Verschlüsseln Sie private Daten im Ruhezustand, um die Vertraulichkeit zu wahren und eine zusätzliche Schutzebene hinsichtlich der unbeabsichtigten Offenlegung oder Exfiltration der Daten bereitzustellen. Die Verschlüsselung schützt die Daten, sodass sie ohne vorherige Entschlüsselung weder gelesen noch verwendet werden können. Inventarisieren und kontrollieren Sie unverschlüsselte Daten, um die mit einer Offenlegung der Daten verbundenen Risiken zu minimieren. 

 **Gewünschtes Ergebnis:** Sie verfügen über Mechanismen, die private Daten im Ruhezustand standardmäßig verschlüsseln. Diese Mechanismen helfen, die Vertraulichkeit der Daten zu wahren und bieten eine zusätzliche Schutzebene hinsichtlich der unbeabsichtigten Offenlegung oder Exfiltration der Daten. Sie führen ein Inventar unverschlüsselter Daten und kennen die Kontrollmechanismen, die zum Schutz dieser Daten eingerichtet wurden. 

 **Typische Anti-Muster:** 
+  keine Verwendung von Konfigurationen mit standardmäßiger Verschlüsselung 
+  Bereitstellung von Zugriffsmöglichkeiten mit zu vielen Berechtigungen für Entschlüsselungsschlüssel 
+  fehlende Überwachung der Ver- und Entschlüsselungsschlüssel 
+  Speichern von Daten ohne Verschlüsselung 
+  Verwendung desselben Verschlüsselungsschlüssels für alle Daten, ohne Berücksichtigung von Datennutzung, Typen und Klassifizierung 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Ordnen Sie Datenklassifizierungen in Ihren Workloads Verschlüsselungsschlüssel zu. Dieser Ansatz schützt vor Zugriff mit zu vielen Berechtigungen, wenn Sie entweder einen einzelnen Zugriffsschlüssel oder eine sehr kleine Anzahl von Verschlüsselungsschlüsseln für Ihre Daten verwenden (siehe [SEC07-BP01 Verstehen Ihres Schemas zur Datenklassifizierung](sec_data_classification_identify_data.md)). 

 AWS Key Management Service (AWS KMS) kann in viele AWS-Services integriert werden, um die Verschlüsselung Ihrer Daten im Ruhezustand zu vereinfachen. In Amazon Elastic Compute Cloud (Amazon EC2) können Sie beispielsweise die [Standardverschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default) von Konten festlegen, sodass neue EBS-Volumes automatisch verschlüsselt werden. Überlegen Sie sich bei Verwendung von AWS KMS, wie stark die Daten eingeschränkt werden müssen. Standardmäßige und servicegesteuerte AWS KMS-Schlüssel werden von AWS für Sie verwaltet und verwendet. Ziehen Sie für sensible Daten, die einen differenzierten Zugriff auf den zugrunde liegenden Verschlüsselungsschlüssel erfordern, kundenseitig verwaltete Schlüssel (CMKs) in Betracht. Sie haben die vollständige Kontrolle über CMKs, einschließlich Rotation und Zugriffsverwaltung mithilfe von Schlüsselrichtlinien. 

 Darüber hinaus verschlüsseln Dienste wie Amazon Simple Storage Service ([Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-encrypts-new-objects-by-default/)) jetzt standardmäßig alle neuen Objekte. Diese Implementierung bietet eine höhere Sicherheit, ohne die Leistung zu beeinträchtigen. 

 Andere Services, wie [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) (Amazon EC2) oder [Amazon Elastic File System](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/efs.html) (Amazon EFS), unterstützen Einstellungen für die Standardverschlüsselung. Mit [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) können Sie automatisch überprüfen, ob Sie eine Verschlüsselung für [Volumes in Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Instances in Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), [Amazon-S3-Buckets](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) und andere Services in Ihrer Organisation verwenden. 

 AWS bietet auch Optionen für die clientseitige Verschlüsselung, mit der Sie Daten vor dem Laden in die Cloud verschlüsseln können. Das AWS Encryption SDK ermöglicht die Verschlüsselung Ihrer Daten per [Umschlagverschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Sie stellen den Wrapping-Schlüssel bereit und das AWS Encryption SDK generiert einen eindeutigen Datenschlüssel für jedes verschlüsselte Datenobjekt. Ziehen Sie die Verwendung von AWS CloudHSM in Betracht, wenn Sie ein verwaltetes Single-Tenant-Hardware-Sicherheitsmodul (HSM) benötigen. Mit AWS CloudHSM können Sie kryptographische Schlüssel auf einem nach FIPS 140-2 Level 3 validierten HSM generieren, importieren und verwalten. Einige Anwendungsfälle von AWS CloudHSM umfassen den Schutz privater Schlüssel für die Ausgabe einer Zertifizierungsstelle (Certificate Authority, CA) und die Aktivierung der transparenten Datenverschlüsselung (Transparent Data Encryption, TDE) für Oracle-Datenbanken. Das AWS CloudHSM-Client-SDK bietet Software, die die clientseitige Verschlüsselung von Daten mit innerhalb von AWS CloudHSM gespeicherten Schlüsseln ermöglicht, bevor die Daten in AWS geladen werden. Der Amazon DynamoDB Encryption Client ermöglicht darüber hinaus das Verschlüsseln und Signieren von Elementen vor dem Laden in eine DynamoDB-Tabelle. 

### Implementierungsschritte
<a name="implementation-steps"></a>
+  **Konfigurieren der **[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)**:** Geben Sie an, dass alle neu erstellten Amazon-EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden. 
+  **Konfigurieren von verschlüsselten Amazon Machine Images (AMIs):** Beim Kopieren eines vorhandenen AMI mit konfigurierter Verschlüsselung werden Stamm-Volumes und Snapshots automatisch verschlüsselt. 
+  **Konfigurieren der **[https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)**:** Konfigurieren Sie die Verschlüsselung für Ihre Amazon-RDS-Datenbank-Cluster DB-Cluster und Snapshots mithilfe der Verschlüsselungsoption. 
+  **Erstellen und Konfigurieren von AWS KMS-Schlüsseln mit Richtlinien, die den Zugriff auf die entsprechenden Prinzipale für die jeweilige Datenklassifizierung einschränken:** Erstellen Sie beispielsweise einen AWS KMS-Schlüssel für die Verschlüsselung von Produktionsdaten und einen anderen Schlüssel für die Verschlüsselung von Entwicklungs- oder Testdaten. Sie können auch anderen AWS-Konten Schlüsselzugriff gewähren. Ziehen Sie die Nutzung verschiedener Konten für Ihre Entwicklungs- und Produktionsumgebungen in Betracht. Wenn Ihre Produktionsumgebung Artefakte im Entwicklungskonto entschlüsseln muss, können Sie die zur Verschlüsselung der Entwicklungsartefakte verwendete CMK-Richtlinie so bearbeiten, dass das Produktionskonto diese Artefakte entschlüsseln kann. Die Produktionsumgebung kann dann die entschlüsselten Daten zur Verwendung in der Produktion einlesen. 
+  **Konfigurieren der Verschlüsselung in zusätzlichen AWS-Services:** Für andere von Ihnen verwendete AWS-Services können Sie in der zugehörigen [Sicherheitsdokumentation](https://docs.aws.amazon.com/security/) die Verschlüsselungsoptionen des jeweiligen Service ermitteln. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [AWS KMS Cryptographic Details (Whitepaper)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Kryptografische AWS-Services und -Tools](https://docs.aws.amazon.com/aws-crypto-tools/) 
+  [Amazon-EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Standardverschlüsselung für Amazon-EBS-Volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Verschlüsseln von Amazon-RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Wie aktiviere ich die Standardverschlüsselung für einen Amazon-S3-Bucket?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Schützen von Amazon-S3-Daten durch Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Zugehörige Videos:** 
+  [So funktioniert die Verschlüsselung in AWS](https://youtu.be/plv7PQZICCM) 
+  [Schützen Ihres Blockspeichers in AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Automatisieren des Schutzes von Daten im Ruhezustand
<a name="sec_protect_data_rest_automate_protection"></a>

 Nutzen Sie Automatisierung, um Daten im Ruhezustand zu validieren und zu kontrollieren.  Nutzen Sie automatisierte Scans, um Fehlkonfigurationen Ihrer Datenspeicherlösungen zu erkennen, und führen Sie, wenn möglich, Abhilfemaßnahmen durch automatisierte programmatische Reaktionen durch.  Integrieren Sie Automatisierung in Ihre CI/CD-Prozesse, um Fehlkonfigurationen des Datenspeichers zu erkennen, bevor sie in der Produktion bereitgestellt werden. 

 **Gewünschtes Ergebnis:** Automatisierte Systeme scannen und überwachen Datenspeicherorte auf falsch konfigurierte Steuerungen, unbefugten Zugriff und unerwartete Nutzung.  Bei Erkennung falsch konfigurierter Speicherorte werden automatische Abhilfemaßnahmen initiiert.  Automatisierte Prozesse erstellen Daten-Backups und speichern unveränderliche Kopien außerhalb der ursprünglichen Umgebung. 

 **Typische Anti-Muster:** 
+  Keine Berücksichtigung von Optionen zur Aktivierung der Verschlüsselung in den Standardeinstellungen, sofern unterstützt. 
+  Keine Berücksichtigung von Sicherheitsereignissen neben den betrieblichen Ereignissen bei der Formulierung einer automatisierten Backup- und Wiederherstellungsstrategie. 
+  Keine Erzwingung der Einstellungen für den öffentlichen Zugriff auf Speicher-Services. 
+  Keine Überwachung und Prüfung Ihrer Kontrollen zum Schutz von Daten im Ruhezustand. 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Automatisierung trägt dazu bei, das Risiko falsch konfigurierter Datenspeicherorte zu vermeiden. Dadurch wird verhindert, dass Fehlkonfigurationen in Ihre Produktionsumgebungen gelangen. Diese bewährte Methode trägt außerdem dazu bei, gegebenenfalls vorhandene Fehlkonfigurationen zu erkennen und zu beheben.  

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden 
<a name="implementation-guidance"></a>

 Die Automatisierung zieht sich wie ein roter Faden durch die Praktiken zum Schutz Ihrer Daten im Ruhezustand. In [SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) wird beschrieben, wie Sie die Konfiguration Ihrer Ressourcen mithilfe von IaC-Vorlagen (*Infrastructure as Code*) erfassen können – etwa mit [AWS CloudFormation](https://aws.amazon.com/cloudformation/).  Diese Vorlagen werden in ein Versionskontrollsystem übertragen und zur Bereitstellung von Ressourcen in AWS über eine CI/CD-Pipeline verwendet.  Diese Techniken gelten auch für die Automatisierung der Konfiguration Ihrer Datenspeicherlösungen (zum Beispiel für Verschlüsselungseinstellungen für Amazon-S3-Buckets).   

 Sie können die Einstellungen, die Sie in Ihren IaC-Vorlagen definieren, mithilfe von Regeln in [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) auf Fehlkonfigurationen in Ihren CI/CD-Pipelines überprüfen.  Mit [AWS Config](https://aws.amazon.com/config/) können Sie Einstellungen, die in CloudFormation oder anderen IaC-Tools noch nicht verfügbar sind, auf Fehlkonfigurationen überwachen.  Für Fehlkonfigurationen generierte Warnungen können automatisch behandelt werden, wie in [SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) beschrieben. 

 Der Einsatz von Automatisierung als Teil Ihrer Strategie zur Verwaltung von Berechtigungen ist ebenfalls ein wesentlicher Bestandteil des automatisierten Datenschutzes. Unter [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) und [SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) erfahren Sie, wie Sie Richtlinien für Zugriff mit den geringsten Rechten konfigurieren, die kontinuierlich von [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) überwacht werden, um Erkenntnisse zu generieren, wenn die Berechtigung reduziert werden kann.  Neben der Automatisierung zur Überwachung von Berechtigungen können Sie [Amazon GuardDuty](https://aws.amazon.com/guardduty/) für die Überwachung auf anomales Datenzugriffsverhalten für Ihre [EBS-Volumes](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (über eine EC2-Instance) sowie für Ihre [S3-Buckets](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) und für unterstützte [Amazon-Relational-Database-Service-Datenbanken](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) konfigurieren. 

 Automatisierung spielt auch eine Rolle bei der Erkennung, ob sensible Daten an nicht autorisierten Orten gespeichert sind. Unter [SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) wird beschrieben, wie [Amazon Macie](https://aws.amazon.com/macie/) Ihre S3-Buckets auf unerwartete sensible Daten überwachen und Warnungen generieren kann, die eine automatisierte Reaktion initiieren können. 

 Orientieren Sie sich an den Vorgehensweisen unter [REL09 Sichern von Daten](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html), um eine Strategie für eine automatisierte Datensicherung und -wiederherstellung zu entwickeln. Datensicherung und -wiederherstellung sind für die Wiederherstellung nach Sicherheitsereignissen ebenso wichtig wie für betriebliche Ereignisse. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Erfassen Sie die Datenspeicherkonfiguration in IaC-Vorlagen.  Verwenden Sie automatische Prüfungen in Ihren CI/CD-Pipelines, um Fehlkonfigurationen zu erkennen. 

   1.  Sie können für [CloudFormation](https://aws.amazon.com/cloudformation/) Ihre IaC-Vorlagen verwenden und mithilfe von [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) Vorlagen auf Fehlkonfigurationen überprüfen. 

   1.  Verwenden Sie [AWS Config](https://aws.amazon.com/config/), um Regeln in einem proaktiven Auswertungsmodus auszuführen. Verwenden Sie diese Einstellung, um die Konformität einer Ressource vor der Erstellung als Schritt in Ihrer CI/CD-Pipeline zu prüfen. 

1.  Überwachen Sie Ressourcen auf Fehlkonfigurationen des Datenspeichers. 

   1.  Konfigurieren Sie [AWS Config](https://aws.amazon.com/config/) so, dass Datenspeicherressourcen auf Änderungen der Kontrollkonfigurationen überwacht und Warnungen generiert werden, um Abhilfemaßnahmen aufzurufen, wenn eine Fehlkonfiguration erkannt wird. 

   1.  Weitere Hinweise zu automatischen Abhilfemaßnahmen finden Sie unter [SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html). 

1.  Überwachen und reduzieren Sie die Datenzugriffsberechtigungen kontinuierlich durch Automatisierung. 

   1.  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) kann kontinuierlich ausgeführt werden, um Warnungen zu generieren, wenn gegebenenfalls eine Reduzierung der Berechtigungen möglich ist. 

1.  Überwachen Sie anomales Datenzugriffsverhalten und geben Sie entsprechende Warnungen aus. 

   1.  [GuardDuty](https://aws.amazon.com/guardduty/) überwacht sowohl bekannte Bedrohungssignaturen als auch Abweichungen vom Baseline-Verhalten beim Zugriff auf Datenspeicherressourcen wie EBS-Volumes, S3-Buckets und RDS-Datenbanken. 

1.  Überwachen Sie sensible Daten, die an unerwarteten Orten gespeichert sind, und geben Sie entsprechende Warnungen aus. 

   1.  Verwenden Sie [Amazon Macie](https://aws.amazon.com/macie/), um Ihre S3-Buckets kontinuierlich auf sensible Daten zu überprüfen. 

1.  Automatisieren Sie sichere und verschlüsselte Backups Ihrer Daten. 

   1.  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) ist ein verwalteter Service, der verschlüsselte und sichere Backups verschiedener Datenquellen in AWS erstellt.  Mit [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) können Sie vollständige Server-Workloads kopieren und einen kontinuierlichen Datenschutz mit einem in Sekunden gemessenen Recovery Point Objective (RPO) gewährleisten.  Sie können beide Services so konfigurieren, dass sie zusammenarbeiten, um die Erstellung von Daten-Backups und das Kopieren der Daten an Failover-Standorte zu automatisieren.  Dies kann dazu beitragen, dass Ihre Daten auch dann verfügbar bleiben, wenn sie durch betriebliche oder sicherheitsrelevante Ereignisse beeinträchtigt werden. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 
+  [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) 
+  [SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) 
+  [SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 
+  [SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) 
+  [REL09-BP02 Schützen und Verschlüsseln von Backups](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html) 
+  [REL09-BP03 Automatische Daten-Backups](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html) 

 **Zugehörige Dokumente:** 
+  [AWS Prescriptive Guidance: Automatisches Verschlüsseln vorhandener und neuer Amazon-EBS-Volumes](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) 
+  [Ransomware-Risikomanagement in AWS unter Verwendung des NIST Cyber Security Framework (CSF)](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html) 

 **Zugehörige Beispiele:** 
+  [Verwenden von proaktiven AWS Config-Regeln sowie von AWS CloudFormation-Hooks, um die Erstellung nicht richtlinienkonformer Cloud-Ressourcen zu verhindern](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/) 
+  [Automatisieren und zentrales Verwalten des Datenschutzes für Amazon S3 mit AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/) 
+  [AWS re:Invent 2023 – Implementieren von proaktivem Datenschutz mithilfe von Amazon-EBS-Snapshots](https://www.youtube.com/watch?v=d7C6XsUnmHc) 
+  [AWS re:Invent 2022 – Entwickeln und Automatisieren für Ausfallsicherheit mit modernem Datenschutz](https://www.youtube.com/watch?v=OkaGvr3xYNk) 

 **Zugehörige Tools:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [AWS CloudFormation Guard Rules Registry](https://github.com/aws-cloudformation/aws-guard-rules-registry) 
+  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 
+  [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 

# SEC08-BP04 Erzwingen der Zugriffskontrolle
<a name="sec_protect_data_rest_access_control"></a>

 Um Ihre Daten im Ruhezustand zu schützen, sollten Sie Zugriffskontrollen über Mechanismen wie Isolierung und Versionsverwaltung durchsetzen. Wenden Sie das Prinzip der geringsten Berechtigung und bedingte Zugriffskontrollen an. Verhindern Sie das Erteilen von öffentlichem Zugriff auf Ihre Daten. 

 **Gewünschtes Ergebnis:** Sie stellen sicher, dass nur autorisierte Benutzer auf Daten zugreifen können, und nur insoweit sie diese für ihre Arbeit benötigen. Sie schützen Ihre Daten mit regelmäßigen Backups und Versionsverwaltung vor beabsichtigten oder unbeabsichtigten Änderungen oder Löschungen. Sie isolieren kritische Daten von anderen Daten, um ihre Vertraulichkeit und Integrität zu schützen. 

**Typische Anti-Muster:**
+  gemeinsame Speicherung von Daten mit unterschiedlichen Anforderungen hinsichtlich Vertraulichkeit oder verschiedenen Klassifizierungen 
+  Verwendung von übermäßigen Berechtigungen für Entschlüsselungsschlüssel 
+  nicht ordnungsgemäße Klassifizierung von Daten 
+  keine Aufbewahrung von Backups wichtiger Daten 
+  Gewährung von dauerhaftem Zugriff auf Produktionsdaten 
+  keine Prüfung des Datenzugriffs bzw. keine regelmäßige Prüfung der Berechtigungen

**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Der Schutz von Daten im Ruhezustand ist wichtig, um die Integrität und Vertraulichkeit der Daten zu wahren und die Einhaltung gesetzlicher Anforderungen sicherzustellen. Um dies zu erreichen, können Sie mehrere Kontrollen implementieren, darunter Zugriffskontrolle, Isolierung, bedingter Zugriff und Versionsverwaltung. 

 Sie können eine Zugriffskontrolle auf der Basis der geringsten Berechtigung durchsetzen, die Benutzern und Services nur die zur Ausführung ihrer Aufgaben notwendigen Berechtigungen erteilt. Hierzu gehört auch der Zugriff auf Verschlüsselungsschlüssel. Überprüfen Sie Ihre [AWS Key Management Service (AWS KMS)-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html), um sicherzustellen, dass die von Ihnen erteilte Zugriffsebene angemessen ist und entsprechende Bedingungen gelten. 

 Sie können Daten auf der Grundlage verschiedener Klassifizierungsebenen trennen, indem Sie unterschiedliche AWS-Konten für jede Ebene verwenden und diese Konten mithilfe von [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) verwalten. Diese Isolierung kann helfen, einen nicht autorisierten Zugriff zu verhindern, und minimiert das Risiko einer Offenlegung von Daten. 

 Überprüfen Sie regelmäßig die in Amazon-S3-Bucket-Richtlinien gewährte Zugriffsebene. Vermeiden Sie die Verwendung von öffentlich lesbaren oder beschreibbaren Buckets, wenn dies nicht unbedingt erforderlich ist. Ziehen Sie die Verwendung von [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) in Betracht, um öffentlich verfügbare Buckets zu erkennen, und von Amazon CloudFront, um Inhalten aus Amazon S3 bereitzustellen. Vergewissern Sie sich, dass die Buckets, die keinen öffentlichen Zugriff erteilen sollen, entsprechend konfiguriert sind, um dies zu verhindern. 

 Implementieren Sie Mechanismen für Versionsverwaltung und Objektsperre für kritische Daten, die in Amazon S3 gespeichert sind. Die [Amazon-S3-Versionsverwaltung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) behält frühere Versionen von Objekten bei, um nach versehentlichem Löschen oder Überschreiben Daten wiederherstellen zu können. [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) stellt eine obligatorische Zugriffskontrolle für Objekte bereit, die das Löschen oder Überschreiben von Objekten auch durch Root-Benutzer verhindert, bis die Sperre abläuft. Darüber hinaus bietet [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) ein ähnliches Feature für in Amazon Glacier gespeicherte Archive. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  **Durchsetzen der Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung**: 
   +  Überprüfen Sie die den Benutzern und Services erteilten Zugriffsberechtigungen und stellen Sie sicher, dass diese nur über die Berechtigungen verfügen, die sie für ihre Aufgaben benötigen. 
   +  Überprüfen Sie den Zugriff auf Verschlüsselungsschlüssel durch die Prüfung der [AWS Key Management Service (AWS KMS)-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). 

1.  **Trennen von Daten anhand verschiedener Klassifizierungsebenen**: 
   +  Verwenden Sie unterschiedliche AWS-Konten für jede Datenklassifizierungsebene. 
   +  Verwalten Sie diese Konten mit [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). 

1.  **Überprüfen der Berechtigungen für Amazon-S3-Buckets und -Objekte**: 
   +  Überprüfen Sie regelmäßig die in Amazon-S3-Bucket-Richtlinien erteilte Zugriffsebene. 
   +  Vermeiden Sie die Verwendung von öffentlich lesbaren oder beschreibbaren Buckets, wenn dies nicht unbedingt erforderlich ist. 
   +  Ziehen Sie die Verwendung von [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) für die Erkennung öffentlich verfügbarer Buckets in Betracht. 
   +  Verwenden Sie Amazon CloudFront, um Inhalte aus Amazon S3 bereitzustellen. 
   +  Vergewissern Sie sich, dass die Buckets, die keinen öffentlichen Zugriff gewähren sollen, entsprechend konfiguriert sind, um dies zu verhindern. 
   +  Sie können dasselbe Überprüfungsverfahren für Datenbanken und andere Datenquellen anwenden, die die IAM-Authentifizierung verwenden, z. B. SQS oder Datenspeicher von Drittanbietern. 

1.  **Verwenden von AWS IAM Access Analyzer**: 
   +  Sie können [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) nutzen, um Amazon-S3-Buckets zu analysieren und Erkenntnisse zu generieren, wenn eine S3-Richtlinie Zugriff auf eine externe Entität gewährt. 

1.  **Implementieren von Mechanismen für Versionsverwaltung und Objektsperre**: 
   +  Verwenden Sie die [Amazon-S3-Versionsverwaltung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html), um frühere Versionen von Objekten beizubehalten, sodass Daten nach versehentlichem Löschen oder Überschreiben wiederhergestellt werden können. 
   +  Verwenden Sie [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html), um eine obligatorische Zugriffskontrolle für Objekte bereitzustellen, die das Löschen oder Überschreiben von Objekten auch durch Root-Benutzer verhindert, bis die Sperre abläuft. 
   +  Verwenden Sie [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) für Archive, die in Amazon Glacier gespeichert sind. 

1.  **Verwenden von Amazon S3 Inventory**: 
   +  Sie können [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) verwenden, um den Replikations- und Verschlüsselungsstatus Ihrer S3-Objekte zu prüfen und zu melden. 

1.  **Überprüfen von Berechtigungen für die Amazon-EBS und AMI-Freigabe**: 
   +  Überprüfen Sie die Freigabeberechtigungen für [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) und [AMI-Freigabe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html), um sicherzustellen, dass Ihre Images und Volumes nicht für AWS-Konten außerhalb Ihres Workloads freigegeben werden. 

1.  **Regelmäßiges Überprüfen der Freigaben über AWS Resource Access Manager**: 
   +  Sie können [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) für die Freigabe von Ressourcen innerhalb Ihrer Amazon-VPCs verwenden, z. B. Richtlinien für AWS Network Firewall, Regeln für Amazon Route 53 Resolver und Subnetze. 
   +  Überprüfen Sie die freigegebenen Ressourcen regelmäßig und beenden Sie die Freigabe von Ressourcen, die keine Freigabe mehr erfordern. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+ [SEC03-BP01 Definieren von Zugriffsanforderungen](sec_permissions_define.md) 
+  [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md) 

 **Zugehörige Dokumente:** 
+  [AWS KMS Cryptographic Details (Whitepaper](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [Einführung in die Verwaltung von Zugriffsberechtigungen für Ihre Amazon-S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  [Übersicht über die Verwaltung des Zugriffs auf Ihre AWS KMS-Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
+  [Amazon S3 \$1 Amazon CloudFront: Die perfekte Kombination in der Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  [Verwenden der Versionsverwaltung](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
+  [Sperren von Objekten mithilfe von Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  [Freigeben eines Amazon-EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
+  [Gemeinsame AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 
+  [Hosten einer Single-Page-Anwendung auf Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) 
+  [AWS Globale -Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [Erstellen eines Datenperimeters in AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) 

 **Zugehörige Videos:** 
+  [Schützen Ihres Blockspeichers in AWS](https://youtu.be/Y1hE1Nkcxs8)