|
| Genehmigung zur Aussetzung | example-inc:suspension:approval | Der Link zur Genehmigung der Kontosperrung | workload/deprecation |
# Vorfallmanagement
Tags können in allen Phasen des Vorfallmanagements eine wichtige Rolle spielen, angefangen bei der Protokollierung, Priorisierung, Untersuchung, Kommunikation, Lösung bis hin zur Schließung von Vorfällen.
Mithilfe von Tags können detailliert beschrieben werden, wo ein Vorfall protokolliert werden soll, welches Team oder welche Teams über den Vorfall informiert werden sollen und welche Eskalationspriorität festgelegt wurde. Es ist wichtig, sich daran zu erinnern, dass Tags nicht verschlüsselt sind. Überlegen Sie sich also, welche Informationen Sie darin speichern. Außerdem ändern sich die Zuständigkeiten in Organisationen, Teams und Berichtslinien. Erwägen Sie daher, einen Link zu einem sicheren Portal zu speichern, über das diese Informationen effektiver verwaltet werden können. Diese Tags müssen nicht exklusiv sein. Die Anwendungs-ID könnte beispielsweise verwendet werden, um die Eskalationspfade in einem IT-Servicemanagement-Portal nachzuschlagen. Stellen Sie sicher, dass aus Ihren betrieblichen Definitionen eindeutig hervorgeht, dass dieses Tag für mehrere Zwecke verwendet wird.
Die Tags für betriebliche Anforderungen können ebenfalls detailliert sein, damit Störfallmanager und Betriebspersonal ihre Ziele als Reaktion auf einen Vorfall oder ein Ereignis weiter verfeinern können.
Relative Links (zur Knowledge-System-Basis-URL) für [Runbooks](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.runbook.en.html) und [Playbooks](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.playbook.en.html) können als Tags hinzugefügt werden, um die antwortenden Teams bei der Identifizierung der entsprechenden Prozesse, Verfahren und Unterlagen zu unterstützen.
*Tabelle 9 — Verwenden Sie betriebliche Kennzeichnungen als Grundlage für das Incident Management*
| Anwendungsfall | Tag-Schlüssel | Begründung | Beispielwerte |
| --- | --- | --- | --- |
| Vorfallmanagement | example-inc:incident-management:escalationlog | Das System, das vom Support-Team zur Protokollierung von Vorfällen verwendet wird | jira, servicenow, zendesk |
| Vorfallmanagement | example-inc:incident-management:escalationpath | Pfad der Eskalation | ops-center, dev-ops, app-team |
| Kostenverteilung und Vorfallmanagement | example-inc:cost-allocation:CostCenter | Überwachen Sie die Kosten nach Kostenstellen. Dies ist ein Beispiel für ein Tag mit doppeltem Verwendungszweck, bei dem die Kostenstelle als Anwendungscode für die Vorfallprotokollierung verwendet wird | 123-\$1 |
| Sicherungsplan | example-inc:backup:schedule | Backup-Zeitplan der Ressource | Daily |
| Spielbuch//Vorfallmanagement | example-inc:incident-management:playbook | Dokumentiertes Playbook | webapp/incident/playbook |
# Patchen
Organizations können ihre Patching-Strategie für veränderliche Computerumgebungen automatisieren und dafür sorgen, dass veränderbare Instanzen mit der definierten Patch-Baseline dieser Anwendungsumgebung Schritt halten, indem sie AWS Systems Manager Patch Manager und verwenden. AWS Lambda****Eine Tagging-Strategie für veränderbare Instanzen in diesen Umgebungen kann verwaltet werden, indem diese Instanzen Patchgruppen und Wartungsfenstern zugewiesen werden.**** In den folgenden Beispielen finden Sie eine Aufteilung von Dev → Test → Prod. AWS Für das [Patch-Management](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/welcome.html) veränderlicher Instances sind präskriptive Anleitungen verfügbar.
*Tabelle 10 — Betriebs-Tags können umgebungsspezifisch sein*
| Entwicklung | Staging | Produktion |
| --- | --- | --- |
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab111",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#1 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab222",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab333",
"ResourceType": "instance",
"Value": "WEBAPP-DEV-AL2"
}
]
}
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab444",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#2 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab555",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab666",
"ResourceType": "instance",
"Value": "WEBAPP-TEST-AL2"
}
]
}
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab777",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#3 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab888",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab999",
"ResourceType": "instance",
"Value": "WEBAPP-PROD-AL2"
}
]
}
|
Zero-Day-Schwachstellen können auch behoben werden, indem Tags definiert werden, die Ihre Patch-Strategie ergänzen. Eine ausführliche Anleitung finden Sie unter [Vermeiden von Zero-Day-Sicherheitslücken mit Sicherheitspatches am selben Tag mithilfe von AWS Systems Manager](https://aws.amazon.com/blogs/mt/avoid-zero-day-vulnerabilities-same-day-security-patching-aws-systems-manager/).
# Operative Beobachtbarkeit
Beobachtbarkeit ist erforderlich, um umsetzbare Erkenntnisse über die Leistung Ihrer Umgebungen zu gewinnen und Probleme zu erkennen und zu untersuchen. Sie hat auch einen sekundären Zweck, der es Ihnen ermöglicht, wichtige Leistungsindikatoren (KPIs) und Service-Level-Ziele (SLOs) wie die Verfügbarkeit zu definieren und zu messen. Für die meisten Unternehmen KPIs sind die Mean Time to Detect (MTTD) und die Mean Time to Recovery (MTTR) nach einem Vorfall wichtige Operationen.
Bei der Beobachtbarkeit ist der Kontext wichtig, da Daten gesammelt und anschließend die zugehörigen Tags gesammelt werden. Unabhängig davon, auf welche Service-, Anwendungs- oder Anwendungsebene Sie sich konzentrieren, können Sie nach diesem bestimmten Datensatz filtern und analysieren. Mithilfe von Stichwörtern können Sie das Onboarding von CloudWatch Alarmen automatisieren, sodass die richtigen Teams benachrichtigt werden können, wenn bestimmte Messwerte überschritten werden. Beispielsweise könnten ein Tag-Schlüssel `example-inc:ops:alarm-tag` und der darauf stehende Wert darauf hinweisen, dass der Alarm ausgelöst wurde. CloudWatch Eine Lösung, die dies demonstriert, ist unter [Verwenden von Tags zur Erstellung und Verwaltung von CloudWatch Amazon-Alarmen für Amazon EC2-Instances](https://aws.amazon.com/blogs/mt/use-tags-to-create-and-maintain-amazon-cloudwatch-alarms-for-amazon-ec2-instances-part-1/) beschrieben.
Wenn zu viele Alarme konfiguriert sind, kann dies leicht zu einem Alarmsturm führen — wenn eine große Anzahl von Alarmen oder Benachrichtigungen die Bediener schnell überfordert und ihre Gesamteffizienz beeinträchtigt, während die Bediener einzelne Alarme manuell auswählen und priorisieren. Zusätzlicher Kontext für die Alarme kann in Form von Tags bereitgestellt werden, was bedeutet, dass Regeln innerhalb von Amazon definiert werden können, EventBridge um sicherzustellen, dass der Fokus auf das vorgelagerte Problem und nicht auf nachgelagerte Abhängigkeiten gelegt wird.
Die Rolle des Nebenbetriebs DevOps wird oft übersehen, aber in vielen Unternehmen leisten die zentralen Betriebsteams auch außerhalb der normalen Geschäftszeiten immer noch eine wichtige Erstreaktion. (Weitere Einzelheiten zu diesem Modell finden Sie im [Whitepaper Operational Excellence](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/separated-aeo-ieo-with-cent-gov-and-partner.html).) Im Gegensatz zu dem DevOps Team, das für den Workload verantwortlich ist, verfügen sie in der Regel nicht über die gleiche Tiefe an Wissen, sodass der Kontext, den Tags in Dashboards und Benachrichtigungen bereitstellen, sie zum richtigen Runbook für das Problem weiterleiten oder ein automatisiertes Runbook initiieren kann (weitere Informationen finden Sie im Blogbeitrag [Automating Amazon CloudWatch ](https://aws.amazon.com/blogs/mt/automating-amazon-cloudwatch-alarms-with-aws-systems-manager/) Alarms with). AWS Systems Manager
# Tags für Datensicherheit, Risikomanagement und Zugriffskontrolle
Organizations haben unterschiedliche Bedürfnisse und Verpflichtungen in Bezug auf den angemessenen Umgang mit der Datenspeicherung und -verarbeitung zu erfüllen. Die Datenklassifizierung ist ein wichtiger Vorläufer für verschiedene Anwendungsfälle wie Zugriffskontrolle, Datenspeicherung, Datenanalyse und Einhaltung von Vorschriften.
# Datensicherheit und Risikomanagement
In einer AWS Umgebung werden Sie wahrscheinlich Konten mit unterschiedlichen Compliance- und Sicherheitsanforderungen haben. Beispielsweise verfügen Sie möglicherweise über eine Entwickler-Sandbox und ein Konto, das die Produktionsumgebung für stark regulierte Arbeitslasten hostet, z. B. für die Verarbeitung von Zahlungen. Indem Sie sie auf verschiedene Konten isolieren, können Sie [unterschiedliche Sicherheitskontrollen anwenden](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html#apply-distinct-security-controls-by-environment), den [Zugriff auf vertrauliche Daten einschränken](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html#constrain-access-to-sensitive-data) und den Prüfungsumfang für regulierte Workloads reduzieren.
Die Einführung eines einzigen Standards für alle Workloads kann zu Herausforderungen führen. Während viele Kontrollen in der gesamten Umgebung gleichermaßen gelten, sind einige Kontrollen übertrieben oder irrelevant für Konten, die keine spezifischen rechtlichen Rahmenbedingungen erfüllen müssen, und für Konten, bei denen niemals personenbezogene Daten vorhanden sein werden (z. B. eine Entwickler-Sandbox oder Konten für Workload-Entwicklung). Dies führt in der Regel zu falsch positiven Sicherheitsergebnissen, die geprüft und geschlossen werden müssen, ohne dass Maßnahmen ergriffen werden, was den Aufwand der Ergebnisse, die untersucht werden sollten, überflüssig macht.
*Tabelle 11 — Beispiele für Tags für Datensicherheit und Risikomanagement*
| Anwendungsfall | Tag-Schlüssel | Begründung | Beispielwerte |
| --- | --- | --- | --- |
| Vorfallmanagement | example-inc:incident- management:escalationlog | Das System, das vom Support-Team zur Protokollierung von Vorfällen verwendet wird | jira, servicenow, zendesk |
| Vorfallmanagement | example-inc:incident- management:escalationpath | Pfad der Eskalation | ops-center, dev-ops, app-team |
| Datenklassifizierung | example-inc:data:classification | Klassifizieren Sie Daten aus Gründen der Einhaltung von Vorschriften und Unternehmensführung | Public, Private, Confidential, Restricted |
| Compliance | example-inc:compliance:framework | Identifiziert das Compliance-Framework, dem die Arbeitslast unterliegt | PCI-DSS, HIPAA |
Die manuelle Verwaltung verschiedener Kontrollen in einer AWS Umgebung ist sowohl zeitaufwändig als auch fehleranfällig. Der nächste Schritt besteht darin, die Implementierung geeigneter Sicherheitskontrollen zu automatisieren und die Überprüfung der Ressourcen auf der Grundlage der Klassifizierung dieses Kontos zu konfigurieren. Durch das Anwenden von Tags auf die Konten und die darin enthaltenen Ressourcen kann die Implementierung von Kontrollen automatisiert und entsprechend der Arbeitslast konfiguriert werden.
**Beispiel: **
Ein Workload umfasst einen Amazon S3 S3-Bucket mit dem Tag `example-inc:data:classification` mit dem Wert`Private`. Die Automatisierung der Sicherheitstools stellt eine AWS Config Regel bereit`s3-bucket-public-read-prohibited`, die die Block Public Access-Einstellungen des Amazon S3 S3-Buckets, die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL) überprüft und bestätigt, dass die Konfiguration des Buckets für seine Datenklassifizierung geeignet ist. Um sicherzustellen, dass der Inhalt des Buckets mit der Klassifizierung übereinstimmt, [kann Amazon Macie so konfiguriert werden, dass nach personenbezogenen Daten (PII) gesucht](https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-macie-supports-criteria-based-bucket-selection-sensitive-data-discovery-jobs/) wird. Der Blog [Using Amazon Macie to Validate S3 Bucket Data Classification](https://aws.amazon.com/blogs/architecture/using-amazon-macie-to-validate-s3-bucket-data-classification/) untersucht dieses Muster eingehender.
Bestimmte regulatorische Rahmenbedingungen, wie z. B. Versicherungen und Gesundheitswesen, unterliegen möglicherweise verbindlichen Richtlinien zur Aufbewahrung von Daten. Die Datenspeicherung mithilfe von Tags in Kombination mit Amazon S3 Lifecycle-Richtlinien kann eine effektive und einfache Möglichkeit sein, Objektübergänge auf eine andere Speicherebene zu regeln. Amazon S3 S3-Lebenszyklusregeln können auch verwendet werden, um Objekte für die Datenlöschung nach Ablauf der obligatorischen Aufbewahrungsfrist ablaufen zu lassen. Eine ausführliche Anleitung zu diesem Prozess finden Sie unter [Vereinfachen Sie Ihren Datenlebenszyklus durch die Verwendung von Objekt-Tags mit Amazon S3 Lifecycle](https://aws.amazon.com/blogs/storage/simplify-your-data-lifecycle-by-using-object-tags-with-amazon-s3-lifecycle/).
Darüber hinaus können Tags dem Prüfer bei der Suche oder Behebung von Sicherheitslücken wichtigen Kontext liefern, der ihm hilft, das Risiko einzuschätzen, und hilft dabei, die entsprechenden Teams mit der Untersuchung oder Abschwächung der Ergebnisse zu beauftragen.
# Tags für Identitätsmanagement und Zugriffskontrolle
Bei der Verwaltung der Zugriffskontrolle in einer AWS Umgebung mit AWS IAM Identity Center können Tags verschiedene Skalierungsmuster ermöglichen. Es gibt mehrere Delegierungsmuster, die angewendet werden können. Einige basieren auf Tagging. Wir werden sie einzeln behandeln und Links zu weiterführenden Informationen zu jedem Thema bereitstellen.
# ABAC für einzelne Ressourcen
IAM Identity Center-Benutzer und IAM-Rollen unterstützen die attributebasierte Zugriffskontrolle (ABAC), mit der Sie den Zugriff auf Operationen und Ressourcen anhand von Tags definieren können. ABAC reduziert die Notwendigkeit, die Berechtigungsrichtlinien zu aktualisieren, und unterstützt Sie dabei, den Zugriff auf Mitarbeiterattribute aus Ihrem Unternehmensverzeichnis zu stützen. Wenn Sie bereits eine Strategie für mehrere Konten verwenden, kann ABAC zusätzlich zur rollenbasierten Zugriffskontrolle (RBAC) verwendet werden, um mehreren Teams, die mit demselben Konto arbeiten, granularen Zugriff auf verschiedene Ressourcen zu ermöglichen. Beispielsweise können IAM Identity Center-Benutzer oder IAM-Rollen Bedingungen zur Beschränkung des Zugriffs auf bestimmte Amazon EC2 EC2-Instances enthalten, die andernfalls explizit in jeder Richtlinie aufgeführt werden müssten, um auf sie zugreifen zu können.
Da ein ABAC-Autorisierungsmodell für den Zugriff auf Operationen und Ressourcen von Tags abhängt, ist es wichtig, Schutzmaßnahmen vorzusehen, um unbeabsichtigten Zugriff zu verhindern. SCPs kann verwendet werden, um Tags in Ihrer gesamten Organisation zu schützen, indem Tags nur unter bestimmten Bedingungen geändert werden dürfen. Informationen zur Implementierung finden Sie [in den Blogs Sicherung von Ressourcen-Tags, die für die Autorisierung mithilfe einer Dienststeuerungsrichtlinie verwendet](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) werden, AWS Organizations und [Zugriffsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
Wenn langlebige Amazon EC2-Instances zur Unterstützung traditionellerer Betriebspraktiken verwendet werden, kann dieser Ansatz verwendet werden. Im Blog [Configure IAM Identity Center ABAC for Amazon EC2 Instances and Systems Manager Session Manager](https://aws.amazon.com/blogs/security/configure-aws-sso-abac-for-ec2-instances-and-systems-manager-session-manager/) wird diese Form der attributbasierten Zugriffskontrolle ausführlicher beschrieben. Wie bereits erwähnt, unterstützen nicht alle Ressourcentypen das Tagging, und von denen, die dies tun, unterstützen nicht alle die Durchsetzung mithilfe von Tag-Richtlinien. Daher ist es ratsam, dies zu überprüfen, bevor Sie mit der Implementierung dieser Strategie auf einem beginnen AWS-Konto.
Weitere Informationen zu Diensten, die ABAC unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).