Was sind einige bewährte Methoden zur Sicherung meines AWS-Kontos und seiner Ressourcen?

Kurzbeschreibung

AWS bietet viele Tools zum Schutz Ihres Kontos. Da viele dieser Maßnahmen jedoch standardmäßig nicht aktiv sind, müssen Sie direkte Maßnahmen ergreifen, um sie umzusetzen. Hier sind einige bewährte Methoden, die Sie bei der Sicherung Ihres Kontos und seiner Ressourcen berücksichtigen sollten:

• Schützen Sie Ihre Passwörter und Zugriffsschlüssel
• Aktivieren Sie die Multifaktor-Authentifizierung (multi-factor authentication) (MFA) für den Root-Benutzer des AWS-Kontos und alle Benutzer mit interaktivem Zugriff auf AWS Identitäts- und Zugriffsmanagement (Identity and Access Management) (IAM)
• Beschränken Sie den Root-Benutzerzugriff des AWS-Kontos auf Ihre Ressourcen
• Überprüfen Sie IAM-Benutzer und ihre Richtlinien regelmäßig
• Erstellen Amazon Elastic Block Store (Amazon EBS) -Snapshots, Amazon Relational Database Service (Amazon RDS) -Snapshots und Amazon Simple Storage Service (Amazon S3) -Objektversionen
• Verwenden Sie AWS-Git-Projekte, um nach Beweisen für eine unbefugte Nutzung zu suchen
• Überwachen Sie Ihr Konto und seine Ressourcen

**Hinweis:**Wenn Sie AWS Identity Center oder IAM-Verbundbenutzer verwenden, gelten die bewährten Methoden für IAM-Benutzer auch für Verbundbenutzer.

Behebung

Schützen Sie Ihre Passwörter und Zugriffsschlüssel

Die beiden wichtigsten Arten von Anmeldeinformationen, die für den Zugriff auf Ihr Konto verwendet werden, sind Passwörter und Zugriffsschlüssel. Passwörter und Zugriffsschlüssel können auf das AWS-Root-Benutzerkonto und einzelne IAM-Benutzer angewendet werden. Es ist eine bewährte Methode, Passwörter und Zugriffsschlüssel (access keys) genauso sicher wie alle anderen vertraulichen persönlichen Daten zu schützen. Betten Sie sie niemals in öffentlich zugänglichen Code ein (z. B. ein öffentliches Git-Repository). Um die Sicherheit zu erhöhen, sollten Sie alle Sicherheitsanmeldeinformationen regelmäßig rotieren und aktualisieren.

Wenn Sie vermuten, dass ein Passwort oder ein Zugriffsschlüsselpaar offengelegt wurde, gehen Sie wie folgt vor:

1. Rotiert alle Zugriffsschlüsselpaare.
2. Ändern Sie das Root-Benutzerkennwort Ihres AWS-Kontos.
3. Folgen Sie den Anweisungen unter Was mache ich, wenn ich unautorisierte Aktivitäten in meinem AWS-Konto feststelle?

Aktivieren MFA

Die Aktivierung von MFA kann dazu beitragen, die Konten zu sichern und zu verhindern, dass sich unbefugte Benutzer ohne Sicherheitstoken bei Konten anmelden.

Um die Sicherheit zu erhöhen, empfiehlt es sich, MFA zu konfigurieren, um Ihre AWS-Ressourcen zu schützen. Sie können eine virtuelle MFA für IAM-Benutzer und den Root-Benutzer des AWS-Kontos aktivieren. Die Aktivierung von MFA für den Root-Benutzer wirkt sich nur auf die Root-Benutzeranmeldeinformationen aus. IAM-Benutzer im Konto sind unterschiedliche Identitäten mit eigenen Anmeldeinformationen, und jede Identität hat ihre eigene MFA-Konfiguration.

Weitere Informationen finden Sie unter Aktivierung von MFA-Geräten für Benutzer in AWS.

Beschränken Sie den Root-Benutzerzugriff auf Ihre Ressourcen

Die Anmeldeinformationen für das Root-Benutzerkonto (das Root-Passwort oder die Root-Zugriffsschlüssel) gewähren uneingeschränkten Zugriff auf Ihr Konto und seine Ressourcen. Es ist eine bewährte Methode, den Root-Benutzerzugriff auf Ihr Konto zu sichern und zu minimieren.

Erwägen Sie die folgenden Strategien, um den Root-Benutzerzugriff auf Ihr Konto einzuschränken:

• Verwenden Sie IAM-Benutzer für den täglichen Zugriff auf Ihr Konto. Wenn Sie die einzige Person sind, die auf das Konto zugreift, finden Sie weitere Informationen unter Erstellen eines administrativen Benutzers.
• Eliminieren Sie die Verwendung von Root-Zugriffsschlüsseln. Weitere Informationen finden Sie unter Bewährte Methoden für die Verwaltung von AWS-access keys (Zugriffsschlüsseln).
• Verwenden Sie ein MFA-Gerät für den Root-Benutzer Ihres Kontos.

Weitere Informationen finden Sie unter Schützen Sie Ihre Root-Benutzeranmeldeinformationen und verwenden Sie sie nicht für alltägliche Aufgaben.

Überprüfen Sie IAM-Benutzer und ihre Richtlinien regelmäßig

Beachten Sie bei der Arbeit mit IAM-Benutzern die folgenden bewährten Methoden:

• Stellen Sie sicher, dass die IAM-Benutzer über möglichst restriktive Richtlinien verfügen und nur über ausreichende Berechtigungen verfügen, um ihre beabsichtigten Aufgaben ausführen zu können (geringste Berechtigung).
• Verwenden Sie AWS IAM Access Analyzer, um Ihre vorhandenen Berechtigungen zu analysieren. Weitere Informationen finden Sie unter IAM Access Analyzer erleichtert die Implementierung von Least Privilege-Berechtigungen, indem IAM-Richtlinien auf der Grundlage der Zugriffsaktivität generiert werden.
• Erstellen Sie verschiedene IAM-Benutzer für jede Gruppe von Aufgaben.
• Wenn Sie demselben IAM-Benutzer mehrere Richtlinien zuordnen, beachten Sie, dass die am wenigsten restriktive Richtlinie Vorrang hat.
• Prüfen Sie regelmäßig Ihre IAM-Benutzer und deren Berechtigungen und finden Sie ungenutzte Anmeldeinformationen.
• Wenn Ihr IAM-Benutzer Zugriff auf die Konsole benötigt, können Sie ein Passwort einrichten, um den Konsolenzugriff zu ermöglichen und gleichzeitig die Benutzerberechtigungen einzuschränken.
• Richten Sie individuelle MFA-Geräte für jeden IAM-Benutzer ein, der Zugriff auf die Konsole hat.

Sie können den visuellen Editor in der IAM-Konsole verwenden, um sichere Richtlinien zu definieren. Beispiele für gängige Geschäftsanwendungsfälle und die Richtlinien, die Sie verwenden könnten, um sie zu lösen, finden Sie unter Geschäftliche Anwendungsfälle für IAM.

Erstellen Amazon EBS-Snapshots, Amazon RDS-Snapshots und Amazon S3-Objektversionen

Informationen zum Erstellen eines Point-in-Time-Snapshots eines EBS-Volumes finden Sie unter Erstellen Amazon EBS-Snapshots.

Informationen zur Aktivierung automatisierter Amazon RDS-Snapshots und zur Festlegung des Aufbewahrungszeitraums für Backups finden Sie unter Aktivieren automatisierte Backups.

Informationen zum Erstellen eines Standard-S3-Buckets für Backup und Archivierung finden Sie unter Erstellen Standard-S3-Buckets für Backup und Archivierung . Informationen zum Erstellen einer S3-Bucket-Versionierung finden Sie unter Verwenden der Versionierung in S3-Buckets.

Informationen zum Erstellen eines AWS-Backup-Plans mithilfe der Konsole finden Sie unter Erstellen ein geplantes Backup. Informationen zum Erstellen eines AWS-Backup-Plans mithilfe der AWS-Befehlszeilenschnittstelle (AWS CLI) finden Sie unter Wie kann ich die AWS CLI verwenden, um einen AWS-Backup-Plan zu erstellen oder einen On-Demand-Job auszuführen?

Verwenden Sie AWS-Git-Projekte, um sich vor unbefugter Nutzung zu schützen

AWS bietet Git-Projekte an, die Sie installieren können, um Ihr Konto zu schützen:

• Git Secrets kann Merges, Commits und Commit-Nachrichten nach geheimen Informationen (Zugriffsschlüsseln) durchsuchen. Wenn Git Secrets verbotene reguläre Ausdrücke erkennt, kann es verhindern, dass diese Commits in öffentlichen Repositorys veröffentlicht werden.
• Verwenden Sie AWS Step Functions und AWS Lambda, um Amazon CloudWatch-Ereignisse aus AWS Health oder von AWS Trusted Advisor zu generieren. Wenn es Hinweise darauf gibt, dass Ihre Zugriffsschlüssel offengelegt wurden, können Ihnen die Projekte dabei helfen, das Ereignis automatisch zu erkennen, zu protokollieren und zu entschärfen.

Überwachen Sie Ihr Konto und seine Ressourcen

Es ist eine bewährte Methode, Ihr Konto und seine Ressourcen aktiv zu überwachen, um ungewöhnliche Aktivitäten oder Zugriffe auf Ihr Konto zu erkennen. Erwägen Sie eine oder mehrere der folgenden Lösungen:

• Erstellen Sie einen Fakturierungsalarm, um Ihre geschätzten AWS-Gebühren zu überwachen und automatische Benachrichtigungen zu erhalten, wenn Ihre Rechnung die von Ihnen definierten Schwellenwerte überschreitet. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Amazon CloudWatch.
• Erstellen Sie einen Trail für Ihr AWS-Konto, um nachzuverfolgen, welche Anmeldeinformationen verwendet werden, um bestimmte API-Aufrufe zu initiieren und wann sie verwendet werden. Auf diese Weise können Sie feststellen, ob die Verwendung versehentlich oder nicht autorisiert war. Sie können dann die entsprechenden Maßnahmen ergreifen, um die Situation zu entschärfen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden in AWS CloudTrail.
• Verwenden Sie CloudTrail und CloudWatch zusammen, um die Nutzung von Zugriffsschlüsseln zu überwachen und Benachrichtigungen für ungewöhnliche API-Aufrufe zu erhalten.
• Aktivieren Sie die Protokollierung auf Ressourcenebene (z. B. auf Instanz- oder Betriebssystemebene) und die Amazon S3-Standard-Bucket-Verschlüsselung.
• Aktivieren Sie Amazon GuardDuty für Ihr AWS-Konto in allen unterstützten Regionen. Nach dem Einschalten beginnt GuardDuty mit der Analyse unabhängiger Datenströme aus dem AWS CloudTrail-Management und Amazon S3-Datenereignissen, Amazon VPC Flow Logs und DNS-Protokollen, um Sicherheitsergebnisse zu generieren. Zu den wichtigsten Erkennungskategorien gehören die Kompromittierung von Konten, die Kompromittierung von Instanzen und böswillige Eingriffe. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Amazon GuardDuty.

**Hinweis:**Es hat sich bewährt, die Protokollierung für alle Regionen zu aktivieren, nicht nur für die, die Sie regelmäßig verwenden.

Ähnliche Informationen

AWS-Cloud-Sicherheit

Bewährte Methoden für die Verwaltung von AWS-Konten

Bewährte Methoden für Sicherheit, Identität und Compliance

Wie kann ich die Dateien in meinem Amazon S3-Bucket sichern?

Bewährte Methoden für die Überwachung und Prüfung von Amazon S3