20 Sicherheitsprüfungen, um Ihre AWS-Infrastruktur "kugelsicher" zu machen

Hier ist die Liste der 20 wichtigsten Sicherheitsprüfungen, die regelmäßig durchgeführt werden müssen, um Ihre AWS-Infrastruktur "kugelsicher" zu machen:

1) Sicherheitsgruppen

Eine Sicherheitsgruppe fungiert als virtuelle Firewall, die den ein- und ausgehenden Datenverkehr für eine oder mehrere Instanzen kontrolliert. Sie verknüpfen eine Sicherheitsgruppe mit dem Start einer jeden Instanz. Da die Daten möglicherweise einen offenen IP-Port haben oder für den öffentlichen Zugriff offen sind, besteht die Gefahr von Datenverletzungen. Um Sicherheitslücken zu vermeiden, empfehlen wir, nur die mit den entsprechenden IP- und Sicherheitsgruppen verbundenen Ports offen zu halten.

2.IAM MFA-Audit

Um Ihrem AWS-Konto eine zusätzliche Sicherheitsebene hinzuzufügen, wird empfohlen, die Multi-Faktor-Authentifizierung für IAM-Benutzer zu aktivieren, um Ihre wichtigen Daten vor Online-Hackern zu schützen.

3. ELB-Zugriffsprotokoll

Wenn Sie AWS ELB Access für die Elastic Load Balancer nicht aktiviert haben, sind Ihre Daten einigen Bedrohungen ausgesetzt. Wir empfehlen Ihnen, das ELB Access-Protokoll zu aktivieren, um die Sicherheit zu erhöhen.

4.Schutz der Terminierung

Wenn für die AWS EC2-Instances kein API-Beendigungsschutz aktiviert ist, kann es zu einer versehentlichen Beendigung von Maschinen durch einen automatischen Prozess kommen. Es wird empfohlen, den Beendigungsschutz für alle geschäftskritischen EC2-Instances in Ihrem AWS-Cloud-Konto zu aktivieren.

5.ELB-Listener-Sicherheitsaudit

Wenn ein Load Balancer keinen Listener hat, der ein sicheres Protokoll (HTTPS oder SSL) verwendet, stellt er eine Gefahr für Ihre Daten dar. Konfigurieren Sie einen oder mehrere sichere Listener für Ihren Load Balancer. Sie sollten HTTPS- oder SSL-Listener für ELBs mit öffentlicher Schnittstelle erstellen.

6. nicht verwendete IAM-Zugangsschlüssel

Wenn Sie bestimmte IAM-Zugangsschlüssel in den letzten 30 Tagen oder seit der Erstellung nicht verwendet haben, empfehlen wir Ihnen dringend, diese zu entfernen, um die Sicherheit zu erhöhen und Schlüsselkompromittierungen zu vermeiden. 

7. RDS-Sicherheitsprüfung (für VPC SG und für die Liste der Ports)

Für die AWS RDS-Instanzen, deren DB-Port für die Öffentlichkeit oder eine Reihe von IPs geöffnet ist, empfehlen wir, den Port nur für die erforderlichen IPs und Sicherheitsgruppen zu öffnen.

8.Root Account Zugangsschlüssel

Eine der besten Möglichkeiten, Ihr Konto zu schützen, besteht darin, keinen Zugangsschlüssel für Ihr Stammkonto zu haben. Erstellen Sie einen oder mehrere AWS Identity and Access Management (IAM)-Benutzer und geben Sie ihnen die erforderlichen Berechtigungen.

9.IAM-Admin-Rollen Audit

Ein einziger IAM-Administrator für Ihr AWS-Konto ist riskant. Haben Sie stattdessen einen oder mehrere AWS IAM-Benutzer, geben Sie ihnen die Berechtigungen und verwenden Sie diese IAMs für die tägliche Interaktion mit AWS. Versuchen Sie außerdem, temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle von langfristigen Zugangsschlüsseln zu verwenden.

10.IAM-Passwort-Richtlinie

Wenn Sie eine Kennwortrichtlinie für Ihr AWS-Konto festlegen, denken Sie immer daran, die Komplexitätsanforderungen und die obligatorische Kennwortregenerierung bei Ablauf des IAM-Kennworts anzugeben. Auf diese Weise stellen Sie sicher, dass Ihre Kontoanmeldeinformationen in sicheren Händen sind!

11.IAM-Politik (für verwaltete Policen)

Wenn Sie einem einzelnen IAM-Benutzer die vollständige Kontrolle über Ihr AWS-Konto übertragen haben, besteht die Möglichkeit eines Datenverstoßes, da der IAM-Benutzer zu jedem Zeitpunkt auf jede Ihrer Ressourcen zugreifen kann. Sie können auch jeden IAM-Benutzer ausschließen, dem Sie in Zukunft keinen vollen Zugriff gewähren möchten.

12.CloudTrail

Kein Cloudtrail= Sicherheitsrisiken!

AWS CloudTrail ist ein Webservice, der API-Aufrufe für Ihr Konto aufzeichnet und Protokolldateien an Ihren Amazon S3-Bucket liefert. Kunden, die Änderungen an Ressourcen nachverfolgen, einfache Fragen zu Benutzeraktivitäten beantworten, Compliance nachweisen, Fehler beheben oder Sicherheitsanalysen durchführen möchten, sollten CloudTrail aktivieren.

13. IAM-Admin-Zählung

Gesamtzahl der Administratorkonten. Wenn es zu viele IAM-Administratorkonten gibt, kann dies zu Sicherheitsproblemen führen. Es wird empfohlen, nicht viele IAM-Benutzer mit Administratorrechten zu haben.

14.SSL Verfall

Wenn Sie SSL-Zertifikate auf Amazon Web Services für ELB (Elastic Load Balancing) oder CloudFront (CDN) hochgeladen haben, sollten Sie die Ablaufdaten im Auge behalten und die Zertifikate rechtzeitig erneuern, um einen unterbrechungsfreien Service zu gewährleisten.

15.Wurzelkonto MFA

Vergessen Sie nie, MFA für Ihr Root-Konto zu aktivieren. Die beste Option wäre, nur privilegierten IAMs begrenzten Zugriff zu gewähren.

16.Nicht verwendete Sicherheitsgruppe

Wenn bestimmte Sicherheitsgruppen nicht verwendet werden oder mit keiner Instanz verbunden sind, wird empfohlen, diese Sicherheitsgruppen zu entfernen.

17.RDS-Verschlüsselung

Die Verschlüsselung Ihres RDS ist eine gute Praxis. Wenn die RDS-Instances nicht auf der Ebene des Datenbankspeichers verschlüsselt sind, können Sie die Amazon RDS-Verschlüsselung verwenden, um den Datenschutz für Ihre in der Cloud bereitgestellten Anwendungen zu erhöhen und alle Compliance-Anforderungen für die Data-at-Rest-Verschlüsselung zu erfüllen.

18.Alte IAM-Zugangsschlüssel

Als Administrator empfehlen wir Ihnen, die Zugangsschlüssel für IAM-Benutzer in Ihrem Konto regelmäßig zu rotieren/ändern. Wenn Sie den Benutzern die erforderlichen Berechtigungen erteilt haben, können sie ihre eigenen Zugriffsschlüssel rotieren. Ändern Sie in der Zwischenzeit die Zugriffsschlüssel, die älter als 60 Tage sind, um die Sicherheit Ihrer AWS-Konten zu erhöhen.

19.S3 Bucket Berechtigungen

Standardmäßig sind alle S3-Bucket-Berechtigungen privat, und Sie müssen anderen Benutzern Lese-/Schreibzugriffsrechte erteilen, indem Sie eine Zugriffsrichtlinie schreiben. Bucket-Berechtigungen, die jedem den Listenzugriff gewähren, können zu höheren als den erwarteten Gebühren führen, wenn Objekte im Bucket häufig von unbeabsichtigten Benutzern aufgelistet werden. Stellen Sie sicher, dass Sie eingeschränkte Zugriffsrechte erteilen.

20.dienst log ablauf 

Es ist ratsam, den Ablauf von Dienstprotokollen für jeden der Logging Buckets zu aktivieren, um sicherzustellen, dass Sie die Ablaufdaten nicht verpassen.

Zu wissen, wie Rationales Verkaufen kann Ihnen helfen, Ihre Cloud-Infrastruktur einzurichten und zu sichern: Besuchen Sie uns www.Rationalselling.com oder schreiben Sie uns an info@rationalselling.com

Folgen Sie uns: Twitter, Facebook & LinkedIn