Sicherheitsrichtlinien sind wie Bauvorschriften: trocken und uncool! Doch sie müssen eingehalten werden.
Durch Sicherheitsrichtlinien können beispielsweise die Passwortkomplexität von Instanzen und Volumes geregelt werden. Die Richtlinien legen zudem den Umgang mit öffentlich verfügbaren Systemen oder auch die verpflichtende Verschlüsselung fest.
Doch wie behalten wir den Überblick darüber, dass die Richtlinien eingehalten werden?
Natürlich kann ein IT-Sicherheitsbeauftragter dies regelmäßig prüfen. Doch das fühlt sich in einer vollautomatisierten IT-Landschaft falsch an. Es ist kostspielig und zeitaufwendig.
Viel besser eignet sich hier automatische Prüfungen einzusetzen. Die Lösung für dich ist der Service AWS Config. Hier können Ressourcen darauf geprüft werden, ob sie den Richtlinien gerecht werden. Enormer Vorteil: Deine Ressourcen werden regelmäßig auf Konformität geprüft. Selbst geänderte und neue Ressourcen. Du kannst also sicher sein: Die Sicherheitsrichtlinien werden eingehalten. Das schafft ein gutes Gefühl.
AWS Config sollte zentral ausgerollt und Regeln zentral definiert werden. Es gibt viele vordefinierte Konfigurationspakete, die jeweils mehrere Regeln enthalten.
Meine Empfehlung für dich: Mindestens die CIS (Center for Internet Security) Level 1 und 2 Konfigurationspakete anzuwenden. Diese enthalten Best Practices für die Accountsicherheit und Verwendung von AWS.
Darüberhinaus gibt es noch weitere sinnvolle Konfigurationen, die aber vom Einzelfall wie zum Beispiel der Nutzung bestimmter Services abhängen. Hier lohnt es sich in der Dokumentation zu stöbern. Diese habe ich unter “Leseempfehlungen” für dich angefügt.
Leseempfehlungen
Bei weiterem Interesse an dem Thema empfehle ich die folgenden Seiten.
AWS Dokumentation – Conformance Packs
Conformance Packs sind Pakete mit mehreren Regeln, die AWS vorgefertigt bereitstellt.