Wie sichere ich meine EC2-Instance, um Compliance-Programme zu erfüllen?

Lesedauer: 5 Minute

Ich möchte meine Amazon Elastic Compute Cloud (Amazon EC2)-Instance sichern, um ein Compliance-Programm zu erfüllen.

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Es liegt in deiner Verantwortung, Compliance-Gesetze, Vorschriften und Datenschutzprogramme einzuhalten. Weitere Informationen zu bestehenden Compliance-Programmen findest du unter AWS-Compliance-Programme.

Die folgende Tabelle enthält gängige Compliance-Programme, deren Anforderungen und AWS-Services, die du bei der Konfiguration der Compliance unterstützen:

Compliance-Programm	Wichtige Anforderungen	Zu verwendende AWS-Services
SOC 2	Sicherheit, Verfügbarkeit und Vertraulichkeit	AWS-Identitäts- und Zugriffsmanagement (IAM), AWS CloudTrail, AWS Config, Amazon GuardDuty
Health Insurance Portability and Accountability Act (HIPAA)	Verschlüsselung und Zugriffsprotokolle für elektronische geschützte Gesundheitsinformationen (ePHI)	AWS Key Management Service (AWS KMS), CloudTrail, Amazon Macie
Payment Card Data Security Standards (PCI DSS)	Datenschutz für Karteninhaber und Web Application Firewall (WAF)	AWS WAF, AWS Shield, Amazon Inspector
Datenschutz-Grundverordnung (DSGVO)	Schutz persönlicher identifizierbarer Informationen (PII) und Recht auf Löschung	Macie, AWS Lambda
ISO 27001	Risikomanagement und Verschlüsselung	AWS Security Hub, AWS Atrifact
National Institute of Standards and Technology (NIST) 800-53	Zugriffskontrolle und Protokollierung	Richtlinien zur Servicesteuerung (SCPs) von AWS Organizations
Federal Risk and Authorization Management Program (FedRAMP)	Cloud-Sicherheit der US-Regierung	AWS GovCloud (USA), AWS Control Tower

Um die Compliance-Anforderungen zu erfüllen, empfiehlt es sich, einen mehrschichtigen Sicherheitsansatz für die EC2-Instances zu implementieren.

Die Zugriffskontrolle verwenden, um das Prinzip der geringsten Berechtigung einzuhalten

Gehe wie folgt vor, um die Konformität für Programme wie SOC 2, NIST und ISO 27001 zu konfigurieren:

Verwende die IAM Identity Center-Konsole oder die AWS-CLI, um die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer durchzusetzen.
Hinweis: Erzwungenes MFA ist für PCI DSS und SOC 2 erforderlich.
Verwende IAM-Rollen anstelle von Root-Benutzern oder langfristigen Anmeldeinformationen.
Wende SCPs an, um riskante Aktionen einzuschränken.

Die Verschlüsselung im Ruhezustand und bei der Übertragung einrichten

Gehe wie folgt vor, um die Konformität für Programme wie HIPPA, PCI DSS und GDPR zu konfigurieren:

Aktiviere die Amazon Elastic Block Store (Amazon EBS)-Verschlüsselung.
Hinweis: Du kannst die automatische Verschlüsselung für neue EBS-Volumes und Snapshots einrichten.
Erzwinge TLS 1.2 oder höher.
Hinweis: Dies ist für PCI DSS erforderlich.
Verwende AWS Certificate Manager (ACM)-Zertifikate, um den HTTPS-Datenverkehr zu verwalten.
Konfiguriere die Sicherheitsgruppen so, dass Nicht-SSL/TLS-Datenverkehr blockiert wird.
Hinweis: Um nur verschlüsselten Datenverkehr zuzulassen, lasse SSL/TLS-Ports wie 443, 465 und 587 zu und blockiere Klartext-Ports wie 80, 21 und 3306. Weitere Informationen zu Sicherheitsgruppen findest du unter Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.
Kombiniere Sicherheitsgruppenregeln mit Durchsetzung auf Anwendungsebene, z. B. HTTP Strict Transport Security (HSTS).

Netzwerksicherheitsfirewalls einrichten

Gehe wie folgt vor, um die Konformität für Programme wie PCI DSS, FedRAMP und NIST zu konfigurieren:

Schränke Sicherheitsgruppen ein, um nur die erforderlichen Ports zuzulassen.
Verwende AWS WAF, um die Instance zu schützen.
Aktiviere Amazon Virtual Private Cloud (Amazon VPC) Flow Logs, um den IP-Adressverkehr zu erfassen, sodass du die bewährten Methoden für den Betrieb gemäß NIST 800-53 einhalten.

Audit Trails einrichten

Gehe wie folgt vor, um die Konformität für Programme wie SOC 2, ISO 27001 und HIPAA zu konfigurieren:

Um CloudTrail für alle AWS-Regionen zu aktivieren, erstelle einen Trail, bei dem IsMultiRegionTrail auf true gesetzt ist oder aktualisiere die vorhandenen Trails.
Sende Protokolle zur automatischen Konformitätsprüfung an Amazon Detective oder den Security Hub.

Patchmanagement und Schwachstellen-Scans konfigurieren

Gehe wie folgt vor, um die Kompatibilität mit Programmen wie PCI DSS und FedRAMP zu konfigurieren:

Richte Patch Manager ein, eine Funktion von AWS Systems Manager, um die Windows- und Linux-Instances automatisch zu patchen.
Verwende Amazon Inspector, um die Instances nach Paketschwachstellen und Problemen mit der Netzwerkerreichbarkeit zu scannen.

SSH-Zugang einrichten

Gehe wie folgt vor, um die Kompatibilität mit Programmen wie SOC 2, HIPAA, PCI DSS und NIST zu konfigurieren:

Halte dich an die bewährten Methoden für den SSH-Zugriff.
Verwende Session Manager, eine Funktion von AWS Systems Manager, um anstelle von SSH eine Verbindung zu der Instance herzustellen.
Beschränke Sicherheitsgruppen auf bestimmte IP-Adressen.
Deaktiviere die Passwort-Anmeldung und verwende stattdessen SSH-Schlüsselpaare.
Rotiere die SSH-Schlüssel alle 90 Tage.

Bedrohungserkennung einrichten

Um die Kompatibilität mit Programmen wie SOC 2 und IS 27001 zu konfigurieren, konfiguriere die folgenden GuardDuty-Einstellungen:

Integriere GuardDuty mit Security Hub, um kritische Erkenntnisse zu eskalieren.
Malware-Scans auf Abruf einrichten.
Um Sicherheitsbedrohungen zu identifizieren, die sich am stärksten auf die Umgebung auswirken, solltest du Unterdrückungsregeln einrichten, um Fehlalarme, unbedeutende Ergebnisse und nicht umsetzbare Bedrohungen zu entfernen.

Informationen über die Instances für einen Bericht abrufen

Führe den folgenden AWS-CLI-Befehl describe-instances aus, um Daten über die Instance wie ID, Tags und Compliance-Status abzurufen:

aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv

Wichtig: Es hat sich bewährt, die Konfiguration regelmäßig zu überprüfen und zu aktualisieren, um die Konformität zu gewährleisten, wenn sich Standards ändern.

Themen: Compute
Tags: Linux Amazon EC2 Windows
Sprache: Deutsch

AWS OFFICIALAktualisiert vor 5 Monaten

Relevanter Inhalt

Wie verwende ich eine Lambda-Funktion zur Initialisierung/Validierung oder Erfüllung, um den Dialogablauf meines Amazon Lex Bot zu ändern?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie vermeide ich RequestLimitExceeded-Fehler, wenn ich PowerShell verwende, um mehrere Amazon EC2-Instances programmgesteuert zu starten?
AWS OFFICIALAktualisiert vor 3 Jahren
Warum funktioniert die Lebenszyklusregel in meinem Amazon S3-Bucket nicht, obwohl ich sie vor mehr als einem Tag angewendet habe?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie verwende ich die Portweiterleitung von Systems Manager Session Manager ohne Bastion-Host, um über RDP eine Verbindung zu meiner EC2-Instance herzustellen?
AWS OFFICIALAktualisiert vor 2 Monaten