Blog Sichere Cloud

Implementierung von AWS Resource Control Policies: Hauptmerkmale und Vorteile

Die neuen Resource Control Policies (RCPs) von AWS zielen darauf ab, die Kontrolle über den Zugriff auf Ressourcen zu verbessern. Unternehmen sollten jedoch bei der Umsetzung Vorsicht walten lassen.

 

Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.

Dubie Dubendorfer

2 minute gelesen
Letzte aktualisierung 11. Februar 2025
Varonis for AWS

Contents

    AWS hat kürzlich Resource Control Policies (RCPs) eingeführt, um ihre Tools für Zugriffsverwaltung und Cloud-Sicherheit zu verbessern. RCPs ermöglichen es Unternehmen, Datenperimeter in ihrer AWS-Umgebung zentral durchzusetzen und so die Kontrolle über den Zugriff auf Ressourcen zu verbessern. 

    Unternehmen sollten jedoch bei der Umsetzung von RCP Vorsicht walten lassen.

    Was sind AWS-Ressourcenkontrollrichtlinien? 

    Die Verwaltung des Zugriffs auf mehrere Ressourcen in großem Umfang kann komplex sein. Die Identifizierung überbelichteter Ressourcen in einer großen AWS-Umgebung erfordert einen erheblichen manuellen Aufwand, ebenso wie die kontinuierliche Sanierung dieser Überexpositionen.

    RCPs sind eine neue Art von Autorisierungsrichtlinie, die innerhalb von AWS Organizations verwaltet wird. Sie ermöglichen es Administratoren, die maximal verfügbaren Berechtigungen für Ressourcen im gesamten Unternehmen festzulegen und so dauerhaft wirksame Zugriffsschutzmaßnahmen zu schaffen.

    RCPs ergänzen die bestehenden Service Control Policies (SCPs), arbeiten jedoch unabhängig und konzentrieren sich auf den Zugriff auf Ressourcenebene statt auf Berechtigungen auf Mandantenebene. 

    Hauptmerkmale und Vorteile 

    • Zentralisierte Verwaltung: RCPs können auf der Ebene der Root, der organisatorischen Einheit (OU) oder des einzelnen Kontos angewendet werden, was eine granulare Kontrolle und eine konsistente Durchsetzung von Richtlinien über mehrere AWS-Konten hinweg ermöglicht. 
    • Verbesserte Sicherheit: Durch die Einschränkung des Zugriffs auf Ressourcen in großem Umfang tragen RCPs dazu bei, einen kontrollierten Datenperimeter zu schaffen und das Risiko von unbefugtem Zugriff oder Datenschutzverletzungen zu verringern. Seien Sie jedoch vorsichtig bei der Verwendung von RCPs, da die Verwaltung mehrerer RCPs mit zunehmender Anzahl schwierig werden kann. 
    • Unterstützte Services: Derzeit unterstützen RCPs fünf kritische AWS-Services: Amazon Simple Storage Service (S3), AWS Security Token Service (STS), AWS Key Management Service (KMS), Amazon Simple Queue Service (SQS) und AWS Secrets Manager. Sie unterstützen derzeit keine RDS, Dynamo DB, andere AWS-Datenbanken, Data Warehouses oder Data Lakes. 
    • Kosteneffizient: Es fallen keine zusätzlichen Kosten für die Aktivierung und Nutzung von RCPs an, was sie zu einer barrierefreien Sicherheitsverbesserung für Organisationen jeder Größe macht. 

    Anwendungsfälle und Beispiele 

    • Verhinderung des öffentlichen Zugriffs: RCPs können verwendet werden, um ein „Deny-First“-Modell zu implementieren, das die versehentliche öffentliche Exposure von sensiblen Ressourcen wie S3-Buckets verhindert, während Ausnahmen für absichtlich öffentlich zugängliche Ressourcen zugelassen werden. 
    • Durchsetzung organisatorischer Grenzen: Administratoren können Richtlinien erstellen, die den Zugriff auf alle Identitäten und Services außerhalb ihrer AWS-Organisation verweigern, mit spezifischen Ausnahmen, falls erforderlich. 
    • Durchsetzung der Verschlüsselung: RCPs können sicherstellen, dass alle in S3-Buckets gespeicherten Daten bei der Speicherung oder Übertragung verschlüsselt werden, wodurch ein hoher Datenschutzstandard gewährleistet wird. 

    Implementierung und Best Practices 

    Um mit RCPs zu beginnen, führen Sie folgende Schritte aus: 

    1. Aktivieren Sie die Funktion im Portal von AWS Organizations, im Abschnitt „Richtlinien“ 
    2. Erstellen Sie benutzerdefinierte RCPs, die auf die Sicherheitsanforderungen Ihres Unternehmens zugeschnitten sind 
    3. RCPs mit den gewünschten organisatorischen Einheiten (Stamm, OUs oder Konten) verknüpfen 
    4. Vor der Anwendung im großen Maßstab gründlich in isolierten Umgebungen testen 

    Es ist wichtig zu verstehen, dass RCPs, ähnlich wie SCPs, als Berechtigungsgrenzen dienen und keine zusätzlichen Berechtigungen erteilen können. Sie sind darauf beschränkt, Aktionen einzuschränken oder zu verweigern. Die Überwachung mehrerer RCPs ist unerlässlich, um sicherzustellen, dass alle möglicherweise eingeschränkten Berechtigungen antizipiert werden. 

    Übersicht 

    Resource Control Policies (RCPs) stellen eine bemerkenswerte Entwicklung in den Sicherheitsangeboten von AWS dar. Indem sie eine zentralisierte Methode zur Kontrolle des Ressourcenzugriffs im gesamten Unternehmen bereitstellen, schließen RCPs eine kritische Lücke in der Cloud-Sicherheit.

    Die Implementierung von RCPs kann jedoch gewisse Herausforderungen mit sich bringen. Unternehmen müssen sicherstellen, dass ihre Richtlinien in isolierten Umgebungen gründlich getestet werden, um unbeabsichtigte Störungen zu vermeiden. Darüber hinaus kann die Überwachung mehrerer RCPs komplex sein und erfordert eine sorgfältige Planung, um eingeschränkte Berechtigungen zu antizipieren und zu berücksichtigen. 

    Mit der Weiterentwicklung des AWS-Ökosystems werden weitere Verbesserungen und ein breiterer Service-Support für RCPs erwartet, wodurch ihre Rolle als wichtiger Bestandteil einer AWS-Sicherheitsstrategie gestärkt wird. Unternehmen sollten jedoch mit Vorsicht an die Implementierung von RCP herangehen.

    Verringern Sie Ihr Risiko, ohne neue Risiken einzugehen.

    Für eine effektive Nutzung ist es unerlässlich, einen umfassenden Überblick über den Sicherheitsstatus und die Zugriffsberechtigungen Ihrer AWS-Umgebung zu haben, einschließlich des Umfangs von RCPs. Varonis for AWS bietet Einblick in diese Aspekte und vieles mehr.

    Beginnen Sie mit einer kostenlosen Risikobewertung. Die Einrichtung unserer Bewertung dauert nur wenige Minuten und bietet sofortigen Mehrwert. Sie erhalten einen klaren, risikobasierten Überblick über die wichtigsten Daten und einen klaren Weg zur automatisierten Sanierung. 

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Dubie Dubendorfer
    Dubie Dubendorfer Dubie Dubendorfer is a CISSP and AWS-certified IT director with extensive experience in on-premises and cloud IT infrastructure, network security, solutions architecture, and cybersecurity.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    big-data-management-auf-nas-systemen-leicht-gemacht
    Big-Data-Management auf NAS-Systemen leicht gemacht
    big-data-management-auf-nas-systemen-leicht-gemacht
    Michael Buckbee
    19. April 2012
    von Brian Vecci Sie haben Daten? Sie haben eine Menge davon? Die meisten Organisationen mit NAS-Systemen haben Schwierigkeiten damit, Berechtigungen zu verwalten, Nutzungsmuster zu erkennen, Data Owner ausfindig zu machen...
    die-eu-richtlinie-für-netz--und-informationssicherheit
    Die EU-Richtlinie für Netz- und Informationssicherheit
    die-eu-richtlinie-für-netz--und-informationssicherheit
    Michael Buckbee
    15. Juli 2016
    Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative. Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für...
    juristischer-“spickzettel”-in-sachen-ransomware
    Juristischer “Spickzettel” in Sachen Ransomware
    juristischer-“spickzettel”-in-sachen-ransomware
    Michael Buckbee
    17. Januar 2017
    In vielerlei Hinsicht unterscheiden sich die Reaktionen auf eine Ransomware-Attacke nicht grundlegend von dem, was grundsätzlich im Falle eines Datenschutzvorfalls zu tun ist. Kurzgefasst: jedes Unternehmen sollte einen Plan haben...
    die-eu-datenschutz-grundverordnung-ist-beschlossen-–-was-sie-jetzt-wissen-sollten
    Die EU-Datenschutz-Grundverordnung ist beschlossen – Was Sie jetzt wissen sollten
    die-eu-datenschutz-grundverordnung-ist-beschlossen-–-was-sie-jetzt-wissen-sollten
    Michael Buckbee
    15. Juli 2016
    Inzwischen ist die EU-Datenschutz-Grundverordnung (DS-GVO), die von einigen schon als „Meilenstein des digitalen Zeitalters“ bezeichnet wird, endgültig beschlossen. Wir haben uns bereits häufiger mit der Geschichte der DS-GVO beschäftigt, für...