Implementierung von AWS Resource Control Policies: Hauptmerkmale und Vorteile

AWS hat kürzlich Resource Control Policies (RCPs) eingeführt, um ihre Tools für Zugriffsverwaltung und Cloud-Sicherheit zu verbessern. RCPs ermöglichen es Unternehmen, Datenperimeter in ihrer AWS-Umgebung zentral durchzusetzen und so die Kontrolle über den Zugriff auf Ressourcen zu verbessern. 

Unternehmen sollten jedoch bei der Umsetzung von RCP Vorsicht walten lassen.

Was sind AWS-Ressourcenkontrollrichtlinien? 

Die Verwaltung des Zugriffs auf mehrere Ressourcen in großem Umfang kann komplex sein. Die Identifizierung überbelichteter Ressourcen in einer großen AWS-Umgebung erfordert einen erheblichen manuellen Aufwand, ebenso wie die kontinuierliche Sanierung dieser Überexpositionen.

RCPs sind eine neue Art von Autorisierungsrichtlinie, die innerhalb von AWS Organizations verwaltet wird. Sie ermöglichen es Administratoren, die maximal verfügbaren Berechtigungen für Ressourcen im gesamten Unternehmen festzulegen und so dauerhaft wirksame Zugriffsschutzmaßnahmen zu schaffen.

RCPs ergänzen die bestehenden Service Control Policies (SCPs), arbeiten jedoch unabhängig und konzentrieren sich auf den Zugriff auf Ressourcenebene statt auf Berechtigungen auf Mandantenebene. 

Hauptmerkmale und Vorteile 

• Zentralisierte Verwaltung: RCPs können auf der Ebene der Root, der organisatorischen Einheit (OU) oder des einzelnen Kontos angewendet werden, was eine granulare Kontrolle und eine konsistente Durchsetzung von Richtlinien über mehrere AWS-Konten hinweg ermöglicht. 
• Verbesserte Sicherheit: Durch die Einschränkung des Zugriffs auf Ressourcen in großem Umfang tragen RCPs dazu bei, einen kontrollierten Datenperimeter zu schaffen und das Risiko von unbefugtem Zugriff oder Datenschutzverletzungen zu verringern. Seien Sie jedoch vorsichtig bei der Verwendung von RCPs, da die Verwaltung mehrerer RCPs mit zunehmender Anzahl schwierig werden kann. 
• Unterstützte Services: Derzeit unterstützen RCPs fünf kritische AWS-Services: Amazon Simple Storage Service (S3), AWS Security Token Service (STS), AWS Key Management Service (KMS), Amazon Simple Queue Service (SQS) und AWS Secrets Manager. Sie unterstützen derzeit keine RDS, Dynamo DB, andere AWS-Datenbanken, Data Warehouses oder Data Lakes. 
• Kosteneffizient: Es fallen keine zusätzlichen Kosten für die Aktivierung und Nutzung von RCPs an, was sie zu einer barrierefreien Sicherheitsverbesserung für Organisationen jeder Größe macht. 

Anwendungsfälle und Beispiele 

• Verhinderung des öffentlichen Zugriffs: RCPs können verwendet werden, um ein „Deny-First“-Modell zu implementieren, das die versehentliche öffentliche Exposure von sensiblen Ressourcen wie S3-Buckets verhindert, während Ausnahmen für absichtlich öffentlich zugängliche Ressourcen zugelassen werden. 
• Durchsetzung organisatorischer Grenzen: Administratoren können Richtlinien erstellen, die den Zugriff auf alle Identitäten und Services außerhalb ihrer AWS-Organisation verweigern, mit spezifischen Ausnahmen, falls erforderlich. 
• Durchsetzung der Verschlüsselung: RCPs können sicherstellen, dass alle in S3-Buckets gespeicherten Daten bei der Speicherung oder Übertragung verschlüsselt werden, wodurch ein hoher Datenschutzstandard gewährleistet wird. 

Implementierung und Best Practices 

Um mit RCPs zu beginnen, führen Sie folgende Schritte aus: 

1. Aktivieren Sie die Funktion im Portal von AWS Organizations, im Abschnitt „Richtlinien“ 
2. Erstellen Sie benutzerdefinierte RCPs, die auf die Sicherheitsanforderungen Ihres Unternehmens zugeschnitten sind 
3. RCPs mit den gewünschten organisatorischen Einheiten (Stamm, OUs oder Konten) verknüpfen 
4. Vor der Anwendung im großen Maßstab gründlich in isolierten Umgebungen testen 

Es ist wichtig zu verstehen, dass RCPs, ähnlich wie SCPs, als Berechtigungsgrenzen dienen und keine zusätzlichen Berechtigungen erteilen können. Sie sind darauf beschränkt, Aktionen einzuschränken oder zu verweigern. Die Überwachung mehrerer RCPs ist unerlässlich, um sicherzustellen, dass alle möglicherweise eingeschränkten Berechtigungen antizipiert werden. 

Übersicht 

Resource Control Policies (RCPs) stellen eine bemerkenswerte Entwicklung in den Sicherheitsangeboten von AWS dar. Indem sie eine zentralisierte Methode zur Kontrolle des Ressourcenzugriffs im gesamten Unternehmen bereitstellen, schließen RCPs eine kritische Lücke in der Cloud-Sicherheit.

Die Implementierung von RCPs kann jedoch gewisse Herausforderungen mit sich bringen. Unternehmen müssen sicherstellen, dass ihre Richtlinien in isolierten Umgebungen gründlich getestet werden, um unbeabsichtigte Störungen zu vermeiden. Darüber hinaus kann die Überwachung mehrerer RCPs komplex sein und erfordert eine sorgfältige Planung, um eingeschränkte Berechtigungen zu antizipieren und zu berücksichtigen. 

Mit der Weiterentwicklung des AWS-Ökosystems werden weitere Verbesserungen und ein breiterer Service-Support für RCPs erwartet, wodurch ihre Rolle als wichtiger Bestandteil einer AWS-Sicherheitsstrategie gestärkt wird. Unternehmen sollten jedoch mit Vorsicht an die Implementierung von RCP herangehen.

Verringern Sie Ihr Risiko, ohne neue Risiken einzugehen.

Für eine effektive Nutzung ist es unerlässlich, einen umfassenden Überblick über den Sicherheitsstatus und die Zugriffsberechtigungen Ihrer AWS-Umgebung zu haben, einschließlich des Umfangs von RCPs. Varonis for AWS bietet Einblick in diese Aspekte und vieles mehr.

Beginnen Sie mit einer kostenlosen Risikobewertung. Die Einrichtung unserer Bewertung dauert nur wenige Minuten und bietet sofortigen Mehrwert. Sie erhalten einen klaren, risikobasierten Überblick über die wichtigsten Daten und einen klaren Weg zur automatisierten Sanierung.