Multifaktor-Authentifizierung (MFA) fügt eine zusätzliche Ebene der Authentifizierungssicherung über herkömmliche Anmeldeinformationen hinaus hinzu. Wenn MFA aktiviert ist, wird ein Anwender, der sich bei der AWS-Konsole anmeldet, zur Eingabe seines Anwendernamens und Passworts sowie eines Authentifizierungscodes aus seinem physischen oder virtuellen MFA-Token aufgefordert. Es wird empfohlen, MFA für alle Accounts zu aktivieren, die über ein Konsolenpasswort verfügen.

Das Aktivieren von MFA bietet erhöhte Sicherheit für den Konsolenzugriff, da der authentifizierende Prinzipal über ein Gerät verfügen muss, das einen zeitkritischen Schlüssel anzeigt und über Anmeldeinformationen verfügt.

AWS IAM-Anwender können mit verschiedenen Arten von Anmeldeinformationen, z. B. Passwörtern oder Zugriffsschlüsseln, auf AWS-Ressourcen zugreifen. Es wird empfohlen, alle Anmeldeinformationen, die seit 45 oder mehr Tagen nicht verwendet wurden, zu deaktivieren oder zu entfernen

Das Deaktivieren oder Entfernen unnötiger Anmeldeinformationen reduziert das Zeitfenster für die Verwendung von Anmeldeinformationen, die einem gefährdeten oder verworfenen Account zugeordnet sind.

Zugriffsschlüssel sind langfristige Anmeldeinformationen für einen IAM-Anwender oder den AWS-Account-Stammanwender. Sie können Zugriffsschlüssel verwenden, um programmgesteuerte Anforderungen an die AWS CLI oder AWS API zu signieren (direkt oder mit AWS SDK)

Zugriffsschlüssel sind langfristige Anmeldeinformationen für einen IAM-Anwender oder den AWS-Account-Stammanwender. Sie können Zugriffsschlüssel verwenden, um programmgesteuerte Anforderungen an AWS CLI oder AWS API zu signieren. Eine der besten Möglichkeiten zum Schutz Ihres Accounts besteht darin, Anwendern nicht zu erlauben, mehrere Zugriffsschlüssel zu haben.

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die zum Signieren programmatischer Anforderungen verwendet werden, die Sie an AWS stellen. AWS-Anwender benötigen eigene Zugriffsschlüssel, um programmgesteuerte Aufrufe an AWS über die AWS Command Line Interface (AWS CLI), Tools für Windows PowerShell, AWS SDKs oder direkte HTTP-Aufrufe über die APIs für einzelne AWS-Services zu tätigen.es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren.

Durch das Drehen von Zugriffsschlüsseln wird das Zeitfenster für die Verwendung eines Zugriffsschlüssels, der einem gefährdeten oder gekündigten Account zugeordnet ist, reduziert.

Zugriffsschlüssel sollten rotiert werden, um sicherzustellen, dass mit einem alten Schlüssel, der verloren gegangen, kaputt oder gestohlen wurde, nicht auf Daten zugegriffen werden kann.

IAM-Anwendern wird über IAM-Richtlinien Zugriff auf Services, Funktionen und Daten gewährt.

Nur die dritte Implementierung wird empfohlen.

Durch die Zuweisung der IAM-Richtlinie nur über Gruppen wird die Berechtigungsverwaltung auf einer einzigen, flexiblen Ebene zusammengefasst, die den funktionalen Rollen der Organisation entspricht. Durch die Vereinheitlichung der Berechtigungsverwaltung wird die Wahrscheinlichkeit übermäßiger Berechtigungen reduziert.

IAM-Richtlinien sind das Mittel, mit dem Anwendern, Gruppen oder Rollen Berechtigungen gewährt werden. Es wird empfohlen und als Standardsicherheitsempfehlung betrachtet, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Anwender tun müssen, und erstellen Sie dann Richtlinien für sie, die es den Anwendern ermöglichen, nur diese Aufgaben auszuführen, anstatt vollständige Administratorrechte zu gewähren.

Es ist sicherer, mit einem Mindestsatz von Berechtigungen zu beginnen und bei Bedarf zusätzliche Berechtigungen zu gewähren, anstatt mit zu milden Berechtigungen zu beginnen und später zu versuchen, sie zu straffen.

Durch die Bereitstellung vollständiger Administratorrechte anstatt auf den Mindestsatz von Berechtigungen zu beschränken, die der Anwender ausführen muss, werden die Ressourcen potenziell unerwünschten Aktionen ausgesetzt.

IAM-Richtlinien, die eine Anweisung mit „Wirkung“ haben: „Zulassen“ mit „Aktion“: „ „ Über „Ressource“: „ „ Muss entfernt werden.

AWS bietet ein Supportcenter, das für die Benachrichtigung und Reaktion auf Incidents sowie für technischen Support und Kundenservices verwendet werden kann. Erstellen Sie eine IAM-Rolle, damit autorisierte Anwender Incidents mit AWS-Support verwalten können.

Durch die Implementierung der geringsten Berechtigung für die Zugriffssteuerung erfordert eine IAM-Rolle eine entsprechende IAM-Richtlinie, um Support Center-Zugriff zu ermöglichen, um Incidents mit AWS-Support zu verwalten.

Um HTTPS-Verbindungen mit Ihrer Website oder Anwendung in AWS zu aktivieren, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Verwenden Sie IAM nur als Zertifikatmanager, wenn Sie HTTPS-Verbindungen in einer Region unterstützen müssen, die von ACM nicht unterstützt wird. IAM verschlüsselt Ihre privaten Schlüssel sicher und speichert die verschlüsselte Version im IAM-SSL-Zertifikatspeicher. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen, Sie müssen Ihr Zertifikat jedoch von einem externen Anbieter zur Verwendung mit AWS erhalten. Sie können kein ACM-Zertifikat in IAM hochladen. Darüber hinaus können Sie Ihre Zertifikate nicht über die IAM-Konsole verwalten.

Durch das Entfernen abgelaufener SSL-/TLS-Zertifikate wird das Risiko eliminiert, dass versehentlich ein ungültiges Zertifikat in einer Ressource wie AWS Elastic Load Balancer (ELB) bereitgestellt wird, was die Glaubwürdigkeit der Anwendung/Website hinter dem ELB beeinträchtigen kann. Als Best Practice wird empfohlen, abgelaufene Zertifikate zu löschen.

Aktivieren Sie die IAM-Zugriffsanalyse für IAM-Richtlinien zu allen Ressourcen in jeder Region.

IAM Access Analyzer ist eine Technologie, die bei AWS Reinvent 2019 eingeführt wurde. Nachdem die Analyse in IAM aktiviert wurde, werden Scan-Ergebnisse in der Konsole mit den verfügbaren Ressourcen angezeigt. Scans zeigen Ressourcen an, auf die andere Accounts und Verbundanwender zugreifen können, z. B. KMS-Schlüssel und IAM-Rollen. Mit den Ergebnissen können Sie also bestimmen, ob ein unbeabsichtigter Anwender zulässig ist, sodass Administratoren den Zugriff mit geringsten Berechtigungen leichter überwachen können. Die Zugriffsanalyse analysiert nur Richtlinien, die auf Ressourcen in derselben AWS-Region angewendet werden.

AWS IAM-Zugriffsanalyse hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Accounts zu identifizieren, z. B. Amazon S3-Buckets oder IAM-Rollen, die für eine externe Entität freigegeben sind. Auf diese Weise können Sie unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten identifizieren. Die Zugriffsanalyse identifiziert Ressourcen, die für externe Prinzipale freigegeben werden, indem sie logikbasierte Gründe verwendet, um die ressourcenbasierten Richtlinien in Ihrer AWS-Umgebung zu analysieren. Die IAM-Zugriffsanalyse überwacht kontinuierlich alle Richtlinien für S3-Bucket, IAM-Rollen, KMS-Schlüssel (Key Management Service), AWS Lambda-Funktionen und Amazon SQS-Warteschlangen (Simple Queue Service).

Der Stamm-Anwenderaccount ist der privilegierte Anwender in einem AWS-Account. AWS-Zugriffsschlüssel bieten programmgesteuerten Zugriff auf einen bestimmten AWS-Account. Es wird empfohlen, alle Zugriffsschlüssel zu entfernen, die dem Stamm-Anwenderaccount zugeordnet sind.

Das Entfernen von Zugriffsschlüsseln, die dem Stamm-Anwenderaccount zugeordnet sind, begrenzt die Vektoren, durch die der Account gefährdet werden kann. Darüber hinaus fördert das Entfernen der Stammzugriffsschlüssel die Erstellung und Verwendung rollenbasierter Accounts mit den geringsten Berechtigungen.

Der Stamm-Anwenderaccount ist der privilegierte Anwender in einem AWS-Account. Die Multifaktor-Authentifizierung (MFA) fügt eine zusätzliche Schutzebene zusätzlich zu einem Anwendernamen und Passwort hinzu. Wenn MFA aktiviert ist, wird ein Anwender, der sich bei einer AWS-Website anmeldet, zur Eingabe seines Anwendernamens und Passworts sowie eines Authentifizierungscodes von seinem AWS MFA-Gerät aufgefordert.

Das Aktivieren von MFA bietet erhöhte Sicherheit für den Konsolenzugriff, da der authentifizierende Prinzipal über ein Gerät verfügen muss, das einen zeitkritischen Schlüssel ausgibt und über Anmeldeinformationen verfügt.

Der Stamm-Anwenderaccount ist der privilegierte Anwender in einem AWS-Account. MFA fügt neben einem Anwendernamen und Passwort eine zusätzliche Schutzebene hinzu. Wenn MFA aktiviert ist, wird ein Anwender, der sich bei einer AWS-Website anmeldet, zur Eingabe seines Anwendernamens und Passworts sowie eines Authentifizierungscodes von seinem AWS MFA-Gerät aufgefordert. Für Ebene 2 wird empfohlen, den Stamm-Anwenderaccount mit einer Hardware-MFA zu schützen.

Eine Hardware-MFA hat eine kleinere Angriffsfläche als eine virtuelle MFA. Beispielsweise leidet eine Hardware-MFA nicht unter der Angriffsfläche, die vom mobilen Smartphone eingeführt wird, auf dem sich eine virtuelle MFA befindet.

Mit der Erstellung eines AWS-Accounts wird ein „Stammanwender“ erstellt, der nicht deaktiviert oder gelöscht werden kann. Dieser Anwender hat uneingeschränkten Zugriff auf und Kontrolle über alle Ressourcen im AWS-Account. Es wird dringend empfohlen, die Verwendung dieses Accounts für tägliche Aufgaben zu vermeiden.

Der „Stammanwender“ hat uneingeschränkten Zugriff auf und Kontrolle über alle Account-Ressourcen. Die Verwendung von ist nicht mit den Grundsätzen der geringsten Berechtigungen und der Aufgabentrennung vereinbar und kann aufgrund von Fehlern oder Account-Kompromittierungen zu unnötigen Schäden führen.

Passwortrichtlinien werden teilweise verwendet, um Anforderungen an die Passwortkomplexität zu erzwingen. IAM-Passwortrichtlinien können verwendet werden, um sicherzustellen, dass Passwörter mindestens eine bestimmte Länge haben. Es wird empfohlen, dass die Passwortrichtlinie eine Mindestpasswortlänge 14 erfordert.

Das Festlegen einer Richtlinie zur Passwortkomplexität erhöht die Account-Resilienz gegenüber Brute-Force-Anmeldeversuchen.

IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Anwender verhindern. Es wird empfohlen, dass die Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert.

Die Verhinderung der Wiederverwendung von Passwörtern erhöht die Account-Resilienz gegenüber Brute-Force-Anmeldeversuchen.

Amazon S3 bietet öffentlichen Zugriff blockieren (Bucket-Einstellungen) und öffentlichen Zugriff blockieren (Accounteinstellungen), um Sie bei der Verwaltung des öffentlichen Zugriffs auf Amazon S3-Ressourcen zu unterstützen. Standardmäßig werden S3-Buckets und -Objekte neu erstellt, wenn der öffentliche Zugriff deaktiviert ist. Ein IAM-Prinzipal mit ausreichenden S3-Berechtigungen kann jedoch öffentlichen Zugriff auf Bucket- und/oder Objektebene ermöglichen. Wenn diese Option aktiviert ist, verhindert das Blockieren des öffentlichen Zugriffs (Bucket-Einstellungen), dass ein einzelner Bucket und seine containedObjects öffentlich zugänglich werden. Gleichermaßen verhindert das Blockieren des öffentlichen Zugriffs (Accounteinstellungen), dass alle Buckets und enthaltenen Objekte im gesamten Account öffentlich zugänglich werden.

Amazon S3 – öffentlichen Zugriff blockieren (Bucket-Einstellungen) verhindert die versehentliche oder böswillige öffentliche Offenlegung von Daten, die in den jeweiligen Buckets enthalten sind.

Amazon S3: Öffentlichen Zugriff blockieren (Account-Einstellungen) verhindert die versehentliche oder böswillige öffentliche Offenlegung von Daten, die in allen Buckets des jeweiligen AWS-Accounts enthalten sind.

Ob das Blockieren des öffentlichen Zugriffs auf alle oder einige Buckets eine Organisationsentscheidung ist, die auf Datensensibilität, geringsten Berechtigungen und Anwendungsfällen basieren sollte.

S3-API-Vorgänge auf Objektebene wie GetObject, DeleteObject und PutObject werden als Datenereignisse bezeichnet. Standardmäßig protokollieren CloudTrail-Trails keine Datenereignisse, daher wird empfohlen

Aktivieren Sie die Protokollierung auf Objektebene für S3-Buckets.

Begründung:

Durch Aktivieren der Protokollierung auf Objektebene können Sie die Compliance-Anforderungen für Daten in Ihrer Organisation erfüllen, umfassende Sicherheitsanalysen durchführen und bestimmte Muster von Anwendern überwachen

Verhalten in Ihrem AWS-Account oder sofortige Aktionen für API-Aktivitäten auf Objektebene in Ihren S3-Buckets mithilfe von Amazon CloudWatch-Ereignissen.

S3-API-Vorgänge auf Objektebene wie GetObject, DeleteObject und PutObject werden als Datenereignisse bezeichnet. Standardmäßig protokollieren CloudTrail-Trails keine Datenereignisse, daher wird empfohlen

Aktivieren Sie die Protokollierung auf Objektebene für S3-Buckets.

Begründung:

Durch Aktivieren der Protokollierung auf Objektebene können Sie die Compliance-Anforderungen für Daten in Ihrer Organisation erfüllen, umfassende Sicherheitsanalysen durchführen und bestimmte Muster von Anwendern überwachen

Verhalten in Ihrem AWS-Account oder sofortige Aktionen für API-Aktivitäten auf Objektebene mithilfe von Amazon CloudWatch-Ereignissen.

Die Funktion Network Access Control List (NACL) ermöglicht eine statuslose Filterung von eingehendem und ausgehendem Netzwerkverkehr an AWS-Ressourcen. Es wird empfohlen, dass keine NACL uneingeschränkten Eingangszugriff auf Remote-Server-Verwaltungsports zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389.

Öffentlicher Zugriff auf Remote-Serververwaltungsports wie 22 und 3389 erhöht die Ressourcenangriffsfläche und erhöht unnötig das Risiko einer Ressourcengefährdung.