Sicherheit im Fokus – Das Zünglein an der Waage

In der öffentlichen Verwaltungseinheit, in der Sicherheit eine Schlüsselrolle spielt, war es wichtig, eine ausgewogene Balance zwischen Compliance- und Governance-Anforderungen zu finden, um nachhaltige IT-Sicherheit zu gewährleisten. Die Applikationslandschaft ist sehr divers, und einzelne Projekte haben daher verschiedene Anforderungen an die Sicherheit.

Aufgrund dieser Vielfalt ergaben sich zwei Hauptziele für die Account Security Baseline der bereitgestellten AWS-Umgebung.

Isolation: Unsere Sicherheitsarchitektur zielt darauf ab, im Falle eines Incidents den möglichen Schaden begrenzt zu halten. Ein Vorfall eines einzelnen Workloads soll sich so wenig wie möglich auf andere Workloads auswirken. Dies bedeutet, dass unsere Sicherheitsarchitektur darauf abzielt, sicherzustellen, dass Probleme oder Angriffe in einem Bereich begrenzt sind und nicht unkontrolliert auf andere Teile der Umgebung übergreifen können.
Sichtbarkeit: Projekte werden nur wenig eingeschränkt bei der Nutzung der Cloud-Dienste. Umso wichtiger ist es, den Projekt-Teams Tools und Hilfestellungen zur sicheren Nutzung der Cloud zur Verfügung zu stellen. Dies ermöglicht es den Teams, die Vorteile der Cloud-Dienste voll auszuschöpfen, ohne die Sicherheitsanforderungen zu vernachlässigen. Ein umfassendes Überwachungssystem wurde implementiert, um eine transparente Sichtbarkeit in die Cloud-Infrastruktur zu gewährleisten, damit die Projekt-Teams ihre Anwendungen und Daten sicher betreiben können.

So haben wir die AWS Landing Zone optimiert

Die Landing Zone konzentriert sich auf mehrere Schlüsselaspekte, um die Sicherheit und den reibungslosen Betrieb sicherzustellen.

Zunächst spielt das Cloud Security Posture Management eine zentrale Rolle. Durch den Einsatz von AWS Security Hub haben DevOps-Teams jederzeit einen umfassenden Überblick über die Sicherheit ihrer AWS-Ressourcen. Dieses Tool automatisiert die Prüfung von Sicherheitskontrollen und benachrichtigt die Verantwortlichen automatisch, falls Verstösse gegen diese Kontrollen auftreten.

Ein einheitliches Sicherheits-Dashboard bietet sowohl den Projekten als auch dem zentralen Sicherheits- und Plattform-Team eine umfassende Sicht auf die AWS Security Posture der gesamten Organisation. Dabei werden verschiedene Sicherheitsstandards berücksichtigt, darunter die AWS Foundational Security Best Practices und das CIS AWS Foundations Benchmark.

Ein weiterer wichtiger Aspekt ist die Threat Detection. Hier kommt AWS GuardDuty Service zum Einsatz, ein Tool, dass Anomalien erkennt und auf potenzielle Angriffe oder Ressourcenmanipulationen hinweist.

In Bezug auf die Identitäts- und Zugriffsverwaltung (IAM) werden Zugriffe auf AWS-Konten durch den Identity Provider der Organisation authentifiziert. Die Integration mit dem zentralen Identitätsmanagement gewährleistet eine effektive und sichere Verwaltung von Berechtigungen.

Zusammenfassend ermöglichen diese strategischen Schwerpunkte der Landing Zone eine umfassende Sicherheitsüberwachung, Bedrohungserkennung und eine effiziente Verwaltung von Identitäten und Zugriffen in der AWS-Umgebung der Organisation, um eine optimale Sicherheit und Kontrolle zu gewährleisten.

Partner

AWS

Hast du auch einen spannenden Use Case? Let's talk!

Christian Getzmann

Daniel Kreienbühl