Bewährte Sicherheitsmethoden für Objektspeicher in Lightsail - Amazon Lightsail
Bewährte Methoden für vorbeugende SicherheitsmaßnahmenBewährte Methoden zur Überwachung und Prüfung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Sicherheitsmethoden für Objektspeicher in Lightsail

Amazon Lightsail Objektspeicher enthält eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Inhalt

Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen

Die folgenden bewährten Methoden können dazu beitragen, Sicherheitsvorfälle mit Lightsail-Buckets zu verhindern.

Implementieren des Zugriffs mit geringsten Berechtigungen

Beim Erteilen von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Lightsail-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Weitere Informationen zum Erstellen einer IAM-Richtlinie zum Verwalten von Buckets finden Sie unter IAM-Richtlinie zum Verwalten von Buckets. Weitere Informationen zu den von Lightsail-Buckets unterstützten Amazon-S3-Aktionen finden Sie unter Aktionen für die Objektspeicherung in der Amazon Lightsail-API-Referenz.

Sicherstellen, dass Ihre Lightsail-Buckets nicht öffentlich zugänglich sind

Buckets und Objekte sind standardmäßig privat. Halten Sie Ihren Bucket privat, indem Sie die Bucket-Zugriffsberechtigung auf All objects are private (Alle Objekte sind privat) setzen. In den meisten Anwendungsfällen müssen Sie Ihren Bucket oder einzelne Objekte nicht öffentlich machen. Weitere Informationen finden Sie unter Konfigurieren von Zugriffsberechtigungen für einzelne Objekte in einem Bucket.

Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

Wenn Sie jedoch Ihren Bucket verwenden, um Medien für Ihre Website oder Anwendung zu hosten, müssen Sie in bestimmten Szenarien möglicherweise Ihren Bucket oder einzelne Objekte öffentlich machen. Sie können eine der folgenden Optionen konfigurieren, um Ihren Bucket oder einzelne Objekte öffentlich zu machen:

  • Wenn nur einige der Objekte in einem Bucket für jeden im Internet öffentlich (schreibgeschützt) sein müssen, ändern Sie die Bucket-Zugriffsberechtigung in Einzelne Objekte können öffentlich und schreibgeschützt gemacht werden und ändern Sie nur die Objekte, die öffentlich sein müssen in Öffentlich (schreibgeschützt). Diese Option hält den Bucket privat, gibt Ihnen jedoch die Möglichkeit, einzelne Objekte öffentlich zu machen. Machen Sie ein einzelnes Objekt nicht öffentlich, wenn es sensible oder vertrauliche Informationen enthält, die nicht öffentlich zugänglich sein sollen. Wenn Sie einzelne Objekte öffentlich machen, sollten Sie die öffentliche Zugänglichkeit jedes einzelnen Objekts regelmäßig überprüfen.

    Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

  • Wenn alle Objekte im Bucket für jeden im Internet öffentlich (schreibgeschützt) sein müssen, ändern Sie die Bucket-Zugriffsberechtigung in Alle Objekte sind öffentlich und schreibgeschützt. Verwenden Sie diese Option nicht, wenn eines Ihrer Objekte im Bucket sensible oder vertrauliche Informationen enthält.

    Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

  • Wenn Sie zuvor einen Bucket in öffentlich oder einzelne Objekte in öffentlich geändert haben, können Sie den Bucket und alle seine Objekte schnell in privat ändern, indem Sie die Bucket-Zugriffsberechtigung in All objects are private (Alle Objekte sind privat) ändern.

    Bucket-Zugriffsberechtigungen in der Lightsail-Konsole

Blockieren des öffentlichen Zugriffs in Amazon S3 aktivieren

Lightsail-Objektspeicherressourcen berücksichtigen sowohl Lightsail-Bucket-Zugriffsberechtigungen als auch Amazon-S3-Konfigurationen zum Blockieren des öffentlichen Zugriffs auf Kontoebene, wenn Sie den öffentlichen Zugriff zulassen oder verweigern. Mit der Funktion zum Blockieren des öffentlichen Zugriffs auf Kontoebene in Amazon S3 können Kontoadministratoren und Bucket-Eigentümer den öffentlichen Zugriff auf ihre Amazon-S3- und Lightsail-Buckets beschränken. Blockieren des öffentlichen Zugriffs kann alle Amazon-S3- und Lightsail-Buckets privat machen, unabhängig davon, wie die Ressourcen erstellt wurden, und unabhängig von den einzelnen Bucket- und Objektberechtigungen, die möglicherweise konfiguriert wurden. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs für Buckets.

Anhängen von Instances an Buckets, um vollständigen programmatischen Zugriff zu gewähren

Das Anhängen einer Instance an einen Lightsail-Objektspeicher-Bucket ist die sicherste Methode, um Zugriff auf den Bucket bereitzustellen. Die Resource access (Ressourcenzugriff) Funktion, mit der Sie eine Instance an einen Bucket anhängen, gewährt der Instance vollen programmatischen Zugriff auf den Bucket. Mit dieser Methode müssen Sie Bucket-Anmeldeinformationen nicht direkt in der Instance oder Anwendung speichern und Sie müssen die Anmeldeinformationen nicht regelmäßig drehen. Zum Beispiel können einige WordPress-Plug-Ins auf einen Bucket zugreifen, auf den die Instance Zugriff hat. Weitere Informationen finden Sie unter Konfigurieren des Ressourcenzugriffs für einen Bucket und Tutorial: Verbinden Ihrer WordPress-Instance mit einem Bucket.

Bucket-Ressourcen-Zugriff in der Lightsail-Konsole

Wenn sich die Anwendung jedoch nicht auf einer Lightsail-Instance befindet, können Sie Bucket-Zugriffsschlüssel erstellen und konfigurieren. Bucket-Zugriffsschlüssel sind langfristige Anmeldeinformationen, die nicht automatisch gedreht werden.

Bucket-Zugriffsschlüssel in der Lightsail-Konsole

Sie können Zugriffsschlüssel erstellen und verwenden, um Anwendungen oder Plug-Ins vollen programmatischen Zugriff auf Objekte in Ihrem Bucket zu gewähren. Wenn Sie einen Zugriffsschlüssel mit Ihrem Bucket verwenden, sollten Sie Ihre Schlüssel regelmäßig drehen und eine Bestandsaufnahme der vorhandenen Schlüssel machen. Bestätigen Sie, dass das Datum, an dem ein Zugriffsschlüssel zuletzt verwendet wurde, und die AWS-Region, in der er verwendet wurde, Ihren Erwartungen entspricht, wie der Schlüssel verwendet werden sollte. Das Datum, an dem ein Zugriffsschlüssel zuletzt verwendet wurde, wird in der Lightsail-Konsole angezeigt; im Abschnitt Access key (Zugriffsschlüssel) der Registerkarte Berechtigungen der Verwaltungsseite eines Buckets. Löschen Sie Zugriffsschlüssel, die nicht verwendet werden.

Wenn Sie Ihren geheimen Zugriffsschlüssel versehentlich mit der Öffentlichkeit teilen, sollten Sie ihn löschen und einen neuen erstellen. Sie können maximal zwei Zugriffsschlüssel pro Bucket besitzen. Obwohl Sie zwei verschiedene Zugriffsschlüssel gleichzeitig haben können, ist es hilfreich, einen Zugriffsschlüssel in Ihrem Bucket nicht zu verwenden, wenn Sie einen Schlüssel mit minimalen Ausfallzeiten drehen müssen. Um einen Zugriffsschlüssel zu drehen, erstellen Sie einen neuen, konfigurieren Sie ihn in Ihrer Software und testen Sie ihn. Löschen Sie dann den vorherigen Schlüssel. Das Löschen eines Zugriffsschlüssels ist ein endgültiger Vorgang, der nicht rückgängig gemacht werden kann. Er kann nur durch einen neuen Zugriffsschlüssel ersetzt werden. Weitere Informationen finden Sie unter Erstellen von Bucket-Zugriffsschlüsseln.

Verwenden von kontoübergreifendem Zugriff, um anderen AWS-Konten Zugriff auf Objekte in Ihrem Bucket zu geben

Sie können den kontoübergreifenden Zugriff verwenden, um Objekte in einem Bucket für eine bestimmte Person zugänglich zu machen, die über ein AWS-Konto verfügt, ohne den Bucket und seine Objekte öffentlich zu machen. Wenn Sie den kontoübergreifenden Zugriff konfiguriert haben, stellen Sie sicher, dass die aufgelisteten Konto-IDs die richtigen Konten sind, denen Sie Zugriff auf Objekte in Ihrem Bucket gewähren möchten. Weitere Informationen finden Sie unter Konfigurieren des kontoübergreifenden Zugriffs für einen Bucket.

Kontoübergreifender Bucket-Zugriff in der Lightsail-Konsole

Datenverschlüsselung

Lightsail führt serverseitige Verschlüsselung mit von Amazon verwalteten Schlüsseln und Verschlüsselung von Daten während der Übertragung durch, indem HTTPS (TLS) durchgesetzt wird. Die serverseitige Verschlüsselung hilft, das Risiko für Ihre Daten zu reduzieren, indem die Daten mit einem Schlüssel verschlüsselt werden, der in einem separaten Service gespeichert wird. Darüber hinaus trägt die Verschlüsselung von Daten während der Übertragung dazu bei, dass potenzielle Angreifer den Netzwerkverkehr mit Person-in-the-Middle-Angriffen oder ähnlichen Angriffen abhören oder manipulieren können.

Aktivieren von Versioning

Das Versioning ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Lightsail Bucket zu speichern, abzurufen oder wiederherzustellen. Daten lassen sich dank Versioning nach unbeabsichtigten Benutzeraktionen und Anwendungsfehlern leicht wiederherstellen. Weitere Informationen finden Sie unter Aktivieren und Aussetzen der Bucket-Objekt-Versionsverwaltung.

Bewährte Methoden zur Überwachung und Prüfung

Mithilfe der folgenden bewährten Methoden können Sie potenzielle Sicherheitsschwächen und Vorfälle für Lightsail-Buckets erkennen.

Aktivieren Sie die Zugriffsprotokollierung und führen Sie regelmäßige Sicherheits- und Zugriffsprüfungen durch

Die Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anforderungen, die an einen Bucket gestellt wurden. Dabei kann es sich um den Anforderungstyp (GET, PUT), die in der Anfrage angegebenen Ressourcen sowie Uhrzeit und Datum der Anfrageverarbeitung handeln. Aktivieren Sie die Zugriffsprotokollierung für einen Bucket und führen Sie regelmäßig eine Sicherheits- und Zugriffsprüfung durch, um die Entitäten zu identifizieren, die auf Ihren Bucket zugreifen. Standardmäßig erfasst Lightsail standardmäßig keine Zugriffsprotokolle für Ihre Buckets. Sie müssen die Zugriffsprotokollierung manuell aktivieren. Weitere Informationen finden Sie unter Bucket-Zugriffsprotokolle und Bucket-Zugriffsprotokollierung aktivieren.

Identifizieren, markieren und prüfen Sie Ihre Lightsail-Buckets

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Es ist erforderlich, dass Sie alle Ihre Lightsail-Buckets sehen, um ihren Sicherheitsstatus beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen zu können.

Verwenden Sie die Markierung, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Tags zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Tags.

Implementieren der Überwachung mit AWS-Überwachungstools

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Lightsail-Buckets und anderen Ressourcen. Sie können Benachrichtigungsalarme für die Bucket-Größe (BucketSizeBytes) undNumber of objects (NumberOfObjects)-Bucket-Metriken in Lightsail überwachen und erstellen. Sie möchten beispielsweise benachrichtigt werden, wenn die Größe Ihres Buckets auf eine bestimmte Größe vergrößert oder verkleinert wird oder wenn die Anzahl der Objekte in Ihrem Bucket auf eine bestimmte Anzahl steigt oder sinkt. Weitere Informationen finden Sie unter Erstellen von Bucket-Metrikalarmen.

Verwenden von AWS CloudTrail

AWS CloudTrail liefert Aufzeichnungen der Aktionen eines Benutzers, einer Rolle oder eines AWS-Service in Lightsail. Mit den von CloudTrail erfassten Informationen können Sie die an Lightsail gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage und zusätzliche Angaben bestimmen. Sie können beispielsweise CloudTrail-Einträge für Aktionen identifizieren, die eine Auswirkung auf den Datenzugriff haben, insbesondere CreateBucketAccessKey, GetBucketAccessKeys, DeleteBucketAccessKey, SetResourceAccessForBucket und UpdateBucket. Wenn Sie Ihr AWS-Konto einrichten, ist CloudTrail standardmäßig aktiviert. Sie können aktuelle Ereignisse in der CloudTrail-Konsole anzeigen. Um eine laufende Aufzeichnung von Aktivitäten und Ereignissen für Ihre Lightsail-Buckets zu erstellen, können Sie einen Pfad (Trail) in der CloudTrail-Konsole erstellen. Weitere Informationen finden Sie unter Protokollierung von Datenereignissen für Trails im AWS CloudTrail-Benutzerhandbuch.

Überwachen von AWS-Sicherheitsempfehlungen

Überwachen Sie aktiv die primäre E-Mail-Adresse, die für Ihr AWS-Konto registriert ist. AWS wird Sie über diese E-Mail-Adresse über neue Sicherheitsprobleme informieren, die Sie betreffen könnten.

Operative AWS-Probleme mit weitreichenden Auswirkungen werden auf dem AWS Service Health Dashboard gepostet. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der AWS-Zustands-Dokumentation.