INDUSTRIE Marketing
LAND USA
MITARBEITER 3.000+

Ein führendes Martech-Unternehmen standardisiert die AWS-Sicherheit durch die Implementierung von CIS-Überwachungskontrollen der Ebene 2 und detektivischen Kontrollen für die File Integrity Validation.

Angebotene Services: Amazon Web Services

Geschäftliche Anforderung

Nach mehreren Übernahmen suchte dieses Martech-Unternehmen nach einer einheitlichen AWS-Sicherheitslösung für alle seine Accounts, um die Einhaltung von Best Practices im Bereich der CIS zu gewährleisten und gleichzeitig die Kosten zu senken und die Markteinführungszeit zu verkürzen.

Die Lösung

Die NTT DATA Build Cloud Foundations-Lösung integrierte bewährte Sicherheitspraktiken in die AWS-Accounts des Unternehmens und verbesserte so die Konsistenz, Skalierbarkeit und Verwaltbarkeit. Die Überwachung der Dateiintegrität führte zu einer detektivischen Kontrolle, die gewährleistete, dass die Audit-Protokolle den gesetzlichen und behördlichen Anforderungen entsprechen.

Ergebnisse

  • Standardisiert die Sicherheit über neu erworbene Services und AWS-Accounts hinweg
  • Implementiert CIS-Überwachungskontrollen der Ebene 2 für Compliance
  • Etabliert einen Sicherheitsrahmen basierend auf Best Practices
  • Automatisiert den Sicherheitsprozess und minimiert manuelle Eingriffe
  • Gestaltet die Auditierbarkeit effizient
  • Verringert den Raum für menschliche Fehler, die zu Sicherheitsrisiken führen können
  • Eröffnet neue Möglichkeiten für die Entwicklung, um Innovationen in Marktgeschwindigkeit zu ermöglichen
  • Etabliert detektivische Kontrollen für die Protokollintegrität
  • Führt bei Bedarf eine Integritätsprüfung der Protokolldatei durch
  • Erfüllt gesetzliche und behördliche Anforderungen
  • Automatisiert die Sicherheit ganz nach Bedarf
  • Benachrichtigt SecOps bei nicht autorisierten Ereignissen in der Umgebung
Frau hockt mit Laptop in einem Serverraum, um zu prüfen

In diesem führenden Martech-Unternehmen können Innovationen dank einer etablierten, verteidigbaren Sicherheitsposition innerhalb seiner AWS-Umgebung gedeihen.

Das Unternehmen arbeitet mit führenden Marken aus der Finanzdienstleistungs-, Einzelhandels- und der Reisebranche zusammen, um deren Martech-Anforderungen zu erfüllen. Der Schwerpunkt von Martech-Unternehmen liegt darauf, seinen Kunden die Werkzeuge an die Hand zu geben, mit denen sie den Wert ihrer Kundenbeziehungen stärken und steigern können. Infolgedessen wächst das Unternehmen schnell und hat kürzlich mehrere andere Unternehmen übernommen.

Bei der Integration der Technologien der übernommenen Unternehmen stellte das Sicherheitsteam des Unternehmens schnell fest, dass es Abweichungen bezüglich der angewendeten Sicherheitsstandards gab. Zwar haben die übernommenen Unternehmen ihre jeweilige Technologie in einer AWS-Umgebung gehostet, jedoch endete die Konsistenz leider dort. Als das Sicherheitsteam Center for Internet Security- (CIS-)Tests mit den neu erworbenen Services durchführte, stellte es fest, dass sie nicht konform waren. Bei dem Versuch, eine Standardisierung zu erreichen und die Grundlagen zur Durchsetzung von Best Practices im Bereich der Sicherheit zu schaffen, wandte sich das Unternehmen an das Team von NTT DATA.

Genau die richtige Lösung

Basierend auf Hunderten von Kundeninteraktionen war der Build Cloud Foundations-Service die richtige Lösung, da er die vielen Entscheidungen zur Schaffung einer konsistenten, sicheren Cloud-Grundlage optimiert und so Fehltritte verhindert, die zu Sicherheitsrisiken führen können. Der Prozess der Verbesserung der AWS-Umgebung des Martech-Unternehmens in den Bereichen Account-Sicherheit, verbesserter Schutz, Compliance und Skalierbarkeit wurde in zwei Phasen unterteilt: Analyse und Bereitstellung.

Analyse der Anforderungen

Während der Analysephase des Auftrags arbeiteten die NTT DATA AWS-Berater mit dem Kunden zusammen, um den aktuellen Zustand der Sicherheitsumgebung zu überprüfen. Sie führten eine gründliche Analyse hinsichtlich der Lücke zwischen dem aktuellen und dem gewünschten Sicherheitsstatus durch und überprüften dabei alles von der Protokollierung bis hin zur Netzwerk- und Zugriffsverwaltung. Ausgehend von dieser Analyse entwickelten Berater eine detaillierte, kundenspezifische Roadmap, die ein einvernehmlich vereinbartes Architekturdesign und eine Prioritätenliste mit wichtigen technologischen Entscheidungen rund um eine sichere Landezone, Compliance-Überwachung, Warnmeldungen und in einigen kundenspezifischen Fällen auch die automatische Behebung umfasst.

Bereitstellung der richtigen Lösung

Anhand der ausgehend von der Analyse erstellten Roadmap begann das AWS-Beratungsteam von NTT DATA mit der Arbeit, um ein Standard-Sicherheitsniveau über alle AWS-Umgebungen hinweg zu schaffen und gleichzeitig Elemente bereitzustellen, mit deren Hilfe das Team den Prozess für künftige Übernahmen replizieren kann. Mithilfe einer agilen Methode begann NTT DATA damit, sicherzustellen, dass alle geltenden CIS-Regeln konsistent auf AWS-Accounts angewendet wurden. Auf dieser Grundlage wurde eine Account-Architektur für die AWS-Landezone geschaffen, die die Einrichtung von Jenkins mit proprietären Bibliotheken umfasste, die eine Grundlage für die DevOps-Automatisierung bilden. NTT DATA hat außerdem Account-IDs verwendet, die sicherstellen, dass das Prinzip der geringsten Rechte angewendet wird, sodass nur autorisierte Mitarbeiter Änderungen vornehmen können.

Automatisierte Härtung der Accounts

Der Kunde wollte sicherstellen, dass bestehende AWS-Accounts konsistent auf die gleichen CIS-Standards gehoben und die gleichen Best Practices für AWS-Sicherheit angewendet wurden. Bei der Härtung von Accounts werden mehrere Best Practices und Konfigurationsänderungen für verschiedene AWS-Services implementiert. AWS CloudFormation -Vorlagen haben die Härtung von AWS-Accounts automatisiert; die primäre AWS CloudFormation-Vorlage für die Härtung erreicht dies, indem sie andere Vorlagen aufruft, die ihrerseits verschiedene Konfigurationsänderungen im Account ausführen. Durch diese verschachtelten AWS CloudFormation-Vorlagen wurde die Härtung folgendermaßen erreicht und erhalten:

  • AWS Config-Konfigurationsrekorder wurden aktiviert, sodass der Service Änderungen an Systemkonfigurationen erfassen und als Konfigurationselemente (Configuration Items, CIs) speichern kann. Mit AWS Config kann das Team des Kunden auch seinen gewünschten Konfigurationsstatus und die damit verknüpften Regeln erstellen und speichern. AWS Config umfasst eine integrierte ServiceNow CMDB, die alle AWS-Ressourcen-CIs speichert.
  • Maßgeschneiderte IAM-Gruppen und Regeln für Rollen wie Entwickler, Incident Response, DevOps und mehr. Diese benutzerdefinierten Rollen stellen sicher, dass der Zugriff mit den geringsten Rechten erzwungen wird.
  • Standard-VPCs wurden entfernt und durch VPCs mit angemessenen Sicherheits- und Auditing-Kontrollen ersetzt.
  • Gehärtete Kennwortrichtlinien, die sicherstellen, dass strenge Kennwortrichtlinien bestehen und durchgesetzt werden.
  • AWS CloudTrail bietet eine AWS-Account-Prüfung durch einen gespeicherten Ereignisverlauf, der die Prüfung auf CIS-Compliance erleichtert und gleichzeitig unerwartete Account-Aktivitäten erkennt. In allen Regionen überträgt AWS CloudTrail sein Ereignisprotokoll automatisch an einen Audit-Bucket und CloudWatch-Protokolle. Die NTT DATA-Berater erstellten außerdem eine SNS-Warnmeldung für CloudWatch-Warnmeldungen, die den Kunden benachrichtigt, wenn ein Account von seiner erwarteten Konfiguration abweicht.
  • Eine CIS-Vorlage der Ebene 2, die die sichere Konfiguration von gehärteten Images gewährleistet.

Um den Prozess weiter zu automatisieren, arbeiteten die Teams zusammen an der Erstellung eines Jenkins-gesteuerten Pipeline-Jobs, der verschiedene Jobs schrittweise ausführt, um einen Account zu härten. Jenkins sorgt für die sichere Erstellung und Verteilung von Amazon Machine Images (AMIs) über verschiedene AWS-Accounts hinweg und stellt die Daten bereit, die zum Starten sicherer Instanzen erforderlich sind. Außerdem werden S3-Buckets für DevOps und Audits erstellt, CIS Foundation-Benchmark-Regeln werden angewendet und Amazon GuardDuty wird zur Erkennung von Bedrohungen aktiviert.

LogRhythm, ein Informations- und Ereignisverwaltungstool, wird als Teil der Härtung des Accounts integriert, sodass jeder neue oder bestehende AWS-Account konsequent so angelegt wird, dass LogRhythm Zugriff auf die Protokolle dieses Accounts erhält.

Durch einen vollständig automatisierten Sicherheitsprozess standardisierte das Unternehmen für seine AWS-Accounts eine CIS-Härtung der Ebene 2, die mit einem CIS-Compliance-Dashboard zur einfachen Überwachung und laufenden Verwaltung implementiert wurde.

Verbesserung des File Integrity Monitoring

Das Martech-Unternehmen versuchte auch, seine Amazon-Infrastruktur mithilfe von File Integrity Monitoring (FIM) zu härten. Als Teil eines Best-Practice-Sicherheitssystems, wie es von CIS Critical Security Control 3.5 empfohlen wird, hilft FIM, Systemänderungen zu identifizieren und zu erklären und unerwartete Änderungen zur Nachverfolgung zu kennzeichnen. Auf diese Weise können Unternehmen ihre Systeme in einem bekannt fehlerfreien Zustand halten und gleichzeitig einen Audit-Trail für Compliance-Zwecke erstellen.

Neue Maßstäbe für die Speicherung mit Amazon S3-Buckets

Das AWS-Beratungsteam von NTT DATA begann diesen Teil des Projekts mit Amazon Simple Storage Service (S3)-Buckets, dem öffentlichen Cloud-Speicher des Cloud-Anbieters. Jedes Mal, wenn ein Vorgang an einem S3-Objekt durchgeführt wird, wird ein Datenereignis erzeugt. Detaillierte Informationen – wie wer, wann, was und wo – können diesen Datenereignissen beigefügt werden. Um S3-Datenereignisse zu erfassen und zu protokollieren, hat NTT DATA S3 Object Level Logging aktiviert, das mit AWS CloudTrail zusammenarbeitet.

Aufrechterhaltung der Compliance mit AWS CloudTrail

Basierend auf einem protokollierten Ereignisverlauf ist AWS CloudTrail der Service von Amazon für Compliance-Prüfungen und die Kennzeichnung ungewöhnlicher Aktivitäten in AWS-Accounts. Die Lösung zeichnet S3-Datenereignisse wie GetObject, DeleteObject und PutObject in einem AWS CloudTrail Audit-Account-Protokoll auf, um für mehr Transparenz zu sorgen und einen Verlaufsdatensatz für die Compliance-Berichterstattung bereitzustellen. Dadurch kann das Sicherheitsteam die Protokollierung auf S3-Objektebene als Teil seiner Account-Härtung ausführen, um sicherzustellen, dass alle zuvor erstellten S3-Buckets über die erforderlichen Sicherheitsmaßnahmen verfügen.

Überprüfung der Protokolldateiintegrität

Auch wenn die Aufzeichnung von Ereignissen in AWS CloudTrail-Protokollen ein notwendiger erster Schritt zur Sicherstellung der Protokollintegrität ist, ist die Überwachung der Dateiintegrität unverzichtbar. Und die File Integrity Validation von AWS CloudTrail liefert beweiskräftige Protokolldateien. Mit der Überprüfung der Protokolldateiintegrität und der Sicherstellung der Compliance verfügt das Unternehmen über eine detektivische Kontrolle, die den Anforderungen von Audits und gesetzlichen Vorschriften genügt.

Sicherheit ganz nach Bedarf

Um die Skalierbarkeit des Sicherheitssystems zu gewährleisten, setzte das Beraterteam eine Automatisierung ein, die wöchentlich die Integrität der Protokolldateien aus S3-Buckets prüft. Dies ermöglicht es dem Sicherheitsteam, bei Bedarf Berichte zu erstellen. Darüber hinaus werden Integritätsfehlerbenachrichtigungen automatisch über SNS an eine Active Directory-Gruppe, das SecOps-Team, weitergeleitet, um weitere Untersuchungen durchzuführen und Störungen durch unnötige Warnmeldungen zu vermeiden. Zuletzt wurde ein Evidence Trail zu den Automatisierungen erstellt, der beweist, dass der Integritätsprüfungsjob selbst durchgeführt wurde, wodurch das SecOps-Team einen Verlaufsdatensatz zum Validierungsjob erhält.

Vorteile der Entwicklung von Cloud-Grundlagen

Die proaktiven Bemühungen um die Standardisierung von Sicherheitskontrollen des Martech-Unternehmens haben ihm dabei geholfen, gehärtete AWS-Systeme und -Accounts zu schaffen. Darüber hinaus hat die File Integrity Validation durch AWS CloudTrail dazu beigetragen, beweiskräftige Protokolle zu erstellen, die den rechtlichen und regulatorischen Anforderungen entsprechen. Auf diese Weise kann das Unternehmen seine Änderungen auf S3-Objektebene abgleichen und unerwartete Ereignisse schnell an das Sicherheitsteam zur weiteren Untersuchung und gegebenenfalls zur Behebung melden.

Zudem verfügt das Unternehmen nun über eine etablierte, verteidigungsfähige Sicherheitsposition innerhalb seiner AWS-Umgebung, ergänzt durch einen auf Best Practices basierenden Rahmen für mehr Sicherheit, der durch CIS-Benchmarks der Ebene 2 unterstützt wird. Dieses standardisierte Sicherheitsniveau ermöglicht es dem Unternehmen, zukünftige Übernahmen auf sichere Weise durchzuführen und gleichzeitig die Auditierbarkeit zu optimieren. Des Weiteren kann das Entwicklungsteam dank Sicherungen und benutzerdefinierter automatischer Korrekturen Innovationen in Marktgeschwindigkeit erzielen, da es darauf vertrauen kann, dass die AWS-Sicherheit durchgängig gewährleistet ist.

Fallstudien untersuchen