Hvad er AWS sikkerhedsbest practices?

Question

Accepted Answer

Sikring af AWS involverer flere lag — **identitet og adgang (IAM)**, **netværkssikkerhed**, **databeskyttelse (kryptering)**, **overvågning/detektion** og følgelse af **shared responsibility model**. Sikkerhed er en kritisk, løbende disciplin og en Well-Architected søjle.

## Shared responsibility model

```text
AWS secures the CLOUD (infrastructure: hardware, facilities, managed service internals).
YOU secure what's IN the cloud (your data, IAM, network config, OS patching on EC2,
  application security, access control).
→ Know the boundary: AWS handles infrastructure; YOU handle configuration and data.
  Most breaches are CUSTOMER misconfigurations (e.g. public S3 buckets), not AWS failures.
```

## Identitet og adgang

```text
✓ LEAST PRIVILEGE — grant only needed permissions (the most important IAM principle)
✓ Use ROLES (temporary credentials) not long-lived access keys; rotate any keys
✓ Protect the ROOT account (MFA, don't use it daily); enforce MFA broadly
✓ Use IAM properly; SCPs for org guardrails; audit with Access Analyzer
```

## Netværk og databeskyttelse

```text
NETWORK → VPC isolation; private subnets for backends; security groups (least access);
  don't expose resources publicly unnecessarily (databases in private subnets!)
DATA → ENCRYPT at rest (S3, EBS, RDS — often a checkbox) and in transit (TLS);
  manage keys (KMS); ⚠️ avoid public S3 buckets (a top cause of breaches);
  classify and protect sensitive data; manage secrets (Secrets Manager, not in code)
```

## Detektion og overvågning

```text
✓ CloudTrail → log ALL API activity (audit trail — who did what)
✓ GuardDuty → threat detection; Config → compliance/configuration auditing
✓ Security Hub → centralized security posture; CloudWatch alarms on suspicious activity
✓ Detect and respond to incidents; review regularly
```

## Hvorfor det betyder noget

At forstå AWS sikkerhedsbest practices er kritisk viden på seniorplan, fordi sikkerhed er en grundlæggende, højrisiko-bekymring, og cloudmiljøet har specifikke sikkerhedshensyn, så det er afgørende for at drive AWS ansvarligt.

At forstå **shared responsibility model** er grundlæggende: AWS sikrer den underliggende infrastruktur, men **du er ansvarlig for at sikre dine data, adgang, netværkskonfiguration og applikationer** — og det kritiske indsigt er, at **de fleste brud stammer fra kundekonfigurationsfejl** (som offentlige S3-buckets eller for bredt definerede tilladelser), ikke AWS-infrastrukturfejl, så at kende dine ansvarsområder er afgørende.

Sikkerhedsllagene betyder hver især noget: **identitet og adgang** (især **mindste privilegie** — det vigtigste IAM-princip — ved at bruge roller i stedet for langlivende nøgler, beskytte root-kontoen og håndhæve MFA) forhindrer de adgangskontrol-fejl, der forårsager mange brud; **netværkssikkerhed** (VPC-isolering, private subnets til backend som databaser, mindst-adgang sikkerhedsgrupper, ikke eksponering af ressourcer offentligt) beskytter systemer på netværkslaget; **databeskyttelse** (kryptering i hvile og under transport, nøglestyrring, undgåelse af offentlige S3-buckets, korrekt secrets management) beskytter følsomme data; og **detektion og overvågning** (CloudTrail til revisionlogning, GuardDuty til trusseldetektion, Config til overholdelse, Security Hub) muliggør detektering og reaktion på trusler.

At forstå disse lagdelte praksisser — og at sikkerhed er en løbende disciplin, der adresserer de almindelige virkelighedsfejl (konfigurationsfejl, overdrevne tilladelser, offentlig eksponering, ukrypterede data) — afspejler det omfattende sikkerhedssind, der er nødvendigt for produktions-AWS.

Da AWS-sikkerhed er højrisiko (brud er kostbare og almindelige, mest fra kundekonfigurationsfejl) og kræver lagdelte forsvar på tværs af identitet, netværk, data og detektion, og da forståelse af shared responsibility model og best practices er afgørende for at sikre AWS-systemer, er forståelse af AWS sikkerhedsbest practices kritisk viden på seniorplan for at drive AWS ansvarligt — et højt prioriteret område, hvor forståelse af praksisserne (især mindste privilegie, undgåelse af offentlig eksponering, kryptering og overvågning) direkte forebygger de rigtige, almindelige sikkerhedsfejl, der fører til brud, hvilket afspejler det sikkerhedsansvar, der forventes for seniore cloudroller.