SEC 5: Wie schützen Sie Ihre Netzwerkressourcen?

Alle Workloads, die über eine Art Netzwerkverbindung verfügen, unabhängig davon, ob es sich um das Internet oder ein privates Netzwerk handelt, erfordern mehrere Abwehrebenen, um Schutz vor externen und internen Netzwerkbedrohungen sicherzustellen.

Ressourcen

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

Bewährte Methoden:

Verbesserungsplan

Erstellen von Netzwerkebenen

  • Erstellen von Subnetzen in VPC: Erstellen Sie Subnetze für jede Ebene (in Gruppen mit mehreren Availability Zones) und ordnen Sie Routing-Tabellen zu, um das Routing zu steuern.
    VPCs and subnets
    Route tables
  • Kontrollieren des Datenverkehrs auf allen Ebenen

  • Kontrollieren des Netzwerkdatenverkehrs in einer VPC: Implementieren von Best Practices für VPC zur Kontrolle des Datenverkehrs
    Amazon VPC security
    Lab: Automated Deployment of VPC
    VPC endpoints
    Amazon VPC security group
    Network ACLs
  • Kontrollieren des Datenverkehrs am Edge: Implementieren Sie Edge-Services wie Amazon CloudFront, um eine zusätzliche Schutzebene und andere Funktionen bereitzustellen.
    Amazon CloudFront use cases
    AWS Global Accelerator
    AWS Web Application Firewall (AWS WAF)
    Amazon Route 53
    Amazon VPC Ingress Routing
  • Kontrollieren des privaten Netzwerkverkehrs: Implementieren Sie Services, die Ihren privaten Datenverkehr für Ihre Workload schützen.
    Amazon VPC Peering
    Amazon VPC Endpoint Services (AWS PrivateLink)
    Amazon VPC Transit Gateway
    AWS Direct Connect
    AWS Site-to-Site VPN
    AWS Client VPN
    Amazon S3 Access Points
  • Automatischer Netzwerkschutz

  • Automatisieren des Schutzes für webbasierten Datenverkehr: AWS bietet eine Lösung, die AWS CloudFormation verwendet, um automatisch eine Reihe von AWS WAF-Regeln bereitzustellen, die gängige webbasierte Angriffe filtern. Benutzer können aus vorkonfigurierten Schutzfunktionen wählen, die die in einer AWS WAF Web Access Control List (Web ACL) enthaltenen Regeln definieren.
    AWS WAF security automations
  • Erwägen von APN-Partnerlösungen: APN-Partner bieten Hunderte branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren lokalen Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, damit Sie eine umfassende Sicherheitsarchitektur und eine nahtlosere Erfahrung in Ihrer Cloud und Ihren lokalen Umgebungen bereitstellen können.
    Infrastructure security
  • Implementieren von Prüfung und Schutz

  • Konfigurieren von Amazon GuardDuty: Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • Konfigurieren von VPC-Flow-Protokollen: VPC Flow Logs sind ein Leistungsmerkmal, mit dessen Hilfe Sie Informationen zum ein- und ausgehenden IP-Datenverkehr an den Netzwerkschnittstellen Ihrer VPC erfassen (Flussprotokoll). Flussprotokolldaten können in Amazon CloudWatch Logs und Amazon S3 veröffentlicht werden. Sobald das Flussprotokoll fertig ist, können Sie seine Daten auf den ausgewählten Zielort abrufen und dort einsehen.
  • Erwägen von VPC-Datenverkehrabbildung: Die Datenverkehrabbildung ist eine Amazon VPC-Funktion, mit der Sie Netzwerkdatenverkehr von einer Elastic Network-Schnittstelle von Amazon EC2-Instances kopieren und diesen dann zur Inhaltsprüfung, Bedrohungsüberwachung und Fehlerbehebung an Out-of-Band-Sicherheits- und Überwachungs-Appliances senden können.
    VPC traffic mirroring