SEC 5: Wie schützen Sie Ihre Netzwerkressourcen?

Alle Workloads, die über eine Art Netzwerkverbindung verfügen, unabhängig davon, ob es sich um das Internet oder ein privates Netzwerk handelt, erfordern mehrere Abwehrebenen, um Schutz vor externen und internen Netzwerkbedrohungen sicherzustellen.

Ressourcen

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

Bewährte Methoden:

• Erstellen von Netzwerkebenen: Gruppieren Sie Komponenten mit den gleichen Erreichbarkeitsanforderungen in Ebenen. Beispielsweise sollte ein Datenbank-Cluster in einer VPC ohne Internetzugriff in Subnetzen platziert werden, ohne dass eine Route zum oder aus dem Internet besteht. In einer serverlosen Arbeitslast, die ohne VPC ausgeführt wird, können ähnliche Ebenen und die Segmentierung mit Microservices dasselbe Ziel erreichen.

• Kontrollieren des Datenverkehrs auf allen Ebenen: Wenden Sie Kontrollen mit einem umfassenden Abwehransatz für den ein- und ausgehenden Datenverkehr an. Amazon Virtual Private Cloud (VPC) stellt dazu Sicherheitsgruppen, Netzwerk-ACLs und Subnetze bereit. Für AWS Lambda sollten Sie die Ausführung in Ihrer privaten VPC mit VPC-basierten Kontrollen in Betracht ziehen.

• Automatischer Netzwerkschutz: Automatisieren Sie Schutzmechanismen, um ein selbstverteidigendes Netzwerk bereitzustellen, das auf Threat Intelligence und Erkennung von Anomalien beruht. Zum Beispiel Tools zur Erkennung und Verhinderung von Eindringversuchen, die sich proaktiv an aktuelle Bedrohungen anpassen und deren Auswirkungen reduzieren.

• Implementieren von Prüfung und Schutz: Untersuchen und filtern Sie Ihren Datenverkehr auf jeder Ebene. Verwenden Sie beispielsweise eine Webanwendungs-Firewall zum Schutz vor versehentlichem Zugriff auf Anwendungsnetzwerkebene. Für Lambda-Funktionen können Drittanbieter-Tools Ihrer Laufzeitumgebung eine Firewall auf Anwendungsebene hinzufügen.

Verbesserungsplan

Erstellen von Netzwerkebenen

Erstellen von Subnetzen in VPC: Erstellen Sie Subnetze für jede Ebene (in Gruppen mit mehreren Availability Zones) und ordnen Sie Routing-Tabellen zu, um das Routing zu steuern.
VPCs and subnets
Route tables

Kontrollieren des Datenverkehrs auf allen Ebenen

Kontrollieren des Netzwerkdatenverkehrs in einer VPC: Implementieren von Best Practices für VPC zur Kontrolle des Datenverkehrs
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs

Kontrollieren des Datenverkehrs am Edge: Implementieren Sie Edge-Services wie Amazon CloudFront, um eine zusätzliche Schutzebene und andere Funktionen bereitzustellen.
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing

Kontrollieren des privaten Netzwerkverkehrs: Implementieren Sie Services, die Ihren privaten Datenverkehr für Ihre Workload schützen.
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points

Automatischer Netzwerkschutz

Automatisieren des Schutzes für webbasierten Datenverkehr: AWS bietet eine Lösung, die AWS CloudFormation verwendet, um automatisch eine Reihe von AWS WAF-Regeln bereitzustellen, die gängige webbasierte Angriffe filtern. Benutzer können aus vorkonfigurierten Schutzfunktionen wählen, die die in einer AWS WAF Web Access Control List (Web ACL) enthaltenen Regeln definieren.
AWS WAF security automations

Erwägen von APN-Partnerlösungen: APN-Partner bieten Hunderte branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren lokalen Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, damit Sie eine umfassende Sicherheitsarchitektur und eine nahtlosere Erfahrung in Ihrer Cloud und Ihren lokalen Umgebungen bereitstellen können.
Infrastructure security

Implementieren von Prüfung und Schutz

Konfigurieren von Amazon GuardDuty: Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Konfigurieren von VPC-Flow-Protokollen: VPC Flow Logs sind ein Leistungsmerkmal, mit dessen Hilfe Sie Informationen zum ein- und ausgehenden IP-Datenverkehr an den Netzwerkschnittstellen Ihrer VPC erfassen (Flussprotokoll). Flussprotokolldaten können in Amazon CloudWatch Logs und Amazon S3 veröffentlicht werden. Sobald das Flussprotokoll fertig ist, können Sie seine Daten auf den ausgewählten Zielort abrufen und dort einsehen.

Erwägen von VPC-Datenverkehrabbildung: Die Datenverkehrabbildung ist eine Amazon VPC-Funktion, mit der Sie Netzwerkdatenverkehr von einer Elastic Network-Schnittstelle von Amazon EC2-Instances kopieren und diesen dann zur Inhaltsprüfung, Bedrohungsüberwachung und Fehlerbehebung an Out-of-Band-Sicherheits- und Überwachungs-Appliances senden können.
VPC traffic mirroring