Infrastruktursicherheit bei Amazon EC2 - Amazon Elastic Compute Cloud
NetzwerkisolierungIsolierung auf physischen HostsSteuern des Netzwerkverkehrs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit bei Amazon EC2

Als verwalteter Service ist Amazon Elastic Compute Cloud durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API Anrufe, um EC2 über das Netzwerk auf Amazon zuzugreifen. Kunden müssen Folgendes unterstützen:

  • Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Cipher-Suites mit Perfect Forward Secrecy (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Weitere Informationen finden Sie unter Infrastructure Protection in the Security Pillar — AWS Well-Architected Framework.

Netzwerkisolierung

Eine virtuelle private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud. AWS Verwenden Sie VPCs es separat, um die Infrastruktur nach Arbeitslast oder organisatorischer Einheit zu isolieren.

Ein Subnetz ist ein Bereich von IP-Adressen in einemVPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrem. VPC Verwenden Sie Subnetze, um die Ebenen Ihrer Anwendung (z. B. Web, Anwendung und Datenbank) innerhalb einer einzigen Ebene zu isolieren. VPC Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.

Um Amazon EC2 API von Ihnen aus anzurufen, VPC indem Sie private IP-Adressen verwenden, verwenden Sie AWS PrivateLink. Weitere Informationen finden Sie unter Greifen Sie EC2 über einen VPC Schnittstellen-Endpunkt auf Amazon zu.

Isolierung auf physischen Hosts

Verschiedene EC2 Instances auf demselben physischen Host sind voneinander isoliert, als ob sie sich auf separaten physischen Hosts befinden würden. Der Hypervisor isoliert den Arbeitsspeicher, CPU und den Instanzen werden virtualisierte Festplatten zur Verfügung gestellt, anstatt Zugriff auf die unformatierten Festplattengeräte zu erhalten.

Wenn Sie eine Instance stoppen oder beenden, wird der ihr zugewiesene Speicher vom Hypervisor gesäubert (mit Null überschrieben), bevor er einer neuen Instance zugewiesen wird. Jeder Speicherblock wird zurückgesetzt. Dadurch wird sichergestellt, dass Ihre Daten nicht unbeabsichtigt einer anderen Instance zugänglich gemacht werden.

MACNetzwerkadressen werden Instanzen von der Netzwerkinfrastruktur dynamisch zugewiesen. AWS IP-Adressen werden Instanzen entweder dynamisch von der AWS Netzwerkinfrastruktur zugewiesen oder von einem EC2 Administrator über authentifizierte API Anfragen zugewiesen. Das AWS Netzwerk ermöglicht es Instances, Traffic nur von den MAC und IP-Adressen zu senden, die ihnen zugewiesen wurden. Andernfalls wird der Datenverkehr unterbrochen.

Standardmäßig kann eine Instance keinen Datenverkehr empfangen, der nicht speziell an sie gerichtet ist. Wenn Sie Netzwerkadressübersetzung (NAT), Routing oder Firewalldienste auf Ihrer Instance ausführen müssen, können Sie die Quell-/Zielüberprüfung für die Netzwerkschnittstelle deaktivieren.

Steuern des Netzwerkverkehrs

Ziehen Sie die folgenden Optionen zur Steuerung des Netzwerkverkehrs zu Ihren EC2 Instances in Betracht:

  • Beschränken Sie den Zugriff auf Ihre Instances über Sicherheitsgruppen. Konfigurieren Sie Regeln, die den minimal erforderlichen Netzwerkverkehr zulassen. Sie können beispielsweise nur Datenverkehr aus den Adressbereichen Ihres Unternehmensnetzwerks oder nur für bestimmte Protokolle zulassen, wie HTTPS z. Lassen Sie für Windows-Instances Windows-Verwaltungsdatenverkehr und minimale ausgehende Verbindungen zu.

  • Nutzen Sie Sicherheitsgruppen als primären Mechanismus zur Steuerung des Netzwerkzugriffs auf EC2 Amazon-Instances. Verwenden Sie das Netzwerk bei Bedarf ACLs sparsam, um eine zustandslose, grobkörnige Netzwerksteuerung zu gewährleisten. Sicherheitsgruppen sind vielseitiger als Netzwerke, ACLs da sie in der Lage sind, statusbehaftete Pakete zu filtern und Regeln zu erstellen, die auf andere Sicherheitsgruppen verweisen. Das Netzwerk ACLs kann jedoch als sekundäre Kontrolle wirksam sein, wenn es darum geht, eine bestimmte Teilmenge des Datenverkehrs zu blockieren oder hochrangige Schutzmechanismen für Subnetze bereitzustellen. Da Netzwerke ACLs für ein ganzes Subnetz gelten, können sie auch so verwendet werden, als ob defense-in-depth eine Instance versehentlich ohne die richtige Sicherheitsgruppe gestartet wird.

  • [Windows-Instanzen] Verwalten Sie die Windows-Firewalleinstellungen zentral mit Gruppenrichtlinienobjekten (GPO), um die Netzwerksteuerung weiter zu verbessern. Kunden verwenden die Windows-Firewall häufig, um den Netzwerkverkehr besser zu erkennen und Sicherheitsgruppenfilter zu ergänzen, indem sie erweiterte Regeln erstellen, um den Zugriff auf bestimmte Anwendungen auf das Netzwerk zu blockieren oder den Datenverkehr von einer Teilmenge der IP-Adressen zu filtern. Beispielsweise kann die Windows-Firewall den Zugriff auf die IP-Adresse des EC2 Metadatendienstes auf bestimmte Benutzer oder Anwendungen beschränken. Alternativ kann ein öffentlicher Service Sicherheitsgruppen verwenden, um den Datenverkehr auf bestimmte Ports zu beschränken, und die Windows-Firewall, um eine Liste explizit blockierter IP-Adressen zu führen.

  • Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen. Verwenden Sie einen Bastion-Host oder ein NAT Bastion-Gateway für den Internetzugang von einer Instanz in einem privaten Subnetz aus.

  • [Windows-Instanzen] Verwenden Sie sichere Verwaltungsprotokolle wie RDP Encapsulation over/. SSL TLS Der Remote Desktop Gateway Quick Start bietet bewährte Methoden für die Bereitstellung des Remote Desktop Gateways, einschließlich der Konfiguration für RDP die Verwendung SSL von/. TLS

  • [Windows-Instanzen] Verwenden Sie Active Directory oder AWS Directory Service , um den interaktiven Benutzer- und Gruppenzugriff auf Windows-Instanzen streng und zentral zu steuern und zu überwachen und lokale Benutzerberechtigungen zu vermeiden. Vermeiden Sie auch die Verwendung von Domain-Administratoren und erstellen Sie stattdessen detailliertere, anwendungsspezifische rollenbasierte Konten. Just Enough Administration (JEA) ermöglicht die Verwaltung von Änderungen an Windows-Instanzen ohne interaktiven Zugriff oder Administratorzugriff. Darüber hinaus JEA können Unternehmen den administrativen Zugriff auf einen Teil der PowerShell Windows-Befehle sperren, die für die Instanzverwaltung erforderlich sind. Weitere Informationen finden Sie im Abschnitt „Verwaltung des Zugriffs auf Amazon auf BetriebssystemebeneEC2“ im Whitepaper „Bewährte AWS Sicherheitsmethoden“.

  • [Windows-Instanzen] Systemadministratoren sollten Windows-Konten mit eingeschränktem Zugriff für tägliche Aktivitäten verwenden und den Zugriff nur dann erhöhen, wenn dies für bestimmte Konfigurationsänderungen erforderlich ist. Greifen Sie darüber hinaus nur auf Windows-Instances direkt zu, wenn dies unbedingt erforderlich ist. Nutzen Sie stattdessen zentrale Konfigurationsmanagementsysteme wie EC2 Run Command, Systems Center Configuration Manager (SCCM) PowerShellDSC, Windows oder Amazon EC2 Systems Manager (SSM), um Änderungen an Windows-Server zu übertragen.

  • Konfigurieren Sie VPC Amazon-Subnetz-Routentabellen mit den minimal erforderlichen Netzwerkrouten. Platzieren Sie beispielsweise nur EC2 Amazon-Instances, die direkten Internetzugang benötigen, in Subnetzen mit Routen zu einem Internet-Gateway und platzieren Sie nur EC2 Amazon-Instances, die direkten Zugriff auf interne Netzwerke benötigen, in Subnetzen mit Routen zu einem virtuellen privaten Gateway.

  • Erwägen Sie die Verwendung zusätzlicher Sicherheitsgruppen oder Netzwerkschnittstellen, um den Datenverkehr der EC2 Amazon-Instance-Verwaltung getrennt vom regulären Anwendungsdatenverkehr zu kontrollieren und zu prüfen. Dieser Ansatz ermöglicht es Kunden, spezielle IAM Richtlinien für die Änderungskontrolle zu implementieren, was es einfacher macht, Änderungen an Sicherheitsgruppenregeln oder automatisierten Regelverifizierungsskripten zu überprüfen. Die Verwendung mehrerer Netzwerkschnittstellen bietet auch zusätzliche Optionen zur Steuerung des Netzwerkverkehrs, einschließlich der Möglichkeit, hostbasierte Routing-Richtlinien zu erstellen oder verschiedene VPC Subnetz-Routing-Regeln zu nutzen, die auf dem zugewiesenen Subnetz der Netzwerkschnittstelle basieren.

  • Verwenden Sie AWS Virtual Private Network oder AWS Direct Connect , um private Verbindungen von Ihren Remote-Netzwerken zu Ihren herzustellen. VPCs Weitere Informationen finden Sie unter VPCNetzwerkzu-Amazon-Verbindungsoptionen.

  • Verwenden Sie VPCFlow Logs, um den Traffic zu überwachen, der Ihre Instances erreicht.

  • Verwenden Sie den GuardDuty Malware-Schutz, um verdächtiges Verhalten zu identifizieren, das auf bösartige Software auf Ihren Instanzen hindeutet, die Ihre Arbeitslast gefährden, Ressourcen für böswillige Zwecke wiederverwenden und sich unbefugten Zugriff auf Ihre Daten verschaffen könnte.

  • Verwenden Sie GuardDuty Runtime Monitoring, um potenzielle Bedrohungen für Ihre Instances zu identifizieren und darauf zu reagieren. Weitere Informationen finden Sie unter So funktioniert Runtime Monitoring mit EC2 Amazon-Instances.

  • Verwenden Sie AWS Security HubReachability Analyzer oder Network Access Analyzer, um zu überprüfen, ob Ihre Instances unbeabsichtigt auf das Netzwerk zugreifen können.

  • Verwenden Sie EC2Instance Connect, um mithilfe von Secure Shell (SSH) eine Verbindung zu Ihren Instances herzustellen, ohne SSH Schlüssel teilen und verwalten zu müssen.

  • Verwenden Sie AWS Systems Manager Session Manager, um remote auf Ihre Instances zuzugreifen, anstatt eingehende Verbindungen SSH oder RDP Ports zu öffnen und Schlüsselpaare zu verwalten.

  • Verwenden Sie AWS Systems Manager Run Command, um allgemeine Verwaltungsaufgaben zu automatisieren, anstatt eine Verbindung zu Ihren Instanzen herzustellen.

  • [Windows-Instanzen] Viele der Windows-Betriebssystemrollen und Microsoft-Geschäftsanwendungen bieten auch erweiterte Funktionen wie Einschränkungen des IP-Adressbereichs innerhalbIIS, TCP /IP-Filterrichtlinien in Microsoft SQL Server und Verbindungsfilterrichtlinien in Microsoft Exchange. Netzwerkeinschränkungsfunktionalität innerhalb der Anwendungsebene kann zusätzliche Verteidigungsebenen für kritische Geschäftsanwendungsserver bereitstellen.

Amazon VPC unterstützt zusätzliche Netzwerksicherheitskontrollen wie Gateways, Proxyserver und Netzwerküberwachungsoptionen. Weitere Informationen finden Sie unter Steuern des Netzwerkverkehrs im VPCAmazon-Benutzerhandbuch.