Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Sicherheitssäule von Amazon ElastiCache Well-Architected Lens

PDF
RSS
Fokusmodus
Sicherheitssäule von Amazon ElastiCache Well-Architected Lens - Amazon ElastiCache
SEC 1: Welche Schritte ergreifen Sie, um den autorisierten Zugriff auf Daten zu ElastiCache kontrollieren?SEC 2: Benötigen Ihre Anwendungen zusätzliche Autorisierungen, die ElastiCache über netzwerkbasierte Kontrollen hinausgehen? SEC 3: Besteht das Risiko, dass Befehle versehentlich ausgeführt werden können und Datenverlust oder -ausfall verursachen? SEC 4: Wie gewährleisten Sie die Datenverschlüsselung im Ruhezustand mit ElastiCacheSEC 5: Wie verschlüsselt man Daten bei der Übertragung mit? ElastiCacheSEC 6: Wie schränken Sie den Zugriff auf Ressourcen der Steuerebene ein? SEC 7: Wie erkennen Sie Sicherheitsereignisse und wie reagieren Sie darauf?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Säule der Sicherheit konzentriert sich auf den Schutz von Informationen und Systemen. Zu den wichtigsten Themen gehören die Vertraulichkeit und Integrität von Daten, die Ermittlung und Verwaltung von Berechtigungen mithilfe der Berechtigungsverwaltung, der Schutz von Systemen und die Einrichtung von Kontrollen zur Erkennung von Sicherheitsereignissen.

SEC 1: Welche Schritte ergreifen Sie, um den autorisierten Zugriff auf Daten zu ElastiCache kontrollieren?

Einführung auf Fragenebene: Alle ElastiCache Cluster sind für den Zugriff über Amazon Elastic Compute Cloud-Instances in einer VPC, serverlose Funktionen (AWS Lambda) oder Container (Amazon Elastic Container Service) konzipiert. Das am häufigsten anzutreffende Szenario ist der Zugriff auf einen ElastiCache Cluster von einer Amazon Elastic Compute Cloud-Instanz innerhalb derselben Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Bevor Sie von einer EC2 Amazon-Instance aus eine Verbindung zu einem Cluster herstellen können, müssen Sie die EC2 Amazon-Instance autorisieren, auf den Cluster zuzugreifen. Um auf einen ElastiCache Cluster zuzugreifen, der in einer VPC ausgeführt wird, muss dem Cluster Netzwerkzugang gewährt werden.

Vorteil auf Fragenebene: Der Netzwerkeingang für den Cluster wird über VPC-Sicherheitsgruppen gesteuert. Eine Sicherheitsgruppe fungiert als virtuelle Firewall für Ihre EC2 Amazon-Instances, um den eingehenden und ausgehenden Datenverkehr zu kontrollieren. Eingehende Regeln steuern den eingehenden Datenverkehr zu Ihrer Instance und ausgehende Regeln steuern den ausgehenden Datenverkehr von Ihrer Instance. Im Fall von ElastiCache, wenn ein Cluster gestartet wird, muss eine Sicherheitsgruppe zugeordnet werden. Dadurch wird sichergestellt, dass Regeln für ein- und ausgehenden Datenverkehr für alle Knoten gelten, aus denen der Cluster besteht. Darüber hinaus ElastiCache ist es so konfiguriert, dass es ausschließlich in privaten Subnetzen bereitgestellt wird, sodass auf sie nur über das private Netzwerk der VPC zugegriffen werden kann.

  • [Erforderlich] Die Ihrem Cluster zugeordnete Sicherheitsgruppe steuert den Netzwerkeingang und den Zugriff auf den Cluster. Standardmäßig sind für eine Sicherheitsgruppe keine Regeln für eingehenden Datenverkehr definiert und daher auch kein Eingangspfad zu. ElastiCache Um dies zu aktivieren, konfigurieren Sie eine eingehende Regel für die Sicherheitsgruppe, die die Quell-IP-Adresse/den Bereich, den TCP-Verkehr und den Port für Ihren ElastiCache Cluster angibt (Standardport 6379 ElastiCache für beispielsweise Valkey und Redis OSS). Es ist zwar möglich, eine sehr breite Palette von Eingangsquellen zuzulassen, z. B. alle Ressourcen innerhalb einer VPC (0.0.0.0/0), es wird jedoch empfohlen, die Regeln für eingehenden Datenverkehr so detailliert wie möglich zu definieren, z. B. nur den eingehenden Zugriff auf Valkey- oder Redis OSS-Clients zu autorisieren, die auf Amazon Amazon-Instances ausgeführt werden, die einer bestimmten Sicherheitsgruppe zugeordnet sind. EC2

    [Ressourcen]:

  • [Erforderlich]AWS Identity and Access Management Richtlinien können Funktionen zugewiesen werden, die ihnen den Zugriff auf Daten ermöglichen. AWS Lambda ElastiCache Um diese Funktion zu aktivieren, erstellen Sie eine IAM-Ausführungsrolle mit der entsprechenden AWSLambdaVPCAccessExecutionRole Berechtigung und weisen Sie die Rolle dann der AWS Lambda Funktion zu.

    [Ressourcen]: Konfiguration einer Lambda-Funktion für den Zugriff auf Amazon ElastiCache in einer Amazon VPC: Tutorial: Konfiguration einer Lambda-Funktion für den Zugriff auf Amazon ElastiCache in einer Amazon VPC

SEC 2: Benötigen Ihre Anwendungen zusätzliche Autorisierungen, die ElastiCache über netzwerkbasierte Kontrollen hinausgehen?

Einführung auf Fragenebene: In Szenarien, in denen es notwendig ist, den Zugriff auf Cluster auf individueller Client-Ebene einzuschränken oder zu kontrollieren, wird empfohlen, sich über den AUTH-Befehl zu authentifizieren. ElastiCache Authentifizierungstoken mit optionaler Benutzer- und Benutzergruppenverwaltung ermöglichen es, ein Passwort ElastiCache anzufordern, bevor Clients Befehle ausführen und auf Schlüssel zugreifen können, wodurch die Sicherheit der Datenebene verbessert wird.

Vorteil auf Fragenebene: Damit Ihre Daten sicher bleiben, ElastiCache bietet es Mechanismen zum Schutz vor unbefugtem Zugriff auf Ihre Daten. Dazu gehört auch, dass Clients, bevor sie autorisierte Befehle ausführen, mithilfe von RBAC (Role-Based Access Control) AUTH oder AUTH-Token (Passwort) eine Verbindung herstellen. ElastiCache

  • [Am besten] Definieren Sie für ElastiCache Version 6.x und höher für Redis OSS und ElastiCache Version 7.2 und höher für Valkey Authentifizierungs- und Autorisierungskontrollen, indem Sie Benutzergruppen, Benutzer und Zugriffszeichenfolgen definieren. Weisen Sie Benutzer Benutzergruppen zu und weisen Sie Benutzergruppen dann Clustern zu. Damit RBAC verwendet wird, muss es bei der Clustererstellung ausgewählt und die Verschlüsselung während der Übertragung aktiviert sein. Stellen Sie sicher, dass Sie einen Valkey- oder Redis OSS-Client verwenden, der TLS unterstützt, um RBAC nutzen zu können.

    [Ressourcen]:

  • [Am besten] Für ElastiCache Versionen vor 6.x für Redis OSS, zusätzlich zur Einstellung stark. token/password and maintaining a strict password policy for AUTH, it is best practice to rotate the password/token ElastiCache kann bis zu zwei (2) Authentifizierungstoken gleichzeitig verwalten. Sie können den Cluster auch so ändern, dass explizit die Verwendung von Authentifizierungstoken erforderlich ist.

    [Ressourcen]: Ändern des AUTH-Tokens auf einem vorhandenen Cluster ElastiCache

SEC 3: Besteht das Risiko, dass Befehle versehentlich ausgeführt werden können und Datenverlust oder -ausfall verursachen?

Einführung auf Fragenebene: Es gibt eine Reihe von Valkey- oder Redis OSS-Befehlen, die sich nachteilig auf den Betrieb auswirken können, wenn sie versehentlich oder von böswilligen Akteuren ausgeführt werden. Diese Befehle können im Hinblick auf die Leistung und Datensicherheit unbeabsichtigte Folgen haben. Beispielsweise kann ein Entwickler in einer Entwicklungsumgebung routinemäßig den Befehl FLUSHALL aufrufen und aufgrund eines Fehlers versehentlich versuchen, diesen Befehl in einem Produktionssystem aufzurufen, was zu unbeabsichtigtem Datenverlust führt.

Vorteil auf Fragenebene: Ab ElastiCache Version 5.0.3 für Redis OSS haben Sie die Möglichkeit, bestimmte Befehle umzubenennen, die Ihre Arbeitslast stören könnten. Durch das Umbenennen der Befehle kann verhindert werden, dass diese versehentlich auf dem Cluster ausgeführt werden.

SEC 4: Wie gewährleisten Sie die Datenverschlüsselung im Ruhezustand mit ElastiCache

Einführung auf Fragenebene: Es ElastiCache handelt sich zwar um einen In-Memory-Datenspeicher, aber es ist möglich, alle Daten zu verschlüsseln, die im Rahmen der Standardoperationen des Clusters dauerhaft (im Speicher) gespeichert werden. Dazu gehören sowohl geplante als auch manuelle Backups, die in Amazon S3 geschrieben wurden, sowie Daten, die aufgrund von Synchronisierungs- und Swap-Vorgängen auf dem Festplattenspeicher gespeichert wurden. Instance-Typen der M6g- und R6g-Familien verfügen außerdem über eine ständig aktive In-Memory-Verschlüsselung.

Vorteil auf Fragenebene: ElastiCache Bietet optionale Verschlüsselung im Ruhezustand, um die Datensicherheit zu erhöhen.

  • [Erforderlich] Die Verschlüsselung im Ruhezustand kann auf einem ElastiCache Cluster (Replikationsgruppe) nur aktiviert werden, wenn dieser erstellt wurde. Ein vorhandener Cluster kann nicht geändert werden, um mit der Verschlüsselung von Daten im Ruhezustand zu beginnen. Stellt standardmäßig die Schlüssel bereit und verwaltet ElastiCache sie, die bei der Verschlüsselung im Ruhezustand verwendet werden.

    [Ressourcen]:

  • [Am besten] Nutzen Sie EC2 Amazon-Instance-Typen, die Daten verschlüsseln, während sie sich im Arbeitsspeicher befinden (z. B. M6g oder R6g). Wenn möglich, sollten Sie erwägen, eigene Schlüssel für die Verschlüsselung im Ruhezustand zu verwalten. In Umgebungen mit strengeren Datensicherheitsumgebungen kann AWS Key Management Service (KMS) zur Selbstverwaltung der Customer Master Keys (CMK) verwendet werden. Durch die ElastiCache Integration mit sind Sie in der Lage AWS Key Management Service, die Schlüssel zu erstellen, zu besitzen und zu verwalten, die für die Verschlüsselung ruhender Daten in Ihrem ElastiCache Cluster verwendet werden.

    [Ressourcen]:

SEC 5: Wie verschlüsselt man Daten bei der Übertragung mit? ElastiCache

Einführung auf Fragenebene: Es ist eine gängige Anforderung, zu verhindern, dass Daten während der Übertragung beschädigt werden. Dabei handelt es sich um Daten innerhalb von Komponenten eines verteilten Systems sowie zwischen Anwendungsclients und Clusterknoten. ElastiCache unterstützt diese Anforderung, indem es die Verschlüsselung von Daten ermöglicht, die zwischen Clients und Clustern sowie zwischen den Clusterknoten selbst übertragen werden. Instance-Typen der M6g- und R6g-Familien verfügen außerdem über eine ständig aktive In-Memory-Verschlüsselung.

Vorteil auf Frageebene: Die Verschlüsselung ElastiCache während der Übertragung durch Amazon ist eine optionale Funktion, mit der Sie die Sicherheit Ihrer Daten an den anfälligsten Stellen erhöhen können, wenn sie von einem Ort zum anderen übertragen werden.

  • [Erforderlich] Die Verschlüsselung bei der Übertragung kann bei der Erstellung nur auf einem Cluster (Replikationsgruppe) aktiviert werden. Bitte beachten Sie, dass die Implementierung der Verschlüsselung bei der Übertragung aufgrund der zusätzlichen Verarbeitung, die für die Ver-/Entschlüsselung von Daten erforderlich ist, Auswirkungen auf die Leistung hat. Um die Auswirkungen zu verstehen, wird empfohlen, Ihren Workload vor und nach der Aktivierung encryption-in-transit zu vergleichen.

    [Ressourcen]:

SEC 6: Wie schränken Sie den Zugriff auf Ressourcen der Steuerebene ein?

Einführung auf Fragenebene: IAM-Richtlinien und ARN ermöglichen detaillierte Zugriffskontrollen ElastiCache für Valkey und Redis OSS und ermöglichen so eine strengere Kontrolle bei der Verwaltung der Erstellung, Änderung und Löschung von Clustern.

Vorteil auf Frageebene: Die Verwaltung von ElastiCache Amazon-Ressourcen wie Replikationsgruppen, Knoten usw. kann auf AWS Konten beschränkt werden, die über spezifische Berechtigungen auf der Grundlage von IAM-Richtlinien verfügen, wodurch die Sicherheit und Zuverlässigkeit der Ressourcen verbessert wird.

SEC 7: Wie erkennen Sie Sicherheitsereignisse und wie reagieren Sie darauf?

Einführung auf Fragenebene: ElastiCache Exportiert bei der Implementierung mit aktiviertem RBAC CloudWatch Metriken, um Benutzer über Sicherheitsereignisse zu informieren. Diese Metriken helfen bei der Identifizierung von fehlgeschlagenen Authentifizierungsversuchen, Zugriffsschlüsseln oder der Ausführung von Befehlen, für die RBAC-Benutzer, die eine Verbindung herstellen, nicht autorisiert sind.

Darüber hinaus tragen AWS Produkte und Serviceressourcen dazu bei, Ihre gesamte Arbeitslast zu sichern, indem sie Bereitstellungen automatisieren und alle Aktionen und Änderungen für eine spätere Überprüfung/Prüfung protokollieren.

Vorteil auf Fragenebene: Durch die Überwachung von Ereignissen ermöglichen Sie Ihrem Unternehmen, gemäß Ihren Anforderungen, Richtlinien und Verfahren zu reagieren. Durch die Automatisierung der Überwachung und Reaktion auf diese Sicherheitsereignisse wird Ihre allgemeine Sicherheitslage gestärkt.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.