Säule der Sicherheit - AWS Präskriptive Leitlinien
Implementieren Sie DatensicherheitSchützen Sie Ihre NetzwerkeImplementieren Sie Authentifizierung und Autorisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Säule der Sicherheit

Cloud-Sicherheit hat bei höchste Priorität. AWS Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen. Sicherheit ist eine gemeinsame Verantwortung von Ihnen und. AWS Das Modell der geteilten Verantwortung beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:

  • Sicherheit der Cloud — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der läuft AWS Cloud. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit der AWS Sicherheit im Rahmen von AWS Compliance-Programmen. Weitere Informationen zu den Compliance-Programmen, die für Neptune gelten, finden Sie unter AWS Services in Scope by Compliance Program.

  • Sicherheit in der Cloud — Ihre Verantwortung richtet sich nach dem AWS-Service , was Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften. Weitere Informationen zum Datenschutz finden Sie im Datenschutz FAQs. Informationen zum Datenschutz in Europa finden Sie im Blogbeitrag AWS Shared Responsibility Model und GDPR.

Die Sicherheitssäule des AWS Well-Architected Framework hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung anwenden können, wenn Sie Neptune Analytics verwenden. In den folgenden Themen wird erklärt, wie Sie Neptune Analytics konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie lernen auch, wie Sie andere verwenden können AWS-Services , die Ihnen helfen, Ihre Neptune Analytics-Ressourcen zu überwachen und zu sichern. Die Sicherheitssäule umfasst die folgenden Schwerpunktbereiche:

  • Datensicherheit

  • Netzwerksicherheit

  • Authentifizierung und Autorisierung

Implementieren Sie Datensicherheit

Datenlecks und Sicherheitsverletzungen gefährden Ihre Kunden und können erhebliche negative Auswirkungen auf Ihr Unternehmen haben. Die folgenden bewährten Methoden tragen dazu bei, Ihre Kundendaten vor unbeabsichtigter und böswilliger Offenlegung zu schützen:

  • Grafiknamen, Tags, IAM-Rollen und andere Metadaten sollten keine vertraulichen oder sensiblen Informationen enthalten, da diese Daten möglicherweise in Abrechnungs- oder Diagnoseprotokollen auftauchen.

  • URIs oder Links zu externen Servern, die als Daten in Neptune gespeichert sind, sollten keine Anmeldeinformationen zur Validierung von Anfragen enthalten.

  • Ein Neptune Analytics-Diagramm ist im Ruhezustand verschlüsselt. Sie können den Standardschlüssel oder einen Schlüssel AWS Key Management Service (AWS KMS) Ihrer Wahl verwenden, um das Diagramm zu verschlüsseln. Sie können auch Snapshots und Daten verschlüsseln, die beim Massenimport nach Amazon S3 exportiert werden. Sie können die Verschlüsselung entfernen, wenn der Import abgeschlossen ist.

  • Wenn Sie die OpenCypher-Sprache verwenden, sollten Sie die richtigen Techniken zur Eingabevalidierung und Parametrisierung anwenden, um SQL-Injection und andere Formen von Angriffen zu verhindern. Vermeiden Sie es, Abfragen zu erstellen, die eine Verkettung von Zeichenketten mit vom Benutzer bereitgestellten Eingaben verwenden. Verwenden Sie parametrisierte Abfragen oder vorbereitete Anweisungen, um Eingabeparameter sicher an die Graphdatenbank zu übergeben. Weitere Informationen finden Sie unter Beispiele für parametrisierte OpenCypher-Abfragen in der Neptune-Dokumentation.

Schützen Sie Ihre Netzwerke

Sie können ein Neptune Analytics-Diagramm für öffentliche Konnektivität aktivieren, sodass es von außerhalb einer Virtual Private Cloud (VPC) erreicht werden kann. Diese Konnektivität ist standardmäßig deaktiviert. Für das Diagramm ist eine IAM-Authentifizierung erforderlich. Der Aufrufer muss eine Identität erhalten und über Berechtigungen zur Verwendung des Diagramms verfügen. Um beispielsweise eine OpenCypher-Abfrage auszuführen, müsste der Aufrufer Lese-, Schreib- oder Löschberechtigungen für das jeweilige Diagramm haben.

Sie können auch private Endpunkte für das Diagramm erstellen, um von einer VPC aus auf das Diagramm zuzugreifen. Wenn Sie den Endpunkt erstellen, geben Sie die VPC, Subnetze und Sicherheitsgruppen an, um den Zugriff auf den Graphen einzuschränken.

Um Ihre Daten während der Übertragung zu schützen, erzwingt Neptune Analytics SSL-Verbindungen über HTTPS zum Diagramm. Weitere Informationen finden Sie unter Datenschutz in Neptune Analytics in der Neptune Analytics-Dokumentation.

Implementieren Sie Authentifizierung und Autorisierung

Für Aufrufe eines Neptune Analytics-Graphen ist eine IAM-Authentifizierung erforderlich. Der Aufrufer muss eine Identität erhalten und über ausreichende Berechtigungen verfügen, um die Aktion im Diagramm ausführen zu können. Eine Beschreibung der API-Aktionen und der erforderlichen Berechtigungen finden Sie in der Neptune Analytics-API-Dokumentation. Sie können Bedingungsprüfungen erzwingen, um den Zugriff anhand von Tags einzuschränken.

Die IAM-Authentifizierung verwendet das AWS Signature Version 4 (Sigv4) -Protokoll. Um die Nutzung in Ihrer Anwendung zu vereinfachen, empfehlen wir Ihnen, ein AWS SDK zu verwenden. Verwenden Sie in Python beispielsweise den Boto3-Client für Neptune Graph, der SigV4 abstrahiert.

Wenn Sie Daten in das Diagramm laden, verwendet das Batch-Laden die IAM-Anmeldeinformationen des Aufrufers. Der Anrufer muss über Berechtigungen zum Herunterladen von Daten von Amazon S3 verfügen, wobei die Vertrauensbeziehung eingerichtet ist, sodass Neptune Analytics die Rolle übernehmen kann, die Daten aus Amazon S3 S3-Dateien in das Diagramm zu laden.

Der Massenimport kann entweder während der Diagrammerstellung (durch das Infrastrukturteam) oder für ein vorhandenes, leeres Diagramm (von dem Datenentwicklungsteam, das über die Berechtigungen zum Starten von Importaufgaben verfügt) durchgeführt werden. In beiden Fällen übernimmt Neptune Analytics die IAM-Rolle, die der Aufrufer als Eingabe bereitstellt. Diese Rolle gibt ihr die Berechtigung, den Inhalt des Amazon S3 S3-Ordners, in dem die Eingabedaten gespeichert sind, zu lesen und aufzulisten.