Empfehlungen zur Sicherheitskontrolle zum Schutz der Infrastruktur

Der Schutz der Infrastruktur ist ein wichtiger Bestandteil jedes Sicherheitsprogramms. Es umfasst Kontrollmethoden, mit denen Sie Ihre Netzwerke und Rechenressourcen schützen können. Beispiele für Infrastrukturschutz sind Vertrauensgrenzen, ein defense-in-depth Ansatz, Sicherheitsverstärkung, Patch-Management sowie Betriebssystemauthentifizierung und -autorisierung. Weitere Informationen finden Sie unter Infrastrukturschutz im AWS Well-Architected Framework. Die Sicherheitskontrollen in diesem Abschnitt können Ihnen bei der Implementierung von Best Practices für den Infrastrukturschutz helfen.

Geben Sie Standard-Stammobjekte für CloudFront Distributionen an

Amazon CloudFront beschleunigt die Verteilung Ihrer Webinhalte, indem es sie über ein weltweites Netzwerk von Rechenzentren bereitstellt, was die Latenz senkt und die Leistung verbessert. Wenn Sie kein Standardstammobjekt definieren, werden Anfragen für den Stamm Ihrer Verteilung an Ihren Ursprungs-Server weitergeleitet. Wenn Sie einen Amazon Simple Storage Service (Amazon S3) -Ursprung verwenden, gibt die Anfrage möglicherweise eine Liste der Inhalte in Ihrem S3-Bucket oder eine Liste der privaten Inhalte Ihres Ursprungs zurück. Durch die Angabe eines Standard-Root-Objekts können Sie vermeiden, dass der Inhalt Ihrer Distribution offengelegt wird.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Die Angabe eines Standard-Stammobjekts in der Dokumentation CloudFront

Scannen Sie den Anwendungscode, um häufig auftretende Sicherheitsprobleme zu identifizieren

Das AWS Well-Architected Framework empfiehlt, Bibliotheken und Abhängigkeiten auf Probleme und Fehler zu überprüfen. Es gibt viele Tools zur Quellcode-Analyse, mit denen Sie Quellcode scannen können. Amazon CodeGuru kann beispielsweise nach häufigen Sicherheitsproblemen suchen in Java or Python Anträge und Empfehlungen zur Problembehebung.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• CodeGuru Dokumentation

• Tools zur Quellcode-Analyse auf der OWASP Foundation website

• Führen Sie das Schwachstellenmanagement im AWS Well-Architected Framework durch

Erstellen Sie Netzwerkschichten mithilfe von dedizierten VPCs Netzen und Subnetzen

Das AWS Well-Architected Framework empfiehlt, Komponenten mit gemeinsamen Sensitivitätsanforderungen in Schichten zu gruppieren. Dadurch wird das potenzielle Ausmaß der Auswirkungen eines unbefugten Zugriffs minimiert. Beispielsweise sollte ein Datenbankcluster, der keinen Internetzugang benötigt, in einem privaten Subnetz seiner VPC platziert werden, um sicherzustellen, dass es keine Route zum oder vom Internet gibt.

AWS bietet viele Dienste, mit denen Sie die Erreichbarkeit für die Öffentlichkeit testen und ermitteln können. Reachability Analyzer ist beispielsweise ein Tool zur Konfigurationsanalyse, mit dem Sie die Konnektivität zwischen Quell- und Zielressourcen in Ihrem testen können. VPCs Außerdem kann Network Access Analyzer Ihnen helfen, unbeabsichtigte Netzwerkzugriffe auf Ressourcen zu identifizieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Erstellen Sie Netzwerkschichten im AWS Well-Architected Framework

• Dokumentation zu Reachability Analyzer

• Dokumentation zu Network Access Analyzer

• Erstellen Sie ein Subnetz in der Amazon Virtual Private Cloud (Amazon VPC) -Dokumentation

Beschränken Sie den eingehenden Datenverkehr auf nur autorisierte Ports

Uneingeschränkter Zugriff, z. B. Datenverkehr von der 0.0.0.0/0 Quell-IP-Adresse, erhöht das Risiko für böswillige Aktivitäten wie Hacking, denial-of-service (DoS) -Angriffe und Datenverlust. Sicherheitsgruppen ermöglichen eine statusorientierte Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen. AWS Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf eingehende Zugriffe auf bekannte Ports wie SSH und Windows Remote Desktop Protocol (RDP). Lassen Sie für eingehenden Datenverkehr in Ihren Sicherheitsgruppen nur TCP- oder UDP-Verbindungen an autorisierten Ports zu. Um eine Verbindung zu Amazon Elastic Compute Cloud (Amazon EC2) -Instances herzustellen, verwenden Sie Session Manager oder Run Command anstelle von direktem SSH- oder RDP-Zugriff.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Arbeiten Sie mit Sicherheitsgruppen in der EC2 Amazon-Dokumentation

• Steuern Sie den Datenverkehr zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen in der Amazon VPC-Dokumentation

Sperren Sie den öffentlichen Zugriff auf Systems Manager Manager-Dokumente

Sofern Ihr Anwendungsfall nicht erfordert, dass die öffentliche Freigabe aktiviert ist, empfehlen die AWS Systems Manager bewährten Methoden, die öffentliche Freigabe für Systems Manager Manager-Dokumente zu blockieren. Das öffentliche Teilen kann zu unbeabsichtigtem Zugriff auf Dokumente führen. Ein öffentliches Systems Manager Manager-Dokument kann wertvolle und vertrauliche Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.

 Weitere Informationen finden Sie in den folgenden Ressourcen:

• Bewährte Methoden für gemeinsam genutzte Systems Manager Manager-Dokumente in der Systems Manager Manager-Dokumentation

• Ändern Sie die Berechtigungen für ein gemeinsam genutztes Systems Manager Manager-Dokument in der Systems Manager Manager-Dokumentation

Blockieren Sie den öffentlichen Zugriff auf Lambda-Funktionen

AWS Lambda ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Lambda-Funktionen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf den Funktionscode ermöglichen könnte.

Wir empfehlen Ihnen, ressourcenbasierte Richtlinien für Lambda-Funktionen zu konfigurieren, um den Zugriff von außerhalb Ihres Kontos zu verweigern. Sie können dies erreichen, indem Sie Berechtigungen entfernen oder der Anweisung die AWS:SourceAccount Bedingung hinzufügen, die den Zugriff gewährt. Sie können ressourcenbasierte Richtlinien für Lambda-Funktionen über die Lambda-API oder () aktualisieren. AWS Command Line Interface AWS CLI

Wir empfehlen außerdem, dass Sie die [Lambda.1] Lambda-Funktionsrichtlinien aktivieren, um die öffentliche Zugriffskontrolle in zu verbieten. AWS Security Hub Dieses Steuerelement bestätigt, dass ressourcenbasierte Richtlinien für Lambda-Funktionen den öffentlichen Zugriff verbieten.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• AWS Lambda Kontrollen in der Security Hub Hub-Dokumentation

• Verwendung ressourcenbasierter Richtlinien für Lambda in der Lambda-Dokumentation

• Ressourcen und Bedingungen für Lambda-Aktionen in der Lambda-Dokumentation

Beschränken Sie eingehenden und ausgehenden Datenverkehr in der Standardsicherheitsgruppe

Wenn Sie bei der Bereitstellung einer AWS Ressource keine benutzerdefinierte Sicherheitsgruppe zuordnen, wird die Ressource der Standardsicherheitsgruppe der VPC zugeordnet. Die Standardregeln für diese Sicherheitsgruppe lassen den gesamten eingehenden Verkehr von allen Ressourcen zu, die dieser Sicherheitsgruppe zugewiesen sind, und sie lassen den gesamten ausgehenden IPv4 Verkehr und Datenverkehr zu. IPv6 Dies kann unbeabsichtigten Datenverkehr zur Ressource ermöglichen.

AWS empfiehlt, die Standardsicherheitsgruppe nicht zu verwenden. Erstellen Sie stattdessen benutzerdefinierte Sicherheitsgruppen für bestimmte Ressourcen oder Ressourcengruppen.

Da die Standardsicherheitsgruppe nicht gelöscht werden kann, empfehlen wir, die Standardsicherheitsgruppenregeln zu ändern, um den eingehenden und ausgehenden Datenverkehr einzuschränken. Beachten Sie bei der Konfiguration von Sicherheitsgruppenregeln das Prinzip der geringsten Rechte.

Wir empfehlen außerdem, die [EC2.2] VPC-Standardsicherheitsgruppen sollten keine Steuerung des eingehenden oder ausgehenden Datenverkehrs in Security Hub zulassen. Dieses Steuerelement bestätigt, dass die Standardsicherheitsgruppe einer VPC eingehenden und ausgehenden Datenverkehr ablehnt.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Steuern Sie den Datenverkehr zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen in der Amazon VPC-Dokumentation

• Standard-Sicherheitsgruppen für Sie VPCs in der Amazon VPC-Dokumentation

• Amazon EC2 Controls in der Security Hub Hub-Dokumentation

Suchen Sie nach Software-Sicherheitslücken und unbeabsichtigter Netzwerkgefährdung

Wir empfehlen Ihnen, Amazon Inspector in all Ihren Konten zu aktivieren. Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre EC2 Amazon-Instances, Container-Images von Amazon Elastic Container Registry (Amazon ECR) und Lambda-Funktionen kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung überprüft. Es unterstützt auch eine gründliche Inspektion von EC2 Amazon-Instances. Wenn Amazon Inspector eine Sicherheitslücke oder einen offenen Netzwerkpfad identifiziert, wird ein Ergebnis generiert, das Sie untersuchen können. Wenn Amazon Inspector und Security Hub beide in Ihrem Konto eingerichtet sind, sendet Amazon Inspector automatisch Sicherheitsergebnisse zur zentralen Verwaltung an Security Hub.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Scannen von Ressourcen mit Amazon Inspector in der Amazon Inspector Inspector-Dokumentation

• Amazon Inspector Deep Inspection für Amazon EC2 in der Amazon Inspector Inspector-Dokumentation

• Scannen EC2 AMIs mit Amazon Inspector im AWS Sicherheitsblog

• Aufbau eines skalierbaren Schwachstellen-Management-Programms auf Basis von AWS AWS Prescriptive Guidance

• Automatisieren Sie den Netzwerkschutz im AWS Well-Architected Framework

• Automatisieren Sie den Computerschutz im AWS Well-Architected Framework

Richten AWS WAF

AWS WAFist eine Webanwendungs-Firewall, mit der Sie HTTP- oder HTTPS-Anfragen überwachen und blockieren können, die an Ihre geschützten Webanwendungsressourcen wie Amazon API Gateway APIs, CloudFront Amazon-Distributionen oder Application Load Balancers weitergeleitet werden. Basierend auf den von Ihnen angegebenen Kriterien beantwortet der Service Anfragen entweder mit dem angeforderten Inhalt, mit einem HTTP-403-Statuscode (Verboten) oder mit einer benutzerdefinierten Antwort. AWS WAF kann zum Schutz von Webanwendungen oder APIs vor gängigen Web-Exploits beitragen, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. Erwägen Sie die Einrichtung AWS WAF AWS-Konten und Verwendung einer Kombination aus AWS verwalteten Regeln, benutzerdefinierten Regeln und Partnerintegrationen, um Ihre Anwendungen vor Angriffen auf Anwendungsebene (Layer 7) zu schützen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Erste Schritte AWS WAF in der Dokumentation AWS WAF

• AWS WAF Lieferpartner auf der AWS Website

• Sicherheitsautomatisierungen für AWS WAF in der AWS Solutions Library

• Implementieren Sie Inspektion und Schutz im AWS Well-Architected Framework

Konfigurieren Sie erweiterte Schutzmaßnahmen gegen S-Angriffe DDo

AWS Shieldbietet Schutz vor verteilten Denial-of-Service-Angriffen (DDoS) für AWS Ressourcen auf der Netzwerk- und Transportebene (Schicht 3 und 4) sowie auf der Anwendungsebene (Schicht 7). Dieser Service ist in zwei Optionen verfügbar: AWS Shield Standard und. AWS Shield Advanced Shield Standard schützt automatisch unterstützte AWS Ressourcen ohne zusätzliche Kosten.

Wir empfehlen Ihnen, Shield Advanced zu abonnieren, das erweiterten DDo S-Angriffsschutz für geschützte Ressourcen bietet. Der Schutz, den Sie von Shield Advanced erhalten, hängt von Ihrer Architektur und Ihren Konfigurationsoptionen ab. Erwägen Sie die Implementierung von Shield Advanced-Schutzmaßnahmen für Anwendungen, für die Sie Folgendes benötigen:

• Garantierte Verfügbarkeit für die Benutzer der Anwendung.

• Schneller Zugang zu Experten zur DDo S-Abwehr, falls die Anwendung von einem DDo S-Angriff betroffen ist.

• Kenntnis von AWS, dass die Anwendung von einem DDo S-Angriff betroffen sein könnte, und Benachrichtigung über Angriffe von AWS und Eskalation an Ihre Sicherheits- oder Betriebsteams.

• Vorhersehbarkeit Ihrer Cloud-Kosten, auch wenn sich ein DDo S-Angriff auf Ihre Nutzung von auswirkt. AWS-Services

Weitere Informationen finden Sie in den folgenden Ressourcen:

• AWS Shield Advanced Überblick in der Shield-Dokumentation

• AWS Shield Advanced geschützte Ressourcen in der Shield-Dokumentation

• AWS Shield Advanced Funktionen und Optionen in der Shield-Dokumentation

• Reagieren auf DDo S-Ereignisse in der Shield-Dokumentation

• Implementieren Sie Inspektion und Schutz im AWS Well-Architected Framework

Verwenden Sie einen defense-in-depth Ansatz zur Steuerung des Netzwerkverkehrs

AWS Network Firewall ist ein zustandsbehafteter, verwalteter Dienst zur Netzwerk-Firewall und zur Erkennung und Verhinderung von Eindringlingen für virtuelle private Clouds (VPCs) in der. AWS Cloud Es hilft Ihnen dabei, wichtige Netzwerkschutzmaßnahmen am Perimeter der VPC bereitzustellen. Dazu gehört das Filtern von Datenverkehr, der zu und von einem Internet-Gateway, NAT-Gateway oder über VPN oder kommt. AWS Direct Connect Die Network Firewall umfasst Funktionen, die zum Schutz vor gängigen Netzwerkbedrohungen beitragen. Die Stateful-Firewall in der Network Firewall kann den Kontext von Verkehrsströmen wie Verbindungen und Protokollen einbeziehen, um Richtlinien durchzusetzen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• AWS Network Firewall Dokumentation

• Steuern Sie den Verkehr auf allen Ebenen im AWS Well-Architected Framework