Infrastruktur OU — Netzwerkkonto - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktur OU — Netzwerkkonto

Das folgende Diagramm zeigt die AWS-Sicherheitsdienste, die im Netzwerkkonto konfiguriert sind. 


      Sicherheitsdienste für Netzwerkkonto

Das Netzwerkkonto verwaltet das Gateway zwischen Ihrer Anwendung und dem Internet. Es ist wichtig, diese bidirektionale Schnittstelle zu schützen. Das Netzwerkkonto isoliert die Netzwerkdienste, die Konfiguration und den Betrieb von den Workloads der einzelnen Anwendung, Sicherheit und anderer Infrastruktur. Diese Vereinbarung schränkt nicht nur die Konnektivität, Berechtigungen und den Datenfluss ein, sondern unterstützt auch die Aufgabentrennung und die geringsten Berechtigungen für die Teams, die in diesen Konten arbeiten müssen. Durch die Aufteilung des Netzwerkflusses in separate eingehende und ausgehende Virtual Private Clouds (VPCs) können Sie sensible Infrastruktur und Datenverkehr vor unerwünschtem Zugriff schützen. Das eingehende Netzwerk wird im Allgemeinen als höheres Risiko angesehen und verdient eine angemessene Weiterleitung, Überwachung und potenzielle Problembegrenzung. Diese Infrastrukturkonten erben die Berechtigungsleitplanken des Org-Management-Kontos und der Infrastruktur-OU. Netzwerk- (und Sicherheits-) Teams verwalten den Großteil der Infrastruktur in diesem Konto.

-Netzwerkarchitektur

Obwohl Netzwerkdesign und -spezifikationen den Rahmen dieses Dokuments sprengen, empfehlen wir diese drei Optionen für die Netzwerkkonnektivität zwischen den verschiedenen Konten: VPC-Peering, AWS PrivateLinkund AWS Transit Gateway. Wichtige Überlegungen bei der Auswahl sind Betriebsnormen, Budgets und spezifische Bandbreitenanforderungen. 

  • VPC-Peering‒ Die einfachste Möglichkeit, zwei VPCs zu verbinden, ist die Verwendung von VPC-Peering. Eine Verbindung ermöglicht eine vollständige bidirektionale Konnektivität zwischen den VPCs. VPCs, die sich in separaten Konten und AWS-Regionen befinden, können ebenfalls miteinander verknüpft werden. Im großen Maßstab, wenn Sie Dutzende bis Hunderte von VPCs haben, führt die Verbindung mit Peering zu einem Geflecht aus Hunderten bis Tausenden von Peering-Verbindungen, was zu einer Herausforderung bei der Verwaltung und Skalierung führen kann. VPC-Peering wird am besten verwendet, wenn Ressourcen in einer VPC mit Ressourcen in einer anderen VPC kommunizieren müssen, die Umgebung beider VPCs kontrolliert und gesichert wird und die Anzahl der zu verbindenden VPCs weniger als 10 beträgt (um die individuelle Verwaltung jeder Verbindung zu ermöglichen).

  • AWS PrivateLink‒ PrivateLinkbietet private Konnektivität zwischen VPCs, Services und Anwendungen. Sie können Ihre eigene Anwendung in Ihrer VPC erstellen und sie als PrivateLink-powered Service (wird alsEndpunktservice) enthalten. Andere AWS-Prinzipale können unter Verwendung einer Verbindung von ihrer VPC zu Ihrem Endpunktservice herstellen.Schnittstellen-VPC-Endpunktoder einGateway Load Balancer-Endpunktabhängig von der Art der Dienstleistung. Wenn Sie PrivateLinkwird der Dienstverkehr nicht über ein öffentlich routingfähiges Netzwerk übertragen. Verwenden von PrivateLink wenn Sie ein Client-Server-Setup haben, in dem Sie einer oder mehreren Verbraucher-VPCs unidirektionalen Zugriff auf einen bestimmten Dienst oder eine Gruppe von Instanzen in der Dienstanbieter-VPC gewähren möchten. Dies ist auch eine gute Option, wenn die Clients und Server in den beiden VPCs überlappende IP-Adressen haben, weil PrivateLink verwendet elastische Netzwerkschnittstellen innerhalb der Client-VPC, sodass es keine IP-Konflikte mit dem Dienstanbieter gibt. 

  • AWS Transit Gateway‒ Transit Gateway bietet eine hub-and-spoke Design für die Verbindung von VPCs und lokalen Netzwerken als vollständig verwalteten Service, ohne dass Sie virtuelle Appliances bereitstellen müssen. AWS verwaltet Hochverfügbarkeit und Skalierbarkeit. Ein Transit-Gateway ist eine regionale Ressource und kann Tausende von VPCs innerhalb derselben AWS-Region verbinden. Sie können Ihre Hybridkonnektivität (VPN- und AWS Direct Connect Connect-Verbindungen) mit einem einzigen Transit-Gateway verbinden und so die gesamte Routing-Konfiguration Ihrer AWS-Organisation an einem Ort konsolidieren und steuern. Ein Transit-Gateway löst die Komplexität, die mit der Erstellung und Verwaltung mehrerer VPC-Peering-Verbindungen im großen Maßstab verbunden ist. Dies ist die Standardeinstellung für die meisten Netzwerkarchitekturen, aber spezifische Anforderungen in Bezug auf Kosten, Bandbreite und Latenz können dazu führen, dass VPC-Peering besser zu Ihren Anforderungen passt.

Eingehende (eingehende) VPC

Die eingehende VPC soll Netzwerkverbindungen akzeptieren, überprüfen und weiterleiten, die außerhalb der Anwendung initiiert wurden. Abhängig von den Besonderheiten der Anwendung können Sie in dieser VPC mit einer gewissen Netzwerkadressübersetzung (NAT) rechnen. Flow-Protokolle von dieser VPC werden erfasst und im Log Archive-Konto gespeichert.

Ausgehende (ausgehende) VPC

Die ausgehende VPC ist für die Verarbeitung von Netzwerkverbindungen vorgesehen, die innerhalb der Anwendung initiiert werden. Abhängig von den Besonderheiten der Anwendung können Sie Traffic-NAT, AWS-Servicespezifische VPC-Endpunkte und das Hosting externer API-Endpunkte in dieser VPC erwarten. Flow-Protokolle von dieser VPC werden erfasst und im Log Archive-Konto gespeichert.

Inspektion VPC

Eine dedizierte Inspektions-VPC bietet einen vereinfachten und zentralen Ansatz für die Verwaltung von Inspektionen zwischen VPCs (in derselben oder in verschiedenen AWS-Regionen), dem Internet und lokalen Netzwerken. Stellen Sie für die AWS SRA sicher, dass der gesamte Datenverkehr zwischen VPCs die Inspektions-VPC durchläuft, und vermeiden Sie die Verwendung der Inspektions-VPC für andere Workloads.

AWS Network Firewall

Die AWS Network Firewall ist ein hochverfügbarer, verwalteter Netzwerk-Firewall-Service für Ihre VPC. Es ermöglicht Ihnen, mühelos Stateful-Inspection, Intrusion Prevention und Detection sowie Webfilterung bereitzustellen und zu verwalten, um Ihre virtuellen Netzwerke in AWS zu schützen. Weitere Informationen zur Konfiguration der Network Firewall finden Sie im.AWS-Netzwerk-Firewall — Neuer Managed Firewall-Service in VPCBlogbeitrag.

Sie verwenden eine Firewall auf Basis einer Zone pro Verfügbarkeit in Ihrer VPC. Für jede Availability Zone wählen Sie ein Subnetz aus, um den Firewall-Endpunkt zu hosten, der Ihren Datenverkehr filtert. Der Firewall-Endpunkt in einer Availability Zone kann alle Subnetze innerhalb der Zone schützen, mit Ausnahme des Subnetzes, in dem er sich befindet. Je nach Anwendungsfall und Bereitstellungsmodell kann das Firewall-Subnetz entweder öffentlich oder privat sein. Die Firewall ist für den Datenverkehr vollständig transparent und führt keine Netzwerkadressübersetzung (Network Address Translation, NAT) durch. Es behält die Quell- und Zieladresse bei. In dieser Referenzarchitektur werden die Firewall-Endpunkte in einer Inspektions-VPC gehostet. Der gesamte Datenverkehr von der eingehenden VPC zur ausgehenden VPC wird zur Überprüfung durch dieses Firewall-Subnetz geleitet. 

Die Network Firewall macht Firewall-Aktivitäten in Echtzeit über Amazon sichtbar CloudWatch-Metriken und bietet eine erhöhte Sichtbarkeit des Netzwerkverkehrs durch Senden von Protokollen an Amazon Simple Storage Service (Amazon S3), CloudWatchund Amazon Kinesis Data Firehose. Die Network Firewall ist mit Ihrem bestehenden Sicherheitsansatz kompatibel, einschließlich Technologien vonAWS-Partner. Sie können auch vorhandene importierenSuricataRegelsätze, die möglicherweise intern geschrieben oder extern von Drittanbietern oder Open-Source-Plattformen bezogen wurden. 

In der AWS SRA wird die Network Firewall innerhalb des Netzwerkkontos verwendet, da die auf die Netzwerksteuerung ausgerichtete Funktionalität des Dienstes mit der Absicht des Kontos übereinstimmt. 

Überlegungen zum Design
  • AWS Firewall Manager unterstützt die Network Firewall, sodass Sie die Regeln der Network Firewall in Ihrem Unternehmen zentral konfigurieren und bereitstellen können. (Details dazu dazu dazu dazu dazu dazuRichtlinien für AWS Network Firewallin der AWS-Dokumentation.) Wenn Sie den Firewall Manager konfigurieren, wird automatisch eine Firewall mit Regeln in den von Ihnen angegebenen Konten und VPCs erstellt. Es stellt auch einen Endpunkt in einem dedizierten Subnetz für jede Availability Zone bereit, die öffentliche Subnetze enthält. Gleichzeitig werden alle Änderungen am zentral konfigurierten Regelwerk automatisch nachgelagert auf den bereitgestellten Firewalls der Network Firewall aktualisiert. 

  • Es gibtmehrere Bereitstellungsmodelleverfügbar mit Network Firewall. Das richtige Modell hängt von Ihrem Anwendungsfall und Ihren Anforderungen ab. Beispiele sind unter anderem:

    • Ein verteiltes Bereitstellungsmodell, bei dem die Network Firewall in einzelnen VPCs bereitgestellt wird.

    • Ein zentralisiertes Bereitstellungsmodell, bei dem die Network Firewall in einer zentralisierten VPC für Ost-West- (VPC-zu-VPC) oder Nord-Süd-Verkehr (Internetausgang und -eingang, lokal) bereitgestellt wird.

    • Ein kombiniertes Bereitstellungsmodell, bei dem die Network Firewall in einer zentralisierten VPC für Ost-West- und eine Teilmenge des Nord-Süd-Verkehrs bereitgestellt wird.

  • Als bewährte Methode verwenden Sie nicht das Network Firewall Firewall-Subnetz zum Bereitstellen von anderen Services. Der Grund dafür ist, dass die Network Firewall den Datenverkehr von Quellen oder Zielen innerhalb des Firewall-Subnetzes nicht

Network Access Analyzer

Network Access Analyzerist eine Funktion von Amazon VPC, die einen unbeabsichtigten Netzwerkzugriff auf die eigenen Ressourcen identifiziert. Sie können Network Access Analyzer verwenden, um die Netzwerksegmentierung zu überprüfen, Ressourcen zu identifizieren, auf die über das Internet oder nur über vertrauenswürdige IP-Adressbereiche zugegriffen werden kann, und sich vergewissern, dass Sie über die entsprechenden Netzwerksteuerelemente auf allen Netzwerkpfaden verfügen.

Network Access Analyzer verwendet Algorithmen für automatisiertes Denken, um die Netzwerkpfade zu analysieren, die ein Paket zwischen Ressourcen in einem AWS-Netzwerk verwenden kann, und liefert Ergebnisse für Pfade, die Ihren definiertenNetzwerkzugriffsumfang. Network Access Analyzer führt eine statische Analyse einer Netzwerkkonfiguration durch, was bedeutet, dass im Rahmen dieser Analyse keine Pakete im Netzwerk übertragen werden.

Die Amazon Inspector Network Erreichbarkeitsregeln bieten eine verwandte Funktion. Die durch diese Regeln generierten Ergebnisse werden im Anwendungskonto verwendet. Sowohl Network Access Analyzer als auch Network Reachability verwenden die neueste Technologie vonAWS-Initiative für nachweisbare Sicherheit, und sie wenden diese Technologie mit unterschiedlichen Schwerpunkten an. Das Network Reachability Package konzentriert sich speziell auf EC2-Instances und deren Internetzugänglichkeit. 

Das Netzwerkkonto definiert die kritische Netzwerkinfrastruktur, die den Datenverkehr in und aus Ihrer AWS-Umgebung steuert. Dieser Verkehr muss streng überwacht werden. In der AWS SRA wird Network Access Analyzer innerhalb des Netzwerkkontos verwendet, um unbeabsichtigten Netzwerkzugriff zu identifizieren, über Internet-Gateways zugängliche Ressourcen zu identifizieren und sicherzustellen, dass geeignete Netzwerksteuerelemente wie Netzwerkfirewalls und NAT-Gateways auf allen Netzwerkpfaden zwischen Ressourcen und Internet-Gateways. 

Überlegungen zum Entwurf
  • Network Access Analyzer ist eine Funktion von Amazon VPC und kann in jedem AWS-Konto verwendet werden, das über eine VPC verfügt. Netzwerkadministratoren können eng begrenzte, kontoübergreifende IAM-Rollen erhalten, um zu überprüfen, ob genehmigte Netzwerkpfade in jedem AWS-Konto durchgesetzt werden.

AWS Certificate Manager

Mit AWS Certificate Manager (ACM) können Sie öffentliche und private TLS-Zertifikate für die Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen bereitstellen, verwalten und bereitstellen. Mit ACM können Sie schnell ein Zertifikat anfordern und es auf ACM-integrierten AWS-Ressourcen wie Elastic Load Balancing Load Balancern, Amazon bereitstellen CloudFront Distributionen und APIs auf Amazon API Gateway, und lassen Sie ACM die Erneuerung von Zertifikaten übernehmen. Es ist nicht erforderlich, ein key pair oder eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) an eine Zertifizierungsstelle (Certificate Authority, CA) zu senden oder das Zertifikat beim Empfang hochzuladen und zu installieren. ACM bietet auch die Option, von Zertifizierungsstellen von Drittanbietern ausgestellte TLS-Zertifikate zu importieren und mit integrierten ACM-Diensten bereitzustellen. Wenn Sie ACM zur Verwaltung von Zertifikaten verwenden, werden private Schlüssel des Zertifikats sicher geschützt und mithilfe strenger Best Practices für die Verschlüsselung und Schlüsselverwaltung gespeichert. Mit ACM fallen keine zusätzlichen Gebühren für die Bereitstellung öffentlicher Zertifikate an, und ACM verwaltet den Erneuerungsprozess.

ACM wird im Netzwerkkonto verwendet, um ein öffentliches TLS-Zertifikat zu generieren, das wiederum von CloudFront Distributionen zum Aufbau der HTTPS-Verbindung zwischen Viewern und CloudFront. Weitere Informationen finden Sie im .CloudFront Dokumentation

Überlegungen zum Entwurf
  • Bei externen Zertifikaten muss sich ACM auf demselben Konto befinden wie die Ressourcen, für die es Zertifikate bereitstellt. Zertifikate können nicht für mehrere -Konten gemeinsam genutzt werden.

AWS WAF

AWS WAF ist eine Firewall für Webanwendungen, die Ihnen die Überwachung von HTTP- und HTTPS-Anforderungen an Amazon ermöglicht. CloudFront Verteilung, eine Amazon API Gateway REST-API, einen Application Load Balancer oder eine AWS AppSync GraphQL-API Mit AWS WAF können Sie auch den Zugriff auf Ihre Inhalte kontrollieren. Basierend auf den von Ihnen angegebenen Bedingungen wie zum Beispiel den IP-Adressen, von denen die Anforderungen stammen, oder den Werten von Abfragezeichenfolgen, reagiert der Fronted-Dienst auf Anforderungen entweder mit den angeforderten Inhalten oder mit einem HTTP-Wert 403 (Forbidden) Statuscodes

In der AWS SRA wird AWS WAF im Netzwerkkonto verwendet, da es schützt CloudFront. 

Überlegungen zum Design
  • CloudFront bietet Funktionendie die AWS-WAF-Funktionalität verbessern und dafür sorgen, dass die beiden Services besser zusammenarbeiten. 

  • Sie können AWS WAF, AWS Firewall Manager und AWS Shield zusammen verwenden, um eine umfassende Sicherheitslösung zu erstellen. Es beginnt mit AWS WAF. Sie können mit Firewall Manager das AWS WAF-Management automatisieren und dann vereinfachen. Shield Advanced bietet neben AWS WAF zusätzliche Funktionen wie dedizierten Support durch das Distributed Denial of Service (DDoS) Response Team (DRT) und erweiterte Berichtsfunktionen. Wenn Sie eine differenziertere Kontrolle über den zu Ihren Ressourcen hinzugefügten Schutz wünschen, ist AWS WAF alleine die richtige Wahl. Wenn Sie AWS WAF kontenübergreifend verwenden, die Konfiguration von AWS WAF beschleunigen oder den Schutz neuer Ressourcen automatisieren möchten,verwenden Sie den Firewall Manager mit AWS WAF. Wenn Sie Websites hoher Sichtbarkeit besitzen oder anderweitig anfällig für häufige bösartige Ereignisse sind, können Sie den Erwerb der von AWS Shield Advanced angebotenen zusätzlichen Funktionen erwägen.

Amazon Route 53

Amazon Route 53 ist ein hochverfügbarer und skalierbarer Domain Name System (DNS)-Web-Service. Sie können Route 53 zum Durchführen von drei wesentlichen Aufgaben verwenden: Domänenregistrierung, DNS-Routing und Zustandsprüfung. 

Sie können Route 53 als DNS-Service verwenden, um Domänennamen Ihren EC2-Instances, S3-Buckets, CloudFront Distributionen und andere AWS-Ressourcen. Die verteilte Natur unserer DNS-Server trägt dazu bei, dass Ihre Endbenutzer konsistent zu Ihrer Anwendung weitergeleitet werden. Funktionen wie Route 53 53-Verkehrsfluss und Routingsteuerung helfen Ihnen, die Zuverlässigkeit mit einem einfach konfigurierten Failover zu verbessern, um Ihre Benutzer an einen anderen Standort umzuleiten, wenn Ihr primärer Anwendungsendpunkt nicht mehr verfügbar ist. Route 53 Resolver bietet rekursives DNS für Ihre VPC und lokale Netzwerke über AWS Direct Connect oder AWS Managed VPN.

Durch die Verwendung des Services AWS Identity and Access Management (IAM) mit Route 53 erhalten Sie eine genaue Kontrolle darüber, wer Ihre DNS-Daten aktualisieren kann. Sie können die Signatur von DNS-Sicherheitserweiterungen (DNSSEC-Signatur) aktivieren, damit DNS-Resolver überprüfen können, ob eine DNS-Antwort von Route 53 stammt und nicht manipuliert wurde. 

Route 53 Resolver DNS Firewallbietet Schutz für ausgehende DNS-Anforderungen von Ihren VPCs. Diese Anforderungen leiten über Route 53 Resolver für die Auflösung von Domänennamen. Eine primäre Verwendung des DNS-Firewall-Schutzes besteht darin, die DNS-Exfiltration Ihrer Daten zu verhindern. Mit der DNS-Firewall können Sie die Domänen überwachen und steuern, die Ihre Anwendungen abfragen können. Sie können den Zugriff auf die Domänen verweigern, von denen Sie wissen, dass sie schlecht sind und alle anderen Abfragen durchlaufen können. Alternativ können Sie allen Domänen den Zugriff verweigern, außer jenen, denen Sie explizit vertrauen. Sie können die DNS-Firewall auch zum Blockieren von Auflösungsanforderungen an Ressourcen in privaten gehosteten Zonen (gemeinsam oder lokal) einschließlich VPC-Endpunktnamen verwenden. Es kann auch Anforderungen für öffentliche oder private EC2-Instance-Namen blockieren. 

Route 53 53-Resolver werden standardmäßig als Teil jeder VPC erstellt. In der AWS SRA wird Route 53 im Netzwerkkonto hauptsächlich für die DNS-Firewallfähigkeit verwendet. 

Überlegungen zum Entwurf
  • Die DNS-Firewall und AWS Network Firewall bieten eine Filterung von Domänennamen, jedoch für verschiedene Arten von Datenverkehr. Sie können DNS-Firewall und Network Firewall zusammen verwenden, um domänenbasierte Filterung für den Datenverkehr auf Anwendungsebene über zwei verschiedene Netzwerkpfade zu konfigurieren.

    • Die DNS-Firewall bietet Filterung für ausgehende DNS-Abfragen, die den Route 53 Resolver von Anwendungen innerhalb Ihrer VPCs durchlaufen. Sie können die DNS-Firewall auch so konfigurieren, dass benutzerdefinierte Antworten für Abfragen an blockierte Domänennamen gesendet werden.

    • Die Network Firewall bietet Filterung für den Datenverkehr auf Netzwerk- und Anwendungsebene, hat jedoch keinen Einblick in Abfragen, die von Route 53 Resolver durchgeführt werden.

Amazon CloudFront

Amazon CloudFront ist ein Secure Content Delivery Network (CDN), das sowohl Schutz auf Netzwerk- als auch auf Anwendungsebene bietet. Sie können Ihre Inhalte, APIs oder Anwendungen mithilfe von SSL/TLS-Zertifikaten bereitstellen, und erweiterte SSL-Funktionen werden automatisch aktiviert. Sie können AWS Certificate Manager (ACM) verwenden, um ein benutzerdefiniertes TLS-Zertifikat zu erstellen und die HTTPS-Kommunikation zwischen Zuschauern und CloudFront, wie weiter oben im.ACM-Sektion. Sie können zusätzlich verlangen, dass die Kommunikation zwischen CloudFront und Ihr benutzerdefiniertes Origin-Gerät end-to-end Verschlüsselung während der Übertragung. In diesem Szenario müssen Sie ein TLS-Zertifikat auf Ihrem Original-Server installieren. Wenn Ihr Ursprung ein ELB Load Balancer ist, können Sie ein von ACM generiertes Zertifikat oder ein Zertifikat verwenden, das von einer Zertifizierungsstelle überprüft und in ACM importiert wurde. Wenn S3-Bucket-Webseiten-Endpunkte als Ursprung dienen, können Sie nicht konfigurieren CloudFront um HTTPS mit Ihrem Ursprung zu verwenden, da HTTPS für Website-Endpunkte von Amazon S3 nicht unterstützt wird. (Sie können jedoch nach wie vor HTTPS zwischen Betrachtern und CloudFront.) Für alle Ursprünge, die die Installation von HTTPS-Zertifikaten unterstützen, müssen Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. 

Wenn Sie CloudFront Als CDN können Sie mit diesen Funktionen den Zugriff auf Ihre Inhalte einschränken:

  • Durch die Verwendung signierter URLs und signierter Cookies können Sie die Token-Authentifizierung unterstützen, um den Zugriff nur auf authentifizierte Zuschauer zu beschränken.

  • Mithilfe der geografischen Einschränkung können Sie verhindern, dass Benutzer aus bestimmten geografischen Regionen auf Inhalte zugreifen, über die Sie verteilen CloudFront.

  • Sie können die -Ursprungszugriffsidentität (origin access identity, OAI) verwenden, um den Zugriff auf einen S3-Bucket zu beschränken. CloudFront. 

In der AWS SRA hat Amazon CloudFront wird innerhalb des Netzwerkkontos verwendet, da dieses Konto die Netzwerkinfrastruktur bereitstellt, die für die Kommunikation von Workloads außerhalb von AWS erforderlich ist. 

Überlegungen zum Design
  • CloudFront, AWS Shield, AWS WAF und Amazon Route 53 arbeiten nahtlos zusammen, um einen flexiblen, mehrschichtigen Sicherheitsumfang gegen mehrere Arten von nicht autorisierten Ereignissen zu schaffen, einschließlich DDoS-Angriffen auf Netzwerk- und Anwendungsebene. CloudFront bietet Funktionen, die die AWS-WAF-Funktionalität verbessern und dafür sorgen, dass beide besser zusammenarbeiten. Weitere Informationen finden Sie unterSo funktioniert AWS WAF mit Amazon CloudFront Eigenschaftenin der AWS-Dokumentation. 

  • Wenn Sie Webinhalte über ein CDN wie CloudFrontist es eine bewährte Methode, zu verhindern, dass Zuschaueranfragen das CDN umgehen und direkt auf Ihre ursprünglichen Inhalte zugreifen. Weitere Informationen finden Sie im Blog-Posting.So verbessern Sie Amazon CloudFront Ursprungssicherheit mit AWS WAF und AWS Secrets Manager

  • Möglicherweise möchten Sie auch eine verteilte Architektur evaluieren, bei der sich die gesamte Netzwerkinfrastruktur, die für die Kommunikation Ihrer Workloads außerhalb von AWS erforderlich ist, lokal innerhalb des Anwendungskontos befindet. Dies vereinfacht die Netzwerkarchitektur und das Routing und würde dazu beitragen, die Kosten zu senken, da keine kontoübergreifenden Eingangs-/Ausgangsgebühren erforderlich sind In einer verteilten Architektur müssen Sie eine strenge Sicherheitsaufsicht durchsetzen, um Sicherheitskontrollen für alle Netzwerkpfade auszuüben.

AWS Shield

AWS Shield ist ein verwalteter DDoS-Schutzdienst, der Anwendungen schützt, die auf AWS ausgeführt werden. Shield bietet eine ständige Erkennung und automatische Inline-Risikominderung, die Ausfallzeiten und Latenz von Anwendungen minimiert, sodass Sie den AWS Support nicht in Anspruch nehmen müssen, um vom DDoS-Schutz zu profitieren. 

In der AWS SRA ist AWS Shield Advanced konfiguriert, um Route 53 und CloudFront.  

Überlegungen zum Entwurf
  • Es gibt zwei Stufen von Shield: Shield Standard und Shield Advanced. Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch Shield Standard. Shield Standard bietet Schutz vor den häufigsten und am häufigsten auftretenden Infrastrukturereignissen (Layer 3 und 4). Shield Standard verwendet deterministische Paketfilterung und prioritätsbasierte Traffic-Shaping, um grundlegende Angriffe auf Netzwerkebene automatisch abzuwehren. Shield Advanced bietet ausgefeiltere automatische Abwehr für nicht autorisierte Ereignisse, die auf Ihre Anwendungen abzielen, die auf geschützter Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) und Amazon ausgeführt werden CloudFront, AWS Global Accelerator und Route 53 53-Ressourcen. Shield Advanced zeichnet Metriken auf, die Sie in Amazon überwachen können CloudWatch. (Weitere Informationen dazu dazu finden Sie unter.AWS Shield Advanced -Metriken und -Alin der AWS-Dokumentation.) Wenn Sie Websites hoher Sichtbarkeit besitzen oder anderweitig anfällig für häufige DDoS-Angriffe sind, können Sie die von Shield Advanced angebotenen zusätzlichen Funktionen erwägen.

AWS RAM

Mit AWS Resource Access Manager (AWS RAM) können Sie die AWS-Ressourcen, die Sie in einem AWS-Konto erstellen, sicher mit anderen AWS-Konten teilen. AWS RAM bietet einen zentralen Ort, um die gemeinsame Nutzung von Ressourcen zu verwalten und diese Erfahrung kontenübergreifend zu standardisieren. Dies erleichtert die Verwaltung von Ressourcen bei gleichzeitiger Nutzung der administrativen und abrechnungsbezogenen Isolation und reduziert den Umfang der durch eine Multi-Account-Strategie gebotenen Vorteile zur Eindämmung der Auswirkungen. Wenn Ihr Konto von AWS Organizations verwaltet wird, können Sie mit AWS RAM Ressourcen für alle Konten in der Organisation oder nur für die Konten innerhalb einer oder mehrerer bestimmter Organisationseinheiten (OUs) freigeben. Sie können auch nach Konto-ID für bestimmte AWS-Konten freigeben, unabhängig davon, ob das Konto Teil einer Organisation ist. Sie können auch teileneinige unterstützte Ressourcentypenmit bestimmten IAM-Rollen und Benutzern.

Mit AWS RAM können Sie Ressourcen gemeinsam nutzen, die keine ressourcenbasierten IAM-Richtlinien unterstützen, wie VPC-Subnetze und Route 53 53-Regeln. Darüber hinaus können die Eigentümer einer Ressource mit AWS RAM sehen, welche Prinzipale Zugriff auf einzelne Ressourcen haben, die sie gemeinsam genutzt haben. IAM-Prinzipale können die Liste der für sie freigegebenen Ressourcen direkt abrufen, was sie mit Ressourcen, die von IAM-Ressourcenrichtlinien gemeinsam genutzt werden, nicht tun können. Wenn AWS-RAM verwendet wird, um Ressourcen außerhalb Ihrer AWS-Organisation gemeinsam zu nutzen, wird ein Einladungsprozess eingeleitet. Der Empfänger muss die Einladung annehmen, bevor der Zugriff auf die Ressourcen gewährt wird. Dies bietet zusätzliche Überprüfungen und Salden.

AWS-RAM wird vom Ressourcenbesitzer in dem Konto aufgerufen und verwaltet, in dem die freigegebene Ressource bereitgestellt wird. Ein häufiger Anwendungsfall für AWS-RAM, der in der AWS SRA dargestellt wird, besteht darin, dass Netzwerkadministratoren VPC-Subnetze und Transit-Gateways mit der gesamten AWS-Organisation gemeinsam nutzen. Dies bietet die Möglichkeit, AWS-Konto- und Netzwerkverwaltungsfunktionen zu entkoppeln, und trägt zur Aufgabentrennung bei. Weitere Informationen zur VPC-Freigabe finden Sie im AWS-BlogbeitragVPC-Freigabe: Ein neuer Ansatz für mehrere Konten und VPC-Managementund dieAWS Netzwerkinfrastruktur Whitepaper

Überlegungen zum Entwurf
  • Obwohl AWS RAM as a Service nur innerhalb des Netzwerkkontos in der AWS SRA bereitgestellt wird, wird es normalerweise in mehr als einem Konto bereitgestellt. Sie können beispielsweise Ihr Data Lake-Management auf ein einzelnes Data Lake-Konto zentralisieren und dann die Datenkatalogressourcen (Datenbanken und Tabellen) von AWS Lake Formation für andere Konten in Ihrer AWS-Organisation freigeben. Weitere Informationen finden Sie im .AWS Lake Formation Dokumentationund der AWS-BlogbeitragTeilen Sie Ihre Daten sicher über AWS-Konten hinweg mit AWS Lake Formation.. Darüber hinaus können Sicherheitsadministratoren AWS RAM verwenden, um Best Practices beim Aufbau einer ACM Private CA-Hierarchie zu befolgen. Zertifizierungsstellen können mit externen Dritten geteilt werden, die Zertifikate ausstellen können, ohne Zugriff auf die CA-Hierarchie zu haben. Auf diese Weise können Originalorganisationen den Zugriff Dritter einschränken und entziehen.