Sicherheit - Verteilte Lasttests auf AWS
IAM-RollenAmazon CloudFrontAWS Fargate-SicherheitsgruppeNetzwerk-StresstestBeschränkung des Zugriffs auf die öffentliche Benutzeroberfläche

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses Modell der geteilten Verantwortung reduziert Ihren betrieblichen Aufwand, da AWS die Komponenten wie das Host-Betriebssystem, die Virtualisierungsebene und die physische Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur AWS-Sicherheit finden Sie unter AWS Cloud Security.

IAM-Rollen

AWS Identity and Access Management (IAM) -Rollen ermöglichen es Kunden, Services und Benutzern in der AWS-Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuzuweisen. Diese Lösung erstellt IAM-Rollen, die den AWS-Lambda-Funktionen der Lösung Zugriff gewähren, um regionale Ressourcen zu erstellen.

Amazon CloudFront

Diese Lösung stellt eine Web-UI bereit, die in einem Amazon S3 S3-Bucket gehostet wird, der von Amazon CloudFront vertrieben wird. Um die Latenz zu reduzieren und die Sicherheit zu verbessern, umfasst diese Lösung eine CloudFront Distribution mit einer Ursprungszugriffsidentität. Dabei handelt es sich um einen CloudFront Benutzer, der öffentlichen Zugriff auf die Bucket-Inhalte der Lösungswebsite gewährt. Standardmäßig verwendet die CloudFront Distribution TLS 1.2, um die höchste Sicherheitsstufe durchzusetzen. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.

CloudFront aktiviert zusätzliche Sicherheitsmaßnahmen, um HTTP-Sicherheitsheader an jede Zuschauerantwort anzuhängen. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von HTTP-Headern in Antworten. CloudFront

Diese Lösung verwendet das CloudFront Standardzertifikat, für das mindestens das Sicherheitsprotokoll TLS v1.0 unterstützt wird. Um die Verwendung von TLS v1.2 oder TLS v1.3 zu erzwingen, müssen Sie ein benutzerdefiniertes SSL-Zertifikat anstelle des Standardzertifikats verwenden. CloudFront Weitere Informationen finden Sie unter Wie konfiguriere ich meine CloudFront Distribution für die Verwendung eines SSL/TLS Zertifikats?

AWS Fargate-Sicherheitsgruppe

Standardmäßig öffnet diese Lösung die ausgehende Regel der AWS Fargate-Sicherheitsgruppe für die Öffentlichkeit. Wenn Sie verhindern möchten, dass AWS Fargate überall Datenverkehr sendet, ändern Sie die ausgehende Regel in ein bestimmtes Classless Inter-Domain Routing (CIDR).

Diese Sicherheitsgruppe umfasst auch eine Regel für eingehenden Datenverkehr, die lokalen Datenverkehr auf Port 50.000 zu jeder Quelle zulässt, die zu derselben Sicherheitsgruppe gehört. Dies wird verwendet, damit die Container miteinander kommunizieren können.

Netzwerk-Stresstest

Sie sind dafür verantwortlich, diese Lösung gemäß der Netzwerkstresstest-Richtlinie zu verwenden. Diese Richtlinie gilt beispielsweise für Situationen, in denen Sie planen, Netzwerktests mit hohem Volumen direkt von Ihren EC2 Amazon-Instances zu anderen Standorten wie anderen EC2 Amazon-Instances, AWS-Eigenschaften/-Services oder externen Endpunkten durchzuführen. Diese Tests werden manchmal als Stresstests, Belastungstests oder Gameday-Tests bezeichnet. Die meisten Kundentests fallen nicht unter diese Richtlinie. Beziehen Sie sich jedoch auf diese Richtlinie, wenn Sie glauben, dass Sie Traffic generieren, der insgesamt länger als 1 Minute über 1 Gbit/s (1 Milliarde Bit pro Sekunde) oder über 1 Gpps (1 Milliarde Pakete pro Sekunde) anhält.

Beschränkung des Zugriffs auf die öffentliche Benutzeroberfläche

Verwenden Sie die Sicherheitsautomatisierungslösung AWS WAF (Web Application Firewall), um den Zugriff auf die öffentlich zugängliche Benutzeroberfläche über die von IAM und Amazon Cognito bereitgestellten Authentifizierungs- und Autorisierungsmechanismen hinaus einzuschränken.

Diese Lösung stellt automatisch eine Reihe von AWS-WAF-Regeln bereit, die häufig vorkommende webbasierte Angriffe filtern. Benutzer können aus vorkonfigurierten Schutzfunktionen wählen, die die Regeln definieren, die in einer AWS WAF Web Access Control List (Web ACL) enthalten sind.