SEC05-BP01 Erstellen von Netzwerkebenen - AWS Well-Architected Framework
ImplementierungsleitfadenRessourcen

SEC05-BP01 Erstellen von Netzwerkebenen

Gruppieren Sie Komponenten mit gemeinsamen Anforderungen hinsichtlich Vertraulichkeit in Ebenen, um die möglichen Auswirkungen unberechtigter Zugriffe zu minimieren. Beispielsweise sollte ein Datenbank-Cluster in einer Virtual Private Cloud (VPC) ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. Datenverkehr sollte nur von der benachbarten Ressource mit der geringsten Vertraulichkeitsstufe aus fließen. Ziehen Sie eine Web-Anwendung hinter einem Load Balancer in Betracht. Ihre Datenbank sollte nicht direkt von dem Load Balancer aus zugänglich sein. Nur die Geschäftslogik oder der Web-Server sollte direkten Zugriff auf Ihre Datenbank haben.

Gewünschtes Ergebnis: Erstellen eines Netzwerks mit Ebenen. Netzwerke mit Ebenen helfen bei der logischen Gruppierung ähnlicher Netzwerkkomponenten. Außerdem verringern sie die potenziellen Auswirkungen nicht autorisierter Netzwerkzugriffe. Ein Netzwerk mit ordnungsgemäßen Ebenen erschwert nicht autorisierten Benutzern die Nutzung weiterer Ressourcen in Ihrem AWS-Netzwerk. Zusätzlich zum Schutz interner Netzwerkpfade sollten Sie auch das Netzwerk-Edge, wie etwa Web-Anwendungen und API-Endpunkte, schützen.

Typische Anti-Muster:

  • Erstellen aller Ressourcen in einer einzigen VPC oder einem einzigen Subnetz

  • Verwendung von Sicherheitsgruppen mit zu vielen Berechtigungen

  • keine Verwendung von Subnetzen

  • Zulassen des direkten Zugriffs auf Datenspeicher wie beispielsweise Datenbanken

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: hoch

Implementierungsleitfaden

Komponenten wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Amazon Relational Database Service (Amazon RDS)-Datenbank-Cluster und AWS Lambda-Funktionen, die gemeinsame Verfügbarkeitsanforderungen haben, können in Ebenen unterteilt werden, welche von Subnetzen gebildet werden. Ziehen Sie die Bereitstellung von Serverless-Workloads wie beispielsweise Lambda-Funktionen in einer VPC oder hinter einem Amazon API Gateway in Betracht. AWS Fargate-Aufgaben, die keinen Internetzugang erfordern, sollten in Subnetzen ohne Route zum oder vom Internet platziert werden. Dieses Konzept der Verwendung von Ebenen mildert die Auswirkungen einer fehlerhaften Konfiguration einer einzelnen Ebene, wodurch möglicherweise ein unbeabsichtigter Zugriff möglich wäre. Für AWS Lambda können Sie Ihre Funktionen in Ihrer VPC ausführen, um die VPC-basierten Kontrollen zu nutzen.

Für Netzwerkkonnektivität mit Tausenden von VPCs, AWS-Konten und On-Premises-Netzwerken sollten Sie AWS Transit Gateway verwenden. Transit Gateway fungiert als Hub, der steuert, wie der Datenverkehr zwischen allen verbundenen Netzwerken geleitet wird, die wie Speichen fungieren. Datenverkehr zwischen Amazon Virtual Private Cloud (Amazon VPC) und Transit Gateway bleibt im privaten AWS-Netzwerk, was die externe Offenheit für nicht autorisierte Nutzer und potenzielle Sicherheitsprobleme reduziert. Das regionsübergreifende Peering von Transit Gateway verschlüsselt auch regionsübergreifenden Datenverkehr ohne Single Point of Failure oder Bandbreitenengpässe.

Implementierungsschritte

  • Verwenden Sie Reachability Analyzer für die Analyse des Pfads zwischen Quelle und Ziel auf der Grundlage der Konfiguration: Reachability Analyzer ermöglicht Ihnen die automatische Überprüfung der Konnektivität zu und von VPC-verbundenen Ressourcen. Diese Analyse erfolgt durch die Prüfung der Konfiguration (es werden dabei keine Netzwerkpakete gesendet).

  • Verwenden Sie Amazon VPC Network Access Analyzer, um nicht beabsichtigte Netzwerkzugriffe auf Ressourcen zu identifizieren: Amazon VPC Network Access Analyzer ermöglicht die Angabe Ihrer Netzwerkzugriffsanforderungen und die Identifizierung möglicher Netzwerkpfade.

  • Überlegen Sie, ob sich Ressourcen in einem öffentlichen Subnetz befinden müssen: Platzieren Sie Ressourcen nicht in öffentlichen Subnetzen Ihrer VPC, sofern sie nicht unbedingt eingehenden Netzwerkdatenverkehr aus öffentlichen Quellen empfangen müssen.

  • Erstellen Sie Subnetze in Ihren VPCs: Erstellen Sie Subnetze für jede Netzwerkebene (in Gruppen mit mehreren Availability Zones), um die Mikrosegmentierung zu erweitern. Prüfen Sie auch, ob Sie die korrekten Routing-Tabellen mit Ihren Subnetzen verbunden haben, um Routing und Internetkonnektivität zu steuern.

  • Verwenden Sie AWS Firewall Manager zur Verwaltung Ihrer VPC-Sicherheitsgruppen: AWS Firewall Manager verringert den Verwaltungsaufwand bei der Verwendung mehrerer Sicherheitsgruppen.

  • Verwenden Sie AWS WAF für den Schutz gegen verbreitete Web-Schwachstellen: AWS WAF kann die Edge-Sicherheit durch die Untersuchung des Datenverkehrs auf verbreitete Web-Schwachstellen wie etwa SQL-Injection verbessern. Sie können damit den Datenverkehr von IP-Adressen aus bestimmten Ländern oder Regionen einschränken.

  • Verwenden Sie Amazon CloudFront als CDN (Content Distribution Network): Amazon CloudFront kann Ihre Webanwendung dadurch beschleunigen, dass Daten näher an Ihren Benutzern gespeichert werden. Weiterhin kann es die Edge-Sicherheit durch die Erzwingung von HTTPS, die Einschränkung des Zugriffs auf geografische Regionen und die Sicherstellung verbessern, dass Netzwerkdatenverkehr nur bei Routing durch CloudFront auf Ressourcen zugreifen kann.

  • Verwenden Sie Amazon API Gateway bei der Erstellung von APIs: Amazon API Gateway hilft bei der Veröffentlichung, Überwachung und Sicherung von REST-, HTTPS- und WebSocket-APIs.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele: