Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen - AWS Well-Architected Framework

SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen

 Bei der Architektur Ihrer Netzwerktopologie sollten Sie die Konnektivitätsanforderungen der einzelnen Komponenten überprüfen. Beispielsweise bei Komponenten, welche Internetzugang (ein- und ausgehend), Konnektivität zu VPCs, Edge-Services und oder externe Rechenzentren erfordern.

Mit einer VPC können Sie Ihre Netzwerktopologie definieren, die eine AWS-Region mit einem von Ihnen festgelegten privaten IPv4-Adressbereich oder einem von AWS ausgewählten IPv6-Adressbereich umfasst. Sie sollten mehrere Kontrollmechanismen mit einem umfassenden Verteidigungsansatz für den ein- und ausgehenden Datenverkehr anwenden, einschließlich der Verwendung von Sicherheitsgruppen (Stateful Inspection Firewall), Netzwerk-ACLs, Subnetzen und Routing-Tabellen. Innerhalb einer VPC können Sie Subnetze in einer Availability Zone erstellen. Jedes Subnetz ist mit einer Routing-Tabelle mit Routing-Regeln verknüpft, mit denen Sie die Pfade des Datenverkehrs innerhalb des Subnetzes steuern können. Sie können ein routingfähiges Internet-Subnetz über eine Route definieren, die zu einem Internet- oder NAT-Gateway geleitet wird, das dieser oder einer anderen VPC zugehörig ist.

Wenn eine Instance, eine Amazon Relational Database Service (Amazon RDS)-Datenbank oder ein anderer Service innerhalb einer VPC gestartet wird, verfügt sie über eine eigene Sicherheitsgruppe pro Netzwerkschnittstelle. Diese Firewall befindet sich außerhalb der Betriebssystemebene. Sie können damit Regeln für zulässigen ein- und ausgehenden Datenverkehr festlegen. Des Weiteren haben Sie die Möglichkeit, Beziehungen zwischen Sicherheitsgruppen zu definieren. Beispielsweise akzeptieren Instances innerhalb einer Sicherheitsgruppe der Datenbankebene nur Datenverkehr von Instancces innerhalb der Anwendungsebene unter Bezugnahme auf die Sicherheitsgruppen, die auf die beteiligten Instances angewendet werden. Sofern Sie keine Nicht-TCP-Protokolle verwenden, sollte es nicht notwendig sein, eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance ohne Load Balancer oder CloudFront. Dies schützt sie vor unbeabsichtigtem Zugriff aufgrund eines Betriebssystem- oder Anwendungsfehlers. Einem Subnetz kann auch eine Netzwerk-ACL zugeordnet sein, die als zustandslose Firewall fungiert. Sie sollten die Netzwerk-ACL so konfigurieren, dass der zulässige Datenverkehr zwischen den Ebenen beschränkt wird. Beachten Sie, dass Sie Regeln für den ein- und ausgehenden Datenverkehr definieren müssen.

Manche AWS-Services erfordern Komponenten für den Zugriff auf das Internet, um API-Aufrufe dort zu tätigen, wo sich AWS-API-Endpunkte befinden. Andere AWS-Services verwenden VPC-Endpunkte innerhalb Ihrer Amazon VPCs. Viele AWS-Services wie Amazon S3 und Amazon DynamoDB unterstützen VPC-Endpunkte. Diese Technologie wurde in AWS PrivateLink. Wir empfehlen Ihnen die Verwendung dieses Ansatzes für den Zugriff auf AWS-Services, Drittanbieterservices und Ihre eigenen Services, die sicher in anderen VPCs gehostet sind. Sämtlicher Netzwerkverkehr in AWS PrivateLink bleibt im globalen AWS-Backbone und durchquert nie das Internet. Die Konnektivität kann nur von Benutzern des Service eingeleitet werden, nicht vom Anbieter des Service. Die Verwendung von AWS PrivateLink für den Zugriff auf externe Services ermöglicht die Erstellung isolierter VPCs ohne Internetzugriff und hilft beim Schutz Ihrer VPCs vor externen Bedrohungsvektoren. Drittanbieterservices können AWS PrivateLink verwenden, um ihren Kunden die Verbindung mit Services über private IP-Adressen von ihren VPCs aus zu ermöglichen. Für VPC-Komponenten, die eine Verbindung mit dem Internet herstellen müssen, können diese nur ausgehend (einseitig) über ein AWS-verwaltetes NAT-Gateway, ein ausgehendes Internet-Gateway oder einen von Ihnen erstellten und verwalteten Web-Proxy erfolgen.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Ressourcen

Ähnliche Dokumente:

Ähnliche Videos:

Ähnliche Beispiele:

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.