SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen
Bei der Architektur Ihrer Netzwerktopologie sollten Sie die Konnektivitätsanforderungen der einzelnen Komponenten überprüfen. Beispielsweise bei Komponenten, welche Internetzugang (ein- und ausgehend), Konnektivität zu VPCs, Edge-Services und oder externe Rechenzentren erfordern.
Mit einer VPC können Sie Ihre Netzwerktopologie definieren, die eine AWS-Region mit einem von Ihnen festgelegten privaten IPv4-Adressbereich oder einem von AWS ausgewählten IPv6-Adressbereich umfasst. Sie sollten mehrere Kontrollmechanismen mit einem umfassenden Verteidigungsansatz für den ein- und ausgehenden Datenverkehr anwenden, einschließlich der Verwendung von Sicherheitsgruppen (Stateful Inspection Firewall), Netzwerk-ACLs, Subnetzen und Routing-Tabellen. Innerhalb einer VPC können Sie Subnetze in einer Availability Zone erstellen. Jedes Subnetz ist mit einer Routing-Tabelle mit Routing-Regeln verknüpft, mit denen Sie die Pfade des Datenverkehrs innerhalb des Subnetzes steuern können. Sie können ein routingfähiges Internet-Subnetz über eine Route definieren, die zu einem Internet- oder NAT-Gateway geleitet wird, das dieser oder einer anderen VPC zugehörig ist.
Wenn eine Instance, eine Amazon Relational Database Service (Amazon RDS)-Datenbank oder ein anderer Service innerhalb einer VPC gestartet wird, verfügt sie über eine eigene Sicherheitsgruppe pro Netzwerkschnittstelle. Diese Firewall befindet sich außerhalb der Betriebssystemebene. Sie können damit Regeln für zulässigen ein- und ausgehenden Datenverkehr festlegen. Des Weiteren haben Sie die Möglichkeit, Beziehungen zwischen Sicherheitsgruppen zu definieren. Beispielsweise akzeptieren Instances innerhalb einer Sicherheitsgruppe der Datenbankebene nur Datenverkehr von Instancces innerhalb der Anwendungsebene unter Bezugnahme auf die Sicherheitsgruppen, die auf die beteiligten Instances angewendet werden. Sofern Sie keine Nicht-TCP-Protokolle verwenden, sollte es nicht notwendig sein, eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance ohne Load Balancer oder CloudFront
Manche AWS-Services erfordern Komponenten für den Zugriff auf das Internet, um API-Aufrufe dort zu tätigen, wo sich AWS-API-Endpunkte befinden. Andere AWS-Services verwenden VPC-Endpunkte innerhalb Ihrer Amazon VPCs. Viele AWS-Services wie Amazon S3 und Amazon DynamoDB unterstützen VPC-Endpunkte. Diese Technologie wurde in AWS PrivateLink
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
-
Kontrollieren des Netzwerkdatenverkehrs in einer VPC: Implementieren Sie VPC-Best-Practices zum Kontrollieren des Datenverkehrs.
-
Kontrollieren des Datenverkehrs am Edge: Implementieren Sie Edge-Services wie Amazon CloudFront, um eine zusätzliche Schutzebene und andere Funktionen bereitzustellen.
-
Kontrollieren des privaten Netzwerkverkehrs: Implementieren Sie Services, die Ihren privaten Datenverkehr für Ihre Workload schützen.
Ressourcen
Ähnliche Dokumente:
Ähnliche Videos:
Ähnliche Beispiele: