SEC05-BP03 Implementieren eines prüfungsbasierten Schutzes - AWS Well-Architected Framework

SEC05-BP03 Implementieren eines prüfungsbasierten Schutzes

Richten Sie Kontrollpunkte für den Datenverkehr zwischen Ihren Netzwerkebenen ein, um sicherzustellen, dass die Daten während der Übertragung den erwarteten Kategorien und Mustern entsprechen.  Analysieren Sie Datenverkehrsströme, Metadaten und Muster, um Ereignisse effektiver zu identifizieren, zu erkennen und darauf zu reagieren.

Gewünschtes Ergebnis: Der Datenverkehr, der zwischen Ihren Netzwerkebenen verläuft, wird geprüft und autorisiert.  Entscheidungen über das Zulassen oder Verweigern von Zugriffen beruhen auf expliziten Regeln, Informationen über Bedrohungen und Abweichungen vom Grundverhalten.  Der Schutz wird strenger, je näher der Datenverkehr an sensible Daten heranrückt.

Typische Anti-Muster:

  • Ausschließlich auf Firewall-Regeln vertrauen, die auf Ports und Protokollen basieren, und Vorteile intelligenter Systeme außer Acht lassen

  • Firewall-Regeln auf der Grundlage bestimmter aktueller Bedrohungsmuster erstellen, die sich ändern können

  • Überprüfung des Datenverkehrs auf den Übergang von privaten zu öffentlichen Subnetzen oder von öffentlichen Subnetzen zum Internet beschränken

  • Keine Basisansicht Ihres Netzwerkdatenverkehrs haben, die Sie auf Verhaltensanomalien hin überprüfen können

Vorteile der Nutzung dieser bewährten Methode: Prüfungssysteme ermöglichen es Ihnen, intelligente Regeln zu erstellen, z. B. den Datenverkehr nur dann zuzulassen oder zu verweigern, wenn bestimmte Bedingungen in den Datenverkehrsdaten vorliegen. Profitieren Sie von verwalteten Regelsätzen von AWS und Partnern, die auf den neuesten Bedrohungsdaten basieren, da sich die Bedrohungslandschaft im Laufe der Zeit verändert.  Dadurch verringert sich der Aufwand für die Pflege von Regeln und die Suche nach Indikatoren für eine Gefährdung, wodurch das Potenzial für Fehlalarme reduziert wird.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Kontrollieren Sie Ihren zustandsbehafteten und zustandslosen Netzwerkverkehr im Detail mit AWS Network Firewall oder anderen Firewalls und Intrusion Prevention Systems (IPS) in AWS Marketplace, die Sie hinter einem Gateway Load Balancer (GWLB) bereitstellen können. AWS Network Firewall unterstützt Suricata-kompatible Open-Source-IPS-Spezifikationen zum Schutz Ihres Workloads.

Sowohl die Lösung AWS Network Firewall als auch die Lösungen der Anbieter, die eine GWLB verwenden, unterstützen verschiedene Modelle für die Bereitstellung von Inline-Prüfungen.  Sie können zum Beispiel Prüfungen pro VPC durchführen, die Prüfungen in einer VPC zentralisieren oder in einem hybriden Modell bereitstellen, bei dem der Ost-West-Verkehr durch eine Prüfungs-VPC fließt und der Internet-Eingang pro VPC geprüft wird.  Eine weitere Frage ist, ob die Lösung das Unwrapping von Transport Layer Security (TLS) unterstützt und damit eine Deep Packet Inspection für Datenverkehrsflüsse in beide Richtungen ermöglicht. Weitere Informationen und ausführliche Details zu diesen Konfigurationen finden Sie im Leitfaden für AWS Network Firewall Best Practices.

Wenn Sie Lösungen verwenden, die Out-of-Band-Prüfungen durchführen, wie z. B. die pcap-Analyse von Paketdaten von Netzwerkschnittstellen, die im Promiscuous-Modus arbeiten, können Sie die VPC Traffic Mirroring konfigurieren. Gespiegelter Datenverkehr wird auf die verfügbare Bandbreite Ihrer Schnittstellen angerechnet und unterliegt denselben Datenübertragungsgebühren wie nicht gespiegelter Datenverkehr. Sie können sehen, ob virtuelle Versionen dieser Appliances auf AWS Marketplace verfügbar sind, die möglicherweise eine Inline-Bereitstellung hinter einer GWLB unterstützen.

Bei Komponenten, die über HTTP-basierte Protokolle abgewickelt werden, schützen Sie Ihre Anwendung mit einer Web Application Firewall (WAF) vor gängigen Bedrohungen. AWS WAF ist eine Web Application Firewall, mit der Sie HTTP(S)-Anfragen, die Ihren konfigurierbaren Regeln entsprechen, überwachen und blockieren können, bevor sie an Amazon API Gateway, Amazon CloudFront, AWS AppSync oder Application Load Balancer gesendet werden. Wenn Sie die Bereitstellung Ihrer Web Application Firewall prüfen, sollten Sie eine Deep Packet Inspection in Betracht ziehen, da einige Firewalls verlangen, dass Sie TLS vor der Überprüfung des Datenverkehrs beenden. Um mit AWS WAF zu beginnen, können Sie Von AWS verwaltete Regeln in Kombination mit Ihren eigenen oder mit bestehenden Partner-Integrationen verwenden.

Sie können Sicherheitsgruppen für AWS WAF, AWS Shield Advanced, AWS Network Firewall und Amazon VPC in Ihrer gesamten AWS-Organisation mit AWS Firewall Manager zentral verwalten. 

Implementierungsschritte

  1. Legen Sie fest, ob Sie die Inspektionsregeln weit fassen können, z. B. durch eine Inspektions-VPC, oder ob Sie einen granulareren Ansatz pro VPC benötigen.

  2. Für Inline-Prüfungslösungen:

    1. Wenn Sie AWS Network Firewall verwenden, erstellen Sie Regeln, Firewall-Richtlinien und die Firewall selbst. Sobald diese konfiguriert sind, können Sie den Datenverkehr an den Endpunkt der Firewall leiten, um die Prüfung zu aktivieren. 

    2. Wenn Sie eine Appliance eines Drittanbieters mit einem Gateway Load Balancer (GWLB) verwenden, stellen Sie Ihre Appliance in einer oder mehreren Verfügbarkeitszonen bereit und konfigurieren sie. Dann erstellen Sie Ihre GWLB, den Endservice, den Endpunkt und konfigurieren das Routing für Ihren Datenverkehr.

  3. Für Out-of-Band-Prüfungslösungen:

    1. Aktivieren Sie die VPC-Datenverkehrsspiegelung auf den Schnittstellen, auf denen der ein- und ausgehende Datenverkehr gespiegelt werden soll. Sie können Amazon EventBridge-Regeln verwenden, um eine AWS Lambda-Funktion aufzurufen, die die Datenverkehrsspiegelung auf Schnittstellen aktiviert, wenn neue Ressourcen erstellt werden. Richten Sie die Sitzungen zur Datenverkehrsspiegelung auf den Network Load Balancer vor Ihrer Appliance, der den Datenverkehr verarbeitet.

  4. Für Lösungen für eingehenden Internetdatenverkehr:

    1. Um AWS WAF zu konfigurieren, beginnen Sie mit der Konfiguration einer Internet-Zugriffssteuerungsliste (Web Access Control List, web ACL). Die web ACL ist eine Sammlung von Regeln mit einer seriell verarbeiteten Standardaktion (ALLOW oder DENY), die definiert, wie Ihre WAF den Datenverkehr behandelt. Sie können Ihre eigenen Regeln und Gruppen erstellen oder verwaltete Regelgruppen von AWS in Ihrer web ACL verwenden.

    2. Sobald Ihre web ACL konfiguriert ist, verknüpfen Sie die Web-ACL mit einer AWS-Ressource (z. B. einer Application Load Balancer, API Gateway-REST-API oder CloudFront-Distribution), um den Webverkehr zu schützen.

Ressourcen

Zugehörige Dokumente:

Zugehörige Beispiele:

Zugehörige Tools: