SEC05-BP03 Implementieren eines prüfungsbasierten Schutzes
Richten Sie Kontrollpunkte für den Datenverkehr zwischen Ihren Netzwerkebenen ein, um sicherzustellen, dass die Daten während der Übertragung den erwarteten Kategorien und Mustern entsprechen. Analysieren Sie Datenverkehrsströme, Metadaten und Muster, um Ereignisse effektiver zu identifizieren, zu erkennen und darauf zu reagieren.
Gewünschtes Ergebnis: Der Datenverkehr, der zwischen Ihren Netzwerkebenen verläuft, wird geprüft und autorisiert. Entscheidungen über das Zulassen oder Verweigern von Zugriffen beruhen auf expliziten Regeln, Informationen über Bedrohungen und Abweichungen vom Grundverhalten. Der Schutz wird strenger, je näher der Datenverkehr an sensible Daten heranrückt.
Typische Anti-Muster:
-
Ausschließlich auf Firewall-Regeln vertrauen, die auf Ports und Protokollen basieren, und Vorteile intelligenter Systeme außer Acht lassen
-
Firewall-Regeln auf der Grundlage bestimmter aktueller Bedrohungsmuster erstellen, die sich ändern können
-
Überprüfung des Datenverkehrs auf den Übergang von privaten zu öffentlichen Subnetzen oder von öffentlichen Subnetzen zum Internet beschränken
-
Keine Basisansicht Ihres Netzwerkdatenverkehrs haben, die Sie auf Verhaltensanomalien hin überprüfen können
Vorteile der Nutzung dieser bewährten Methode: Prüfungssysteme ermöglichen es Ihnen, intelligente Regeln zu erstellen, z. B. den Datenverkehr nur dann zuzulassen oder zu verweigern, wenn bestimmte Bedingungen in den Datenverkehrsdaten vorliegen. Profitieren Sie von verwalteten Regelsätzen von AWS und Partnern, die auf den neuesten Bedrohungsdaten basieren, da sich die Bedrohungslandschaft im Laufe der Zeit verändert. Dadurch verringert sich der Aufwand für die Pflege von Regeln und die Suche nach Indikatoren für eine Gefährdung, wodurch das Potenzial für Fehlalarme reduziert wird.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Kontrollieren Sie Ihren zustandsbehafteten und zustandslosen Netzwerkverkehr im Detail mit AWS Network Firewall oder anderen Firewalls
Sowohl die Lösung AWS Network Firewall als auch die Lösungen der Anbieter, die eine GWLB verwenden, unterstützen verschiedene Modelle für die Bereitstellung von Inline-Prüfungen. Sie können zum Beispiel Prüfungen pro VPC durchführen, die Prüfungen in einer VPC zentralisieren oder in einem hybriden Modell bereitstellen, bei dem der Ost-West-Verkehr durch eine Prüfungs-VPC fließt und der Internet-Eingang pro VPC geprüft wird. Eine weitere Frage ist, ob die Lösung das Unwrapping von Transport Layer Security (TLS) unterstützt und damit eine Deep Packet Inspection für Datenverkehrsflüsse in beide Richtungen ermöglicht. Weitere Informationen und ausführliche Details zu diesen Konfigurationen finden Sie im Leitfaden für AWS Network Firewall Best Practices
Wenn Sie Lösungen verwenden, die Out-of-Band-Prüfungen durchführen, wie z. B. die pcap-Analyse von Paketdaten von Netzwerkschnittstellen, die im Promiscuous-Modus arbeiten, können Sie die VPC Traffic Mirroring konfigurieren. Gespiegelter Datenverkehr wird auf die verfügbare Bandbreite Ihrer Schnittstellen angerechnet und unterliegt denselben Datenübertragungsgebühren wie nicht gespiegelter Datenverkehr. Sie können sehen, ob virtuelle Versionen dieser Appliances auf AWS Marketplace
Bei Komponenten, die über HTTP-basierte Protokolle abgewickelt werden, schützen Sie Ihre Anwendung mit einer Web Application Firewall (WAF) vor gängigen Bedrohungen. AWS WAF
Sie können Sicherheitsgruppen für AWS WAF, AWS Shield Advanced, AWS Network Firewall und Amazon VPC in Ihrer gesamten AWS-Organisation mit AWS Firewall Manager
Implementierungsschritte
-
Legen Sie fest, ob Sie die Inspektionsregeln weit fassen können, z. B. durch eine Inspektions-VPC, oder ob Sie einen granulareren Ansatz pro VPC benötigen.
-
Für Inline-Prüfungslösungen:
-
Wenn Sie AWS Network Firewall verwenden, erstellen Sie Regeln, Firewall-Richtlinien und die Firewall selbst. Sobald diese konfiguriert sind, können Sie den Datenverkehr an den Endpunkt der Firewall leiten
, um die Prüfung zu aktivieren. -
Wenn Sie eine Appliance eines Drittanbieters mit einem Gateway Load Balancer (GWLB) verwenden, stellen Sie Ihre Appliance in einer oder mehreren Verfügbarkeitszonen bereit und konfigurieren sie. Dann erstellen Sie Ihre GWLB, den Endservice, den Endpunkt und konfigurieren das Routing für Ihren Datenverkehr.
-
-
Für Out-of-Band-Prüfungslösungen:
-
Aktivieren Sie die VPC-Datenverkehrsspiegelung auf den Schnittstellen, auf denen der ein- und ausgehende Datenverkehr gespiegelt werden soll. Sie können Amazon EventBridge-Regeln verwenden, um eine AWS Lambda-Funktion aufzurufen, die die Datenverkehrsspiegelung auf Schnittstellen aktiviert, wenn neue Ressourcen erstellt werden. Richten Sie die Sitzungen zur Datenverkehrsspiegelung auf den Network Load Balancer vor Ihrer Appliance, der den Datenverkehr verarbeitet.
-
-
Für Lösungen für eingehenden Internetdatenverkehr:
-
Um AWS WAF zu konfigurieren, beginnen Sie mit der Konfiguration einer Internet-Zugriffssteuerungsliste (Web Access Control List, web ACL). Die web ACL ist eine Sammlung von Regeln mit einer seriell verarbeiteten Standardaktion (ALLOW oder DENY), die definiert, wie Ihre WAF den Datenverkehr behandelt. Sie können Ihre eigenen Regeln und Gruppen erstellen oder verwaltete Regelgruppen von AWS in Ihrer web ACL verwenden.
-
Sobald Ihre web ACL konfiguriert ist, verknüpfen Sie die Web-ACL mit einer AWS-Ressource (z. B. einer Application Load Balancer, API Gateway-REST-API oder CloudFront-Distribution), um den Webverkehr zu schützen.
-
Ressourcen
Zugehörige Dokumente:
Zugehörige Beispiele:
Zugehörige Tools: