SEC09-BP03 Authentifizieren der Netzwerkkommunikation

Überprüfen Sie die Identität der Kommunikation mithilfe von Protokollen, die die Authentifizierung unterstützen, wie Transport Layer Security (TLS) oder IPsec.

Entwerfen Sie Ihren Workload so, dass bei der Kommunikation zwischen Services, Anwendungen oder Benutzern sichere, authentifizierte Netzwerkprotokolle verwendet werden. Die Verwendung von Netzwerkprotokollen, die Authentifizierung und Autorisierung unterstützen, bietet eine strengere Kontrolle über den Netzwerkfluss und reduziert die Auswirkungen von nicht autorisiertem Zugriff.

Gewünschtes Ergebnis: Ein Workload mit klar definierten Datenflüssen auf der Daten- und Steuerebene zwischen den Services. Die Datenflüsse verwenden authentifizierte und verschlüsselte Netzwerkprotokolle, sofern dies technisch möglich ist.

Typische Anti-Muster:

Unverschlüsselte oder unauthentifizierte Datenflüsse innerhalb Ihres Workloads
Wiederverwendung von Authentifizierungsdaten für mehrere Benutzer oder Entitäten
Die alleinige Verwendung von Netzwerkkontrollen als Zugriffskontrolle
Erstellen eines benutzerdefinierten Authentifizierungsmechanismus, anstatt sich auf die Standard-Authentifizierungsmechanismen der Branche zu verlassen
Übermäßig freizügige Datenflüsse zwischen Servicekomponenten oder anderen Ressourcen in der VPC

Vorteile der Nutzung dieser bewährten Methode:

Schränkt den Umfang der Auswirkungen eines unberechtigten Zugriffs auf einen Teil des Workloads ein
Bietet ein höheres Maß an Sicherheit, dass Aktionen nur von authentifizierten Personen durchgeführt werden können
Verbessert die Entkopplung von Diensten, indem die vorgesehenen Schnittstellen für die Datenübertragung klar definiert und durchgesetzt werden
Verbessert die Überwachung, Protokollierung und Reaktion auf Vorfälle durch die Zuordnung von Anfragen und gut definierte Kommunikationsschnittstellen
Bietet durch die Kombination von Netzwerkkontrollen mit Authentifizierungs- und Autorisierungskontrollen einen umfassenden Schutz für Ihre Workloads

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: niedrig

Implementierungsleitfaden

Die Netzwerkverkehrsmuster Ihres Workloads lassen sich in zwei Kategorien einteilen:

Der Ost-West-Verkehr steht für Datenflüsse zwischen Services, die einen Workload ausmachen.
Der Nord-Süd-Verkehr stellt die Datenflüsse zwischen Ihrem Workload und den Verbrauchern dar.

Während es üblich ist, den Nord-Süd-Verkehr zu verschlüsseln, ist die Sicherung des Ost-West-Verkehrs mit authentifizierten Protokollen weniger verbreitet. Moderne Sicherheitspraktiken empfehlen, dass das Netzwerkdesign allein noch keine vertrauenswürdige Beziehung zwischen zwei Entitäten gewährleistet. Auch wenn sich zwei Services innerhalb einer gemeinsamen Netzwerkgrenze befinden, ist es immer noch die beste Methode, die Kommunikation zwischen diesen Services zu verschlüsseln, zu authentifizieren und zu autorisieren.

Beispielsweise verwenden AWS-Service-APIs das Signaturprotokoll AWS Signature Version 4 (SigV4), um den Anforderer zu authentifizieren, unabhängig davon, aus welchem Netzwerk die Anfrage stammt. Diese Authentifizierung stellt sicher, dass AWS-APIs die Identität des Anforderers der Aktion überprüfen können. Diese Identität kann dann mit Richtlinien kombiniert werden, um eine Autorisierungsentscheidung zu treffen, ob die Aktion erlaubt werden soll oder nicht.

Mit Services wie Amazon VPC Lattice und Amazon API Gateway können Sie das gleiche SigV4-Signaturprotokoll verwenden, um den Ost-West-Verkehr in Ihren eigenen Workloads zu authentifizieren und zu autorisieren. Wenn Ressourcen außerhalb Ihrer AWS-Umgebung mit Services kommunizieren müssen, die eine SigV4-basierte Authentifizierung und Autorisierung erfordern, können Sie AWS Identity and Access Management (IAM) Roles Anywhere auf der AWS-fremden Ressource verwenden, um temporäre AWS-Anmeldeinformationen zu erhalten. Diese Anmeldeinformationen können verwendet werden, um Anfragen an Services zu signieren, die mit SigV4 den Zugriff autorisieren.

Ein weiterer gängiger Mechanismus zur Authentifizierung des Ost-West-Verkehrs ist die gegenseitige TLS-Authentifizierung (mTLS). Viele Internet der Dinge (IoT)- und Business-to-Business-Anwendungen sowie Microservices verwenden mTLS, um die Identität beider Seiten einer TLS-Kommunikation durch die Verwendung von X.509-Zertifikaten auf Client- und Server-Seite zu validieren. Diese Zertifikate können von AWS Private Certificate Authority (AWS Private CA) ausgestellt werden. Sie können Services wie Amazon API Gateway und AWS App Mesh verwenden, um die mTLS-Authentifizierung für die Kommunikation zwischen oder innerhalb eines Workloads bereitzustellen. Während mTLS Authentifizierungsinformationen für beide Seiten einer TLS-Kommunikation bereitstellt, bietet es keinen Mechanismus zur Autorisierung.

Nicht zuletzt sind OAuth 2.0 und OpenID Connect (OIDC) zwei Protokolle, die in der Regel für die Kontrolle des Zugriffs von Benutzern auf Services verwendet werden, jetzt aber auch für den Datenverkehr von Service zu Service immer beliebter werden. API Gateway bietet einen JSON Web Token (JWT) Authorizer, der es Workloads ermöglicht, den Zugriff auf API-Routen mithilfe von JWTs zu beschränken, die von OIDC- oder OAuth-2.0-Identitätsanbietern ausgestellt wurden. OAuth2-Bereiche können als Quelle für grundlegende Autorisierungsentscheidungen verwendet werden, aber die Autorisierungsprüfungen müssen immer noch in der Anwendungsschicht implementiert werden. Und OAuth2-Bereiche allein können komplexere Autorisierungsanforderungen nicht unterstützen.

Implementierungsschritte

Definieren und Dokumentieren der Netzwerkflüsse Ihres Workloads: Der erste Schritt bei der Implementierung einer umfassenden Verteidigungsstrategie ist die Definition der Datenflüsse Ihres Workloads.
- Erstellen Sie ein Datenflussdiagramm, das klar definiert, wie Daten zwischen den verschiedenen Services, aus denen Ihr Workload besteht, übertragen werden. Dieses Diagramm ist der erste Schritt zur Durchsetzung dieser Datenflüsse über authentifizierte Netzwerkkanäle.
- Nutzen Sie Ihre Workloads in der Entwicklungs- und Testphase, um zu überprüfen, ob das Datenflussdiagramm das Verhalten der Workloads zur Laufzeit korrekt wiedergibt.
- Ein Datenflussdiagramm kann auch bei der Durchführung einer Bedrohungsmodellierung nützlich sein, wie in SEC01-BP07 Identifizierung von Bedrohungen und Priorisierung von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells beschrieben.
Einrichten von Netzwerkkontrollen: Erwägen Sie AWS-Funktionen, um Netzwerkkontrollen einzurichten, die auf Ihre Datenflüsse abgestimmt sind. Netzwerkgrenzen sollten zwar nicht die einzige Sicherheitskontrolle sein, aber sie stellen eine Stufe der umfassenden Verteidigungsstrategie zum Schutz Ihres Workloads dar.
- Verwenden Sie Sicherheitsgruppen, um den Datenfluss zwischen Ressourcen zu definieren und einzuschränken.
- Verwenden Sie AWS PrivateLink, um sowohl mit AWS als auch mit Drittanbieterservices zu kommunizieren, die AWS PrivateLink unterstützen. Daten, die über einen AWS PrivateLink-Schnittstellen-Endpunkt gesendet werden, bleiben innerhalb des AWS-Netzwerk-Backbones und durchlaufen nicht das öffentliche Internet.
Implementieren von Authentifizierung und Autorisierung für alle Services in Ihrem Workload: Wählen Sie die AWS-Services aus, die am besten geeignet sind, um authentifizierte, verschlüsselte Datenflüsse in Ihrem Workload bereitzustellen.
- Ziehen Sie Amazon VPC Lattice in Erwägung, um die Kommunikation von Service zu Service zu sichern. VPC Lattice kann SigV4-Authentifizierung in Kombination mit Authentifizierungsrichtlinien verwenden, um den Zugriff von Service zu Service zu kontrollieren.
- Für die serviceübergreifende Kommunikation mit mTLS sollten Sie API Gateway oder App Mesh in Betracht ziehen. AWS Private CA kann verwendet werden, um eine private CA-Hierarchie einzurichten, die Zertifikate für die Verwendung mit mTLS ausstellen kann.
- Bei der Integration mit Services, die OAuth 2.0 oder OIDC verwenden, sollten Sie API Gateway unter Verwendung des JWT-Genehmigers in Betracht ziehen.
- Für die Kommunikation zwischen Ihrem Workload und IoT-Geräten sollten Sie AWS IoT Core in Betracht ziehen, das mehrere Optionen für die Verschlüsselung und Authentifizierung des Netzwerkverkehrs bietet.
Überwachung auf nicht autorisierten Zugriff: Überwachen Sie kontinuierlich unbeabsichtigte Kommunikationskanäle, nicht autorisierte Auftraggeber, die versuchen, auf geschützte Ressourcen zuzugreifen, und andere unzulässige Zugriffsmuster.
- Wenn Sie VPC Lattice zur Verwaltung des Zugriffs auf Ihre Services verwenden, sollten Sie die Zugriffsprotokolle von VPC Lattice aktivieren und überwachen. Diese Zugriffsprotokolle enthalten Informationen über die anfragende Entität, Netzwerkinformationen einschließlich Quell- und Ziel-VPC und Metadaten der Anfrage.
- Erwägen Sie die Aktivierung von VPC Flow-Protokollen, um Metadaten zu Netzwerkflüssen zu erfassen und regelmäßig auf Anomalien zu überprüfen.
- Weitere Hinweise zum Planen, Simulieren und Reagieren auf Sicherheitsvorfälle finden Sie im AWS Security Incident Response Guide und im Abschnitt Vorfallreaktion der Säule „Sicherheit“ des AWS-Well-Architected-Framework.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung

Vorfallsreaktion