SEC05-BP03 Implementieren Sie einen inspektionsbasierten Schutz

Richten Sie Kontrollpunkte für den Datenverkehr zwischen Ihren Netzwerkebenen ein, um sicherzustellen, dass die Daten während der Übertragung den erwarteten Kategorien und Mustern entsprechen.  Analysieren Sie Datenverkehrsströme, Metadaten und Muster, um Ereignisse effektiver zu identifizieren, zu erkennen und darauf zu reagieren.

Gewünschtes Ergebnis: Der Datenverkehr, der zwischen Ihren Netzwerkebenen verläuft, wird geprüft und autorisiert.  Entscheidungen über das Zulassen oder Verweigern von Zugriffen beruhen auf expliziten Regeln, Informationen über Bedrohungen und Abweichungen vom Grundverhalten.  Der Schutz wird strenger, je näher der Datenverkehr an sensible Daten heranrückt.

Typische Anti-Muster:

• Ausschließlich auf Firewall-Regeln vertrauen, die auf Ports und Protokollen basieren, und Vorteile intelligenter Systeme außer Acht lassen

• Firewall-Regeln auf der Grundlage bestimmter aktueller Bedrohungsmuster erstellen, die sich ändern können

• Überprüfung des Datenverkehrs auf den Übergang von privaten zu öffentlichen Subnetzen oder von öffentlichen Subnetzen zum Internet beschränken

• Keine Basisansicht Ihres Netzwerkdatenverkehrs haben, die Sie auf Verhaltensanomalien hin überprüfen können

Vorteile der Nutzung dieser bewährten Methode: Prüfungssysteme ermöglichen es Ihnen, intelligente Regeln zu erstellen, z. B. den Datenverkehr nur dann zuzulassen oder zu verweigern, wenn bestimmte Bedingungen in den Datenverkehrsdaten vorliegen. Profitieren Sie von verwalteten Regelsätzen von AWS und Partnern, die auf den neuesten Bedrohungsinformationen basieren, da sich die Bedrohungslandschaft im Laufe der Zeit ändert.  Dadurch verringert sich der Aufwand für die Pflege von Regeln und die Suche nach Indikatoren für eine Gefährdung, wodurch das Potenzial für Fehlalarme reduziert wird.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Verschaffen Sie sich mithilfe anderer Firewalls und Intrusion Prevention-Systeme (IPS) AWS Network Firewall, die Sie hinter einem Gateway Load Balancer () einsetzen können, eine genaue Kontrolle über Ihren AWS Marketplace statusbehafteten und statusfreien Netzwerkverkehr. GWLBAWS Network Firewall unterstützt Suricata-kompatible Open-Source-Spezifikationen, um Ihre Workloads zu schützen. IPS

AWS Network Firewall Sowohl die Lösungen als auch die von Anbietern, die A verwenden, GWLB unterstützen unterschiedliche Bereitstellungsmodelle für Inline-Inspektionen.  Sie können beispielsweise Inspektionen auf VPC Einzelbasis durchführen, sie in Form einer zentralen Inspektion durchführen oder sie in einem Hybridmodell einsetzenVPC, bei dem der Ost-West-Verkehr durch eine Inspektion fließt VPC und der Interneteingang einzeln geprüft wird. VPC  Eine weitere Überlegung ist, ob die Lösung das Entpacken von Transport Layer Security (TLS) unterstützt, wodurch eine Deep Packet Inspection für Datenflüsse, die in beide Richtungen initiiert werden, ermöglicht wird. Weitere Informationen und ausführliche Details zu diesen Konfigurationen finden Sie im Leitfaden für AWS Network Firewall Best Practices.

Wenn Sie Lösungen verwenden, die out-of-band Inspektionen durchführen, z. B. die PCAP-Analyse von Paketdaten von Netzwerkschnittstellen, die im Promiscuous-Modus arbeiten, können Sie die Verkehrsspiegelung konfigurieren. VPC Gespiegelter Datenverkehr wird auf die verfügbare Bandbreite Ihrer Schnittstellen angerechnet und unterliegt denselben Datenübertragungsgebühren wie nicht gespiegelter Datenverkehr. Sie können sehen, ob virtuelle Versionen dieser Appliances auf dem verfügbar sind AWS Marketplace, was möglicherweise die Inline-Bereitstellung hinter einem unterstützt. GWLB

Schützen Sie Ihre Anwendung bei Komponenten, die über HTTP basierte Protokolle abgewickelt werden, mit einer Webanwendungs-Firewall (WAF) vor häufigen Bedrohungen. AWS WAFist eine Firewall für Webanwendungen, mit der Sie Anfragen, die Ihren konfigurierbaren Regeln entsprechen, überwachen und blockieren HTTP können, bevor sie an Amazon API Gateway CloudFront, Amazon AWS AppSync oder einen Application Load Balancer gesendet werden. Ziehen Sie Deep Packet Inspection in Betracht, wenn Sie den Einsatz Ihrer Webanwendungs-Firewall evaluieren, da Sie bei einigen Anwendungen den Vorgang TLS vor der Datenverkehrsinspektion beenden müssen. Zu Beginn können Sie AWS WAF es Von AWS verwaltete Regelnin Kombination mit Ihren eigenen Integrationen verwenden oder bestehende Partnerintegrationen verwenden.

Mit können Sie AWS WAF, AWS Shield Advanced AWS Network Firewall, und VPC Amazon-Sicherheitsgruppen in Ihrer gesamten AWS Organisation zentral verwalten AWS Firewall Manager. 

Implementierungsschritte

1. Stellen Sie fest, ob Sie die Inspektionsregeln breit fassen könnenVPC, z. B. durch eine Inspektion, oder ob Sie einen detaillierteren VPC Ansatz benötigen.

2. Für Inline-Prüfungslösungen:

   1. Falls Sie diese verwenden AWS Network Firewall, erstellen Sie Regeln, Firewall-Richtlinien und die Firewall selbst. Sobald diese konfiguriert sind, können Sie den Datenverkehr an den Endpunkt der Firewall leiten, um die Prüfung zu aktivieren. 

   2. Wenn Sie eine Appliance eines Drittanbieters mit einem Gateway Load Balancer (GWLB) verwenden, stellen Sie Ihre Appliance in einer oder mehreren Availability Zones bereit und konfigurieren Sie sie. Erstellen Sie dann Ihren GWLB Endpunktdienst und konfigurieren Sie das Routing für Ihren Datenverkehr.

3. Für out-of-band Inspektionslösungen:

   1. Aktivieren Sie VPC Traffic Mirroring auf Schnittstellen, an denen eingehender und ausgehender Datenverkehr gespiegelt werden soll. Sie können EventBridge Amazon-Regeln verwenden, um eine AWS Lambda Funktion aufzurufen, mit der die Verkehrsspiegelung auf Schnittstellen aktiviert wird, wenn neue Ressourcen erstellt werden. Richten Sie die Sitzungen zur Datenverkehrsspiegelung auf den Network Load Balancer vor Ihrer Appliance, der den Datenverkehr verarbeitet.

4. Für Lösungen für eingehenden Internetdatenverkehr:

   1. Um zu konfigurieren AWS WAF, konfigurieren Sie zunächst eine Web-Zugriffskontrollliste (WebACL). Das Web ACL ist eine Sammlung von Regeln mit einer seriell verarbeiteten Standardaktion (ALLOWoderDENY), die definiert, wie Sie mit dem Datenverkehr WAF umgehen. Sie können Ihre eigenen Regeln und Gruppen erstellen oder AWS verwaltete Regelgruppen in Ihrem Web ACL verwenden.

   2. Sobald Ihr Web konfiguriert ACL ist, verknüpfen Sie das Web ACL mit einer AWS Ressource (wie einem Application Load Balancer, einem API Gateway oder einer CloudFront Distribution) RESTAPI, um mit dem Schutz des Webverkehrs zu beginnen.

Ressourcen

Zugehörige Dokumente:

• What is Traffic Mirroring?

• Implementing inline traffic inspection using third-party security appliances

• AWS Network Firewall Beispielarchitekturen mit Routing

• Zentralisierte Inspektionsarchitektur mit AWS Gateway Load Balancer und AWS Transit Gateway

Zugehörige Beispiele:

• Best practices for deploying Gateway Load Balancer

• TLSInspektionskonfiguration für verschlüsselten Ausgangsverkehr und AWS Network Firewall

Zugehörige Tools:

• AWS Marketplace IDS/IPS