SEC05-BP02 Steuern Sie den Verkehrsfluss innerhalb Ihrer Netzwerkschichten - Säule der Sicherheit
ImplementierungsleitfadenRessourcen

SEC05-BP02 Steuern Sie den Verkehrsfluss innerhalb Ihrer Netzwerkschichten

Verwenden Sie innerhalb der einzelnen Ebenen Ihres Netzwerks eine weitere Segmentierung, um den Datenverkehr auf die für die einzelnen Workloads erforderlichen Flüsse zu beschränken. Konzentrieren Sie sich zunächst auf die Kontrolle des Datenverkehrs zwischen dem Internet oder anderen externen Systemen eines Workloads und Ihrer Umgebung (Nord-Süd-Verkehr). Betrachten Sie anschließend die Ströme zwischen verschiedenen Komponenten und Systemen (Ost-West-Verkehr).

Gewünschtes Ergebnis: Sie lassen nur die Netzwerkflüsse zu, die für die Kommunikation der Komponenten Ihrer Workloads untereinander, mit ihren Clients und mit allen anderen Services, von denen sie abhängig sind, erforderlich sind. Ihr Design berücksichtigt Überlegungen wie öffentlichen im Vergleich zu privatem Ingress und Egress, Datenklassifizierung, regionale Vorschriften und Protokollanforderungen. Wo immer möglich, bevorzugen Sie point-to-point Datenflüsse gegenüber Netzwerk-Peering als Teil des Prinzips der geringsten Rechte.

Typische Anti-Muster:

  • Sie verfolgen bei der Netzwerksicherheit einen Perimeter-basierten Ansatz und kontrollieren den Datenverkehr nur an den Grenzen Ihrer Netzwerkebenen.

  • Sie gehen davon aus, dass der gesamte Verkehr innerhalb einer Netzwerkebene authentifiziert und autorisiert ist.

  • Sie kontrollieren entweder den eingehenden oder den ausgehenden Datenverkehr, aber nicht beide.

  • Sie verlassen sich bei der Authentifizierung und Autorisierung des Datenverkehrs ausschließlich auf Ihre Workload-Komponenten und Netzwerkkontrollen.

Vorteile der Nutzung dieser bewährten Methode: Diese Vorgehensweise trägt dazu bei, das Risiko unbefugter Bewegungen innerhalb Ihres Netzwerks zu verringern, und fügt Ihren Workloads eine zusätzliche Autorisierungsebene hinzu. Durch die Kontrolle des Datenverkehrs können Sie den Umfang der Auswirkungen eines Sicherheitsvorfalls begrenzen und die Erkennung und Reaktion beschleunigen.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Netzwerkschichten helfen zwar dabei, die Grenzen zwischen Komponenten Ihres Workloads festzulegen, die eine ähnliche Funktion, Datensensitivität und ähnliches Verhalten erfüllen, aber Sie können eine viel detailliertere Ebene der Datenverkehrskontrolle erreichen, indem Sie Techniken verwenden, um Komponenten innerhalb dieser Schichten weiter zu segmentieren, die dem Prinzip der geringsten Rechte folgen. Innerhalb AWS werden Netzwerkschichten hauptsächlich mithilfe von Subnetzen gemäß IP-Adressbereichen innerhalb eines Amazon VPC definiert. Ebenen können auch anhand verschiedener Methoden definiert werdenVPCs, z. B. zur Gruppierung von Microservice-Umgebungen nach Geschäftsdomänen. Wenn Sie mehrere verwendenVPCs, vermitteln Sie das Routing mit einem. AWS Transit Gateway Dies ermöglicht zwar die Steuerung des Datenverkehrs auf Layer-4-Ebene (IP-Adressen und Portbereiche) mithilfe von Sicherheitsgruppen und Routing-Tabellen, Sie können jedoch mithilfe zusätzlicher Services AWS PrivateLink, wie Amazon Route 53 Resolver DNS Firewall, und AWS Network FirewallAWS WAF, weitere Kontrolle erlangen.

Machen Sie sich mit den Datenfluss- und Kommunikationsanforderungen Ihrer Workloads in Bezug auf verbindungsinitiierende Parteien, Ports, Protokolle und Netzwerkschichten vertraut und inventarisieren Sie diese. Prüfen Sie die Protokolle, die für den Verbindungsaufbau und die Übertragung von Daten zur Verfügung stehen, und wählen Sie diejenigen aus, die Ihren Schutzanforderungen entsprechen (z. B. HTTPS nicht). HTTP Erfassen Sie diese Anforderungen sowohl an den Grenzen Ihrer Netzwerke als auch innerhalb jeder Ebene. Sobald diese Anforderungen identifiziert sind, prüfen Sie die Möglichkeiten, um nur den erforderlichen Datenverkehr an jedem Verbindungspunkt zuzulassen. Ein guter Ausgangspunkt ist die Verwendung von Sicherheitsgruppen innerhalb IhrerVPC, da sie an Ressourcen angehängt werden können, die ein Elastic Network Interface (ENI) verwenden, wie EC2 Amazon-Instances, ECS Amazon-Aufgaben, EKS Amazon-Pods oder RDS Amazon-Datenbanken. Im Gegensatz zu einer Layer-4-Firewall kann eine Sicherheitsgruppe eine Regel haben, die den Datenverkehr einer anderen Sicherheitsgruppe anhand ihrer Kennung zulässt, wodurch Aktualisierungen minimiert werden, wenn sich die Ressourcen innerhalb der Gruppe im Laufe der Zeit ändern. Sie können den Datenverkehr auch mithilfe von Sicherheitsgruppen nach eingehenden und ausgehenden Regeln filtern.

Wenn sich der Verkehr zwischen VPCs diesen bewegt, ist es üblich, VPC Peering für einfaches Routing oder AWS Transit Gateway für komplexes Routing zu verwenden. Mit diesen Ansätzen erleichtern Sie den Datenverkehrsfluss zwischen dem Bereich der IP-Adressen des Quell- und des Zielnetzwerks. Wenn Ihre Arbeitslast jedoch nur Datenflüsse zwischen bestimmten Komponenten in verschiedenen Bereichen erfordertVPCs, sollten Sie die Verwendung einer point-to-point Verbindung mit in Betracht ziehen. AWS PrivateLink Bestimmen Sie dazu, welcher Service als Produzent und welcher als Verbraucher fungieren soll. Stellen Sie einen kompatiblen Load Balancer für den Producer bereit, schalten Sie PrivateLink ihn entsprechend ein und akzeptieren Sie dann eine Verbindungsanfrage des Verbrauchers. Dem Producer-Dienst wird dann eine private IP-Adresse des Verbrauchers zugewiesenVPC, die der Verbraucher für nachfolgende Anfragen verwenden kann. Dieser Ansatz reduziert die Notwendigkeit, die Netzwerke zu peeren. Beziehen Sie die Kosten für Datenverarbeitung und Lastenausgleich in die Bewertung mit ein PrivateLink.

Sicherheitsgruppen PrivateLink helfen zwar dabei, den Fluss zwischen den Komponenten Ihrer Workloads zu kontrollieren, aber ein weiterer wichtiger Aspekt ist, wie Sie kontrollieren können, auf welche DNS Domänen Ihre Ressourcen zugreifen dürfen (falls vorhanden). Je nach DHCP Konfiguration Ihres VPCs können Sie zu diesem Zweck zwei verschiedene AWS Dienste in Betracht ziehen. Die meisten Kunden verwenden den standardmäßigen Route 53 DNS Resolver-Service (auch DNS Amazon-Server oder genannt AmazonProvidedDNS), der VPCs unter der +2-Adresse seines CIDR Bereichs verfügbar ist. Mit diesem Ansatz können Sie DNS Firewall-Regeln erstellen und diese Ihren Regeln zuordnenVPC, die festlegen, welche Aktionen für die von Ihnen bereitgestellten Domainlisten zu ergreifen sind.

Wenn Sie nicht den Route 53-Resolver verwenden, oder wenn Sie den Resolver mit tieferen Prüf- und Flusskontrollfunktionen als der Domain-Filterung ergänzen wollen, sollten Sie die Bereitstellung eines AWS Network Firewall erwägen. Dieser Service prüft einzelne Pakete anhand von zustandslosen oder zustandsbehafteten Regeln, um zu entscheiden, ob der Datenverkehr verweigert oder zugelassen werden soll. Einen ähnlichen Ansatz können Sie für die Filterung des eingehenden Internetdatenverkehrs zu Ihren öffentlichen Endpunkten mit AWS WAF verfolgen. Weitere Hinweise zu diesen Diensten finden Sie unter SEC05-BP03 Implementieren von inspektionsgestütztem Schutz.

Implementierungsschritte

  1. Identifizieren Sie die erforderlichen Datenflüsse zwischen den Komponenten Ihrer Workloads.

  2. Wenden Sie mehrere Kontrollen mit einem defense-in-depth Ansatz für eingehenden und ausgehenden Datenverkehr an, einschließlich der Verwendung von Sicherheitsgruppen und Routing-Tabellen. 

  3. Verwenden Sie Firewalls, um eine differenzierte Kontrolle über den eingehenden, ausgehenden und zwischen Ihnen eingehenden Netzwerkverkehr zu definierenVPCs, z. B. die Route 53 Resolver DNS Firewall,, und. AWS Network Firewall AWS WAF Erwägen Sie den Einsatz von AWS Firewall Manager für die zentrale Konfiguration und Verwaltung Ihrer Firewall-Regeln in Ihrer Organisation.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Tools:

Zugehörige Videos:

Zugehörige Beispiele: