AWS Security, Identity, and Compliance category icon Sicherheit, Identität und Compliance - Überblick über Amazon Web Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Security, Identity, and Compliance category icon Sicherheit, Identität und Compliance

AWS ist als sicherste globale Cloud-Infrastruktur konzipiert, auf der Anwendungen und Workloads erstellt, migriert und verwaltet werden können.

Jeder Dienst wird im Anschluss an das Diagramm beschrieben. Informationen zur Entscheidung, welcher Dienst Ihren Anforderungen am besten entspricht, finden Sie unter Auswahl AWS Sicherheits-, Identitäts- und Governance-Dienste. Allgemeine Informationen finden Sie unter Sicherheit, Identität und Compliance auf AWS.

Das Diagramm zeigt AWS Sicherheits-, Identitäts- und Governance-Dienste

Zurück zuAWS Dienstleistungen.

Amazon Cognito

Mit Amazon Cognito können Sie Ihren Web- und mobilen Apps schnell und einfach Benutzerregistrierung, Anmeldung und Zugriffskontrolle hinzufügen. Mit Amazon Cognito können Sie auf Millionen von Benutzern skalieren und unterstützt die Anmeldung bei Anbietern sozialer Identitäten wie Apple, Facebook, Twitter oder Amazon, mit SAML 2.0-Identitätslösungen oder mithilfe Ihres eigenen Identitätssystems.

Darüber hinaus können Sie mit Amazon Cognito Daten lokal auf den Geräten der Benutzer speichern, sodass Ihre Anwendungen auch dann funktionieren, wenn die Geräte offline sind. Anschließend können Sie Daten auf den Geräten der Benutzer synchronisieren, sodass ihre App-Erfahrung unabhängig vom verwendeten Gerät konsistent bleibt.

Mit Amazon Cognito können Sie sich auf das Entwickeln herausragender Anwendungserlebnisse konzentrieren und müssen sich keine Gedanken mehr über das Erstellen, Sichern und Skalieren einer Lösung für die Benutzerverwaltung, -authentifizierung und die geräteübergreifende Synchronisierung machen.

Amazon Detective

Amazon Detective macht es einfach, die Ursache potenzieller Sicherheitsprobleme oder verdächtiger Aktivitäten zu analysieren, zu untersuchen und schnell zu identifizieren. Amazon Detective sammelt automatisch Protokolldaten von Ihrem AWS Ressourcen und nutzt maschinelles Lernen, statistische Analysen und Graphentheorie, um einen verknüpften Datensatz zu erstellen, mit dem Sie auf einfache Weise schnellere und effizientere Sicherheitsuntersuchungen durchführen können. Amazon Detective vereinfacht die Kontoverwaltung für Sicherheitsoperationen und Untersuchungen für alle bestehenden und future Konten in einem Unternehmen weiter mithilfe von AWS Organizations für bis zu 1.200 AWS Konten.

AWS Sicherheitsdienste wie Amazon GuardDuty, Amazon Macie und AWS Security Hub sowie Sicherheitsprodukte von Partnern können verwendet werden, um potenzielle Sicherheitsprobleme oder Erkenntnisse zu identifizieren. Diese Dienste sind sehr hilfreich, wenn es darum geht, Sie darüber zu informieren, wann und wo möglicherweise unbefugter Zugriff oder verdächtiges Verhalten in Ihrem AWS Einsatz. Manchmal gibt es jedoch Sicherheitsfeststellungen, sodass Sie die Ereignisse, die zu den Ergebnissen geführt haben, eingehender untersuchen möchten, um die Ursache zu beheben. Die Ermittlung der Grundursache von Sicherheitsfeststellungen kann für Sicherheitsanalysten ein komplexer Prozess sein, der häufig das Sammeln und Kombinieren von Protokollen aus vielen Datenquellen, die Verwendung von Tools zum Extrahieren, Transformieren und Laden (ETL) sowie benutzerdefiniertes Scripting zur Organisation der Daten umfasst.

Amazon Detective vereinfacht diesen Prozess, indem es Ihren Sicherheitsteams ermöglicht, eine Entdeckung einfach zu untersuchen und schnell zur Ursache zu gelangen. Detective kann Billionen von Ereignissen aus verschiedenen Datenquellen wie Amazon Virtual Private Cloud (VPC) Flow Logs analysieren. AWS CloudTrail und Amazon GuardDuty. Detective verwendet diese Ereignisse, um automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen ihnen im Laufe der Zeit zu erstellen. Mit dieser einheitlichen Ansicht können Sie alle Details und den Kontext an einem Ort visualisieren, um die zugrunde liegenden Gründe für die Ergebnisse zu ermitteln, relevante historische Aktivitäten aufzuschlüsseln und schnell die Ursache zu ermitteln.

Sie können mit nur wenigen Klicks mit Amazon Detective loslegen in AWS Management Console. Es muss keine Software bereitgestellt oder Datenquellen aktiviert und verwaltet werden. Mit einer kostenlosen 30-Tage-Testversion, die für neue Konten verfügbar ist, können Sie Detective ohne zusätzliche Kosten testen.

Amazon GuardDuty

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der kontinuierlich nach böswilligen Aktivitäten und ungewöhnlichem Verhalten sucht, um Ihre AWS-Konten, Workloads, Kubernetes-Cluster und in Amazon Simple Storage Service (Amazon S3) gespeicherte Daten. Der GuardDuty Service überwacht Aktivitäten wie ungewöhnliche API Anrufe, nicht autorisierte Bereitstellungen und exfiltrierte Anmeldeinformationen, die auf eine mögliche Kontoerkennung oder -kompromittierung hinweisen.

Aktiviert mit ein paar Klicks im AWS Management Console und einfach unternehmensweit zu verwalten mit der Unterstützung von AWS Organizations, Amazon GuardDuty kann sofort mit der Analyse von Milliarden von Ereignissen in Ihrem AWS berücksichtigt Anzeichen unbefugter Nutzung. GuardDuty identifiziert mutmaßliche Angreifer mithilfe integrierter Threat-Intelligence-Feeds und der Erkennung von Anomalien durch maschinelles Lernen, um Anomalien bei der Konto- und Workload-Aktivität zu erkennen. Wenn eine potenzielle unbefugte Nutzung erkannt wird, übermittelt der Service detaillierte Ergebnisse an die GuardDuty Konsole, Amazon CloudWatch Events und AWS Security Hub. Dadurch sind die Ergebnisse umsetzbar und lassen sich leicht in bestehende Eventmanagement- und Workflow-Systeme integrieren. Mit Amazon Detective direkt von der GuardDuty Konsole aus können Sie ganz einfach weitere Untersuchungen durchführen, um die Ursache eines Befundes zu ermitteln.

Amazon GuardDuty ist kostengünstig und einfach zu bedienen. Sie müssen keine Software oder Sicherheitsinfrastruktur bereitstellen und warten, was bedeutet, dass es schnell aktiviert werden kann, ohne dass das Risiko besteht, dass bestehende Anwendungs- und Container-Workloads negativ beeinflusst werden. Es fallen keine Vorabkosten an GuardDuty, es muss keine Software bereitgestellt werden und es müssen keine Threat-Intelligence-Feeds aktiviert werden. Darüber hinaus GuardDuty optimiert es die Kosten, indem intelligente Filter angewendet und nur eine Teilmenge von Protokollen analysiert wird, die für die Erkennung von Bedrohungen relevant sind. Neue GuardDuty Amazon-Konten sind 30 Tage lang kostenlos.

Amazon Inspector

Amazon Inspector ist ein neuer automatisierter Schwachstellen-Management-Service, der kontinuierlich scannt AWS Workloads auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung. Mit ein paar Klicks in der AWS Management Console and AWS Organizations, Amazon Inspector kann für alle Konten in Ihrer Organisation verwendet werden. Nach dem Start erkennt Amazon Inspector automatisch laufende Amazon Elastic Compute Cloud (AmazonEC2) -Instances und Container-Images, die sich in Amazon Elastic Container Registry (AmazonECR) befinden, unabhängig von der Größenordnung, und beginnt sofort mit der Bewertung auf bekannte Sicherheitslücken.

Amazon Inspector bietet viele Verbesserungen gegenüber Amazon Inspector Classic. Beispielsweise berechnet der neue Amazon Inspector für jedes Ergebnis eine stark kontextualisierte Risikobewertung, indem er häufig auftretende Informationen zu Sicherheitslücken und Risiken (CVE) mit Faktoren wie Netzwerkzugriff und Ausnutzbarkeit korreliert. Diese Bewertung wird verwendet, um die kritischsten Sicherheitslücken zu priorisieren, um die Effizienz der Abhilfemaßnahmen zu verbessern. Darüber hinaus verwendet Amazon Inspector jetzt das weit verbreitete AWS Systems Manager Agent (SSMAgent), damit Sie keinen eigenständigen Agenten bereitstellen und verwalten müssen, um EC2 Amazon-Instance-Bewertungen durchzuführen. Für Container-Workloads ist Amazon Inspector jetzt in Amazon Elastic Container Registry (AmazonECR) integriert, um intelligente, kosteneffiziente und kontinuierliche Schwachstellenanalysen von Container-Images zu unterstützen. Alle Ergebnisse werden in der Amazon Inspector Inspector-Konsole zusammengefasst und weitergeleitet an AWS Security Hub und setzte Amazon ein, EventBridge um Workflows wie das Ticketing zu automatisieren.

Alle Konten, die neu bei Amazon Inspector sind, haben Anspruch auf eine kostenlose 15-Tage-Testversion, um den Service zu testen und seine Kosten zu schätzen. Während der Testphase werden alle qualifizierten EC2 Amazon-Instances und Container-Images, die an Amazon übertragen ECR werden, kontinuierlich und kostenlos gescannt.

Amazon Macie

Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der Inventarauswertungen, maschinelles Lernen und Musterabgleich nutzt, um sensible Daten und Barrierefreiheit in Ihrer Amazon S3 S3-Umgebung zu ermitteln. Macie unterstützt skalierbare On-Demand-Jobs und automatisierte Discovery-Jobs für sensible Daten, die Änderungen am Bucket automatisch verfolgen und nur neue oder geänderte Objekte im Laufe der Zeit auswerten. Mit Macie können Sie eine große und ständig wachsende Liste vertraulicher Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Finanzdaten, persönlichen Gesundheitsinformationen (PHI) und personenbezogenen Daten (PII) sowie benutzerdefinierte Typen. Macie bewertet außerdem kontinuierlich Ihre Amazon S3 S3-Umgebung, um eine Zusammenfassung der S3-Ressourcen und eine Sicherheitsbewertung für alle Ihre Konten bereitzustellen. Sie können S3-Buckets nach Metadatenvariablen wie Bucket-Namen, Tags und Sicherheitskontrollen wie dem Verschlüsselungsstatus oder der öffentlichen Zugänglichkeit suchen, filtern und sortieren. Für alle unverschlüsselten Buckets, öffentlich zugänglichen Buckets oder Buckets, die mit geteilt wurden AWS-Konten außerhalb derer, in denen Sie sie definiert haben AWS Organizations, können Sie zum Handeln aufgefordert werden.

In der Konfiguration mit mehreren Konten kann ein einziges Macie-Administratorkonto alle Mitgliedskonten verwalten, einschließlich der Erstellung und Verwaltung von Aufgaben zur Erkennung sensibler Daten in allen Konten mit AWS Organizations. Die Ergebnisse der Sicherheit und der Entdeckung sensibler Daten werden im Macie-Administratorkonto zusammengefasst und an Amazon CloudWatch Events gesendet und AWS Security Hub. Mit nur einem Konto können Sie nun Eventmanagement-, Workflow- und Ticketing-Systeme integrieren oder die Ergebnisse von Macie nutzen mit AWS Step Functions um Abhilfemaßnahmen zu automatisieren. Sie können schnell mit Macie loslegen, indem Sie die 30-Tage-Testversion nutzen, die für neue Konten verfügbar ist, um S3-Bucket-Inventar und kostenlose Evaluierung auf Bucket-Level zu nutzen. Die Erkennung sensibler Daten ist in der 30-Tage-Testversion zur Bucket-Evaluierung nicht enthalten.

Amazon Security Lake

Amazon Security Lake zentralisiert Sicherheitsdaten von AWS Umgebungen, SaaS-Anbieter, On-Premises-Anbieter und Cloud-Quellen in einen speziell entwickelten Data Lake, der in Ihrem AWS-Konto. Security Lake automatisiert die Erfassung und Verwaltung von Sicherheitsdaten über Konten hinweg und AWS-Regionen sodass Sie Ihre bevorzugten Analysetools verwenden können und gleichzeitig die Kontrolle und das Eigentum über Ihre Sicherheitsdaten behalten. Mit Security Lake können Sie auch den Schutz Ihrer Workloads, Anwendungen und Daten verbessern.

Security Lake automatisiert die Erfassung sicherheitsrelevanter Protokoll- und Ereignisdaten aus integrierten AWS Dienste und Dienste von Drittanbietern. Es hilft Ihnen auch dabei, den Lebenszyklus von Daten mit anpassbaren Aufbewahrungseinstellungen zu verwalten. Der Data Lake wird von Amazon S3 S3-Buckets unterstützt, und Sie behalten das Eigentum an Ihren Daten. Security Lake konvertiert aufgenommene Daten in das Apache Parquet-Format und ein Standard-Open-Source-Schema namens Open Cybersecurity Schema Framework (). OCSF Mit OCSF dieser Unterstützung normalisiert und kombiniert Security Lake Sicherheitsdaten von AWS und eine breite Palette von Sicherheitsdatenquellen für Unternehmen.

Sonstige AWS Dienste und Dienste von Drittanbietern können die in Security Lake gespeicherten Daten abonnieren, um auf Vorfälle zu reagieren und Sicherheitsdaten zu analysieren.

Amazon Verified Permissions

Amazon Verified Permissions ist ein skalierbarer, detaillierter Service zur Verwaltung und Autorisierung von Berechtigungen für benutzerdefinierte Anwendungen, die Sie erstellt haben. Verified Permissions ermöglicht es Ihren Entwicklern, sichere Anwendungen schneller zu erstellen, indem die Autorisierung externalisiert und die Richtlinienverwaltung und -verwaltung zentralisiert wird.

Verified Permissions verwendet Cedar, eine Open-Source-RichtlinienspracheSDK, um detaillierte Berechtigungen für Anwendungsbenutzer zu definieren. Ihr Autorisierungsmodell wird anhand von Prinzipaltypen, Ressourcentypen und gültigen Aktionen definiert, um zu kontrollieren, wer welche Aktionen mit welchen Ressourcen in einem bestimmten Anwendungskontext ausführen kann. Richtlinienänderungen werden geprüft, sodass Sie sehen können, wer die Änderungen wann vorgenommen hat.

AWS Artifact

AWS Artifactist Ihre zentrale Anlaufstelle für Compliance-relevante Informationen, die für Sie wichtig sind. Sie bietet On-Demand-Zugriff auf AWS Sicherheits- und Compliance-Berichte sowie ausgewählte Online-Vereinbarungen. Berichte verfügbar in AWS Artifact Dazu gehören unsere Berichte zur Kontrolle der Serviceorganisation (SOC), Berichte über die Zahlungskartenbranche (PCI) und Zertifizierungen von Akkreditierungsstellen in verschiedenen Regionen und Compliance-Branchen, die die Implementierung und Betriebseffizienz von belegen AWS Sicherheitskontrollen. Vereinbarungen verfügbar in AWS Artifact schließen den Geschäftspartnerzusatz (BAA) und die Geheimhaltungsvereinbarung () ein. NDA

AWS Audit Manager

AWS Audit Managerhilft Ihnen dabei, Ihre kontinuierlich zu überprüfen AWS Verwendung, um die Bewertung von Risiken und die Einhaltung von Vorschriften und Industriestandards zu vereinfachen. Audit Manager automatisiert die Beweiserhebung, um den manuellen Aufwand zu reduzieren, der häufig bei Audits anfällt, und ermöglicht es Ihnen, Ihre Auditkapazitäten in der Cloud zu skalieren, wenn Ihr Unternehmen wächst. Mit Audit Manager können Sie leicht beurteilen, ob Ihre Richtlinien, Verfahren und Aktivitäten — auch als Kontrollen bezeichnet — effektiv funktionieren. Wenn es Zeit für ein Audit ist, AWS Audit Manager hilft Ihnen dabei, die Überprüfung Ihrer Kontrollen durch Interessengruppen zu verwalten und ermöglicht es Ihnen, mit viel weniger manuellem Aufwand prüfungsreife Berichte zu erstellen.

Das Tool AWS Audit Manager vorgefertigte Frameworks helfen dabei, Beweise aus Cloud-Diensten in prüferfreundliche Berichte zu übersetzen, indem sie Ihre AWS Ressourcen für die Anforderungen von Industriestandards oder -vorschriften wie CIS AWS Foundations Benchmark, der Allgemeinen Datenschutzverordnung (GDPR) und dem Payment Card Industry Data Security Standard (). PCI DSS Sie können ein Framework und seine Kontrollen auch vollständig an Ihre individuellen Geschäftsanforderungen anpassen. Auf der Grundlage des von Ihnen ausgewählten Frameworks leitet Audit Manager eine Bewertung ein, bei der kontinuierlich relevante Nachweise von Ihnen gesammelt und organisiert werden AWS Konten und Ressourcen, z. B. Snapshots der Ressourcenkonfiguration, Benutzeraktivitäten und Ergebnisse der Konformitätsprüfung.

Sie können schnell loslegen in AWS Management Console. Wählen Sie einfach ein vorgefertigtes Framework aus, um eine Bewertung zu starten, und beginnen Sie mit der automatischen Erfassung und Organisation von Nachweisen.

AWS Certificate Manager

AWS Certificate Managerist ein Dienst, mit dem Sie auf einfache Weise Secure Sockets Layer/Transport Layer Security (SSL/TLS) -Zertifikate für die Verwendung mit bereitstellen können AWS Dienste und Ihre internen verbundenen Ressourcen. SSL/TLSZertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites im Internet sowie von Ressourcen in privaten Netzwerken nachzuweisen. AWS Certificate Manager macht den zeitaufwändigen manuellen Prozess des Kaufs, Hochladens und Erneuerns von /Zertifikaten überflüssig. SSL TLS

Mit AWS Certificate Manager, Sie können schnell ein Zertifikat anfordern und es auf ACM -integrated bereitstellen AWS Ressourcen, wie Elastic Load Balancing, CloudFront Amazon-Distributionen und APIs auf API Gateway, und lassen AWS Certificate Manager kümmert sich um die Verlängerung von Zertifikaten. Außerdem können Sie damit private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus von Zertifikaten zentral verwalten. Öffentliche und private Zertifikate, bereitgestellt über AWS Certificate Manager zur Verwendung mit ACM -integrierte Dienste sind kostenlos. Sie zahlen nur für AWS Ressourcen, die Sie für die Ausführung Ihrer Anwendung erstellen.

Mit AWS Private Certificate Authority, zahlen Sie monatlich für den Betrieb der privaten Zertifizierungsstelle (CA) und für die privaten Zertifikate, die Sie ausstellen. Sie verfügen über einen hochverfügbaren Service für private Zertifizierungsstellen, ohne die Vorabinvestitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten Zertifizierungsstelle.

AWS CloudHSM

Die AWS CloudHSMist ein cloudbasiertes Hardware-Sicherheitsmodul (HSM), mit dem Sie auf einfache Weise Ihre eigenen Verschlüsselungsschlüssel generieren und verwenden können AWS Cloud. Mit AWS CloudHSM, Sie können Ihre eigenen Verschlüsselungsschlüssel mithilfe von dedizierten FIPS 140-2 Level 3-validierten Verschlüsselungsschlüsseln verwalten. HSMs AWS CloudHSM bietet Ihnen die Flexibilität, Ihre Anwendungen mithilfe von Industriestandards wie PKCS #11APIs, Java Cryptography Extensions (JCE) und Microsoft CryptoNG () -Bibliotheken zu integrieren. CNG

AWS CloudHSM ist standardkonform und ermöglicht es Ihnen, je nach Ihren Konfigurationen, all Ihre Schlüssel in die meisten anderen handelsüblichen HSMs Schlüssel zu exportieren. Es handelt sich um einen vollständig verwalteten Service, der zeitaufwändige Verwaltungsaufgaben wie Hardwarebereitstellung, Software-Patching, Hochverfügbarkeit und Backups für Sie automatisiert. AWS CloudHSM ermöglicht Ihnen außerdem eine schnelle Skalierung, indem Sie HSM Kapazität nach Bedarf hinzufügen und entfernen, ohne dass Vorabkosten anfallen.

AWS Directory Service

AWS Directory Servicefür Microsoft Active Directory, auch bekannt als AWS Managed Microsoft AD, ermöglicht Ihren verzeichnissensitiven Workloads und AWS Ressourcen die Nutzung von verwaltetem Active Directory in AWS Cloud. AWS Managed Microsoft AD basiert auf aktuellem Microsoft Active Directory und erfordert nicht, dass Sie Daten aus Ihrem vorhandenen Active Directory in die Cloud synchronisieren oder replizieren. Sie können die standardmäßigen Active Directory-Verwaltungstools verwenden und die Vorteile der integrierten Active Directory-Funktionen wie Gruppenrichtlinien und Single Sign-On () SSO nutzen. Mit AWS Managed Microsoft AD, können Sie Amazon EC2 - und Amazon RDS for SQL Server-Instances ganz einfach zu einer Domain hinzufügen und AWSUnternehmens-IT-Anwendungen wie Amazon WorkSpaces mit Active Directory-Benutzern und -Gruppen verwenden.

AWS Firewall Manager

AWS Firewall Managerist ein Sicherheitsmanagement-Service, mit dem Sie Firewall-Regeln für Ihre Konten und Anwendungen zentral konfigurieren und verwalten können AWS Organizations. Wenn neue Anwendungen erstellt werden, macht es Firewall Manager einfach, neue Anwendungen und Ressourcen konform zu machen, indem gemeinsame Sicherheitsregeln durchgesetzt werden. Jetzt steht Ihnen ein einziger Dienst zur Verfügung, mit dem Sie von einem zentralen Administratorkonto aus Firewallregeln und Sicherheitsrichtlinien erstellen und diese auf konsistente, hierarchische Weise in Ihrer gesamten Infrastruktur durchsetzen können.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) ermöglicht Ihnen die sichere Steuerung des Zugriffs auf AWS Dienste und Ressourcen für Ihre AWS Benutzer, Gruppen und Rollen. Mithilfe IAM können Sie detaillierte Zugriffskontrollen mit Berechtigungen erstellen und verwalten und festlegen, wer unter welchen Bedingungen auf welche Dienste und Ressourcen zugreifen kann. IAMermöglicht Ihnen Folgendes:

  • Du verwaltest AWS Berechtigungen für die Benutzer und Workloads Ihrer Belegschaft in AWS IAM Identity Center(IAMIdentity Center). IAMIdentity Center ermöglicht Ihnen die Verwaltung des Benutzerzugriffs über mehrere AWS Konten. Mit nur wenigen Klicks können Sie einen hochverfügbaren Dienst aktivieren, den Zugriff auf mehrere Konten und die Berechtigungen für all Ihre Konten einfach verwalten AWS Organizationszentral. IAMIdentity Center umfasst integrierte SAML Integrationen für viele Geschäftsanwendungen wie Salesforce, Box und Microsoft Office 365. Darüber hinaus können Sie Security Assertion Markup Language (SAML) 2.0-Integrationen erstellen und den Single Sign-On-Zugriff auf alle Ihre -fähigen Anwendungen erweitern. SAML Ihre Benutzer melden sich einfach mit den von ihnen konfigurierten Anmeldeinformationen oder mit ihren vorhandenen Unternehmensanmeldedaten bei einem Benutzerportal an, um von einem Ort aus auf alle ihnen zugewiesenen Konten und Anwendungen zuzugreifen.

  • IAMBerechtigungen für einzelne Konten verwalten: Sie können den Zugriff auf festlegen AWS Ressourcen mithilfe von Berechtigungen. Ihre IAM Entitäten (Benutzer, Gruppen und Rollen) beginnen standardmäßig ohne Berechtigungen. Diesen Identitäten können Berechtigungen erteilt werden, indem eine IAM Richtlinie angehängt wird, die die Art des Zugriffs, die Aktionen, die ausgeführt werden können, und die Ressourcen, auf denen Aktionen ausgeführt werden können, festlegt. Sie können auch Bedingungen angeben, die festgelegt werden müssen, damit der Zugriff erlaubt oder verweigert wird.

  • IAMRollen für einzelne Konten verwalten: Mit IAM Rollen können Sie den Zugriff an Benutzer oder Dienste delegieren, die normalerweise keinen Zugriff auf die Rollen Ihres Unternehmens haben AWS Ressourcen schätzen. IAMBenutzer oder AWS Dienste können die Rolle übernehmen, temporäre Sicherheitsnachweise zu erhalten, die verwendet werden, um AWS APIAnrufe. Sie müssen keine langfristigen Anmeldeinformationen teilen oder Berechtigungen für jede Identität definieren.

AWS Key Management Service

AWS Key Management Service (AWS KMS) macht es Ihnen leicht, kryptografische Schlüssel zu erstellen und zu verwalten und deren Verwendung in einer Vielzahl von AWS Dienste und in Ihren Anwendungen. AWS KMS verwendet Hardware-Sicherheitsmodule (HSM) zum Schutz und zur Validierung Ihrer AWS KMS Schlüssel im Rahmen des FIPS140-2 Cryptographic Module Validation Program. AWS KMS ist integriert in AWS CloudTrail um Ihnen Protokolle aller wichtigen Nutzungen zur Verfügung zu stellen, um Ihre regulatorischen und Compliance-Anforderungen zu erfüllen.

AWS Network Firewall

AWS Network Firewallist ein verwalteter Service, der es einfach macht, wichtige Netzwerkschutzmaßnahmen für all Ihre Amazon Virtual Private Clouds (VPCs) bereitzustellen. Der Service kann mit nur wenigen Klicks eingerichtet werden und passt sich automatisch Ihrem Netzwerkverkehr an, sodass Sie sich keine Gedanken über die Bereitstellung und Verwaltung von Infrastrukturen machen müssen. Mit der Engine für flexible Regeln der AWS Network Firewall können Sie Firewallregeln definieren, die Ihnen eine genaue Kontrolle über den Netzwerkverkehr ermöglichen, z. B. das Blockieren ausgehender Server Message Block (SMB) -Anfragen, um die Ausbreitung bösartiger Aktivitäten zu verhindern. Sie können auch Regeln importieren, die Sie bereits in gängigen Open-Source-Regelformaten geschrieben haben, sowie Integrationen mit verwalteten Intelligence-Feeds von ermöglichen AWS Partner. AWS Network Firewall arbeitet zusammen mit AWS Firewall Manager sodass Sie Richtlinien auf der Grundlage von erstellen können AWS Network Firewall Regeln und wenden Sie diese Richtlinien dann zentral auf Ihre Konten VPCs und Ihre Konten an.

AWS Network Firewall umfasst Funktionen, die Schutz vor gängigen Netzwerkbedrohungen bieten. Das Tool AWS Network Firewall Eine Stateful-Firewall kann Kontext aus Datenverkehrsströmen einbeziehen, wie z. B. die Verfolgung von Verbindungen und die Protokollidentifikation, um Richtlinien durchzusetzen, z. B. um zu verhindern, dass Sie VPCs über ein nicht autorisiertes Protokoll auf Domänen zugreifen. Das Tool AWS Network Firewall Das Intrusion Prevention System (IPS) bietet eine aktive Überprüfung des Datenverkehrs, sodass Sie mithilfe signaturbasierter Erkennung Sicherheitslücken identifizieren und blockieren können. AWS Network Firewall bietet außerdem eine Webfilterung, mit der der Datenverkehr zu bekanntermaßen schädlichen Verbindungen gestoppt URLs und vollständig qualifizierte Domainnamen überwacht werden können.

Der Einstieg ist ganz einfach AWS Network Firewall indem Sie die VPCAmazon-Konsole aufrufen, um Ihre Firewall-Regeln zu erstellen oder zu importieren, sie in Richtlinien zu gruppieren und sie auf die anzuwenden, die VPCs Sie schützen möchten. AWS Network Firewall Die Preisgestaltung richtet sich nach der Anzahl der eingesetzten Firewalls und der Menge des überprüften Datenverkehrs. Es gibt keine Vorabverpflichtungen und Sie zahlen nur für das, was Sie tatsächlich nutzen.

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) hilft Ihnen dabei, Ihre Ressourcen sicher zwischen AWS Konten, innerhalb Ihrer Organisation oder Organisationseinheiten (OUs) in AWS Organizations und mit IAM Rollen und IAM Benutzern für unterstützte Ressourcentypen gemeinsam zu nutzen. Sie können Folgendes verwenden … AWS RAM um Transit-Gateways und Subnetze gemeinsam zu nutzen, AWS License Manager Lizenzkonfigurationen, Amazon Route 53 Resolver Resolver-Regeln und weitere Ressourcentypen.

Viele Organisationen verwenden mehrere Konten, um die Verwaltung oder Abrechnung zu isolieren und die Auswirkungen von Fehlern zu begrenzen. Mit AWS RAM, Sie müssen keine doppelten Ressourcen in mehreren erstellen AWS Konten. Dadurch wird der betriebliche Aufwand für die Verwaltung der Ressourcen in jedem Konto, das Sie besitzen, reduziert. Stattdessen können Sie in Ihrer Umgebung mit mehreren Konten eine Ressource einmal erstellen und dann verwenden AWS RAM um diese Ressource für mehrere Konten gemeinsam zu nutzen, indem Sie eine Ressourcenfreigabe erstellen. Wenn Sie eine Ressourcenfreigabe erstellen, wählen Sie die Ressourcen aus, die gemeinsam genutzt werden sollen, und wählen eine AWS RAM verwaltete Berechtigungen pro Ressourcentyp und geben an, wem Sie Zugriff auf die Ressourcen gewähren möchten. AWS RAM steht Ihnen ohne zusätzliche Kosten zur Verfügung.

AWS Secrets Manager

AWS Secrets Managerhilft Ihnen beim Schutz von Geheimnissen, die Sie für den Zugriff auf Ihre Anwendungen, Dienste und IT-Ressourcen benötigen. Mit diesem Service können Sie Datenbankanmeldedaten, API Schlüssel und andere Geheimnisse während ihres gesamten Lebenszyklus problemlos rotieren, verwalten und abrufen. Benutzer und Anwendungen rufen Geheimnisse mit einem Call toSecrets Manager abAPIs, sodass vertrauliche Informationen nicht mehr im Klartext fest codiert werden müssen. Secrets Manager bietet geheime Rotation mit integrierter Integration für AmazonRDS, Amazon Redshift und Amazon DocumentDB. Der Service ist auch auf andere Arten von Geheimnissen, einschließlich API Schlüssel und Token, erweiterbar. OAuth Darüber hinaus ermöglicht Ihnen Secrets Manager, den Zugriff auf geheime Daten mithilfe detaillierter Berechtigungen zu kontrollieren und die geheime Rotation zentral für Ressourcen in der AWS Cloud, Dienste von Drittanbietern und vor Ort.

AWS Security Hub

AWS Security Hubist ein Service zur Verwaltung des Sicherheitsstatus in der Cloud, der automatisierte, kontinuierliche Sicherheitsprüfungen anhand Ihrer bewährten Methoden durchführt AWS Ressourcen schätzen. Security Hub fasst Ihre Sicherheitswarnungen (d. h. Ergebnisse) aus verschiedenen AWS Dienstleistungen und Partnerprodukte in einem standardisierten Format, sodass Sie leichter Maßnahmen ergreifen können. Um einen vollständigen Überblick über Ihren Sicherheitsstatus zu behalten, finden Sie in AWS, Sie müssen mehrere Tools und Dienste integrieren, darunter Bedrohungserkennungen von Amazon GuardDuty, Sicherheitslücken von Amazon Inspector, Klassifizierungen vertraulicher Daten von Amazon Macie, Probleme mit der Ressourcenkonfiguration von AWS Config, und AWS Partner Network produkte. Security Hub vereinfacht die Art und Weise, wie Sie Ihre Sicherheitslage verstehen und verbessern können, mit automatisierten Sicherheitsprüfungen auf Basis von AWS Config Regeln und automatisierte Integrationen mit Dutzenden von AWS Dienstleistungen und Partnerprodukte.

Security Hub ermöglicht es Ihnen, Ihren allgemeinen Sicherheitsstatus anhand einer konsolidierten Sicherheitsbewertung für alle Ihre AWS Konten, bewertet automatisch die Sicherheit Ihrer AWS buchst Ressourcen über die AWS Standard Basic Security Best Practices (FSBP) und andere Compliance-Frameworks. Es fasst auch alle Ihre Sicherheitsergebnisse aus Dutzenden von AWS Sicherheitsdienste und APN -produkte an einem einzigen Ort und in einem einzigen Format über AWS Security Finding Format (ASFF) und reduziert Ihre durchschnittliche Zeit bis zur Problembehebung (MTTR) mit automatisiertem Reaktions- und Problembehebungssupport. Security Hub bietet out-of-the-box Integrationen mit Ticketing-, Chat-, Sicherheitsinformations- und Eventmanagement (SIEM), Security Orchestration Automation and Response (SOAR), Bedrohungsuntersuchung, Governance Risk and Compliance (GRC) und Incident-Management-Tools, um Ihren Benutzern einen vollständigen Workflow für Sicherheitsoperationen zu bieten.

Für die ersten Schritte mit Security Hub benötigen Sie nur ein paar Klicks vom AWS Management Console um mit unserer kostenlosen 30-Tage-Testversion mit der Zusammenfassung der Ergebnisse und der Durchführung von Sicherheitskontrollen zu beginnen. Sie können Security Hub integrieren mit AWS Organizations um den Dienst automatisch in allen Konten in Ihrer Organisation zu aktivieren.

AWS Shield

AWS Shieldist ein verwalteter Distributed-Denial-of-Service (DDoS) -Schutzdienst, der Webanwendungen schützt, die auf AWS. AWS Shield bietet Ihnen eine ständig aktive Erkennung und automatische Inline-Abwehrmaßnahmen, die Ausfallzeiten und Latenz von Anwendungen minimieren, sodass kein Eingreifen erforderlich ist AWS Support um vom Schutz zu profitieren. DDoS Es gibt zwei Stufen von AWS Shield: Standard und Advanced.

Alle AWS Kunden profitieren vom automatischen Schutz von AWS Shield Standard, ohne zusätzliche Kosten. AWS Shield Standard schützt vor den häufigsten, häufig auftretenden DDoS Angriffen auf Netzwerk- und Transportebene, die auf Ihre Website oder Anwendungen abzielen. Wenn Sie verwenden AWS Shield Standard Mit Amazon CloudFront und Amazon Route 53 erhalten Sie umfassenden Verfügbarkeitsschutz vor allen bekannten Infrastrukturangriffen (Layer 3 und 4).

Für einen besseren Schutz vor Angriffen auf Ihre Anwendungen, die auf Ressourcen von Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront, Amazon und Amazon Route 53 ausgeführt werden, können Sie abonnieren AWS Shield Advanced. Zusätzlich zu den in Standard enthaltenen Schutz auf Netzwerk- und Transportebene AWS Shield Advanced bietet zusätzliche Erkennung und Abwehr großer und ausgeklügelter DDoS Angriffe, Einblicke in Angriffe nahezu in Echtzeit und Integration mit AWS WAF, eine Firewall für Webanwendungen. AWS Shield Advanced bietet Ihnen außerdem rund um die Uhr Zugriff auf das AWS DDoS Response Team (DRT) und schützt vor DDoS damit verbundenen Spitzenwerten bei Ihren Gebühren für Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront, Amazon und Amazon Route 53.

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront und Amazon Route 53 verfügbar. Sie können Ihre überall auf der Welt gehosteten Webanwendungen schützen, indem Sie Amazon CloudFront vor Ihrer Anwendung bereitstellen. Ihre Ursprungsserver können Amazon S3, Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) oder ein benutzerdefinierter Server außerhalb von sein AWS. Sie können auch aktivieren AWS Shield Advanced direkt auf einer Elastic IP oder Elastic Load Balancing (ELB) im Folgenden AWS-Regionen: Nord-Virginia, Ohio, Oregon, Nordkalifornien, Montreal, São Paulo, Irland, Frankfurt, London, Paris, Stockholm, Singapur, Tokio, Sydney, Seoul, Mumbai, Mailand und Kapstadt.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) ist ein SSO Cloud-Dienst, der es einfach macht, den SSO Zugriff auf mehrere AWS Konten und Geschäftsanwendungen. Mit nur wenigen Klicks können Sie einen hochverfügbaren SSO Service aktivieren, ohne die Vorabinvestitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen SSO Infrastruktur zu tätigen. Mit IAM Identity Center können Sie ganz einfach SSO den Zugriff und die Benutzerberechtigungen für all Ihre Konten in verwalten AWS Organizationszentral. IAMIdentity Center umfasst auch integrierte SAML Integrationen für viele Geschäftsanwendungen wie Salesforce, Box und Microsoft Office 365. Darüber hinaus können Sie mithilfe des IAM Identity Center-Anwendungskonfigurationsassistenten Security Assertion Markup Language (SAML) 2.0-Integrationen erstellen und den SSO Zugriff auf alle Ihre -fähigen Anwendungen erweitern. SAML Ihre Benutzer melden sich einfach mit den in IAM Identity Center konfigurierten Anmeldeinformationen oder mit ihren vorhandenen Unternehmensanmeldedaten bei einem Benutzerportal an, um von einem Ort aus auf alle ihnen zugewiesenen Konten und Anwendungen zuzugreifen.

AWS WAF

AWS WAFist eine Firewall für Webanwendungen, die zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits und Bots beiträgt, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. AWS WAF gibt Ihnen die Kontrolle darüber, wie der Datenverkehr Ihre Anwendungen erreicht, indem Sie Sicherheitsregeln erstellen können, die den Bot-Verkehr kontrollieren und gängige Angriffsmuster wie SQL Injection oder Cross-Site-Scripting blockieren. Sie können auch Regeln anpassen, die bestimmte Verkehrsmuster herausfiltern. Mit Managed Rules für können Sie schnell loslegen AWS WAF, ein vorkonfigurierter Regelsatz, der verwaltet wird von AWS or AWS Marketplace Verkäufer, die sich mit Problemen wie den zehn OWASP größten Sicherheitsrisiken und automatisierten Bots befassen, die überschüssige Ressourcen verbrauchen, Messwerte verfälschen oder zu Ausfallzeiten führen können. Diese Regeln werden regelmäßig aktualisiert, sobald neue Probleme auftauchen. AWS WAF enthält einen umfassenden FunktionsumfangAPI, mit dem Sie die Erstellung, Bereitstellung und Wartung von Sicherheitsregeln automatisieren können.

AWS WAF Captcha

AWSWAFCaptcha hilft dabei, unerwünschten Bot-Traffic zu blockieren, indem es Benutzer dazu auffordert, Herausforderungen erfolgreich abzuschließen, bevor ihre Webanfrage erreicht werden kann AWS WAF geschützte Ressourcen. Sie können konfigurieren AWS WAF Regeln, nach denen WAF Captcha-Herausforderungen für bestimmte Ressourcen gelöst werden müssen, die häufig von Bots angegriffen werden, z. B. beim Anmelden, Suchen und Einreichen von Formularen. Sie können auch WAF Captcha-Herausforderungen für verdächtige Anfragen vorschreiben, die auf der Geschwindigkeit, den Attributen oder den Bezeichnungen basieren, die von generiert wurden Von AWS verwaltete Regeln, wie beispielsweise AWS WAF Bot Control oder die Amazon IP Reputation List. WAFCaptcha-Herausforderungen sind für Menschen einfach und gleichzeitig wirksam gegen Bots. WAFCaptcha enthält eine Audioversion und wurde so konzipiert, dass es die Barrierefreiheitsanforderungen der Richtlinien zur Barrierefreiheit von Webinhalten () erfüllt. WCAG

Zurück zu. AWS Dienstleistungen