Sicherheit, Identität und Compliance - Überblick über Amazon Web Services
Amazon CognitoAmazon DetectiveAmazon GuardDutyAmazon InspectorAmazon MacieAmazon Security LakeAmazon Verified PermissionsAWS ArtifactAWS Audit ManagerAWS Certificate ManagerAWS CloudHSMAWS Directory ServiceAWS Firewall ManagerAWS Identity and Access ManagementAWS Key Management ServiceAWS Network FirewallAWS Resource Access ManagerAWS Secrets ManagerAWS Security HubAWS ShieldAWS IAM Identity CenterAWS WAFAWS WAFCaptcha

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit, Identität und Compliance

AWSSymbol für die Kategorie Sicherheit, Identität und Compliance

Amazon Cognito

Mit Amazon Cognito können Sie Ihren Web- und mobilen Apps schnell und einfach Benutzerregistrierung, Anmeldung und Zugriffskontrolle hinzufügen. Mit Amazon Cognito können Sie auf Millionen von Benutzern skalieren und unterstützt die Anmeldung bei Anbietern sozialer Identitäten wie Apple, Facebook, Twitter oder Amazon, mit SAML 2.0-Identitätslösungen oder mithilfe Ihres eigenen Identitätssystems.

Darüber hinaus können Sie mit Amazon Cognito Daten lokal auf den Geräten der Benutzer speichern, sodass Ihre Anwendungen auch dann funktionieren, wenn die Geräte offline sind. Anschließend können Sie Daten auf den Geräten der Benutzer synchronisieren, sodass ihre App-Erfahrung unabhängig vom verwendeten Gerät konsistent bleibt.

Mit Amazon Cognito können Sie sich darauf konzentrieren, großartige App-Erlebnisse zu schaffen, anstatt sich Gedanken über die Entwicklung, Sicherung und Skalierung einer Lösung für die Benutzerverwaltung, Authentifizierung und geräteübergreifende Synchronisierung zu machen.

Amazon Detective

Amazon Detective macht es einfach, die Ursache potenzieller Sicherheitsprobleme oder verdächtiger Aktivitäten zu analysieren, zu untersuchen und schnell zu identifizieren. Amazon Detective sammelt automatisch Protokolldaten aus Ihren AWS Ressourcen und verwendet maschinelles Lernen, statistische Analysen und Graphentheorie, um einen verknüpften Datensatz zu erstellen, mit dem Sie auf einfache Weise schnellere und effizientere Sicherheitsuntersuchungen durchführen können. Amazon Detective vereinfacht die Kontoverwaltung für Sicherheitsoperationen und Untersuchungen AWS Organizations für alle bestehenden und future Konten in einem Unternehmen, das bis zu 1.200 AWS Konten verwendet, weiter.

AWSSicherheitsdienste wie Amazon GuardDuty, Amazon Macie und AWS Security Hub Sicherheitsprodukte von Partnern können verwendet werden, um potenzielle Sicherheitsprobleme oder Erkenntnisse zu identifizieren. Diese Dienste sind sehr hilfreich, wenn es darum geht, Sie darüber zu informieren, wann und wo es in Ihrer AWS Bereitstellung zu unberechtigtem Zugriff oder verdächtigem Verhalten kommt. Manchmal gibt es jedoch Sicherheitsfeststellungen, sodass Sie die Ereignisse, die zu den Ergebnissen geführt haben, eingehender untersuchen möchten, um die Ursache zu beheben. Die Ermittlung der Grundursache von Sicherheitsfeststellungen kann für Sicherheitsanalysten ein komplexer Prozess sein, der häufig das Sammeln und Kombinieren von Protokollen aus vielen Datenquellen, die Verwendung von ETL-Tools (Extrahieren, Transformieren und Laden) und benutzerdefiniertes Scripting zur Organisation der Daten umfasst.

Amazon Detective vereinfacht diesen Prozess, indem es Ihren Sicherheitsteams ermöglicht, eine Entdeckung einfach zu untersuchen und schnell zur Ursache zu gelangen. Detective kann Billionen von Ereignissen aus verschiedenen Datenquellen wie Amazon Virtual Private Cloud (VPC) Flow Logs und Amazon analysieren. AWS CloudTrail GuardDuty Detective verwendet diese Ereignisse, um automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen ihnen im Laufe der Zeit zu erstellen. Mit dieser einheitlichen Ansicht können Sie alle Details und den Kontext an einem Ort visualisieren, um die zugrunde liegenden Gründe für die Ergebnisse zu ermitteln, relevante historische Aktivitäten aufzuschlüsseln und schnell die Ursache zu ermitteln.

Sie können mit nur wenigen Klicks in Amazon Detective loslegenAWS Management Console. Es gibt keine Software, die bereitgestellt werden muss, oder Datenquellen, die aktiviert und verwaltet werden müssen. Mit einer kostenlosen 30-Tage-Testversion, die für neue Konten verfügbar ist, können Sie Detective ohne zusätzliche Kosten testen.

Amazon GuardDuty

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der kontinuierlich nach böswilligen Aktivitäten und ungewöhnlichem Verhalten sucht, um Ihre AWS Konten, Workloads, Kubernetes-Cluster und im Amazon Simple Storage Service (Amazon S3) gespeicherten Daten zu schützen. Der GuardDuty Service überwacht Aktivitäten wie ungewöhnliche API-Aufrufe, nicht autorisierte Bereitstellungen und exfiltrierte Anmeldeinformationen, die auf eine mögliche Kontoerkennung oder -kompromittierung hinweisen.

Amazon ist mit wenigen Mausklicks aktiviert AWS Management Console und dank der Unterstützung von unternehmensweit einfach zu verwalten. So GuardDuty kann Amazon sofort damit beginnenAWS Organizations, Milliarden von Ereignissen in Ihren Konten auf Anzeichen einer unbefugten Nutzung zu analysieren. AWS GuardDuty identifiziert mutmaßliche Angreifer durch integrierte Threat-Intelligence-Feeds und die Erkennung von Anomalien durch maschinelles Lernen, um Anomalien bei der Konto- und Workload-Aktivität zu erkennen. Wenn eine potenzielle unbefugte Nutzung erkannt wird, übermittelt der Service detaillierte Ergebnisse an die GuardDuty Konsole, Amazon CloudWatch Events und. AWS Security Hub Dadurch sind die Ergebnisse umsetzbar und lassen sich leicht in bestehende Eventmanagement- und Workflow-Systeme integrieren. Mit Amazon Detective direkt von der GuardDuty Konsole aus können Sie ganz einfach weitere Untersuchungen durchführen, um die Ursache eines Befundes zu ermitteln.

Amazon GuardDuty ist kostengünstig und einfach zu bedienen. Sie müssen keine Software oder Sicherheitsinfrastruktur bereitstellen und warten, was bedeutet, dass es schnell aktiviert werden kann, ohne dass das Risiko besteht, dass bestehende Anwendungs- und Container-Workloads negativ beeinflusst werden. Es fallen keine Vorabkosten an GuardDuty, es muss keine Software bereitgestellt werden und es müssen keine Threat-Intelligence-Feeds aktiviert werden. Darüber hinaus GuardDuty optimiert es die Kosten, indem intelligente Filter angewendet und nur eine Teilmenge der Protokolle analysiert wird, die für die Erkennung von Bedrohungen relevant sind. Neue GuardDuty Amazon-Konten sind 30 Tage lang kostenlos.

Amazon Inspector

Amazon Inspector ist ein neuer automatisierter Schwachstellen-Management-Service, der AWS Workloads kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkbedrohungen überprüft. Mit ein paar Klicks in der AWS Management Console Hand AWS Organizations kann Amazon Inspector für alle Konten in Ihrer Organisation verwendet werden. Nach dem Start erkennt Amazon Inspector automatisch laufende Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Container-Images, die sich in Amazon Elastic Container Registry (Amazon ECR) befinden, unabhängig von der Größenordnung, und beginnt sofort damit, sie auf bekannte Sicherheitslücken zu untersuchen.

Amazon Inspector bietet viele Verbesserungen gegenüber Amazon Inspector Classic. Beispielsweise berechnet der neue Amazon Inspector für jedes Ergebnis eine stark kontextualisierte Risikobewertung, indem er allgemeine Sicherheitslücken und Exposure (CVE) -Informationen mit Faktoren wie Netzwerkzugriff und Ausnutzbarkeit korreliert. Diese Bewertung wird verwendet, um die kritischsten Sicherheitslücken zu priorisieren, um die Effizienz der Abhilfemaßnahmen zu verbessern. Darüber hinaus verwendet Amazon Inspector jetzt den weit verbreiteten AWS Systems Manager Agenten (SSM Agent), sodass Sie keinen eigenständigen Agenten für die Durchführung von Amazon EC2 EC2-Instance-Assessments bereitstellen und verwalten müssen. Für Container-Workloads ist Amazon Inspector jetzt in Amazon Elastic Container Registry (Amazon ECR) integriert, um intelligente, kosteneffiziente und kontinuierliche Schwachstellenanalysen von Container-Images zu unterstützen. Alle Ergebnisse werden in der Amazon Inspector Inspector-Konsole zusammengefasst, an Amazon weitergeleitet und über Amazon übertragenAWS Security Hub, EventBridge um Workflows wie das Ticketing zu automatisieren.

Alle Konten, die neu bei Amazon Inspector sind, haben Anspruch auf eine kostenlose 15-Tage-Testversion, um den Service zu testen und seine Kosten zu schätzen. Während der Testphase werden alle in Frage kommenden Amazon EC2-Instances und Container-Images, die an Amazon ECR übertragen werden, kontinuierlich und kostenlos gescannt.

Amazon Macie

Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der Inventarauswertungen, maschinelles Lernen und Musterabgleich nutzt, um sensible Daten und Barrierefreiheit in Ihrer Amazon S3 S3-Umgebung zu ermitteln. Macie unterstützt skalierbare On-Demand-Jobs und automatisierte Discovery-Jobs für sensible Daten, die Änderungen am Bucket automatisch verfolgen und nur neue oder geänderte Objekte im Laufe der Zeit auswerten. Mit Macie können Sie eine große und wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Finanzdaten, persönlichen Gesundheitsinformationen (PHI) und persönlich identifizierbaren Informationen (PII) sowie benutzerdefinierte Typen. Macie bewertet außerdem kontinuierlich Ihre Amazon S3 S3-Umgebung, um eine Zusammenfassung der S3-Ressourcen und eine Sicherheitsbewertung für alle Ihre Konten bereitzustellen. Sie können S3-Buckets nach Metadatenvariablen wie Bucket-Namen, Tags und Sicherheitskontrollen wie dem Verschlüsselungsstatus oder der öffentlichen Zugänglichkeit suchen, filtern und sortieren. Für unverschlüsselte Buckets, öffentlich zugängliche Buckets oder Buckets, die mit Dritten geteilt wurden, in denen Sie AWS-Konten sie definiert haben, können Sie aufgefordert werdenAWS Organizations, Maßnahmen zu ergreifen.

In der Konfiguration mit mehreren Konten kann ein einziges Macie-Administratorkonto alle Mitgliedskonten verwalten, einschließlich der Erstellung und Verwaltung von Aufträgen zur Erkennung sensibler Daten für alle Konten mit. AWS Organizations Ergebnisse aus den Bereichen Sicherheit und Erkennung sensibler Daten werden im Macie-Administratorkonto zusammengefasst und an Amazon Events und gesendet. CloudWatch AWS Security Hub Mit nur einem Konto können Sie nun Eventmanagement-, Workflow- und Ticketsysteme integrieren oder die Ergebnisse von Macie nutzen, um Abhilfemaßnahmen AWS Step Functions zu automatisieren. Sie können schnell mit Macie loslegen, indem Sie die 30-Tage-Testversion nutzen, die für neue Konten zur Verfügung steht, um S3-Bucket-Inventar und kostenlose Evaluierung auf Bucket-Level zu nutzen. Die Erkennung sensibler Daten ist in der 30-Tage-Testversion zur Bucket-Evaluierung nicht enthalten.

Amazon Security Lake

Amazon Security Lake zentralisiert Sicherheitsdaten aus AWS Umgebungen, SaaS-Anbietern, lokalen Umgebungen und Cloud-Quellen in einem speziell entwickelten Data Lake, der in Ihrem gespeichert wird. AWS-Konto Security Lake automatisiert die Erfassung und Verwaltung von Sicherheitsdaten über Konten hinweg, AWS-Regionen sodass Sie Ihre bevorzugten Analysetools verwenden können und gleichzeitig die Kontrolle und das Eigentum über Ihre Sicherheitsdaten behalten. Mit Security Lake können Sie auch den Schutz Ihrer Workloads, Anwendungen und Daten verbessern.

Security Lake automatisiert die Erfassung sicherheitsrelevanter Protokoll- und Ereignisdaten von integrierten AWS Diensten und Diensten von Drittanbietern. Es hilft Ihnen auch dabei, den Lebenszyklus von Daten mit anpassbaren Aufbewahrungseinstellungen zu verwalten. Der Data Lake wird von Amazon S3 S3-Buckets unterstützt, und Sie behalten das Eigentum an Ihren Daten. Security Lake konvertiert aufgenommene Daten in das Apache Parquet-Format und ein Standard-Open-Source-Schema namens Open Cybersecurity Schema Framework (OCSF). Mit der OCSF-Unterstützung normalisiert und kombiniert Security Lake Sicherheitsdaten aus einer Vielzahl von AWS Sicherheitsdatenquellen für Unternehmen.

Andere AWS Dienste und Dienste von Drittanbietern können die in Security Lake gespeicherten Daten abonnieren, um auf Vorfälle zu reagieren und Sicherheitsdaten zu analysieren.

Amazon Verified Permissions

Amazon Verified Permissions ist ein skalierbarer, detaillierter Service zur Verwaltung und Autorisierung von Berechtigungen für benutzerdefinierte Anwendungen, die Sie erstellt haben. Verified Permissions ermöglicht es Ihren Entwicklern, sichere Anwendungen schneller zu erstellen, indem die Autorisierung externalisiert und die Richtlinienverwaltung und -verwaltung zentralisiert wird.

Verified Permissions verwendet Cedar, eine Open-Source-Richtliniensprache und ein SDK, um detaillierte Berechtigungen für Anwendungsbenutzer zu definieren. Ihr Autorisierungsmodell wird anhand von Prinzipaltypen, Ressourcentypen und gültigen Aktionen definiert, um zu kontrollieren, wer welche Aktionen mit welchen Ressourcen in einem bestimmten Anwendungskontext ausführen kann. Richtlinienänderungen werden geprüft, sodass Sie sehen können, wer die Änderungen wann vorgenommen hat.

AWS Artifact

AWS Artifactist Ihre zentrale Anlaufstelle für Compliance-relevante Informationen, die für Sie wichtig sind. Sie bietet On-Demand-Zugriff auf AWS Sicherheits- und Compliance-Berichte und ausgewählte Online-Vereinbarungen. Zu den verfügbaren Berichten AWS Artifact gehören unsere Service Organization Control (SOC) -Berichte, Payment Card Industry (PCI) -Berichte und Zertifizierungen von Akkreditierungsstellen in verschiedenen Regionen und Compliance-Branchen, die die Implementierung und Betriebseffizienz von Sicherheitskontrollen belegen. AWS Zu den verfügbaren Vereinbarungen AWS Artifact gehören der Business Associate Addendum (BAA) und die Geheimhaltungsvereinbarung (NDA).

AWS Audit Manager

AWS Audit Manager hilft Ihnen, Ihre AWS-Nutzung kontinuierlich zu überprüfen, um den Umgang mit Risiken und die Einhaltung von Branchenstandards zu vereinfachen. Audit Manager automatisiert die Beweiserhebung, um den manuellen Aufwand zu reduzieren, der häufig bei Audits anfällt, und ermöglicht es Ihnen, Ihre Auditkapazitäten in der Cloud zu skalieren, wenn Ihr Unternehmen wächst. Mit Audit Manager können Sie leicht beurteilen, ob Ihre Richtlinien, Verfahren und Aktivitäten — auch als Kontrollen bezeichnet — effektiv funktionieren. Wenn es Zeit für ein Audit ist, AWS Audit Manager hilft es Ihnen, die Überprüfung Ihrer Kontrollen durch Interessengruppen zu verwalten und ermöglicht es Ihnen, mit viel weniger manuellem Aufwand prüfungsreife Berichte zu erstellen.

Die AWS Audit Manager vorgefertigten Frameworks helfen dabei, Erkenntnisse aus Cloud-Diensten in prüferfreundliche Berichte umzusetzen, indem sie Ihre AWS Ressourcen den Anforderungen von Industriestandards oder -vorschriften wie dem CIS AWS Foundations Benchmark, der Allgemeinen Datenschutzverordnung (GDPR) und dem Payment Card Industry Data Security Standard (PCI DSS) zuordnen. Sie können ein Framework und seine Kontrollen auch vollständig an Ihre individuellen Geschäftsanforderungen anpassen. Basierend auf dem von Ihnen ausgewählten Framework startet Audit Manager eine Bewertung, bei der kontinuierlich relevante Nachweise aus Ihren AWS Konten und Ressourcen gesammelt und organisiert werden, z. B. Snapshots der Ressourcenkonfiguration, Benutzeraktivitäten und Ergebnisse der Konformitätsprüfung.

Sie können schnell loslegen in der. AWS Management Console Wählen Sie einfach ein vorgefertigtes Framework aus, um eine Bewertung zu starten, und beginnen Sie mit der automatischen Erfassung und Organisation von Nachweisen.

AWS Certificate Manager

AWS Certificate Managerist ein Dienst, mit dem Sie auf einfache Weise Secure Sockets Layer/Transport Layer Security (SSL/TLS) -Zertifikate für die Verwendung mit Diensten und Ihren internen verbundenen Ressourcen bereitstellen, verwalten und bereitstellen können. AWS SSL/TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites im Internet sowie von Ressourcen in privaten Netzwerken nachzuweisen. AWS Certificate Managermacht den zeitaufwändigen manuellen Prozess des Kaufs, Hochladens und Erneuerns von SSL/TLS-Zertifikaten überflüssig.

Mit AWS Certificate Manager können Sie schnell ein Zertifikat anfordern, es auf ACM-integrierten AWS Ressourcen wie Elastic Load Balancing, CloudFront Amazon-Distributionen und APIs auf API Gateway bereitstellen und Zertifikatserneuerungen AWS Certificate Manager übernehmen lassen. Außerdem können Sie damit private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus von Zertifikaten zentral verwalten. Öffentliche und private Zertifikate, die AWS Certificate Manager für die Verwendung mit ACM-integrierten Diensten bereitgestellt werden, sind kostenlos. Sie zahlen nur für die AWS Ressourcen, die Sie für die Ausführung Ihrer Anwendung erstellen.

Mit AWS Private Certificate Authorityzahlen Sie monatlich für den Betrieb der privaten Zertifizierungsstelle (CA) und für die privaten Zertifikate, die Sie ausstellen. Sie verfügen über einen hochverfügbaren Service für private Zertifizierungsstellen, ohne die Vorabinvestitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten Zertifizierungsstelle.

AWS CloudHSM

Das AWS CloudHSMist ein cloudbasiertes Hardware-Sicherheitsmodul (HSM), mit dem Sie auf einfache Weise Ihre eigenen Verschlüsselungsschlüssel generieren und verwenden können. AWS Cloud Mit können Sie Ihre eigenen Verschlüsselungsschlüssel mithilfe von speziellenAWS CloudHSM, nach FIPS 140-2 Level 3 validierten HSMs verwalten. AWS CloudHSMbietet Ihnen die Flexibilität, Ihre Anwendungen mithilfe branchenüblicher APIs wie PKCS #11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG) -Bibliotheken zu integrieren.

AWS CloudHSMist standardkonform und ermöglicht es Ihnen, je nach Ihren Konfigurationen, all Ihre Schlüssel in die meisten anderen handelsüblichen HSMs zu exportieren. Es handelt sich um einen vollständig verwalteten Service, der zeitaufwändige Verwaltungsaufgaben wie Hardwarebereitstellung, Software-Patching, Hochverfügbarkeit und Backups für Sie automatisiert. AWS CloudHSMermöglicht Ihnen außerdem eine schnelle Skalierung, indem HSM-Kapazität bei Bedarf und ohne Vorabkosten hinzugefügt oder entfernt wird.

AWS Directory Service

AWS Directory Servicefür Microsoft Active Directory, auch bekannt alsAWS Managed Microsoft AD, ermöglicht Ihren verzeichnissensitiven Workloads und AWS-Ressourcen die Nutzung von verwaltetem Active Directory in der. AWS Cloud AWS Managed Microsoft ADbasiert auf aktuellem Microsoft Active Directory und erfordert nicht, dass Sie Daten aus Ihrem vorhandenen Active Directory in die Cloud synchronisieren oder replizieren. Sie können die standardmäßigen Active Directory-Verwaltungstools verwenden und die Vorteile der integrierten Active Directory-Funktionen wie Gruppenrichtlinien und Single Sign-On (SSO) nutzen. Mit AWS Managed Microsoft AD können Sie Amazon EC2- und Amazon RDS for SQL Server-Instances ganz einfach mit einer Domain verbinden und AWS-Unternehmens-IT-Anwendungen wie Amazon WorkSpaces mit Active Directory-Benutzern und -Gruppen verwenden.

AWS Firewall Manager

AWS Firewall Managerist ein Sicherheitsmanagement-Service, mit dem Sie Firewall-Regeln für Ihre Konten und Anwendungen in AWS Organizationszentral konfigurieren und verwalten können. Wenn neue Anwendungen erstellt werden, macht es Firewall Manager einfach, neue Anwendungen und Ressourcen konform zu machen, indem gemeinsame Sicherheitsregeln durchgesetzt werden. Jetzt steht Ihnen ein einziger Dienst zur Verfügung, mit dem Sie von einem zentralen Administratorkonto aus Firewallregeln und Sicherheitsrichtlinien erstellen und diese auf konsistente, hierarchische Weise in Ihrer gesamten Infrastruktur durchsetzen können.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) ermöglicht es Ihnen, den Zugriff auf AWS Dienste und Ressourcen für Ihre AWS Benutzer, Gruppen und Rollen sicher zu kontrollieren. Mithilfe von IAM können Sie detaillierte Zugriffskontrollen mit Berechtigungen erstellen und verwalten und festlegen, wer unter welchen Bedingungen auf welche Dienste und Ressourcen zugreifen kann. Mit IAM können Sie Folgendes tun:

  • Sie verwalten die AWS Berechtigungen für die Benutzer und Workloads Ihrer Belegschaft in AWS IAM Identity Center(IAM Identity Center). Mit IAM Identity Center können Sie den Benutzerzugriff über mehrere Konten hinweg verwalten. AWS Mit nur wenigen Klicks können Sie einen hochverfügbaren Dienst aktivieren, den Zugriff auf mehrere Konten und die Berechtigungen für all Ihre Konten einfach zentral verwalten. AWS Organizations IAM Identity Center umfasst integrierte SAML-Integrationen für viele Geschäftsanwendungen wie Salesforce, Box und Microsoft Office 365. Darüber hinaus können Sie SAML 2.0-Integrationen (Security Assertion Markup Language) erstellen und den Single Sign-On-Zugriff auf alle Ihre SAML-fähigen Anwendungen erweitern. Ihre Benutzer melden sich einfach mit den von ihnen konfigurierten Anmeldeinformationen oder mit ihren vorhandenen Unternehmensanmeldedaten bei einem Benutzerportal an, um von einem Ort aus auf alle ihnen zugewiesenen Konten und Anwendungen zuzugreifen.

  • IAM-Berechtigungen für ein einzelnes Konto verwalten: Sie können den Zugriff auf AWS Ressourcen mithilfe von Berechtigungen festlegen. Ihre IAM-Entitäten (Benutzer, Gruppen und Rollen) beginnen standardmäßig ohne Berechtigungen. Diesen Identitäten können Berechtigungen erteilt werden, indem eine IAM-Richtlinie angehängt wird, die die Art des Zugriffs, die Aktionen, die ausgeführt werden können, und die Ressourcen, auf denen Aktionen ausgeführt werden können, festlegt. Sie können auch Bedingungen angeben, die festgelegt werden müssen, damit der Zugriff erlaubt oder verweigert wird.

  • IAM-Rollen für einzelne Konten verwalten: Mit IAM-Rollen können Sie den Zugriff an Benutzer oder Dienste delegieren, die normalerweise keinen Zugriff auf die Ressourcen Ihres Unternehmens haben. AWS IAM-Benutzer oder AWS -Dienste können eine Rolle übernehmen, um temporäre Sicherheitsnachweise zu erhalten, die für API-Aufrufe verwendet werden. AWS Sie müssen keine langfristigen Anmeldeinformationen weitergeben oder Berechtigungen für jede Identität definieren.

AWS Key Management Service

AWS Key Management Service(AWS KMS) macht es Ihnen leicht, kryptografische Schlüssel zu erstellen und zu verwalten und deren Verwendung in einer Vielzahl von AWS Diensten und in Ihren Anwendungen zu kontrollieren. AWS KMSverwendet Hardware-Sicherheitsmodule (HSM), um Ihre AWS KMS Schlüssel im Rahmen des FIPS 140-2-Validierungsprogramms für kryptografische Module zu schützen und zu validieren. AWS KMSist integriertAWS CloudTrail, um Ihnen Protokolle aller wichtigen Nutzungen zur Verfügung zu stellen, um Ihre regulatorischen und Compliance-Anforderungen zu erfüllen.

AWS Network Firewall

AWS Network Firewall ist ein verwalteter Service, mit dem Sie ganz einfach wichtige Netzwerkschutzmaßnahmen für alle Ihre Amazon Virtual Private Clouds (VPCs) einrichten können. Der Service kann mit nur wenigen Klicks eingerichtet werden und passt sich automatisch Ihrem Netzwerkverkehr an, sodass Sie sich keine Gedanken über die Bereitstellung und Verwaltung von Infrastrukturen machen müssen. Mit der flexiblen Regel-Engine der AWS Network Firewall können Sie Firewall-Regeln definieren, die Ihnen eine genaue Kontrolle über den Netzwerkverkehr ermöglichen, z. B. das Blockieren ausgehender SMB-Anfragen (Server Message Block), um die Ausbreitung bösartiger Aktivitäten zu verhindern. Sie können auch Regeln importieren, die Sie bereits in gängigen Open-Source-Regelformaten geschrieben haben, sowie Integrationen mit verwalteten Intelligence-Feeds ermöglichen, die von Partnern bezogen werden. AWS AWS Network Firewallarbeitet zusammen mit, AWS Firewall Manager sodass Sie Richtlinien auf der Grundlage von AWS Network Firewall Regeln erstellen und diese Richtlinien dann zentral auf Ihre VPCs und Konten anwenden können.

AWS Network Firewallumfasst Funktionen, die Schutz vor gängigen Netzwerkbedrohungen bieten. Die AWS Network Firewall Stateful-Firewall kann Kontext aus Datenverkehrsströmen wie der Verfolgung von Verbindungen und der Protokollidentifikation einbeziehen, um Richtlinien durchzusetzen, z. B. um zu verhindern, dass Ihre VPCs über ein nicht autorisiertes Protokoll auf Domänen zugreifen. Das AWS Network Firewall Intrusion Prevention System (IPS) bietet eine aktive Überprüfung des Datenverkehrs, sodass Sie mithilfe signaturbasierter Erkennung Sicherheitslücken identifizieren und blockieren können. AWS Network Firewallbietet außerdem eine Webfilterung, mit der der Traffic zu bekannten schädlichen URLs gestoppt und vollständig qualifizierte Domainnamen überwacht werden können.

Der Einstieg ist ganz einfach, AWS Network Firewall indem Sie die Amazon VPC-Konsole aufrufen, um Ihre Firewall-Regeln zu erstellen oder zu importieren, sie in Richtlinien zu gruppieren und sie auf die VPCs anzuwenden, die Sie schützen möchten. AWS Network FirewallDie Preisgestaltung basiert auf der Anzahl der eingesetzten Firewalls und der Menge des überprüften Datenverkehrs. Es gibt keine Vorabverpflichtungen und Sie zahlen nur für das, was Sie tatsächlich nutzen.

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM) hilft Ihnen dabei, Ihre Ressourcen sicher über AWS-Konten hinweg, innerhalb Ihrer Organisation oder Organisationseinheiten (OUs) in AWS Organizations sowie mit IAM-Rollen und IAM-Benutzern für unterstützte Ressourcentypen gemeinsam zu nutzen. Sie können AWS RAM Transit-Gateways, Subnetze, AWS License Manager Lizenzkonfigurationen, Amazon Route 53 Resolver Resolver-Regeln und weitere Ressourcentypen gemeinsam nutzen.

Viele Organisationen verwenden mehrere Konten, um die Verwaltung oder Abrechnung zu isolieren und die Auswirkungen von Fehlern zu begrenzen. Mit AWS RAM müssen Sie keine doppelten Ressourcen in mehreren AWS Konten erstellen. Dadurch wird der betriebliche Aufwand für die Verwaltung der Ressourcen in jedem Konto, das Sie besitzen, reduziert. Stattdessen können Sie in Ihrer Umgebung mit mehreren Konten eine Ressource einmal erstellen und sie dann verwenden, um diese Ressource für mehrere Konten gemeinsam AWS RAM zu nutzen, indem Sie eine Ressourcenfreigabe erstellen. Wenn Sie eine Ressourcenfreigabe erstellen, wählen Sie die Ressourcen aus, die Sie gemeinsam nutzen möchten, wählen pro Ressourcentyp eine AWS RAM verwaltete Berechtigung und geben an, wer Zugriff auf die Ressourcen haben soll. AWS RAMsteht Ihnen ohne zusätzliche Kosten zur Verfügung.

AWS Secrets Manager

AWS Secrets Managerhilft Ihnen beim Schutz von Geheimnissen, die Sie für den Zugriff auf Ihre Anwendungen, Dienste und IT-Ressourcen benötigen. Mit diesem Service können Sie Datenbankanmeldedaten, API-Schlüssel und andere Geheimnisse während ihres gesamten Lebenszyklus problemlos rotieren, verwalten und abrufen. Benutzer und Anwendungen rufen Geheimnisse mit einem Aufruf der Secrets Manager-APIs ab, sodass keine vertraulichen Informationen im Klartext hartcodiert werden müssen. Secrets Manager bietet geheime Rotation mit integrierter Integration für Amazon RDS, Amazon Redshift und Amazon DocumentDB. Der Service ist auch auf andere Arten von Geheimnissen erweiterbar, darunter API-Schlüssel und OAuth-Token. Darüber hinaus können Sie mit Secrets Manager den Zugriff auf geheime Daten mithilfe detaillierter Berechtigungen kontrollieren und die Rotation von Geheimnissen zentral für Ressourcen in den AWS Cloud Diensten von Drittanbietern und vor Ort überprüfen.

AWS Security Hub

AWS Security Hubist ein Service zur Verwaltung des Sicherheitsstatus in der Cloud, der automatisierte, kontinuierliche Sicherheitsprüfungen anhand Ihrer Ressourcen nach bewährten Methoden durchführt. AWS Security Hub fasst Ihre Sicherheitswarnungen (d. h. Ergebnisse) aus verschiedenen AWS Diensten und Partnerprodukten in einem standardisierten Format zusammen, sodass Sie leichter darauf reagieren können. Um einen vollständigen Überblick über Ihre Sicherheitslage zu behaltenAWS, müssen Sie mehrere Tools und Dienste integrieren, darunter Bedrohungserkennungen von Amazon GuardDuty, Sicherheitslücken von Amazon Inspector, Klassifizierungen vertraulicher Daten von Amazon Macie, Probleme mit der Ressourcenkonfiguration von AWS Config und Produkte. AWS Partner Network Security Hub vereinfacht es Ihnen, Ihre Sicherheitslage zu verstehen und zu verbessern. Dies geschieht mit automatisierten Prüfungen von bewährten Sicherheitsmethoden, die auf AWS Config Regeln basieren, und automatisierten Integrationen mit Dutzenden von AWS Services und Partnerprodukten.

Security Hub ermöglicht Ihnen anhand einer konsolidierten Sicherheitsbewertung für alle Ihre AWS Konten einen Überblick über Ihren allgemeinen Sicherheitsstatus und bewertet automatisch die Sicherheit Ihrer AWS Kontoressourcen anhand des FSBP-Standards (AWSFoundation Security Best Practices) und anderer Compliance-Frameworks. Darüber hinaus werden alle Ihre Sicherheitsergebnisse aus Dutzenden von Sicherheitsdiensten und APN-Produkten über das AWSAWS Security Finding Format (ASFF) an einem einzigen Ort und in einem einzigen Format zusammengefasst und Ihre Mean Time To Remediation (MTTR) durch automatisierten Reaktions- und Problembehebungssupport reduziert. Security Hub bietet out-of-the-box Integrationen mit Ticketing, Chat, Security Information and Event Management (SIEM), Security Orchestration Automation and Response (SOAR), Bedrohungsuntersuchung, Governance Risk and Compliance (GRC) und Incident Management, um Ihren Benutzern einen vollständigen Workflow für Sicherheitsoperationen zu bieten.

Für die ersten Schritte mit Security Hub benötigen Sie nur wenige Klicks, AWS Management Console um mit unserer kostenlosen 30-Tage-Testversion die Ergebnisse zu aggregieren und Sicherheitsüberprüfungen durchzuführen. Sie können Security Hub integrierenAWS Organizations, um den Dienst automatisch für alle Konten in Ihrer Organisation zu aktivieren.

AWS Shield

AWS Shieldist ein verwalteter Dienst zum Schutz vor Distributed-Denial-of-Service (DDoS), der Webanwendungen schützt, auf denen ausgeführt wird. AWS AWS Shieldbietet Ihnen eine ständig aktive Erkennung und automatische Inline-Abwehrmaßnahmen, die Ausfallzeiten und Latenz von Anwendungen minimieren, sodass Sie nicht erst aktiv AWS Support werden müssen, um vom DDoS-Schutz zu profitieren. Es gibt zwei StufenAWS Shield: Standard und Advanced.

Alle AWS Kunden profitieren vom automatischen Schutz von AWS Shield Standard, ohne dass zusätzliche Kosten anfallen. AWS Shield Standardschützt vor den häufigsten, häufig auftretenden DDoS-Angriffen auf Netzwerk- und Transportebene, die auf Ihre Website oder Anwendungen abzielen. Wenn Sie Amazon CloudFront und Amazon Route 53 verwendenAWS Shield Standard, erhalten Sie umfassenden Verfügbarkeitsschutz vor allen bekannten Infrastrukturangriffen (Layer 3 und 4).

Für einen besseren Schutz vor Angriffen auf Ihre Anwendungen, die auf Ressourcen von Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) CloudFront, Amazon und Amazon Route 53 ausgeführt werden, können Sie diese AWS Shield Advanced abonnieren. Zusätzlich zu den in Standard enthaltenen Schutz auf Netzwerk- und Transportebene bietet AWS Shield Advanced zusätzliche Erkennung und Abwehr großer und ausgeklügelter DDoS-Angriffe, Einblicke in Angriffe nahezu in Echtzeit und die Integration mit einer Firewall für AWS WAF Webanwendungen. AWS Shield Advancedbietet Ihnen außerdem rund um die Uhr Zugriff auf das AWS DDoS Response Team (DRT) und Schutz vor DDoS-bedingten Spitzenwerten bei Ihren Gebühren für Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon und Amazon Route 53. CloudFront

AWS ShieldAdvanced ist weltweit an allen Edge-Standorten von Amazon und Amazon CloudFront Route 53 verfügbar. Sie können Ihre überall auf der Welt gehosteten Webanwendungen schützen, indem Sie Amazon CloudFront vor Ihrer Anwendung bereitstellen. Ihre Ursprungsserver können Amazon S3, Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) oder ein benutzerdefinierter Server außerhalb von AWS sein. Sie können AWS Shield Advanced auch direkt auf einer Elastic IP oder Elastic Load Balancing (ELB) in folgenden Ländern aktivierenAWS-Regionen: Nord-Virginia, Ohio, Oregon, Nordkalifornien, Montreal, São Paulo, Irland, Frankfurt, London, Paris, Stockholm, Singapur, Tokio, Sydney, Seoul, Mumbai, Mailand und Kapstadt.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) ist ein Cloud-SSO-Dienst, der es einfach macht, den SSO-Zugriff auf mehrere AWS Konten und Geschäftsanwendungen zentral zu verwalten. Mit nur wenigen Klicks können Sie einen hochverfügbaren SSO-Dienst aktivieren, ohne die Vorabinvestitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen SSO-Infrastruktur tätigen zu müssen. Mit IAM Identity Center können Sie den SSO-Zugriff und die Benutzerberechtigungen für all Ihre Konten einfach zentral verwalten. AWS Organizations IAM Identity Center umfasst auch integrierte SAML-Integrationen für viele Geschäftsanwendungen wie Salesforce, Box und Microsoft Office 365. Darüber hinaus können Sie mithilfe des IAM Identity Center-Anwendungskonfigurationsassistenten Security Assertion Markup Language (SAML) 2.0-Integrationen erstellen und den SSO-Zugriff auf alle Ihre SAML-fähigen Anwendungen erweitern. Ihre Benutzer melden sich einfach mit den Anmeldeinformationen, die sie in IAM Identity Center konfiguriert haben, bei einem Benutzerportal an oder verwenden ihre vorhandenen Unternehmensanmeldedaten, um von einem Ort aus auf alle ihnen zugewiesenen Konten und Anwendungen zuzugreifen.

AWS WAF

AWS WAFist eine Firewall für Webanwendungen, mit deren Hilfe Sie Ihre Webanwendungen oder APIs vor gängigen Web-Exploits und Bots schützen können, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. AWS WAFgibt Ihnen die Kontrolle darüber, wie der Datenverkehr Ihre Anwendungen erreicht, indem Sie Sicherheitsregeln erstellen können, die den Bot-Verkehr kontrollieren und gängige Angriffsmuster wie SQL-Injection oder Cross-Site-Scripting blockieren. Sie können auch Regeln anpassen, die bestimmte Verkehrsmuster herausfiltern. Mit Managed Rules forAWS WAF, einem vorkonfigurierten Regelwerk, das von unseren AWS Marketplace Verkäufern verwaltet wirdAWS, können Sie schnell loslegen, um Probleme wie die 10 wichtigsten Sicherheitsrisiken von OWASP und automatisierte Bots zu lösen, die überschüssige Ressourcen verbrauchen, Messwerte verzerren oder zu Ausfallzeiten führen können. Diese Regeln werden regelmäßig aktualisiert, sobald neue Probleme auftreten. AWS WAFenthält eine API mit vollem Funktionsumfang, mit der Sie die Erstellung, Bereitstellung und Wartung von Sicherheitsregeln automatisieren können.

AWS WAFCaptcha

AWS WAF Captcha hilft dabei, unerwünschten Bot-Verkehr zu blockieren, indem es Benutzer dazu zwingt, Herausforderungen erfolgreich abzuschließen, bevor ihre Webanfrage geschützte Ressourcen erreichen AWS WAF darf. Sie können AWS WAF Regeln so konfigurieren, dass WAF-Captcha-Herausforderungen für bestimmte Ressourcen gelöst werden müssen, die häufig von Bots angegriffen werden, z. B. beim Anmelden, Suchen und Einreichen von Formularen. Sie können auch WAF-Captcha-Herausforderungen für verdächtige Anfragen vorschreiben, die auf der Geschwindigkeit, den Attributen oder den Bezeichnungen basieren, die generiert wurdenVon AWS verwaltete Regeln, z. B. AWS WAF Bot Control oder die Amazon IP Reputation List. WAF-Captcha-Herausforderungen sind für Menschen einfach und gleichzeitig wirksam gegen Bots. WAF Captcha enthält eine Audioversion und wurde so konzipiert, dass es die Barrierefreiheitsanforderungen der Web Content Accessibility Guidelines (WCAG) erfüllt.