Sicherheit, Identität und Compliance - Übersicht über Amazon Web Services

Sicherheit, Identität und Compliance

Amazon Cognito

Mit Amazon Cognito können Sie Ihren Webanwendungen und mobilen Apps schnell und einfach Benutzerregistrierung und -anmeldung sowie Zugriffskontrolle hinzufügen. Mit Amazon Cognito haben Sie zudem die Möglichkeit, Benutzer über Social-Identity-Anbieter wie Facebook, Twitter oder Amazon, über SAML-Identitätslösungen oder über Ihr eigenes Identitätssystem zu authentifizieren. Zusätzlich können Sie mit Amazon Cognito Daten lokal auf den Geräten der Benutzer speichern. So funktionieren Ihre Anwendungen auch dann, wenn die Geräte offline sind. Danach können Sie die Daten auf den Geräten der Benutzer synchronisieren. Die App-Umgebung bleibt somit immer gleich – unabhängig davon, auf welchem Gerät die App genutzt wird.

Mit Amazon Cognito können Sie sich auf die Schaffung herausragender App-Erlebnisse konzentrieren und müssen sich keine Gedanken mehr über das Erstellen, Sichern und Skalieren einer Lösung für die Benutzerverwaltung, -authentifizierung und die geräteübergreifende Synchronisierung machen.

Amazon Cloud Directory

Mit Amazon Cloud Directory können Sie flexible Cloud-native Verzeichnisse zum Organisieren von Datenhierarchien in mehreren Dimensionen erstellen. Cloud Directory ermöglicht Ihnen das Erstellen von Verzeichnissen für verschiedene Anwendungsfälle, wie zum Beispiel Organisationsdiagramme, Kurskataloge und Geräteregistrierungen. Während Sie durch herkömmliche Verzeichnislösungen wie Active Directory Lightweight Directory Services (AD LDS) und andere LDAP-basierte Verzeichnisse auf eine einzelne Hierarchie beschränkt sind, bietet Ihnen Cloud Directory die Flexibilität zum Erstellen von Verzeichnissen mit Hierarchien, die sich über mehrere Dimensionen erstrecken. Sie können beispielsweise ein Organisationsdiagramm erstellen, in dem Sie durch separate Hierarchien für Berichtsstruktur, Standort und Kostenstellen navigieren können.

Amazon Cloud Directory wird automatisch auf Hunderte Millionen von Objekten skaliert und stellt ein umfangreiches Schema bereit, das mit mehreren Anwendungen geteilt werden kann. Als vollständig verwalteter Service eliminiert Cloud Directory zeitintensive und teure Verwaltungsaufgaben, wie etwa das Skalieren der Infrastruktur und das Verwalten von Servern. Sie definieren einfach das Schema, erstellen ein Verzeichnis und füllen es dann durch Aufrufe an die Cloud Directory-API.

Amazon Detective

Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursachen von potentiellen Sicherheitsgefährdungen oder verdächtigen Aktivitäten. Amazon Detective erfasst automatisch Protokolldaten aus Ihren AWS-Ressourcen und erstellt mithilfe von Machine Learning, statistischer Analyse und Graphentheorie einen verknüpften Datensatz, mit dem Sie schnellere und effizientere Sicherheitsüberprüfungen durchführen können.

AWS-Sicherheitsservices wie Amazon GuardDuty, Amazon Macie und AWS Security Hub sowie Sicherheitsprodukte von Partnern können verwendet werden, um potenzielle Sicherheitsprobleme oder -befunde zu identifizieren. Diese Services sind sehr nützlich, um Sie zu benachrichtigen, wenn etwas nicht in Ordnung ist, und die Stellen aufzuzeigen, an denen Sie das Problem beheben können. Manchmal gibt es jedoch Sicherheitsbefunde, bei denen Sie einen tieferen Einblick benötigen und weitere Informationen analysieren müssen, um die Ursachen lokalisieren und Aktionen ausführen zu können. Die Ermittlung der Ursachen von Sicherheitsbefunden kann ein komplexer Prozess sein, der häufig das Sammeln und Kombinieren von Protokollen aus vielen verschiedenen Datenquellen mit Tools zum Extrahieren, Transformieren und Laden (ETL) oder benutzerdefinierten Skripts zum Organisieren der Daten erfordert. Daraufhin müssen Sicherheitsanalysten diese Daten analysieren und langwierige Untersuchungen durchführen.

Amazon Detective vereinfacht diesen Prozess, da Ihre Sicherheitsteams auf einfache Weise und schnell die Ursachen eines Befunds ermitteln können. Amazon Detective kann Billionen von Ereignissen aus mehreren Datenquellen analysieren, z. B. aus Virtual Private Cloud (VPC)-Flow-Protokollen, AWS CloudTrail und Amazon GuardDuty, und erstellt automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen und Benutzer sowie der Interaktionen zwischen diesen über die Zeit. In dieser konsolidierten Ansicht können Sie alle Details und den Kontext an einem Ort visualisieren, um die zugrunde liegenden Ursachen für die Befunde zu identifizieren, relevante historische Aktivitäten zu ermitteln und die Ursache schnell festzustellen.

Sie können mit nur wenigen Mausklicks in der AWS-Konsole mit Amazon Detective beginnen. Es muss weder Software bereitgestellt noch müssen Datenquellen aktiviert und verwaltet werden.

Amazon GuardDuty

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und somit schützt. Der Service überwacht Ihre Konten und Instances auf Aktivitäten wie ungewöhnliche API-Aufrufe oder potenziell unbefugte Bereitstellungen, die auf eine mögliche Sicherheitsverletzung hindeuten. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffungsaktivitäten durch Angreifer.

Amazon GuardDuty wird mit wenigen Klicks über die AWS-Managementkonsole aktiviert und kann anschließend sofort Milliarden von Ereignissen in Ihren AWS-Konten auf Risikoanzeichen analysieren. GuardDuty erkennt verdächtige Angreifer mithilfe integrierter Feeds mit Bedrohungsinformationen und nutzt Machine Learning zur Erkennung von Anomalien bei Konto- und Workload-Aktivitäten. Wenn der Service eine potenzielle Bedrohung erkennt, wird eine ausführliche Sicherheitswarnung in der GuardDuty-Konsole und in Amazon CloudWatch Events bereitgestellt. Auf diese Weise können Sie sofort Maßnahmen ergreifen und die Warnungen mühelos in bestehende Ereignisverwaltungs- und Workflowsysteme integrieren.

Amazon GuardDuty ist kostengünstig und einfach. Sie müssen weder Software noch Sicherheitsinfrastruktur bereitstellen und verwalten, sondern können den Service schnell aktivieren, ohne dass bestehende Workloads für Anwendungen beeinträchtigt werden. Für GuardDuty fallen keine Vorabkosten an und es sind weder Softwarebereitstellungen noch Feeds mit Bedrohungsinformationen erforderlich. Kunden zahlen für die von GuardDuty analysierten Ereignisse und können den Service als Neukunde 30 Tage lang kostenlos testen.

Amazon Inspector

Amazon Inspector ist ein automatisierter Service für Sicherheitsprüfungen, der dabei hilft, die Sicherheit und die Compliance von auf AWS bereitgestellten Anwendungen zu verbessern. Amazon Inspector überprüft Anwendungen automatisch auf Anfälligkeiten, Schwachstellen und Abweichungen von bewährten Methoden. Nach der Durchführung einer Prüfung erstellt Amazon Inspector eine nach Schweregrad geordnete detaillierte Liste der Sicherheitsergebnisse. Sie können diese Ergebnisse direkt oder im Rahmen detaillierter Berichte prüfen, die über die Amazon Inspector-Konsole oder die API verfügbar sind.

Amazon Inspector-Sicherheitsprüfungen helfen Ihnen dabei, die unbeabsichtigte Zugänglichkeit Ihrer Amazon EC2-Instances im Netzwerk und Schwachstellen in diesen EC2-Instances zu prüfen. Amazon Inspector-Prüfungen werden Ihnen als vordefinierte Regelpakete angeboten, die gängigen bewährten Methoden für Sicherheit und Schwachstellendefinitionen zugeordnet sind. Zu den integrierten Regeln gehören beispielsweise die Prüfungen, ob aus dem Internet Zugriff auf EC2-Instances erfolgt, ob die Remote-Root-Anmeldung aktiviert ist oder ob anfällige Software-Versionen installiert sind. Diese Regeln werden von AWS-Sicherheitsmitarbeitern regelmäßig aktualisiert.

Amazon Macie

Amazon Macie ist ein Sicherheitsservice, der Machine Learning nutzt, um sensible Daten in AWS automatisch zu erkennen, zu klassifizieren und zu schützen. Amazon Macie erkennt sensible Daten wie personenbezogene Daten (PII) oder geistiges Eigentum und stellt Ihnen Dashboards und Warnmeldungen zur Verfügung, die einen Überblick darüber geben, wie auf diese Daten zugegriffen oder sie verschoben werden. Der vollständig verwaltete Service überwacht fortlaufend Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnungen, wenn ein Risiko durch einen nicht autorisierten Zugriff oder unbeabsichtigte Datenlecks erkannt wird.

AWS Artifact

AWS Artifact ist Ihre zuverlässige, zentrale Ressource für wichtige Compliance-bezogene Informationen. Dieses Portal stellt On-Demand-Zugriff auf Sicherheits- und Compliance-Berichte sowie ausgewählte Online-Vereinbarungen von AWS bereit. Zu den in AWS Artifact verfügbaren Berichten gehören beispielsweise SOC-Berichte (Service Organization Control), Berichte der Zahlungskartenindustrie sowie Zertifizierungen von Akkreditierungsstellen – jeweils aus unterschiedlichen Weltregionen und vertikalen Compliance-Ebenen. Allen gemeinsam ist, dass darin die Implementierung und Betriebseffektivität der Sicherheitsmaßnahmen von AWS bewertet wird. Zu den in AWS Artifact verfügbaren Vereinbarungen gehören das Business Associate Addendum (BAA) und das Nondisclosure Agreement (NDA).

AWS Audit Manager

AWS Audit Manager unterstützt Sie bei der kontinuierlichen Prüfung Ihrer AWS-Nutzung und vereinfacht so die Bewertung von Risiken und die Compliance mit Vorschriften und Branchenstandards. Audit Manager automatisiert die Sammlung von Nachweisen, um den manuellen Aufwand zu reduzieren, der häufig für Prüfungen erforderlich ist. Die Lösung ermöglicht Ihnen außerdem die Skalierung Ihrer Prüfungskapazitäten in der Cloud, wenn Ihr Unternehmen wächst. Mit Audit Manager können Sie auf einfache Weise beurteilen, ob Ihre Richtlinien, Verfahren und Aktivitäten (auch als „Kontrollen“ bezeichnet) effektiv funktionieren. Wenn es Zeit für eine Prüfung ist, hilft Ihnen AWS Audit Manager bei der Verwaltung von Stakeholder-Prüfungen Ihrer Kontrollen und bei der Erstellung von Berichten für Prüfungen. Dabei ist der manuelle Aufwand sehr viel geringer.

Die vorab entwickelten Frameworks von AWS Audit Manager unterstützen die Übersetzung der Nachweise aus Cloud-Services in prüferfreundliche Berichte durch die Zuordnung Ihrer AWS-Ressourcen zu den Anforderungen von Branchenstandards oder -vorschriften wie CIS AWS Foundations Benchmark, Datenschutz-Grundverordnung (DSGVO) und Payment Card Industry Data Security Standard (PCI DSS). Sie können ein Framework und dessen Steuerelemente auch vollständig an Ihre spezifischen Geschäftsanforderungen anpassen. Abhängig von dem von Ihnen ausgewählten Framework startet Audit Manager eine Bewertung, die kontinuierlich relevante Nachweise aus Ihren AWS-Konten und -Ressourcen sammelt und organisiert, z. B. Snapshots der Ressourcenkonfiguration, Benutzeraktivitäten und Ergebnisse von Compliance-Prüfungen.

Die AWS-Managementkonsole ermöglicht Ihnen einen schnellen Einstieg. Wählen Sie einfach ein vorab entwickeltes Framework aus, um eine Bewertung zu starten und automatisch Beweise zu sammeln und zu organisieren.

AWS Certificate Manager

AWS Certificate Manager ist ein Service, mit dem Sie problemlos SSL- und TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen bereitstellen und verwalten können. SSL/TLS-Zertifizierungen werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites über das Internet sowie von Ressourcen in privaten Netzwerken festzustellen. Mit AWS Certificate Manager entfällt der zeitaufwendige manuelle Prozess des Kaufs, Hochladens und der Erneuerung von SSL-/TLS-Zertifizierungen.

Mit AWS Certificate Manager können Sie schnell ein Zertifikat anfordern, es auf ACM-integrierten AWS-Ressourcen wie Elastic Load Balancing, Amazon CloudFront-Distributionen und APIs auf API Gateway bereitstellen und AWS Certificate Manager-Zertifikatverlängerungen durchführen lassen. Mit AWS Certificate Manager können Sie auch private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus der Zertifikate zentral verwalten. Öffentliche und private Zertifikate, die AWS Certificate Manager zur Verwendung mit ACM-integrierten Services bereitgestellt werden, sind kostenlos. Sie zahlen nur für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. Bei AWS Certificate Manager Private Certificate Authority bezahlen Sie monatlich für den Betrieb der privaten Zertifizierungsstelle (CA, Certificate Authority) und für die privaten Zertifikate, die Sie ausstellen.

AWS CloudHSM

AWS CloudHSM ist ein cloudbasiertes Hardwaresicherheitsmodul (HSM), mit dem Sie auf einfache Weise Ihre eigenen Verschlüsselungsschlüssel in der AWS Cloud generieren und verwenden können. CloudHSM ermöglicht Ihnen, Ihre eigenen Verschlüsselungsschlüssel mithilfe von HSMs gemäß FIPS 140-2 Level 3 zu verwalten. Sie können CloudHSM mit standardmäßigen APIs wie PKCS#11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG)-Bibliotheken flexibel in Ihre Anwendungen integrieren.

CloudHSM ist standardisiert, so dass Sie alle Ihre Schlüssel in die meisten handelsüblichen HSMs exportieren können. Diese unterliegen dabei Ihren Konfigurationen. Der vollständig verwaltete Service automatisiert zeitaufwändige Verwaltungsaufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups. Sie können CloudHSM auch schnell skalieren, indem Sie HSM-Kapazität nach Bedarf hinzufügen oder entfernen, ohne dass vorab Kosten anfallen.

AWS Directory Service

Mit AWS Directory Service für Microsoft Active Directory, auch als von AWS verwaltetes Microsoft AD bezeichnet, können Sie in der AWS Cloud für Ihre verzeichnisfähigen Workloads und AWS-Ressourcen ein verwaltetes Active Directory verwenden. AWS Managed Microsoft AD basiert auf Microsoft Active Directory und erfordert keine Synchronisierung oder Replikation von Daten aus Ihrem vorhandenen Active Directory mit der Cloud. Sie können Standard-Active Directory-Verwaltungstools verwenden und integrierte Active Directory-Funktionen wie Gruppenrichtlinien und Single Sign-On (SSO) nutzen. Mit AWS Managed Microsoft AD können Sie problemlos Amazon EC2 und Amazon RDS for SQL Server-Instances in einer Domäne zusammenbringen und AWS Enterprise IT-Anwendungen wie Amazon WorkSpaces mit Active Directory-Benutzern und -Gruppen verwenden.

AWS Firewall Manager

AWS Firewall Manager ist ein Sicherheitsmanagementservice, der die zentrale Konfiguration und Verwaltung von AWS WAF-Regeln für Ihre Konten und Anwendungen vereinfacht. Mit Firewall Manager können Sie einfach AWS WAF-Regeln für IhreApplication Load Balancers- und Amazon CloudFront-Verteilungen auf Konten in AWS Organizations einführen. Wenn neue Anwendungen erstellt werden, können Sie mit Firewall Manager außerdem ganz einfach neue Anwendungen und Ressourcen vom ersten Tag an an festgelegte Sicherheitsregeln anpassen. Damit haben Sie einen einzigen Service, mit dem Sie Firewall-Regeln und Sicherheitsrichtlinien erstellen und diese in einer konsistenten, hierarchischen Weise über Ihre gesamte Application Load Balancers- und Amazon CloudFront-Infrastruktur hinweg durchsetzen können.

AWS Identity and Access Management

Mit AWS Identity and Access Management (IAM) können Sie den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer sicher steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern. Mit IAM können Sie Folgendes tun:

  • Verwalten von IAM-Benutzern und ihres Zugriffs: Sie können Benutzer in IAM erstellen, ihnen individuelle Sicherheitsanmeldeinformationen (Zugriffsschlüssel, Passwörter und Geräte mit Multi-Faktor-Authentifizierung) zuweisen oder temporäre Sicherheitsanmeldeinformationen für den Benutzerzugriff auf AWS-Services und -Ressourcen anfordern. Sie können Berechtigungen verwalten, um zu steuern, welche Vorgänge ein Benutzer durchführen darf.

  • IAM-Rollen und ihre Berechtigungen verwalten: Sie können in IAM Rollen erstellen und Berechtigungen verwalten, um zu steuern, welche Vorgänge die Entität oder der AWS-Service, die bzw. der die Rolle übernimmt, ausführen darf. Sie können auch bestimmen, welcher Entität die Rolle zugeordnet werden darf.

  • Verwalten von verbundenen Benutzern und ihren Berechtigungen: Sie können einen Identitätsverbund aktivieren und so bestehenden Identitäten (Benutzern, Gruppen und Rollen) in Ihrem Unternehmen den Zugriff auf die AWS-Managementkonsole, das Aufrufen von AWS-APIs und den Zugriff auf Ressourcen ermöglichen, ohne für jede Identität einen IAM-Benutzer erstellen zu müssen.

AWS Key Management Service

Mit AWS Key Management Service (KMS) können Sie problemlos Schlüssel erstellen und verwalten und die Verschlüsselung übergreifend für eine große Auswahl von AWS-Services und Anwendungen nutzen. AWS KMS ist ein sicherer und ausfallsicherer Service, der nach FIPS 140-2-validierte Hardwaresicherheitsmodule zum Schutz Ihrer Schlüssel verwendet. AWS KMS ist in AWS CloudTrail integriert und stellt für Sie Protokolle der gesamten Schlüsselnutzung bereit, um Sie bei der Einhaltung der gesetzlichen und Compliance-Anforderungen zu unterstützen.

AWS Network Firewall

AWS Network Firewall ist ein verwalteter Service, der die einfache Implementierung wichtiger Netzwerkschutzverfahren für alle Ihre Amazon Virtual Private Clouds (VPCs) unterstützt. Der Service kann mit nur wenigen Klicks eingerichtet werden und wird automatisch mit dem Netzwerkdatenverkehr skaliert, sodass Sie sich nicht um die Bereitstellung und Verwaltung der Infrastruktur kümmern müssen. Mit der flexiblen Regel-Engine von AWS Network Firewall können Sie Firewall-Regeln definieren, die Ihnen eine differenzierte Kontrolle des Netzwerkdatenverkehrs ermöglichen, z. B. das Blockieren ausgehender Server Message Block (SMB)-Anfragen, um die Verbreitung bösartiger Aktivitäten zu verhindern. Sie können auch Regeln importieren, die Sie bereits in verbreiteten Open-Source-Regelformaten geschrieben haben, und die Integration verwalteter Informations-Feeds von AWS-Partnern aktivieren. AWS Network Firewall arbeitet mit AWS Firewall Manager zusammen, sodass Sie Richtlinien basierend auf AWS Network Firewall-Regeln erstellen und diese Richtlinien dann zentral auf Ihre VPCs und Konten anwenden können.

AWS Network Firewall enthält Funktionen, die Schutz vor verbreiteten Netzwerkbedrohungen bieten. Die zustandsbehaftete Firewall von AWS Network Firewall kann Kontext aus dem Datenverkehr wie die Nachverfolgung von Verbindungen und die Identifizierung von Protokollen berücksichtigen, um Richtlinien durchzusetzen, z. B. die Verhinderung des Zugriffs auf Domänen über ein nicht autorisiertes Protokoll durch Ihre VPCs. Das Intrusion Prevention System (IPS) von AWS Network Firewall bietet eine aktive Überprüfung des Datenverkehrsflusses, sodass Sie mithilfe der signaturbasierten Erkennung die Ausnutzung von Schwachstellen identifizieren und blockieren können. AWS Network Firewall bietet auch eine Webfilterung, die den Datenverkehr zu bekannten schädlichen URLs stoppen und vollständig qualifizierte Domänennamen überwachen kann.

Der Einstieg in AWS Network Firewall ist einfach. In der Amazon VPC-Konsole können Sie Firewall-Regeln erstellen oder importieren, sie zu Richtlinien gruppieren und sie auf die VPCs anwenden, die Sie schützen möchten. Die AWS Network Firewall-Preise basieren auf der Anzahl der bereitgestellten Firewalls und der Menge des überprüften Datenverkehrs. Es fallen keine Vorausleistungen an und Sie zahlen nur für das, was Sie nutzen.

AWS Resource Access Manager

AWS Resource Access Manager (RAM) hilft Ihnen, Ihre Ressourcen sicher für AWS-Konten innerhalb Ihrer Organisation oder Ihrer Organisationseinheiten (Organizational Units, OUs) in AWS Organizations sowie für IAM-Rollen und IAM-Benutzer für unterstützte Ressourcentypen freizugeben. Sie können AWS RAM verwenden, um Transit-Gateways, Subnetze, AWS License Manager-Lizenzkonfigurationen, Amazon Route 53 Resolver-Regeln und weitere Ressourcentypen freizugeben.

Zahlreiche Unternehmen verwenden mehrere Konten, um eine Verwaltungs- oder Abrechnungsisolierung zu erhalten und die Auswirkungen von Fehlern zu begrenzen. Mit AWS RAM müssen Sie Ressourcen in verschiedenen AWS-Konten nicht länger mehrfach erstellen. Dies reduziert den operativen Aufwand, der mit der Verwaltung von Ressourcen in jedem Konto, das Sie besitzen, verbunden ist. Stattdessen können Sie in Ihrer Mehrkonten-Umgebung eine Ressource nur einmal erstellen und anschließend diese Ressource über AWS RAM kontenübergreifend freigeben, indem Sie eine Ressourcenfreigabe erstellen. Wenn Sie eine Ressourcenfreigabe erstellen, wählen Sie die Ressource aus, die Sie freigeben möchten, wählen pro Ressource eine von AWS RAM verwaltete Berechtigung aus und geben an, wer Zugriff auf die Ressourcen erhalten soll. AWS RAM ist ohne zusätzliche Gebühren verfügbar.

AWS Secrets Manager

AWS Secrets Manager hilft Ihnen beim Schutz der für den Zugriff auf Ihre Anwendungen, Services und IT-Ressourcen erforderlichen geheimen Schlüssel. Der Service ermöglicht es Ihnen, Datenbank-Anmeldeinformationen, API-Schlüssel und andere Geheimnisse während ihrer gesamten Lebenszyklen einfach zu rotieren, zu verwalten und abzurufen. Benutzer und Anwendungen können Geheimnisse durch einen Aufruf der Secrets Manager-APIs abrufen, wodurch es unnötig wird, sensible Informationen im Plain Text zu kodieren. Secrets Manager bietet Ihnen die Secret-Rotation mit eingebauter Integration für Amazon RDS for MySQL, PostgreSQL und Amazon Aurora. Außerdem ist der Service auf andere Arten von Secrets erweiterbar, einschließlich API-Schlüssel und OAuth-Tokens. Darüber hinaus ermöglicht Secrets Manager die Zugriffskontrolle auf Secrets mithilfe fein abgestufter Berechtigungen und die zentrale Prüfung der Secret-Rotation für Ressourcen in der AWS Cloud, für Services von Drittanbietern und vor Ort.

AWS Security Hub

AWS Security Hub bietet Ihnen einen umfassenden Überblick über wichtige Sicherheitswarnungen und den Compliance-Status mehrerer AWS-Konten. Dafür steht Ihnen eine Reihe leistungsstarker Sicherheitstools zur Verfügung, die von Firewalls und Endpunktschutz bis hin zu Schwachstellen- und Compliance-Scannern reichen. Doch oft muss Ihr Team zwischen diesen Tools hin und her wechseln, um täglich Hunderte und manchmal Tausende von Sicherheitswarnungen zu bearbeiten. Mit Security Hub können Sie Ihre Sicherheitswarnungen und Ergebnisse aus mehreren AWS-Services wie Amazon GuardDuty, Amazon Inspector und Amazon Macie sowie aus Lösungen von AWS-Partnern an einem zentralen Ort aggregieren, organisieren und priorisieren. Ihre Ergebnisse werden visuell auf integrierten Dashboards mit aussagekräftigen Grafiken und Tabellen zusammengefasst. Sie können Ihre Umgebung auch kontinuierlich überwachen, indem Sie automatisierte Compliance-Prüfungen auf der Grundlage der bewährten Methoden von AWS und der Industriestandards, die Ihr Unternehmen einhält, durchführen. AWS Security Hub ist bereits mit wenigen Klicks in der Managementkonsole einsatzbereit und beginnt sofort mit der Aggregation und Priorisierung von Ergebnissen.

AWS Shield

AWS Shield ist ein verwalteter Service zum Schutz vor Distributed Denial of Service (DDoS)-Angriffen, der Webanwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet Ihnen eine ständige Erkennung und automatische Inline-Abhilfemaßnahmen, die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren. Daher müssen Sie sich nicht an den AWS Support wenden, um Schutz vor DDoS-Angriffen zu erhalten. Es gibt zwei Stufen von AWS Shield: Standard und Advanced.

Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den häufigsten und regelmäßig auftretenden DDoS-Angriffen auf Netzwerk- und Transportebene gegen Ihre Website oder Anwendungen. Wenn Sie AWS Shield Standard mit Amazon CloudFront und Amazon Route 53 verwenden, erhalten Sie Schutz mit umfassender Verfügbarkeit gegen alle bekannten Infrastrukturangriffe (Layer 3 und 4).

Für einen höheren Schutz vor Angriffen auf Ihre Anwendungen, die auf Amazon Elastic Compute Cloud (Amazon EC2)-,Elastic Load Balancing (ELB)-, Amazon CloudFront- und Amazon Route 53-Ressourcen ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem Netzwerk- und Transportebenen-Schutz der Standard-Version bietet AWS Shield Advanced zusätzliche Erkennung und Abhilfe bei großen und umfangreichen DDoS-Angriffen, Fast-Echtzeit-Transparenz bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. AWS Shield Advanced bietet Ihnen auch rund um die Uhr Zugriff auf das AWS DDoS Response Team (DRT) und Schutz vor DDoS-bezogenen Spitzen im Rahmen ihrer Amazon Elastic Compute Cloud (Amazon EC2)-, Elastic Load Balancing (ELB)-, Amazon CloudFront- und Amazon Route 53-Gebühren.

AWS Shield Advanced ist weltweit an allen Amazon CloudFront- und Amazon Route 53 Edge-Standorten verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor Ihrer Anwendung schützen. Ihre Ursprungsserver können Amazon S3, Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) oder ein benutzerdefinierter Server außerhalb von AWS sein. Zusätzlich können Sie AWS Shield Advanced in den folgenden AWS-Regionen direkt für Elastic IP oder Elastic Load Balancing (ELB) aktivieren: Nord-Virginia, Ohio, Oregon, Nordkalifornien, Montreal, São Paulo, Irland, Frankfurt, London, Paris, Stockholm, Singapur, Tokio, Sydney, Seoul und Mumbai.

AWS IAM Identity Center (successor to AWS Single Sign-On)

AWS IAM Identity Center (successor to AWS Single Sign-On) (SSO) ist ein Cloud-SSO-Service, der die zentrale Verwaltung des SSO-Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen erleichtert. Sie können mit nur wenigen Klicks einen hochverfügbaren SSO-Service ohne Vorabinvestition und fortlaufende Wartungskosten für den Betrieb Ihrer eigenen SSO-Infrastruktur aktivieren. Mit IAM Identity Center können Sie SSO-Zugriffe und Benutzerberechtigungen für alle Ihre Konten ganz einfach in AWS Organizations zentral verwalten. IAM Identity Center enthält auch SAML-Integrationen für zahlreiche Geschäftsanwendungen wie Salesforce, Box und Microsoft Office 365. Außerdem können Sie mit dem IAM Identity Center-Anwendungskonfigurationsassistenten Security Assertion Markup Language (SAML) 2.0-Integrationen erstellen und den SSO-Zugriff auf eine Ihrer SAML-aktivierten Anwendungen erweitern. Ihre Benutzern können sich mit Anmeldeinformationen, die sie in IAM Identity Center konfigurieren, an einem Benutzerportal anmelden oder ihre vorhandenen Unternehmensanmeldeinformationen für den Zugriff auf alle zugeordneten Konten und Anwendungen von einem Ort aus verwenden.

AWS WAF

AWS WAF ist eine Webanwendungsfirewall, die dabei hilft, Ihre Webanwendungen vor häufigen Web-Exploits zu schützen, die die Verfügbarkeit von Anwendungen beeinträchtigen, die Sicherheit schwächen oder übermäßige Ressourcen verbrauchen könnten. AWS WAF gibt Ihnen die Kontrolle darüber, welcher Datenverkehr zu Ihrer Webanwendung zugelassen oder blockiert werden soll, indem anpassbare Websicherheitsregeln festgelegt werden. Sie können mit AWS WAF benutzerdefinierte Regeln erstellen, die häufige Angriffsmuster blockieren, etwa die SQL-Injektion oder standortübergreifendes Scripting. Sie können außerdem Regeln erstellen, die nur für Ihre bestimmte Anwendung gelten. Neue Regeln können innerhalb von Minuten bereitgestellt werden. So können Sie rasch auf veränderte Muster im Datenverkehr reagieren. AWS WAF enthält außerdem eine vollständig ausgestattete API, mit der Sie die Entwicklung, Bereitstellung und Wartung der Sicherheitsregeln für das Web automatisieren können.