Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Beschränkung des ausgehenden Datenverkehrs einer VPC
<a name="restricting-outbound-traffic"></a>

## Beschränken des ausgehenden Datenverkehrs einer VPC mithilfe von Sicherheitsgruppen
<a name="restricting-outbound-traffic-security-groups"></a>

Nachdem Sie die Anforderungen Ihrer Architektur für ausgehenden Datenverkehr bewertet haben, beginnen Sie damit, die Sicherheitsgruppenregeln Ihrer VPC an die Sicherheitsanforderungen Ihrer Organisation anzupassen. Stellen Sie sicher, dass Sie alle erforderlichen Ports, Protokolle und Ziel-IP-Adressen zu den Zulassungslisten Ihrer Sicherheitsgruppen hinzufügen.

Weitere Anweisungen finden Sie unter [Kontrollieren des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Benutzerhandbuch von Amazon VPC*.

**Wichtig**  
Nachdem Sie die Sicherheitsgruppenregeln Ihrer VPC in Ihrer Testumgebung aktualisiert haben, stellen Sie sicher, dass Ihre Anwendung weiterhin wie erwartet funktioniert. Weitere Informationen finden Sie im Abschnitt **Bewährte Methoden für die Analyse des ausgehenden Datenverkehrs Ihrer VPC bei Verwendung von VPC Flow Logs** dieses Handbuchs.

*Wichtige Überlegungen zu Sicherheitsgruppen für bestimmte AWS Dienste*

**Amazon Elastic Compute Cloud (Amazon EC2)**

Wenn Sie eine VPC erstellen, verfügt diese über eine [Standard-Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/default-custom-security-groups.html#default-security-group), die allen ausgehenden Datenverkehr erlaubt. Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwenden diese Standard-Sicherheitsgruppe, es sei denn, Sie erstellen Ihre eigenen [benutzerdefinierten Sicherheitsgruppen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/default-custom-security-groups.html#creating-your-own-security-groups).

**Wichtig**  
Um das Risiko zu verringern, dass Ihre Amazon-EC2-Instance versehentlich die Standard-Sicherheitsgruppe verwendet, entfernen Sie alle Ausgangsregeln der Gruppe. Weitere Informationen finden Sie unter **Löschen von Sicherheitsgruppenregeln** im Abschnitt [Arbeiten mit Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-group-rules) des *Benutzerhandbuchs für Amazon VPC*.

**Amazon Relational Database Service (Amazon RDS)**

Alle Regeln für ausgehende Sicherheitsgruppen für eine Amazon-RDS-DB-Instance können entfernt werden, sofern die Datenbank nicht als Client fungiert. Weitere Informationen finden Sie unter [Übersicht der VPC-Sicherheitsgruppen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html#Overview.RDSSecurityGroups.VPCSec) im *Benutzerhandbuch für Amazon RDS*.

**Amazon ElastiCache**

Alle Regeln für ausgehende Sicherheitsgruppen für Amazon ElastiCache (Redis OSS) und Amazon ElastiCache (Memcached) Instances können entfernt werden, sofern die Instance nicht als Client fungiert. Weitere Informationen finden Sie hier:
+ [Sicherheitsgruppen: EC2-Classic](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SecurityGroups.html) (*Amazon ElastiCache (Redis OSS) -Benutzerhandbuch)*
+ [Understanding ElastiCache und Amazon VPCs](https://docs.aws.amazon.com/AmazonElastiCache/latest/mem-ug/VPCs.EC.html) (*Amazon ElastiCache (Memcached) Benutzerhandbuch)*

## Beschränkung des ausgehenden Datenverkehrs einer VPC mithilfe von DNS-Hostnamen AWS Network Firewall
<a name="restricting-outbound-traffic-network-firewall-hostnames"></a>

Wenn eine Anwendung dynamische IP-Adressen verwendet, empfiehlt es sich, den ausgehenden Datenverkehr ihrer VPC mithilfe von DNS-Hostnamen anstelle von IP-Adressen zu filtern. Wenn eine Anwendung beispielsweise einen Application Load Balancer verwendet, ändern sich die zugehörigen IP-Adressen der Anwendung, da die Knoten kontinuierlich skalieren. In einer solchen Situation ist es sicherer, DNS-Hostnamen zum Filtern von ausgehendem Netzwerkverkehr zu verwenden als statische IP-Adressen.

Sie können [AWS Network Firewall](https://aws.amazon.com/network-firewall/) verwenden, um den ausgehenden Internetzugang Ihrer VPC auf eine Reihe von Hostnamen zu beschränken, die von [Server Name Indication (SNI)](https://https.cio.gov/sni/) im HTTPS-Verkehr bereitgestellt werden.

Weitere Informationen und Beispiele von Netzwerk-Firewall-Richtlinienregeln finden Sie unter [Domainfilterung](https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-examples.html#suricata-example-domain-filtering) im *AWS Network Firewall -Leitfaden für Entwickler*. Eine ausführliche Anleitung finden Sie im folgenden AWS Prescriptive Guidance (APG)-Muster: [Verwenden Sie die Network Firewall, um die DNS-Domainnamen von der Server Name Indication (SNI) für ausgehenden Datenverkehr zu erfassen](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.html).

**Hinweis**  
SNI ist eine Erweiterung von TLS, die im Verkehrsfluss unverschlüsselt bleibt. Es gibt den Ziel-Hostnamen an, auf den ein Client über HTTPS zugreifen möchte.

**Wichtig**  
Nachdem Sie die Stateful-Regeln der Network Firewall in Ihrer Testumgebung aktualisiert haben, stellen Sie sicher, dass Ihre Anwendung weiterhin wie erwartet funktioniert. Stellen Sie sicher, dass keiner der vom SNI bereitgestellten erforderlichen DNS-Domainnamen blockiert ist.

*Architekturbeispiel*

Das folgende Diagramm zeigt eine Beispielarchitektur zum Filtern des ausgehenden AWS Network Firewall Datenverkehrs einer VPC mithilfe von DNS-Hostnamen:

![Beispielarchitektur AWS Network Firewall zum Filtern des ausgehenden Datenverkehrs einer VPC mithilfe von DNS-Hostnamen](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/secure-outbound-network-traffic/images/network-firewall-architecture-dns-hostnames.png)


Das Diagramm zeigt den folgenden Workflow:

1. Die ausgehende Anforderung stammt aus dem privaten Subnetz und wird an das NAT-Gateway im geschützten Subnetz gesendet.

1. Der vom NAT-Gateway empfangene HTTPS-Verkehr wird an einen AWS Network Firewall Endpunkt im öffentlichen Subnetz weitergeleitet.

1. AWS Network Firewall überprüft die Anfrage und wendet die konfigurierten Firewall-Richtlinienregeln an, um die Anfrage zur Weiterleitung an das Internet-Gateway entweder anzunehmen oder abzulehnen.

1. Genehmigte ausgehende Anfragen werden an das Internet-Gateway gesendet.

1. Genehmigter Datenverkehr vom Internet-Gateway wird an das Internet gesendet, um auf die vorgesehene URL zuzugreifen (von SNI im unverschlüsselten HTTPS-Header bereitgestellt).