Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Empfehlungen zur Sicherheitskontrolle zum Schutz von Daten
Das AWS Well-Architected Framework unterteilt die bewährten Methoden zum Schutz von Daten in drei Kategorien: Datenklassifizierung, Schutz ruhender Daten und Schutz von Daten bei der Übertragung. Die Sicherheitskontrollen in diesem Abschnitt können Ihnen dabei helfen, bewährte Methoden für den Datenschutz zu implementieren. Diese grundlegenden bewährten Methoden sollten vorhanden sein, bevor Sie Workloads in der Cloud entwerfen. Sie verhindern einen falschen Umgang mit Daten und helfen Ihnen, organisatorische, regulatorische und Compliance-Verpflichtungen zu erfüllen. Verwenden Sie die Sicherheitskontrollen in diesem Abschnitt, um bewährte Methoden für den Datenschutz zu implementieren.
**Topics**
+ [Identifizieren und klassifizieren Sie Daten auf Workload-Ebene](#data-classification)
+ [Richten Sie Kontrollen für jede Datenklassifizierungsebene ein](#data-controls-classification-level)
+ [Daten im Ruhezustand verschlüsseln](#encrypt-data-at-rest)
+ [Verschlüsseln Sie Daten während der Übertragung](#encrypt-data-in-transit)
+ [Sperren Sie den öffentlichen Zugriff auf Amazon EBS-Snapshots](#block-public-ebs)
+ [Sperren Sie den öffentlichen Zugriff auf Amazon RDS-Snapshots](#block-public-rds)
+ [Sperren Sie den öffentlichen Zugriff auf Amazon RDS, Amazon Redshift und Ressourcen AWS DMS](#block-public-access-instances)
+ [Blockieren Sie den öffentlichen Zugriff auf Amazon S3 S3-Buckets](#block-public-access-s3)
+ [MFA zum Löschen von Daten in kritischen Amazon S3 S3-Buckets anfordern](#mfa-delete-s3-data)
+ [Amazon OpenSearch Service-Domains in einer VPC konfigurieren](#opensearch-domains-vpc)
+ [Konfigurieren Sie Warnmeldungen für das Löschen AWS KMS key](#kms-key-deletion)
+ [Sperren Sie den öffentlichen Zugriff auf AWS KMS keys](#block-public-access-keys)
+ [Konfigurieren Sie Load Balancer-Listener für die Verwendung sicherer Protokolle](#load-balancer-listeners)
## Identifizieren und klassifizieren Sie Daten auf Workload-Ebene
*Datenklassifizierung* ist ein Prozess zur Identifizierung und Kategorisierung der Daten in Ihrem Netzwerk auf der Grundlage ihrer Kritikalität und Sensitivität. Sie ist eine wichtige Komponente jeder Strategie für das Management von Cybersecurity-Risiken, da sie Ihnen hilft, die geeigneten Schutz- und Aufbewahrungskontrollen für die Daten zu bestimmen. Durch die Datenklassifizierung wird häufig die Häufigkeit von Datenduplizierungen reduziert. Dadurch können Speicher- und Backup-Kosten gesenkt und Suchvorgänge beschleunigt werden.
Wir empfehlen Ihnen, sich mit der Art und Klassifizierung der Daten, die Ihr Workload verarbeitet, mit den zugehörigen Geschäftsprozessen, dem Speicherort der Daten und dem Eigentümer der Daten vertraut zu machen. Die Datenklassifizierung hilft Workload-Besitzern dabei, Standorte zu identifizieren, an denen vertrauliche Daten gespeichert werden, und zu bestimmen, wie auf diese Daten zugegriffen und sie gemeinsam genutzt werden sollen. *Tags* sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation der AWS Ressourcen dienen. Tags können dabei helfen, Ressourcen zu verwalten, zu identifizieren, zu organisieren, zu suchen und zu filtern.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Datenklassifizierung](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) in AWS Whitepapers
+ [Identifizieren Sie die Daten innerhalb Ihres Workloads](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_identify_data.html) im AWS Well-Architected Framework
## Richten Sie Kontrollen für jede Datenklassifizierungsebene ein
Definieren Sie Datenschutzkontrollen für jede Klassifizierungsebene. Verwenden Sie beispielsweise empfohlene Kontrollen, um Daten zu sichern, die als öffentlich eingestuft sind, und schützen Sie sensible Daten mit zusätzlichen Kontrollen. Verwenden Sie Mechanismen und Tools, die den direkten Zugriff auf oder die manuelle Verarbeitung von Daten reduzieren oder ganz vermeiden. Die Automatisierung der Datenidentifikation und -klassifizierung reduziert das Risiko von Fehlklassifizierungen, falscher Handhabung, Änderung oder menschlichem Versagen.
Erwägen Sie beispielsweise, Amazon Macie zu verwenden, um Amazon Simple Storage Service (Amazon S3) -Buckets nach sensiblen Daten wie personenbezogenen Daten (PII) zu durchsuchen. Außerdem können Sie die Erkennung von unbeabsichtigtem Datenzugriff automatisieren, indem Sie VPC Flow Logs in Amazon Virtual Private Cloud (Amazon VPC) verwenden.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Definieren Sie Datenschutzkontrollen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html) im AWS Well-Architected Framework
+ [Automatisieren Sie die Identifizierung und Klassifizierung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_auto_classification.html) im AWS Well-Architected Framework
+ AWS Die [Referenzarchitektur zum Datenschutz (AWS PRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/privacy-reference-architecture/introduction.html) in AWS präskriptiven Leitlinien
+ [Erkennung sensibler Daten mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) in der Macie-Dokumentation
+ [Protokollierung von IP-Verkehr mithilfe von VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html?ref=wellarchitected) in der Amazon VPC-Dokumentation
+ [Gängige Techniken zur Erkennung von PHI- und PII-Daten mithilfe](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) des AWS-Services AWS ForIndustries-Blogs
## Daten im Ruhezustand verschlüsseln
*Daten im Ruhezustand* sind Daten, die sich stationär in Ihrem Netzwerk befinden, z. B. Daten, die sich im Speicher befinden. Die Implementierung von Verschlüsselung und geeigneten Zugriffskontrollen für ruhende Daten trägt dazu bei, das Risiko eines unbefugten Zugriffs zu verringern. *Verschlüsselung* ist ein Rechenprozess, bei dem Klartextdaten, die für Menschen lesbar sind, in Chiffretext umgewandelt werden. Sie benötigen einen Verschlüsselungsschlüssel, um den Inhalt wieder in Klartext zu entschlüsseln, sodass er verwendet werden kann. In der können Sie AWS Key Management Service (AWS KMS) verwenden AWS Cloud, um kryptografische Schlüssel zu erstellen und zu kontrollieren, die zum Schutz Ihrer Daten beitragen.
Wie unter beschrieben, empfehlen wir[Richten Sie Kontrollen für jede Datenklassifizierungsebene ein](#data-controls-classification-level), eine Richtlinie zu erstellen, die festlegt, welche Art von Daten verschlüsselt werden muss. Geben Sie Kriterien an, nach denen bestimmt wird, welche Daten verschlüsselt und welche Daten mit einer anderen Technik wie Tokenisierung oder Hashing geschützt werden sollen.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Konfiguration der Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) in der Amazon S3 S3-Dokumentation
+ [Standardverschlüsselung für neue EBS-Volumes und Snapshot-Kopien](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) in der Amazon EC2 EC2-Dokumentation
+ [Verschlüsseln von Amazon Aurora Aurora-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) in der Amazon Aurora Aurora-Dokumentation
+ [Einführung in die kryptografischen Details von AWS KMS in der](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) Dokumentation AWS KMS
+ [Erstellung einer unternehmensweiten Verschlüsselungsstrategie für gespeicherte Daten in AWS Prescriptive](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html) Guidance
+ [Erzwingen Sie die Verschlüsselung im Ruhezustand](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_rest_encrypt.html) im AWS Well-Architected Framework
+ Weitere spezifische AWS-Services Informationen zur Verschlüsselung finden Sie in der [AWS Dokumentation zu diesem](https://docs.aws.amazon.com/index.html#products) Dienst
## Verschlüsseln Sie Daten während der Übertragung
*Daten während der Übertragung* sind Daten, die sich aktiv durch Ihr Netzwerk bewegen, z. B. zwischen Netzwerkressourcen. Verschlüsseln Sie alle Daten während der Übertragung mithilfe sicherer TLS-Protokolle und Cipher Suites. Der Netzwerkverkehr zwischen den Ressourcen und dem Internet muss verschlüsselt werden, um unbefugten Zugriff auf die Daten zu verhindern. Verwenden Sie nach Möglichkeit TLS, um den Netzwerkverkehr in Ihrer internen AWS Umgebung zu verschlüsseln.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [HTTPS für die Kommunikation zwischen Zuschauern und CloudFront in der CloudFront Amazon-Dokumentation erforderlich](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html)
+ [AWS PrivateLink -Dokumentation](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
+ [Erzwingen Sie die Verschlüsselung bei der Übertragung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html) im AWS Well-Architected Framework
+ Weitere spezifische AWS-Services Informationen zur Verschlüsselung finden Sie in der [AWS Dokumentation zu diesem](https://docs.aws.amazon.com/index.html#products) Dienst
## Sperren Sie den öffentlichen Zugriff auf Amazon EBS-Snapshots
[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) bietet Speichervolumes auf Blockebene zur Verwendung mit Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Sie können die Daten auf Ihren Amazon EBS-Volumes auf Amazon S3 sichern, indem Sie point-in-time Snapshots erstellen. Sie können Snapshots öffentlich mit allen anderen teilen AWS-Konten, oder Sie können sie privat mit einer von Ihnen angegebenen Person AWS-Konten teilen.
Wir empfehlen, Amazon EBS-Snapshots nicht öffentlich zu teilen. Dadurch könnten versehentlich vertrauliche Daten offengelegt werden. Wenn Sie einen Snapshot teilen, gewähren Sie anderen Zugriff auf die Daten im Snapshot. Teilen Sie Snapshots nur mit Personen, denen Sie all diese Daten anvertrauen.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Einen Snapshot in der Amazon EC2 EC2-Dokumentation teilen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot)
+ [Amazon EBS-Snapshots sollten in der Dokumentation nicht öffentlich wiederherstellbar sein](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-1) AWS Security Hub CSPM
+ [ebs-snapshot-public-restorable-schauen](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) Sie in der Dokumentation nach AWS Config
## Sperren Sie den öffentlichen Zugriff auf Amazon RDS-Snapshots
[Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) unterstützt Sie bei der Einrichtung, dem Betrieb und der Skalierung einer relationalen Datenbank in der. AWS Cloud Amazon RDS erstellt und speichert automatische Backups Ihrer Datenbank-Instance (DB) oder Ihres Multi-AZ-DB-Clusters während des Backup-Fensters Ihrer DB-Instance. Amazon RDS erstellt einen Snapshot für das Speichervolume der DB-Instance, damit die gesamte DB-Instance gesichert wird und nicht nur einzelne Datenbanken. Sie können einen manuellen Snapshot teilen, um den Snapshot zu kopieren oder eine DB-Instance daraus wiederherzustellen.
Wenn Sie einen Snapshot als öffentlich freigeben, stellen Sie sicher, dass keine der Daten im Snapshot privat oder vertraulich ist. Wenn ein Snapshot öffentlich geteilt wird, erhält AWS-Konten jeder Zugriff auf die Daten. Dies kann zu einer unbeabsichtigten Offenlegung der Daten in Ihrer Amazon RDS-Instance führen.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Einen DB-Snapshot in der Amazon RDS-Dokumentation teilen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)
+ [rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)in der AWS Config Dokumentation
+ Der [RDS-Snapshot sollte in der Security Hub CSPM-Dokumentation privat sein](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1)
## Sperren Sie den öffentlichen Zugriff auf Amazon RDS, Amazon Redshift und Ressourcen AWS DMS
Sie können Amazon RDS-DB-Instances, Amazon Redshift Redshift-Cluster und AWS Database Migration Service (AWS DMS) Replikations-Instances so konfigurieren, dass sie öffentlich zugänglich sind. Wenn der `publiclyAccessible` Feldwert lautet`true`, sind diese Ressourcen öffentlich zugänglich. Wenn der öffentliche Zugriff gewährt wird, kann dies zu unnötigem Datenverkehr, Datenlecks oder Datenlecks führen. Wir empfehlen, den öffentlichen Zugriff auf diese Ressourcen nicht zuzulassen.
Wir empfehlen, AWS Config Regeln oder Security Hub CSPM-Steuerungen zu aktivieren, um zu erkennen, ob Amazon RDS-DB-Instances, AWS DMS Replikations-Instances oder Amazon Redshift Redshift-Cluster öffentlichen Zugriff zulassen.
**Anmerkung**
Die Einstellungen für den öffentlichen Zugriff für AWS DMS Replikations-Instances können nach der Bereitstellung der Instance nicht geändert werden. Um die Einstellung für den öffentlichen Zugriff zu ändern, löschen Sie die aktuelle Instanz und erstellen Sie sie anschließend neu. Wenn Sie sie neu erstellen, wählen Sie nicht die Option **Öffentlich zugänglich** aus.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [AWS DMS Replikationsinstanzen sollten in der Security Hub CSPM-Dokumentation nicht öffentlich sein](https://docs.aws.amazon.com/securityhub/latest/userguide/dms-controls.html#dms-1)
+ [RDS-DB-Instances sollten den öffentlichen Zugriff in der Security Hub CSPM-Dokumentation verbieten](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2)
+ [Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff in der Security Hub CSPM-Dokumentation verbieten](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1)
+ [rds-instance-public-access-schauen Sie in der Dokumentation nach](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) AWS Config
+ [dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)in der Dokumentation AWS Config
+ [redshift-cluster-public-access-checken Sie](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) in der AWS Config Dokumentation nach
+ [Ändern einer Amazon RDS-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) in der Amazon RDS-Dokumentation
+ [Ändern eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) in der Amazon Redshift Redshift-Dokumentation
## Blockieren Sie den öffentlichen Zugriff auf Amazon S3 S3-Buckets
Es ist eine bewährte Sicherheitsmethode von Amazon S3, um sicherzustellen, dass Ihre Buckets nicht öffentlich zugänglich sind. Stellen Sie sicher, dass Ihr Bucket nicht öffentlich ist, sofern Sie nicht ausdrücklich verlangen, dass jemand im Internet in der Lage ist, Ihren Bucket zu lesen oder in ihn zu schreiben. Dies trägt zum Schutz der Integrität und Sicherheit der Daten bei. Sie können AWS Config Regeln und Security Hub CSPM-Steuerungen verwenden, um zu überprüfen, ob Ihre Amazon S3 S3-Buckets dieser Best Practice entsprechen.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Bewährte Methoden zur Amazon S3 S3-Sicherheit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html#security-best-practices-prevent) in der Amazon S3 S3-Dokumentation
+ Die [Einstellung S3 Block Public Access sollte in der Security Hub CSPM-Dokumentation aktiviert sein](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-1)
+ [S3-Buckets sollten den öffentlichen Lesezugriff in der Security Hub CSPM-Dokumentation verbieten](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-2)
+ [S3-Buckets sollten öffentlichen Schreibzugriff in der Security Hub CSPM-Dokumentation verbieten](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-3)
+ [s3-Regel in der Dokumentation bucket-public-read-prohibited ](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) AWS Config
+ [s3- bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) in der AWS Config Dokumentation
## MFA zum Löschen von Daten in kritischen Amazon S3 S3-Buckets anfordern
Wenn Sie in Amazon-S3-Buckets mit S3-Versioning arbeiten, können Sie optional eine weitere Sicherheitsebene hinzufügen, indem Sie einen Bucket konfigurieren, um [MFA (multi-factor authentication) delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/versioning-workflows.html) zu aktivieren. In diesem Fall muss der Bucket-Eigentümer zwei Authentifizierungsformen in jede Anforderung aufnehmen, um eine Version zu löschen oder den Versioning-Status des Buckets zu ändern. Wir empfehlen, diese Funktion für Buckets zu aktivieren, die Daten enthalten, die für Ihr Unternehmen von entscheidender Bedeutung sind. Dadurch kann ein versehentliches Löschen von Buckets und Daten verhindert werden.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Konfiguration von MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) in der Amazon S3 S3-Dokumentation
## Amazon OpenSearch Service-Domains in einer VPC konfigurieren
Amazon OpenSearch Service ist ein verwalteter Service, der Sie bei der Bereitstellung, dem Betrieb und der Skalierung von OpenSearch Clustern in der unterstützt AWS Cloud. Amazon OpenSearch Service unterstützt OpenSearch ältere Elasticsearch Open-Source-Software (OSS). Amazon OpenSearch Service-Domains, die in einer VPC bereitgestellt werden, können über das private AWS Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration verbessert Ihre Sicherheitslage, indem sie den Zugriff auf die Daten während der Übertragung einschränkt. Wir empfehlen, dass Sie Amazon OpenSearch Service-Domains nicht an öffentliche Subnetze anhängen und dass die VPC gemäß den Best Practices konfiguriert wird.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) in der Amazon OpenSearch Service-Dokumentation
+ [opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)in der Dokumentation AWS Config
+ [OpenSearchDomänen sollten sich in der Security Hub CSPM-Dokumentation in einer VPC](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-2) befinden
## Konfigurieren Sie Warnmeldungen für das Löschen AWS KMS key
AWS Key Management Service (AWS KMS) Schlüssel können nicht wiederhergestellt werden, nachdem sie gelöscht wurden. Wenn ein KMS-Schlüssel gelöscht wird, können Daten, die unter diesem Schlüssel noch verschlüsselt sind, dauerhaft nicht wiederhergestellt werden. Wenn Sie den Zugriff auf die Daten behalten möchten, müssen Sie die Daten vor dem Löschen des Schlüssels entschlüsseln oder mit einem neuen KMS-Schlüssel erneut verschlüsseln. Löschen Sie einen KMS-Schlüssel nur, wenn Sie sicher sind, dass Sie ihn nicht mehr benötigen.
Wir empfehlen Ihnen, einen CloudWatch Amazon-Alarm zu konfigurieren, der Sie benachrichtigt, wenn jemand das Löschen eines KMS-Schlüssels initiiert. Da das Löschen eines KMS-Schlüssels zerstörerisch und potenziell gefährlich ist, AWS KMS müssen Sie eine Wartezeit festlegen und das Löschen auf 7—30 Tage planen. Dies bietet Ihnen die Möglichkeit, den geplanten Löschvorgang zu überprüfen und ihn gegebenenfalls abzubrechen.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ Das [Löschen von Schlüsseln wird in der Dokumentation geplant und storniert](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) AWS KMS
+ In der [Dokumentation wird ein Alarm erstellt, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) AWS KMS
+ [AWS KMS keys sollte nicht unbeabsichtigt in der Security Hub CSPM-Dokumentation gelöscht werden](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3)
## Sperren Sie den öffentlichen Zugriff auf AWS KMS keys
[Wichtige Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) sind die wichtigste Methode zur Steuerung des Zugriffs auf AWS KMS keys. Jeder KMS-Schlüssel besitzt genau eine Schlüsselrichtlinie. Wenn Sie anonymen Zugriff auf KMS-Schlüssel zulassen, kann dies zu einem Verlust vertraulicher Daten führen. Wir empfehlen Ihnen, alle öffentlich zugänglichen KMS-Schlüssel zu identifizieren und ihre Zugriffsrichtlinien zu aktualisieren, um zu verhindern, dass unsignierte Anfragen an diese Ressourcen gestellt werden.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ Bewährte [Sicherheitsmethoden finden Sie AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) in der Dokumentation AWS KMS
+ [Änderung einer wichtigen Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) in der AWS KMS Dokumentation
+ [Bestimmung des Zugriffs auf AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html) in der AWS KMS Dokumentation
## Konfigurieren Sie Load Balancer-Listener für die Verwendung sicherer Protokolle
[Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) verteilt den eingehenden Anwendungsdatenverkehr automatisch auf mehrere Ziele. Sie konfigurieren Ihren Load Balancer für eingehenden Datenverkehr, indem Sie einen oder mehrere *Listener* angeben. Ein Listener ist ein Prozess, der mit dem Protokoll und dem Port, das bzw. den Sie konfigurieren, Verbindungsanforderungen prüft. Jeder Load Balancer-Typ unterstützt unterschiedliche Protokolle und Ports:
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) treffen Routing-Entscheidungen auf Anwendungsebene und verwenden HTTP- oder HTTPS-Protokolle.
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) treffen Routing-Entscheidungen auf der Transportschicht und verwenden die Protokolle TCP, TLS, UDP oder TCP\_UDP.
+ [Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) treffen Routing-Entscheidungen entweder auf der Transportschicht (mithilfe von TCP- oder SSL-Protokollen) oder auf der Anwendungsebene (mithilfe von HTTP- oder HTTPS-Protokollen).
Wir empfehlen, immer die Protokolle HTTPS oder TLS zu verwenden. Diese Protokolle stellen sicher, dass der Load Balancer für die Verschlüsselung und Entschlüsselung des Datenverkehrs zwischen dem Client und dem Ziel verantwortlich ist.
Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Listener für Ihre Application Load Balancer in der Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) Balancing-Dokumentation
+ [Listener für Ihren Classic Load Balancer in der Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html) Balancing-Dokumentation
+ [Listener für Ihre Network Load Balancer in der Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-listeners.html) Balancing-Dokumentation
+ [Stellen Sie in Prescriptive Guidance sicher, dass AWS Load Balancer sichere Listener-Protokolle verwenden](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/ensure-aws-load-balancers-use-secure-listener-protocols-https-ssl-tls.html) AWS
+ [elb-tls-https-listeners-nur in der Dokumentation](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) AWS Config
+ [Classic Load Balancer Balancer-Listener sollten in der Security Hub CSPM-Dokumentation mit HTTPS- oder TLS-Terminierung konfiguriert werden](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-3)
+ Der [Application Load Balancer sollte in der Security Hub CSPM-Dokumentation so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1) werden