Infrastruktursicherheit in Amazon VPC
Als verwalteter Service ist die Amazon Virtual Private Cloud durch die globale AWS-Netzwerksicherheit geschützt. Informationen zu AWS-Sicherheitsservices und wie AWS die Infrastruktur schützt, finden Sie unter AWS-Cloud-Sicherheit
Sie verwenden von AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon VPC zuzugreifen. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Netzwerkisolierung
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der AWS Cloud. Verwenden Sie separate VPCs, um die Infrastruktur nach Workload oder Organisationseinheit zu isolieren.
Ein Subnetz ist ein Bereich von IP-Adressen in einer VPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Verwenden Sie Subnetze, um Ihre Anwendungsschichten (z. B. Web, Anwendung und Datenbank) innerhalb einer einzelnen VPC zu isolieren. Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.
Sie können AWS PrivateLink verwenden, um Ressourcen in Ihrer VPC zu ermöglichen, sich über private IP-Adressen mit AWS-Services zu verbinden, als ob diese Services direkt in Ihrer VPC gehostet würden. Sie benötigen daher kein Internet-Gateway oder kein NAT-Gerät für den Zugriff auf AWS-Services.
Kontrollieren des Netzwerkverkehrs
Erwägen Sie die folgenden Optionen für die Kontrolle des Netzwerkverkehrs zu den Ressourcen in Ihrer VPC, wie beispielsweise EC2-Instances:
Nutzen Sie Sicherheitsgruppen als primären Mechanismus zur Steuerung des Netzwerkzugriffs auf VPCs. Verwenden Sie bei Bedarf Netzwerk-ACLs sparsam, um zustandslose, grobkörnige Netzwerksteuerung zu ermöglichen. Sicherheitsgruppen sind vielseitiger als Netzwerk-ACLs aufgrund ihrer Fähigkeit, zustandsbehaftete Paketfilterungen durchzuführen und Regeln zu erstellen, die auf andere Sicherheitsgruppen verweisen. Netzwerk-ACLs können als sekundäre Kontrolle (z. B. zum Verweigern einer bestimmten Teilmenge des Datenverkehrs) oder als übergeordnete Subnetzleitplanken wirksam sein. Da Netzwerk-ACLs für ein ganzes Subnetz gelten, können sie außerdem zur Tiefenverteidigung eingesetzt werden, falls eine Instance einmal ohne die richtige Sicherheitsgruppe gestartet wird.
Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen. Verwenden Sie einen Bastion-Host oder ein NAT-Gateway für den Internetzugriff von Instances in einem privaten Subnetz.
Konfigurieren Sie Subnetz-Routing-Tabellen mit den minimalen Netzwerkrouten, um Ihre Konnektivitätsanforderungen zu erfüllen.
Erwägen Sie, zusätzliche Sicherheitsgruppen oder Netwerk-Schnittstellen, um den Datenverkehr der Amazon Ec2-Instance-Verwaltung getrennt vom regulären Anwendungsdatenverkehr zu steuern und zu prüfen. So können Sie spezielle IAM-Richtlinien für die Änderungskontrolle implementieren, die die Prüfung von Änderungen an Sicherheitsgruppenregeln oder automatischen Skripten zur Regelüberprüfung erleichtern. Mehrere Netzwerk-Schnittstellen bieten außerdem zusätzliche Optionen zur Steuerung des Netzwerkdatenverkehrs, einschließlich der Möglichkeit, hostbasierte Routing-Richtlinien zu erstellen oder verschiedene VPC-Subnetz-Routing-Regeln basierend auf einer einem Subnetz zugewiesenen Netzwerkschnittstelle zu nutzen.
-
Verwenden Sie AWS Virtual Private Network oder Direct Connect, um private Verbindungen von Ihren Remote-Netzwerken zu Ihren VPCs herzustellen. Weitere Informationen finden Sie unter Verbindungsoptionen zwischen Netzwerk und Amazon VPC.
-
Verwenden Sie VPC Flow-Protokolle, um den Datenverkehr zu überwachen, der Ihre Instances erreicht.
-
Verwenden Sie AWS Security Hub
, um nach unbeabsichtigten Netzwerkzugriffsmöglichkeiten von Ihren Instances zu suchen. -
Verwenden Sie AWS Network Firewall, um die Subnetze in Ihrer VPC vor allgemeinen Netzwerkbedrohungen zu schützen.
Vergleichen von Sicherheitsgruppen und Netzwerk-ACLs
In der folgenden Tabelle sind die grundlegenden Unterschiede zwischen Sicherheitsgruppen und Netzwerk-ACLs zusammengefasst.
| Merkmal | Sicherheitsgruppe | Netzwerk-ACL |
|---|---|---|
| Betriebsniveau | Instance-Ebene | Subnetzniveau |
| Scope | Gilt für alle Instances, die mit der Sicherheitsgruppe verbunden sind. | Gilt für alle Instances in den verbundenen Subnetzen |
| Regeltyp | Nur Regeln zulassen | Zulassen- und Verweigern-Regeln |
| Regelauswertung | Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. | Bewertet Regeln in aufsteigender Reihenfolge, bis eine Übereinstimmung für den Datenverkehr gefunden wird |
| Datenverkehr zurücksenden | Automatisch zugelassen (zustandsbehaftet) | Muss ausdrücklich erlaubt sein (zustandslos) |
Die folgende Abbildung stellt die Sicherheitsebenen dar, die von Sicherheitsgruppen und Netzwerk-ACLs bereitgestellt werden. Datenverkehr von einem Internet-Gateway wird beispielsweise mithilfe der Routen aus der Routing-Tabelle an das entsprechende Subnetz weitergeleitet. Über die Regeln der dem Subnetz zugeordneten Netzwerk-ACL wird festgelegt, welcher Datenverkehr auf das Subnetz zugreifen kann. Über die Regeln der einer Instance zugeordneten Sicherheitsgruppe wird festgelegt, welcher Datenverkehr auf die Instance zugreifen kann.
Sie können Ihre Instances nur mit Sicherheitsgruppen sichern. Sie können jedoch Netzwerk-ACLs als zusätzliche Verteidigungsebene hinzufügen. Weitere Informationen finden Sie unter Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz.
