Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Infrastruktursicherheit in Amazon VPC
Als verwalteter Service ist Amazon Virtual Private Cloud durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon VPC zuzugreifen. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Netzwerkisolierung
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der AWS Cloud. Verwenden Sie VPCs es separat, um die Infrastruktur nach Arbeitslast oder organisatorischer Einheit zu isolieren.
Ein Subnetz ist ein Bereich von IP-Adressen in einer VPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Verwenden Sie Subnetze, um Ihre Anwendungsschichten (z. B. Web, Anwendung und Datenbank) innerhalb einer einzelnen VPC zu isolieren. Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.
Sie können AWS PrivateLinkdamit Ressourcen in Ihrer VPC so einrichten, dass sie AWS-Services über private IP-Adressen eine Verbindung herstellen, als ob diese Dienste direkt in Ihrer VPC gehostet würden. Daher müssen Sie für den Zugriff kein Internet-Gateway oder NAT-Gerät verwenden. AWS-Services
Kontrollieren des Netzwerkverkehrs
Ziehen Sie die folgenden Optionen zur Steuerung des Netzwerkverkehrs zu den Ressourcen in Ihrer VPC, wie z. B. EC2 Instances, in Betracht:
Verwenden Sie Sicherheitsgruppen als primären Mechanismus zur Steuerung des Netzwerkzugriffs auf Ihre VPCs. Verwenden Sie bei Bedarf das Netzwerk, ACLs um eine zustandslose, grobe Netzwerksteuerung zu ermöglichen. Sicherheitsgruppen sind vielseitiger als Netzwerke ACLs, da sie statusbehaftete Pakete filtern und Regeln erstellen können, die auf andere Sicherheitsgruppen verweisen. Das Netzwerk ACLs kann als sekundäre Kontrolle (z. B. zur Abwehr einer bestimmten Teilmenge des Datenverkehrs) oder als Schutzwall für Subnetze auf hoher Ebene eingesetzt werden. Da Netzwerke ACLs für ein ganzes Subnetz gelten, können sie auch so verwendet werden, als ob defense-in-depth eine Instance jemals ohne die richtige Sicherheitsgruppe gestartet wird.
Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen. Verwenden Sie einen Bastion-Host oder ein NAT-Gateway für den Internetzugriff von Instances in einem privaten Subnetz.
Konfigurieren Sie Subnetz-Routing-Tabellen mit den minimalen Netzwerkrouten, um Ihre Konnektivitätsanforderungen zu erfüllen.
Erwägen Sie die Verwendung zusätzlicher Sicherheitsgruppen oder Netzwerkschnittstellen, um den Datenverkehr der EC2 Amazon-Instance-Verwaltung getrennt vom regulären Anwendungsdatenverkehr zu kontrollieren und zu prüfen. So können Sie spezielle IAM-Richtlinien für die Änderungskontrolle implementieren, die die Prüfung von Änderungen an Sicherheitsgruppenregeln oder automatischen Skripten zur Regelüberprüfung erleichtern. Mehrere Netzwerk-Schnittstellen bieten außerdem zusätzliche Optionen zur Steuerung des Netzwerkdatenverkehrs, einschließlich der Möglichkeit, hostbasierte Routing-Richtlinien zu erstellen oder verschiedene VPC-Subnetz-Routing-Regeln basierend auf einer einem Subnetz zugewiesenen Netzwerkschnittstelle zu nutzen.
-
Verwenden Sie AWS Virtual Private Network oder Direct Connect , um private Verbindungen von Ihren Remote-Netzwerken zu Ihren herzustellen VPCs. Weitere Informationen finden Sie unter Network-to-Amazon VPC-Konnektivitätsoptionen.
-
Verwenden Sie VPC Flow-Protokolle, um den Datenverkehr zu überwachen, der Ihre Instances erreicht.
-
Verwenden Sie AWS Security Hub CSPM
, um nach unbeabsichtigten Netzwerkzugriffsmöglichkeiten von Ihren Instances zu suchen. -
Verwenden Sie AWS Network Firewall, um die Subnetze in Ihrer VPC vor allgemeinen Netzwerkbedrohungen zu schützen.
Vergleichen Sie Sicherheitsgruppen und Netzwerk ACLs
In der folgenden Tabelle sind die grundlegenden Unterschiede zwischen Sicherheitsgruppen und Netzwerken ACLs zusammengefasst.
| Merkmal | Sicherheitsgruppe | Netzwerk-ACL |
|---|---|---|
| Betriebsniveau | Instance-Ebene | Subnetzniveau |
| Scope | Gilt für alle Instances, die mit der Sicherheitsgruppe verbunden sind. | Gilt für alle Instances in den verbundenen Subnetzen |
| Art der Regel | Nur Regeln zulassen | Zulassen- und Verweigern-Regeln |
| Regelauswertung | Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. | Bewertet Regeln in aufsteigender Reihenfolge, bis eine Übereinstimmung für den Datenverkehr gefunden wird |
| Datenverkehr zurücksenden | Automatisch zugelassen (zustandsbehaftet) | Muss ausdrücklich erlaubt sein (zustandslos) |
Das folgende Diagramm zeigt die Sicherheitsebenen, die von Sicherheitsgruppen und Netzwerken bereitgestellt ACLs werden. Datenverkehr von einem Internet-Gateway wird beispielsweise mithilfe der Routen aus der Routing-Tabelle an das entsprechende Subnetz weitergeleitet. Über die Regeln der dem Subnetz zugeordneten Netzwerk-ACL wird festgelegt, welcher Datenverkehr auf das Subnetz zugreifen kann. Über die Regeln der einer Instance zugeordneten Sicherheitsgruppe wird festgelegt, welcher Datenverkehr auf die Instance zugreifen kann.
Sie können Ihre Instances nur mit Sicherheitsgruppen sichern. Sie können jedoch ein Netzwerk ACLs als zusätzliche Verteidigungsebene hinzufügen. Weitere Informationen finden Sie unter Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz.
