# SICH 9 Wie schützen Sie Ihre Daten bei der Übertragung?
Schützen Sie Ihre Daten während der Übertragung, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder Verlusts zu reduzieren.
**Topics**
+ [SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifizieren der Netzwerkkommunikation](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung
Speichern Sie Verschlüsselungsschlüssel und Zertifikate sicher und ändern Sie sie in angemessenen Zeitintervallen mit strenger Zugriffskontrolle. Um dies zu erreichen, verwenden Sie am besten einen verwalteten Service, wie z. B. [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Damit können Sie problemlos öffentliche und private TLS-Zertifikate (Transport Layer Security) zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen verwalten und bereitstellen. TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites über das Internet sowie Ressourcen in privaten Netzwerken zu bestimmen. ACM lässt sich in AWS-Ressourcen wie Elastic Load Balancers (ELBs), AWS-Verteilungen und APIs auf API Gateway integrieren und verarbeitet auch automatische Zertifikatserneuerungen. Wenn Sie ACM verwenden, um eine private Root-CA bereitzustellen, können von ihr sowohl Zertifikate als auch private Schlüssel zur Verwendung in Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Containern usw. bereitgestellt werden.
**Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung: Implementieren Sie die definierte Lösung zur sicheren Schlüssel- und Zertifikatverwaltung.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Hosten und Verwalten einer ganzen privaten Zertifikatinfrastruktur in AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementieren sicherer Protokolle: Verwenden Sie sichere Protokolle wie Transport Layer Security (TLS) oder IPsec, die Authentifizierung und Vertraulichkeit bieten, um das Risiko der Manipulation oder des Verlusts von Daten zu reduzieren. Überprüfen Sie die AWS-Dokumentation auf Protokolle und Sicherheitsinformationen, die für die von Ihnen verwendeten Services relevant sind.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS-Dokumentation ](https://docs.aws.amazon.com/)
# SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung
Erzwingen Sie Ihre definierten Verschlüsselungsanforderungen basierend auf den Richtlinien, regulatorischen Verpflichtungen und Standards Ihrer Organisation, damit Sie Ihre Unternehmens-, Rechts- und Compliance-Anforderungen erfüllen können. Verwenden Sie nur Protokolle mit Verschlüsselung, wenn Sie vertrauliche Daten außerhalb Ihrer Virtual Private Cloud (VPC) übertragen. Verschlüsselung hilft bei der Wahrung der Datenvertraulichkeit auch dann, wenn die Daten nicht vertrauenswürdige Netzwerke durchqueren.
**Gewünschtes Ergebnis:** Alle Daten sollten während der Übertragung mithilfe von sicheren TLS-Protokollen und Verschlüsselungssammlungen verschlüsselt werden. Der Netzwerkverkehr zwischen Ihren Ressourcen und dem Internet muss verschlüsselt werden, um nicht autorisierten Zugriff auf die Daten zu verhindern. Nur der Netzwerkverkehr in Ihrer internen AWS-Umgebung sollte wenn möglich mit TLS verschlüsselt werden. Das interne AWS-Netzwerk ist standardmäßig verschlüsselt und der Netzwerkverkehr innerhalb einer VPC kann nicht manipuliert oder analysiert werden, es sei denn, eine unbefugte Partei hat sich Zugang zu der Ressource verschafft, die den Datenverkehr generiert (wie beispielsweise Amazon EC2-Instances und Amazon ECS-Container). Überlegen Sie, ob Sie den Netzwerk-zu-Netzwerk-Datenverkehr mit einem IPsec Virtual Private Network (VPN) schützen sollten.
**Typische Anti-Muster:**
+ Verwendung veralteter Versionen von SSL, TLS und Komponenten von Verschlüsselungssammlungen (z. B. SSL v3.0, RSA-Schlüssel mit 1 024 Bit und RC4-Verschlüsselung)
+ Zulassen von unverschlüsseltem (HTTP-)Datenverkehr zu oder von öffentlich zugänglichen Ressourcen
+ keine Überwachung und kein Ersatz von X.509-Zertifikaten, bevor sie ablaufen
+ Verwendung von selbstsignierten X.509-Zertifikaten für TLS
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch
## Implementierungsleitfaden
AWS-Services bieten HTTPS-Endpunkte, die für die Kommunikation TLS nutzen. Dadurch werden die Daten bei der Kommunikation mit den AWS-APIs während der Übertragung verschlüsselt. Unsichere Protokolle wie HTTP können in einer VPC durch die Verwendung von Sicherheitsgruppen überprüft und blockiert werden. HTTP-Anfragen können in Amazon CloudFront oder einem [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions) auch [automatisch an HTTPS umgeleitet](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) werden. Sie haben uneingeschränkte Kontrolle über Ihre Datenverarbeitungsressourcen und können die Verschlüsselung während der Übertragung in alle Ihre Services implementieren. Darüber hinaus können Sie die VPN-Konnektivität mit Ihrer VPC von einem externen Netzwerk oder [AWS Direct Connect](https://aws.amazon.com/directconnect/) aus verwenden, um die Verschlüsselung des Datenverkehrs zu erleichtern. Stellen Sie sicher, dass Ihre Kunden AWS-API-Aufrufe mindestens mit TLS 1.2 tätigen, da [AWS die Verwendung von TLS 1.0 und 1.1 im Juni 2023 einstellt](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Sollten Sie besondere Anforderungen haben, finden Sie Lösungen von Drittanbietern im AWS Marketplace.
**Implementierungsschritte**
+ **Erzwingen der Verschlüsselung bei der Übertragung:** Die definierten Verschlüsselungsanforderungen sollten sich nach den neuesten Standards und bewährten Methoden richten und nur sichere Protokolle zulassen. Konfigurieren Sie beispielsweise eine Sicherheitsgruppe, die nur das HTTPS-Protokoll für einen Application Load Balancer oder eine Amazon EC2-Instance zulässt.
+ **Konfigurieren von sicheren Protokollen bei Edge-Services:** [Konfigurieren Sie HTTPS mit Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) und verwenden Sie ein [für Ihren Sicherheitsstatus und Ihren Anwendungsfall geeignetes Sicherheitsprofil](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers).
+ **Verwenden eines [VPN für die externe Konnektivität](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):** Ziehen Sie ein IPsec-VPN in Betracht, um Punkt-zu-Punkt- oder Netzwerk-zu-Netzwerk-Verbindungen zu sichern und so den Datenschutz und die Datenintegrität zu gewährleisten.
+ **Konfigurieren von sicheren Protokollen bei Load Balancern:** Wählen Sie eine Sicherheitsrichtlinie aus, die die stärksten Verschlüsselungssammlungen bereitstellt, die von den Clients unterstützt werden, die eine Verbindung mit dem Listener herstellen. [Erstellen Sie einen HTTPS-Listener für Ihren Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ **Konfigurieren von sicheren Protokollen in Amazon Redshift:** Konfigurieren Sie Ihren Cluster so, dass eine [Verbindung über Secure Socket Layer (SSL) or Transport Layer Security (TLS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html) vorgeschrieben ist.
+ **Konfigurieren von sicheren Protokollen:** Sehen Sie sich die AWS-Servicedokumentation an, um die Funktionen zur Verschlüsselung während der Übertragung zu bestimmen.
+ **Konfigurieren von sicherem Zugriff beim Hochladen in Amazon S3-Buckets:** Verwenden Sie die Richtlinienkontrolle für Amazon S3-Buckets, um [sicheren Zugriff](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) auf Daten zu erzwingen.
+ **Erwägen der Verwendung von [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):** ACM ermöglicht das Bereitstellen und Verwalten von öffentlichen TLS-Zertifikaten zur Verwendung mit AWS-Services.
+ **Erwägen der Verwendung von [AWS Private Certificate Authority](https://aws.amazon.com/private-ca/) für private PKI-Anforderungen:** AWS Private CA ermöglicht das Erstellen privater Zertifizierungsstellenhierarchien, um X.509-Endentitätszertifikate auszustellen, die zum Erstellen verschlüsselter TLS-Kanäle verwendet werden können.
## Ressourcen
**Zugehörige Dokumente:**
+ [ Dokumentation zu AWS](https://docs.aws.amazon.com/index.html)
+ [ Verwenden von HTTPS mit CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Verbinden Ihrer VPC mit Remote-Netzwerken über AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Create an HTTPS listener for your Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)(Erstellen eines HTTPS-Listeners für Ihren Application Load Balancer)
+ [ Tutorial: SSL/TLS unter Amazon Linux 2 konfigurieren ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [Konfigurieren von Sicherheitsoptionen für Verbindungen ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
# SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff
Verwenden Sie Tools wie Amazon GuardDuty zum automatischen Erkennen von verdächtigen Aktivitäten oder Versuchen, Daten außerhalb definierter Grenzen zu verschieben. GuardDuty kann beispielsweise ungewöhnliche Amazon Simple Storage Service (Amazon S3)-Leseaktivitäten erkennen. Verwendet wird dafür [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Zusätzlich zu GuardDuty können auch [Amazon VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), die die Netzwerkverkehrsinformationen erfassen, zusammen mit Amazon EventBridge verwendet werden, um die Erkennung anormaler Verbindungen – sowohl erfolgreich als auch abgelehnt – zu berichten. [Mit Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) können Sie ermitteln, welche Daten für wen in Ihren Amazon S3-Buckets zugänglich sind.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Automatisieren der Erkennung von unbefugtem Datenzugriff: Setzen Sie Tools oder Erkennungsmechanismen ein, die automatisch erkennen, wenn versucht wird, Daten außerhalb festgelegter Grenzen zu verschieben. Damit lässt sich beispielsweise ein Datenbanksystem erkennen, das Daten auf einen unbekannten Host kopiert.
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Erwägen von Amazon Macie: Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der mithilfe von Machine Learning und Mustervergleichen Ihre sensiblen Daten in AWS erkennt und schützt.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Ressourcen
**Ähnliche Dokumente:**
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Authentifizieren der Netzwerkkommunikation
Überprüfen Sie die Identität der Kommunikation mithilfe von Protokollen, die die Authentifizierung unterstützen, wie Transport Layer Security (TLS) oder IPsec.
Durch die Verwendung von Netzwerkprotokollen, die die Authentifizierung unterstützen, kann eine Vertrauensstellung zwischen den kommunizierenden Einheiten hergestellt werden. Dadurch wird die im Protokoll verwendete Verschlüsselung hinzugefügt, um das Risiko zu verringern, dass die Kommunikation geändert oder abgefangen wird. Häufig verwendete Protokolle, die die Authentifizierung implementieren, sind Transport Layer Security (TLS), das in vielen AWS-Services verwendet wird, sowie IPsec, welches in [AWS Virtual Private Network (Site-to-Site VPN) verwendet wird](http://aws.amazon.com/vpn).
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Implementieren sicherer Protokolle: Verwenden Sie sichere Protokolle wie TLS oder IPsec, die Authentifizierung und Vertraulichkeit bieten, um das Risiko der Manipulation oder des Verlusts von Daten zu reduzieren. Überprüfen Sie die [AWS-Dokumentation](https://docs.aws.amazon.com/) auf Protokolle und Sicherheitsinformationen, die für die von Ihnen verwendeten Services relevant sind.
## Ressourcen
**Ähnliche Dokumente:**
+ [AWS-Dokumentation](https://docs.aws.amazon.com/)