# SEC05-BP03 Implementieren eines prüfungsbasierten Schutzes
<a name="sec_network_protection_inspection"></a>

 Richten Sie Kontrollpunkte für den Datenverkehr zwischen Ihren Netzwerkebenen ein, um sicherzustellen, dass die Daten während der Übertragung den erwarteten Kategorien und Mustern entsprechen.  Analysieren Sie Datenverkehrsströme, Metadaten und Muster, um Ereignisse effektiver zu identifizieren, zu erkennen und darauf zu reagieren. 

 **Gewünschtes Ergebnis:** Der Datenverkehr, der zwischen Ihren Netzwerkebenen verläuft, wird geprüft und autorisiert.  Entscheidungen über das Zulassen oder Verweigern von Zugriffen beruhen auf expliziten Regeln, Informationen über Bedrohungen und Abweichungen vom Grundverhalten.  Der Schutz wird strenger, je näher der Datenverkehr an sensible Daten heranrückt. 

 **Typische Anti-Muster:** 
+  Ausschließlich auf Firewall-Regeln vertrauen, die auf Ports und Protokollen basieren Vorteile intelligenter Systeme außer Acht lassen 
+  Erstellen von Firewall-Regeln auf der Grundlage bestimmter aktueller Bedrohungsmuster, die sich ändern können 
+  Überprüfung des Datenverkehrs beschränkt auf den Übergang von privaten zu öffentlichen Subnetzen oder von öffentlichen Subnetzen zum Internet 
+  Sie verfügen nicht über eine Basisansicht Ihres Netzwerkdatenverkehrs, die Sie auf Verhaltensanomalien hin überprüfen können. 

 **Vorteile der Einführung dieser bewährten Methode:** Prüfungssysteme ermöglichen es Ihnen, intelligente Regeln zu erstellen, z. B. den Datenverkehr nur dann zuzulassen oder zu verweigern, wenn bestimmte Bedingungen in den Datenverkehrsdaten vorliegen. Profitieren Sie von verwalteten Regelsätzen von AWS und Partnern, die auf den neuesten Bedrohungsdaten basieren, da sich die Bedrohungslandschaft im Laufe der Zeit verändert.  Dadurch verringert sich der Aufwand für die Pflege von Regeln und die Suche nach Indikatoren für eine Gefährdung, wodurch das Potenzial für Fehlalarme reduziert wird. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Kontrollieren Sie Ihren zustandsbehafteten und zustandslosen Netzwerkverkehr im Detail mit AWS Network Firewall oder anderen [Firewalls](https://aws.amazon.com/marketplace/search/results?searchTerms=firewalls) und [Intrusion Prevention Systems](https://aws.amazon.com/marketplace/search/results?searchTerms=Intrusion+Prevention+Systems) (IPS) in AWS Marketplace, die Sie hinter einer (GWLB) bereitstellen können. AWS Network Firewall unterstützt [Suricata-kompatible](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) Open-Source-IPS-Spezifikationen zum Schutz Ihres Workloads. 

 Sowohl die Lösung AWS Network Firewall als auch die Lösungen der Anbieter, die eine GWLB verwenden, unterstützen verschiedene Modelle für die Bereitstellung von Inline-Prüfungen.  Sie können zum Beispiel Prüfungen pro VPC durchführen, die Prüfungen in einer VPC zentralisieren oder in einem hybriden Modell bereitstellen, bei dem der Ost-West-Verkehr durch eine Prüfungs-VPC fließt und der Internet-Eingang pro VPC geprüft wird.  Eine weitere Frage ist, ob die Lösung das Unwrapping von Transport Layer Security (TLS) unterstützt und damit eine Deep Packet Inspection für Datenverkehrsflüsse in beide Richtungen ermöglicht. Weitere Informationen und ausführliche Details zu diesen Konfigurationen finden Sie in den [AWS Network Firewall Leitlinien für bewährte Methoden](https://aws.github.io/aws-security-services-best-practices/guides/network-firewall/). 

 Wenn Sie Lösungen verwenden, die Out-of-Band-Prüfungen durchführen, wie z. B. die pcap-Analyse von Paketdaten von Netzwerkschnittstellen, die im Promiscuous-Modus arbeiten, können Sie die [VPC traffic mirroring](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) konfigurieren. Gespiegelter Datenverkehr wird auf die verfügbare Bandbreite Ihrer Schnittstellen angerechnet und unterliegt denselben Datenübertragungsgebühren wie nicht gespiegelter Datenverkehr. Sie können sehen, ob virtuelle Versionen dieser Appliances auf der [AWS Marketplace](https://aws.amazon.com/marketplace/solutions/infrastructure-software/cloud-networking) verfügbar sind, die möglicherweise eine Inline-Bereitstellung hinter einer GWLB unterstützen. 

 Bei Komponenten, die über HTTP-basierte Protokolle abgewickelt werden, schützen Sie Ihre Anwendung mit einer Web Application Firewall (WAF) vor gängigen Bedrohungen. [AWS WAF](https://aws.amazon.com/waf) ist eine Web Application Firewall, mit der Sie HTTP(S)-Anfragen, die Ihren konfigurierbaren Regeln entsprechen, überwachen und blockieren können, bevor sie an Amazon API Gateway, Amazon CloudFront, AWS AppSync oder Application Load Balancer gesendet werden. Wenn Sie die Bereitstellung Ihrer Web Application Firewall prüfen, sollten Sie eine Deep Packet Inspection in Betracht ziehen, da einige Firewalls verlangen, dass Sie TLS vor der Überprüfung des Datenverkehrs beenden. Um mit AWS WAF zu beginnen, können Sie [Von AWS verwaltete Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) in Kombination mit Ihren eigenen oder mit bestehenden [Partner-Integrationen](https://aws.amazon.com/waf/partners/) verwenden. 

 Sie können Sicherheitsgruppen für AWS WAF, AWS Shield Advanced, AWS Network Firewall und Amazon VPC in Ihrer gesamten AWS-Organisation mit [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) zentral verwalten.  

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  Legen Sie fest, ob Sie die Inspektionsregeln weit fassen können, z. B. durch eine Inspektions-VPC, oder ob Sie einen granulareren Ansatz pro VPC benötigen. 

1.  Für Inline-Prüfungslösungen: 

   1.  Wenn Sie AWS Network Firewall verwenden, erstellen Sie Regeln, Firewall-Richtlinien und die Firewall selbst. Sobald diese konfiguriert sind, können Sie den [Datenverkehr an den Endpunkt der Firewall leiten](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/), um die Prüfung zu aktivieren.  

   1.  Wenn Sie eine Appliance eines Drittanbieters mit einem Gateway Load Balancer (GWLB) verwenden, stellen Sie Ihre Appliance in einer oder mehreren Verfügbarkeitszonen bereit und konfigurieren sie. Dann erstellen Sie Ihre GWLB, den Endservice, den Endpunkt und konfigurieren das Routing für Ihren Datenverkehr. 

1.  Für Out-of-Band-Prüfungslösungen: 

   1.  Aktivieren Sie die VPC-Datenverkehrsspiegelung auf den Schnittstellen, auf denen der ein- und ausgehende Datenverkehr gespiegelt werden soll. Sie können Amazon EventBridge-Regeln verwenden, um eine AWS Lambda-Funktion aufzurufen, die die Datenverkehrsspiegelung auf Schnittstellen aktiviert, wenn neue Ressourcen erstellt werden. Richten Sie die Sitzungen zur Datenverkehrsspiegelung auf den Network Load Balancer vor Ihrer Appliance, der den Datenverkehr verarbeitet. 

1.  Für Lösungen für eingehenden Internetdatenverkehr: 

   1.  Um AWS WAF zu konfigurieren, beginnen Sie mit der Konfiguration einer Internet-Zugriffssteuerungsliste (Web Access Control List, web ACL). Die web ACL ist eine Sammlung von Regeln mit einer seriell verarbeiteten Standardaktion (ALLOW oder DENY), die definiert, wie Ihre WAF den Datenverkehr behandelt. Sie können Ihre eigenen Regeln und Gruppen erstellen oder verwaltete Regelgruppen von AWS in Ihrer web ACL verwenden. 

   1.  Sobald Ihre web ACL konfiguriert ist, verknüpfen Sie die Web-ACL mit einer AWS-Ressource (z. B. einer Application Load Balancer, API Gateway-REST-API oder CloudFront-Distribution), um den Webverkehr zu schützen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [What is Traffic Mirroring?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 
+  [Implementing inline traffic inspection using third-party security appliances](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/welcome.html) 
+  [AWS Network Firewall example architectures with routing](https://docs.aws.amazon.com/network-firewall/latest/developerguide/architectures.html) 
+  [Centralized inspection architecture with AWS Gateway Load Balancer and AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) 

 **Zugehörige Beispiele:** 
+  [Best practices for deploying Gateway Load Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/) 
+  [TLS inspection configuration for encrypted egress traffic and AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-egress-traffic-and-aws-network-firewall/) 

 **Zugehörige Tools:** 
+  [AWS Marketplace IDS/IPS](https://aws.amazon.com/marketplace/search/results?prevFilters=%257B%2522id%2522%3A%25220ed48363-5064-4d47-b41b-a53f7c937314%2522%257D&searchTerms=ids%2Fips)