Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Infrastruktursicherheit in Amazon VPC
Als verwalteter Service ist Amazon Virtual Private Cloud durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon VPC zuzugreifen. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Cipher-Suites mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Diffie-Hellman Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Netzwerkisolierung
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der AWS Cloud. Verwenden Sie separate VPCs, um die Infrastruktur nach Workload oder Organisationseinheit zu isolieren.
Ein Subnetz ist ein Bereich von IP-Adressen in einer VPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Verwenden Sie Subnetze, um Ihre Anwendungsschichten (z. B. Web, Anwendung und Datenbank) innerhalb einer einzelnen VPC zu isolieren. Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.
Sie können AWS PrivateLinkdamit Ressourcen in Ihrer VPC so einrichten, dass sie AWS-Services über private IP-Adressen eine Verbindung herstellen, als ob diese Dienste direkt in Ihrer VPC gehostet würden. Daher müssen Sie für den Zugriff kein Internet-Gateway oder NAT-Gerät verwenden. AWS-Services
Kontrollieren des Netzwerkverkehrs
Erwägen Sie die folgenden Optionen für die Kontrolle des Netzwerkverkehrs zu den Ressourcen in Ihrer VPC, wie beispielsweise EC2-Instances:
Nutzen Sie Sicherheitsgruppen als primären Mechanismus zur Steuerung des Netzwerkzugriffs auf VPCs. Verwenden Sie bei Bedarf Netzwerk-ACLs sparsam, um zustandslose, grobkörnige Netzwerksteuerung zu ermöglichen. Sicherheitsgruppen sind vielseitiger als Netzwerk-ACLs aufgrund ihrer Fähigkeit, zustandsbehaftete Paketfilterungen durchzuführen und Regeln zu erstellen, die auf andere Sicherheitsgruppen verweisen. Netzwerk-ACLs können als sekundäre Kontrolle (z. B. zum Verweigern einer bestimmten Teilmenge des Datenverkehrs) oder als übergeordnete Subnetzleitplanken wirksam sein. Da Netzwerk-ACLs für ein ganzes Subnetz gelten, können sie außerdem zur Tiefenverteidigung eingesetzt werden, falls eine Instance einmal ohne die richtige Sicherheitsgruppe gestartet wird.
Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen. Verwenden Sie einen Bastion-Host oder ein NAT-Gateway für den Internetzugriff von Instances in einem privaten Subnetz.
Konfigurieren Sie Subnetz-Routing-Tabellen mit den minimalen Netzwerkrouten, um Ihre Konnektivitätsanforderungen zu erfüllen.
Erwägen Sie, zusätzliche Sicherheitsgruppen oder Netwerk-Schnittstellen, um den Datenverkehr der Amazon Ec2-Instance-Verwaltung getrennt vom regulären Anwendungsdatenverkehr zu steuern und zu prüfen. So können Sie spezielle IAM-Richtlinien für die Änderungskontrolle implementieren, die die Prüfung von Änderungen an Sicherheitsgruppenregeln oder automatischen Skripten zur Regelüberprüfung erleichtern. Mehrere Netzwerk-Schnittstellen bieten außerdem zusätzliche Optionen zur Steuerung des Netzwerkdatenverkehrs, einschließlich der Möglichkeit, hostbasierte Routing-Richtlinien zu erstellen oder verschiedene VPC-Subnetz-Routing-Regeln basierend auf einer einem Subnetz zugewiesenen Netzwerkschnittstelle zu nutzen.
-
Verwenden Sie AWS Virtual Private Network oder Direct Connect , um private Verbindungen von Ihren Remote-Netzwerken zu Ihren VPCs herzustellen. Weitere Informationen finden Sie unter Network-to-Amazon VPC-Konnektivitätsoptionen.
-
Verwenden Sie VPC Flow-Protokolle, um den Datenverkehr zu überwachen, der Ihre Instances erreicht.
-
Verwenden Sie AWS Security Hub CSPM
, um nach unbeabsichtigten Netzwerkzugriffsmöglichkeiten von Ihren Instances zu suchen. -
Verwenden Sie AWS Network Firewall, um die Subnetze in Ihrer VPC vor allgemeinen Netzwerkbedrohungen zu schützen.
Vergleichen von Sicherheitsgruppen und Netzwerk-ACLs
In der folgenden Tabelle sind die grundlegenden Unterschiede zwischen Sicherheitsgruppen und Netzwerk-ACLs zusammengefasst.
| Merkmal | Sicherheitsgruppe | Netzwerk-ACL |
|---|---|---|
| Betriebsniveau | Instance-Ebene | Subnetzniveau |
| Scope | Gilt für alle Instances, die mit der Sicherheitsgruppe verbunden sind. | Gilt für alle Instances in den verbundenen Subnetzen |
| Art der Regel | Nur Regeln zulassen | Zulassen- und Verweigern-Regeln |
| Regelauswertung | Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. | Bewertet Regeln in aufsteigender Reihenfolge, bis eine Übereinstimmung für den Datenverkehr gefunden wird |
| Datenverkehr zurücksenden | Automatisch zugelassen (zustandsbehaftet) | Muss ausdrücklich erlaubt sein (zustandslos) |
Die folgende Abbildung stellt die Sicherheitsebenen dar, die von Sicherheitsgruppen und Netzwerk-ACLs bereitgestellt werden. Datenverkehr von einem Internet-Gateway wird beispielsweise mithilfe der Routen aus der Routing-Tabelle an das entsprechende Subnetz weitergeleitet. Über die Regeln der dem Subnetz zugeordneten Netzwerk-ACL wird festgelegt, welcher Datenverkehr auf das Subnetz zugreifen kann. Über die Regeln der einer Instance zugeordneten Sicherheitsgruppe wird festgelegt, welcher Datenverkehr auf die Instance zugreifen kann.
Sie können Ihre Instances nur mit Sicherheitsgruppen sichern. Sie können jedoch Netzwerk-ACLs als zusätzliche Verteidigungsebene hinzufügen. Weitere Informationen finden Sie unter Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz.
