SEC05-BP01 Erstellen von Netzwerk-Layern

Gruppieren Sie Komponenten mit den gleichen Erreichbarkeitsanforderungen in Ebenen. Beispielsweise sollte ein Datenbank-Cluster in einer Virtual Private Cloud (VPC) ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. In einer serverlosen Arbeitslast, die ohne VPC ausgeführt wird, können ähnliche Ebenen und die Segmentierung mit Microservices dasselbe Ziel erreichen.

Komponenten wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Amazon Relational Database Service (Amazon RDS)-Datenbank-Cluster und AWS Lambda-Funktionen, die gemeinsame Verfügbarkeitsanforderungen haben, können in Ebenen unterteilt werden, welche von Subnetzen gebildet werden. Beispielsweise sollte ein Amazon RDS-Datenbank-Cluster in einer VPC ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. Dieser Ansatz auf mehreren Kontrollebenen mildert die Auswirkungen einer fehlerhaften Konfiguration einer einzelnen Ebene, wodurch möglicherweise unbeabsichtigter Zugriff möglich wäre. Für Lambda können Sie Ihre Funktionen in Ihrer VPC ausführen, um die VPC-basierten Kontrollen zu nutzen.

Für Netzwerkkonnektivität, die Tausende von VPCs, AWS-Konten und On-Premise-Netzwerke umfassen kann, empfiehlt sich die Verwendung von AWS Transit Gateway. Es fungiert als Hub, welcher den Datenfluss für alle als Speicher agierenden Netzwerke steuert. Der Datenverkehr zwischen einer Amazon Virtual Private Cloud und AWS Transit Gateway verbleibt im privaten AWS-Netzwerk, wodurch externe Bedrohungsvektoren wie DDoS-Angriffe (Distributed Denial of Service) und häufige Exploits wie SQL-Injection, Cross-Site-Scripting, Cross-Site-Anforderungsfälschung oder Missbrauch eines fehlerhaften Authentifizierungscodes reduziert werden. Das regionsübergreifende Peering von AWS Transit Gateway verschlüsselt auch den regionsübergreifenden Datenverkehr ohne Single Point of Failure oder Bandbreitenengpässe.

Risikostufe, wenn diese Best Practice nicht eingeführt wird: Hoch

Implementierungsleitfaden

Subnetze in VPC erstellen: Erstellen Sie Subnetze für jede Ebene (in Gruppen mit mehreren Availability Zones) und ordnen Sie Routing-Tabellen zu, um das Routing zu steuern.
- VPCs und Subnetze
- Routing-Tabellen

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Übung: Automatisierte Bereitstellung von VPC

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SICH 5 Wie schützen Sie Ihre Netzwerkressourcen?

SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen