SEC09-BP03 Netzwerkkommunikation authentifizieren - Säule der Sicherheit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC09-BP03 Netzwerkkommunikation authentifizieren

Überprüfen Sie die Identität der Kommunikation mithilfe von Protokollen, die die Authentifizierung unterstützen, wie Transport Layer Security (TLS) oderIPsec.

Gestalten Sie Ihre Workload so, dass bei der Kommunikation zwischen Services, Anwendungen oder Benutzern sichere, authentifizierte Netzwerkprotokolle verwendet werden. Die Verwendung von Netzwerkprotokollen, die Authentifizierung und Autorisierung unterstützen, ermöglicht eine bessere Kontrolle des Netzwerkflusses und reduziert die Auswirkungen von nicht autorisiertem Zugriff.

Gewünschtes Ergebnis: Eine Workload mit klar definierten Datenflüssen auf Daten- und Steuerebene zwischen Services. Die Datenflüsse verwenden authentifizierte und verschlüsselte Netzwerkprotokolle, sofern dies technisch möglich ist.

Typische Anti-Muster:

  • unverschlüsselte oder unauthentifizierte Datenflüsse innerhalb Ihrer Workload

  • Wiederverwendung von Authentifizierungsdaten für mehrere Benutzer oder Entitäten

  • alleinige Verwendung von Netzwerkkontrollen als Zugriffskontrolle

  • Erstellung eines benutzerdefinierten Authentifizierungsmechanismus, anstatt sich auf branchenübliche Standard-Authentifizierungsmechanismen zu verlassen

  • Übermäßig freizügiger Datenverkehr fließt zwischen Dienstkomponenten oder anderen Ressourcen in der. VPC

Vorteile der Nutzung dieser bewährten Methode:

  • Schränkt den Umfang der Auswirkungen eines unberechtigten Zugriffs auf einen Teil des Workloads ein.

  • Bietet ein höheres Maß an Sicherheit, dass Aktionen nur von authentifizierten Personen durchgeführt werden können.

  • Verbessert die Entkopplung von Services, indem die vorgesehenen Schnittstellen für die Datenübertragung klar definiert und erzwungen werden.

  • Verbessert die Überwachung und Protokollierung sowie die Reaktion auf Vorfälle durch Zuordnung von Anforderungen sowie durch klar definierte Kommunikationsschnittstellen.

  • Sorgt defense-in-depth für Ihre Workloads, indem Netzwerkkontrollen mit Authentifizierungs- und Autorisierungskontrollen kombiniert werden.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Niedrig

Implementierungsleitfaden

Die Netzwerkdatenverkehrsmuster Ihrer Workload lassen sich in zwei Kategorien einteilen:

  • Der Ost-West-Verkehr steht für Datenflüsse zwischen Services, die eine Workload ausmachen.

  • Der Nord-Süd-Verkehr stellt die Datenflüsse zwischen Ihrer Workload und den Consumern dar.

Während es üblich ist, den Nord-Süd-Verkehr zu verschlüsseln, ist der Schutz des Ost-West-Verkehrs mit authentifizierten Protokollen weniger verbreitet. In modernen Sicherheitspraktiken wird darauf hingewiesen, dass das Netzwerkdesign allein noch keine vertrauenswürdige Beziehung zwischen zwei Entitäten gewährleistet. Auch wenn sich zwei Services innerhalb einer gemeinsamen Netzwerkgrenze befinden, ist es immer noch die beste Methode, die Kommunikation zwischen diesen Services zu verschlüsseln, zu authentifizieren und zu autorisieren.

Beispielsweise APIs verwendet der AWS Dienst das Signaturprotokoll AWS Signature Version 4 (Sigv4), um den Anrufer zu authentifizieren, unabhängig davon, aus welchem Netzwerk die Anfrage stammt. Diese Authentifizierung stellt sicher, dass die Identität, die die Aktion angefordert hat, verifiziert werden AWS APIs kann. Diese Identität kann dann mit Richtlinien kombiniert werden, um eine Autorisierungsentscheidung zu treffen und zu bestimmen, ob die Aktion zulässig sein soll oder nicht.

Dienste wie Amazon VPC Lattice und Amazon API Gateway ermöglichen es Ihnen, dasselbe SigV4-Signaturprotokoll zu verwenden, um Authentifizierung und Autorisierung für den Ost-West-Verkehr in Ihren eigenen Workloads hinzuzufügen. Wenn Ressourcen außerhalb Ihrer AWS Umgebung mit Diensten kommunizieren müssen, die eine SIGV4-basierte Authentifizierung und Autorisierung erfordern, können Sie AWS Identity and Access Management (IAM) Roles Anywhere auf der Nicht-Ressource verwenden, um temporäre Anmeldeinformationen abzurufen.AWS AWS Diese Anmeldeinformationen können verwendet werden, um Anforderungen für Services zu signieren, die Zugriff mithilfe von SigV4 autorisieren.

Ein weiterer gängiger Mechanismus zur Authentifizierung von Ost-West-Verkehr ist TLS die gegenseitige Authentifizierung (m). TLS Viele Internet of Things (IoT), business-to-business Anwendungen und Microservices verwenden m, TLS um die Identität beider Seiten einer TLS Kommunikation mithilfe von client- und serverseitigen X.509-Zertifikaten zu überprüfen. Diese Zertifikate können von () ausgestellt werden AWS Private Certificate Authority .AWS Private CA Sie können Dienste wie Amazon API Gateway und AWS App Meshdie Bereitstellung der TLS M-Authentifizierung für die Kommunikation zwischen oder innerhalb von Workloads verwenden. m TLS stellt zwar Authentifizierungsinformationen für beide Seiten einer TLS Kommunikation bereit, bietet jedoch keinen Autorisierungsmechanismus.

Schließlich sind OAuth 2.0 und OpenID Connect (OIDC) zwei Protokolle, die typischerweise zur Steuerung des Zugriffs auf Dienste durch Benutzer verwendet werden, aber jetzt auch für den service-to-service Datenverkehr immer beliebter werden. APIGateway bietet einen JSONWeb Token (JWT) -Authorizer, mit dem Workloads den Zugriff auf API Routen einschränken können, die von OIDC oder OAuth 2.0 JWTs ausgegebene Identitätsanbieter verwenden. OAuth2Bereiche können als Quelle für grundlegende Autorisierungsentscheidungen verwendet werden, aber die Autorisierungsprüfungen müssen immer noch in der Anwendungsebene implementiert werden, und OAuth2 Bereiche allein können komplexere Autorisierungsanforderungen nicht erfüllen.

Implementierungsschritte

  • Definieren und dokumentieren Sie Ihre Workload-Netzwerkflüsse: Der erste Schritt bei der Implementierung einer defense-in-depth Strategie besteht darin, die Datenverkehrsflüsse Ihres Workloads zu definieren.

    • Erstellen Sie ein Datenflussdiagramm, das klar definiert, wie Daten zwischen den verschiedenen Services, aus denen sich Ihre Workload zusammensetzt, übertragen werden. Dieses Diagramm ist der erste Schritt zur Erzwingung dieser Datenflüsse über authentifizierte Netzwerkkanäle.

    • Nutzen Sie Ihre Workloads in der Entwicklungs- und Testphase, um zu überprüfen, ob das Datenflussdiagramm das Verhalten der Workloads zur Laufzeit korrekt wiedergibt.

    • Ein Datenflussdiagramm kann auch bei der Durchführung einer Bedrohungsmodellierung nützlich sein, wie in SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen anhand eines Bedrohungsmodells beschrieben.

  • Einrichtung von Netzwerkkontrollen: Erwägen Sie AWS Möglichkeiten zur Einrichtung von Netzwerkkontrollen, die auf Ihre Datenflüsse abgestimmt sind. Netzwerkgrenzen sollten zwar nicht die einzige Sicherheitskontrolle sein, sie bieten jedoch eine Ebene in der defense-in-depth Strategie zum Schutz Ihrer Workloads.

    • Verwenden Sie Sicherheitsgruppen, um den Datenfluss zwischen Ressourcen zu definieren und einzuschränken.

    • Erwägen Sie AWS PrivateLinkdie Verwendung für die Kommunikation AWS sowohl mit Diensten als auch mit Diensten von Drittanbietern, die dies unterstützen AWS PrivateLink. Daten, die über einen AWS PrivateLink Schnittstellenendpunkt gesendet werden, verbleiben innerhalb des AWS Netzwerk-Backbones und werden nicht über das öffentliche Internet übertragen.

  • Implementieren Sie Authentifizierung und Autorisierung für alle Dienste in Ihrem Workload: Wählen Sie die AWS Dienste aus, die am besten geeignet sind, um authentifizierte, verschlüsselte Datenverkehrsflüsse in Ihrem Workload bereitzustellen.

    • Ziehen Sie Amazon VPC Lattice in Betracht, um die service-to-service Kommunikation zu sichern. VPCLattice kann die SigV4-Authentifizierung in Kombination mit Authentifizierungsrichtlinien verwenden, um den Zugriff zu kontrollieren. service-to-service

    • Für die service-to-service Kommunikation mit m TLS sollten Sie APIGateway oder App Mesh in Betracht ziehen. AWS Private CAkann verwendet werden, um eine private CA-Hierarchie einzurichten, die Zertifikate für die Verwendung mit m ausstellen kannTLS.

    • Bei der Integration mit Diensten, die OAuth 2.0 oder verwendenOIDC, sollten Sie erwägen, dass APIGateway den JWT Authorizer verwendet.

    • Für die Kommunikation zwischen Ihrer Workload und IoT-Geräten sollten Sie die Verwendung von AWS IoT Core in Betracht ziehen. Dadurch stehen Ihnen mehrere Optionen für die Verschlüsselung und Authentifizierung des Netzwerkverkehrs zur Verfügung.

  • Überwachung auf nicht autorisierten Zugriff: Überwachen Sie kontinuierlich unbeabsichtigte Kommunikationskanäle, nicht autorisierte Prinzipale, die versuchen, auf geschützte Ressourcen zuzugreifen, und andere unzulässige Zugriffsmuster.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele: