Einführung
Die Sicherung Ihres Kontos und Ihrer Cloud-Ressourcen kann eine schwierige Aufgabe sein. Sicherheitspraktiken müssen ständig überprüft und angepasst werden, da böswillige Akteure ihre Techniken ständig weiterentwickeln. In diesem Leitfaden finden Sie die wichtigsten Aufgaben, die Sie vom ersten Tag Ihrer Cloud-Reise an durchführen können. Die folgenden Praktiken werden als wesentlich für die Sicherheitslage einer Organisation angesehen, sind aber keineswegs allumfassend oder eine Sicherheitsgarantie. Wenden Sie diese Praktiken als Teil Ihrer laufenden Due-Diligence-Prüfung zur Cloud-Sicherheit an. Für jeden der folgenden Bereiche bieten wir zusätzliche Links, die das jeweilige Thema vertiefen.
-
Was ist Cloud-Sicherheit?
Was ist Cloud-Sicherheit? Ähnlich wie bei der traditionellen Sicherheit in On-Premises-Netzwerken geht es bei der Cloud-Sicherheit darum, eine sichere, leistungsstarke, widerstandsfähige und effiziente Infrastruktur für Ihre Anwendungen aufzubauen. Cloud-Sicherheit umfasst die Implementierung von Kontrollen, die darauf abzielen, unbefugten Zugriff zu verhindern, sowie Kontrollen zur Erkennung, Reaktion und Behebung von Problemen, falls erforderlich. Cloud-Sicherheit kann eine Mischung aus Netzwerk- und Infrastruktursicherheit, Host- und Endpunktsicherheit, Datenschutz und Verschlüsselung, Identitätsmanagement, Anwendungssicherheit sowie Protokollierung, Überwachung und Bedrohungserkennung umfassen. Cloud-Sicherheit ist keine einzelne Sache, sondern vielmehr eine Praxis, die Tools und Techniken zum Schutz der Daten, Ressourcen und Prozesse eines Unternehmens einsetzt.
-
Was versteht man unter dem Modell der geteilten Verantwortung?
Sicherheit und Compliance stellen eine geteilte Verantwortlichkeit zwischen AWS und dem Kunden dar. Durch dieses gemeinsam genutzte Modell können Kunden den betrieblichen Aufwand reduzieren, da AWS die Verantwortung für den Betrieb, die Verwaltung und die Kontrolle der Komponenten „der Cloud“ übernimmt. So können sich die Kunden auf die Entwicklung ihrer Anwendungen und die Implementierung ihrer Dienste konzentrieren, während sie die Verantwortung für die Sicherung dieser Dienste „in der Cloud“ übernehmen. Lesen Sie mehr über das Modell der geteilten Verantwortung.
-
Beginnen Sie mit der Sicherung Ihres AWS-Kontos
Wenn Sie zum ersten Mal ein neues AWS-Konto erstellen, sollten Sie eine Reihe von empfohlenen Schritten befolgen, um das Konto sicher zu verwalten und darauf zuzugreifen.
Root-Benutzer
Wenn Sie ein AWS-Konto erstellen, beginnen Sie mit dem sogenannten Root-Benutzer. Dies ist der erste AWS-Benutzer, der innerhalb Ihres AWS-Kontos existiert. AWS empfiehlt, dieses Konto nicht für den täglichen Betrieb zu verwenden, da es vollen Zugriff und volle Kontrolle über das Konto hat und die empfohlenen bewährten Methoden zum Schutz des Root-Benutzers befolgen sollte. Dazu gehört, dass Sie Ihre Root-Benutzer-Zugangsschlüssel sperren, ein sicheres Passwort verwenden, die AWS-Multifaktor-Authentifizierung aktivieren und einen IAM-Benutzer für den Zugriff auf Ihr Konto erstellen. Dieses Konto kann mit Administratorrechten ausgestattet werden und sollte in Zukunft für alle administrativen Aufgaben verwendet werden.
Sicherheitskontakte
Als nächstes sollten Sie Ihrem Konto alternative Sicherheitskontakte zuweisen. Der alternative Sicherheitskontakt erhält sicherheitsrelevante Benachrichtigungen, einschließlich Benachrichtigungen des AWS Trust & Safety Teams. Wie wichtig es ist, diese Kontaktinformationen bereits bei der Einrichtung Ihres Kontos festzulegen, erfahren Sie im Blogbeitrag Aktualisieren Sie den alternativen Sicherheitskontakt in Ihren AWS-Konten für rechtzeitige Sicherheitsbenachrichtigungen.
Kontrolle der Region
Sobald Sie Ihre Sicherheitskontakte bestätigt haben, sollten Sie die AWS-Regionen in Betracht ziehen, in denen Ihre Workloads ausgeführt werden, und die Regionen, in denen sie nicht ausgeführt werden sollten. Anschließend können Sie die ungenutzten Regionen sperren, um sicherzustellen, dass keine Workloads von diesen Regionen aus ausgeführt werden können. Das hilft nicht nur bei der Kostenoptimierung, sondern auch bei der Sicherheit. Wie das? Indem Sie die Regionen, in denen Sie keine Workloads erwarten, sperren, können Sie Ihre Überwachungsbemühungen auf die Regionen konzentrieren, die Sie aktiv nutzen.
AWS-CLI und Konsolenzugriff
Zu diesem Zeitpunkt haben Sie den Root-Benutzer gesichert, einen oder mehrere IAM-Benutzer erstellt, Sicherheitskontakte zugewiesen und die Regionen definiert, in denen Workloads ausgeführt werden können. Lassen Sie uns als Nächstes überlegen, wie Benutzer mit AWS-Ressourcen interagieren werden. Es gibt zwei primäre Interaktionsmethoden: die AWS-CLI und die AWS-Managementkonsole. Es wird empfohlen, Single Sign-On für die AWS-CLI und die Konsole einzurichten. Im Artikel Konfigurieren der AWS-Befehlszeilenschnittstelle für die Verwendung von AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) erfahren Sie, wie Sie den Zugriff mit AWS IAM Identity Centerzentral verwalten können.
IAM-Gruppen
Der nächste Schritt zur Sicherung Ihres Kontos ist die Einrichtung von AWS-IAM-Benutzergruppen zur Zugriffskontrolle. Anstatt den Zugriff einzelner Benutzer zu kontrollieren, indem Sie Richtlinien direkt für den Benutzer festlegen, ist es am besten, eine Gruppe zu erstellen, ihr die erforderlichen Berechtigungen zuzuweisen und dann der Gruppe Benutzer zuzuordnen. Die Benutzer erben die Berechtigungen dieser Gruppe. Dies bietet eine skalierbarere Möglichkeit, vielen Benutzern die Zugriffskontrolle zu ermöglichen. Es ist wichtig, IAM- und IAM-Gruppen zu verstehen, da sie sich über mehrere Dienste erstrecken. IAM ist ein Service, der bis zu einem gewissen Grad mit allen AWS-Services interagiert. Nehmen Sie sich also Zeit, um sich mit IAM vertraut zu machen.
Wenn Sie diese Praktiken von Anfang an befolgen, können Sie einen sicheren Zugriff auf Ihre AWS-Ressourcen gewährleisten. Als Nächstes besprechen wir, wie Sie die Infrastruktur, die Sie auf AWS aufbauen, sichern können.
-
Sicherung der von Ihnen aufgebauten Infrastruktur
Die Infrastruktur, die Sie aufbauen, wird oft übersehen, da sie Teil der zugrundeliegenden Architektur ist und nicht für Kunden bestimmt ist. Wenn jedoch die Infrastruktur ausfällt, fallen die Dienste aus, die Sie Ihren Kunden anbieten. Aus diesem Grund ist es unerlässlich, dass die Infrastruktur vom ersten Tag an gesichert ist.
Amazon-VPC-Sicherheit
Beim Aufbau Ihrer Cloud-Infrastruktur erstellen Sie zunächst eine Amazon Virtual Private Cloud (Amazon VPC). Dies ist ein virtuelles Netzwerk, das Sie definieren (ein Standardnetzwerk wird in jeder Region erstellt, wenn Sie Ihr Konto einrichten) und das es Ihnen ermöglicht, Ressourcen zu starten. Ein VPC ähnelt einem herkömmlichen Netzwerk, da ihm ein CIDR-IP-Adressbereich zugewiesen ist und es durch dieErstellung von Subnetzen unterteilt wird. Ihre Subnetze können verwendet werden, um verschiedene Gruppen von Ressourcen zu isolieren. Subnetze können entweder öffentlich oder privat sein. Öffentliche Subnetze haben eine Route zu einem Internet-Gateway, haben über dieses Gateway Zugriff auf das Internet und können vom Internet aus erreicht werden, sofern die entsprechenden Zugriffskontrollen dies zulassen. Private Subnetze haben ebenfalls eine Routingtabelle, aber keine Route zu einem Internet-Gateway, sodass sie standardmäßig nicht auf das Internet zugreifen können und auch nicht über das Internet erreichbar sind. Damit Ressourcen in einem privaten Subnetz auf das Internet zugreifen können, ist ein NAT-Gateway erforderlich. Auf Subnetzebene erlaubt oder verweigert eine Zugriffssteuerungsliste (ACL) bestimmten eingehenden oder ausgehenden Datenverkehr. Sie können die Standard-Netzwerk-ACL für Ihre VPC verwenden oder eine benutzerdefinierte Netzwerk-ACL für Ihre VPC erstellen. Netzwerk-ACLs sind nummerierte Listen, die in der Reihenfolge von oben nach unten verarbeitet werden und zustandslos sind. Das bedeutet, dass Sie eine eingehende und ausgehende Netzwerk-ACL-Regel benötigen, um bidirektionalen Datenverkehr zuzulassen.
Sicherheitsgruppen
Wenn Sie EC2-Ressourcen in Ihrer VPC bereitstellen, ordnen Sie ihnen eine Sicherheitsgruppe zu. Eine Sicherheitsgruppe kontrolliert den eingehenden und ausgehenden Datenverkehr, der die EC2-Ressourcen erreichen kann. Sicherheitsgruppen ähneln einer Firewall, aber anstatt nur eine Liste oder einen Bereich von IP-Adressen zu verwenden, können sie auf eine sogenannte Ressourcenreferenz verweisen. Eine Ressourcenreferenz ist eine benannte Gruppe, die eine aktualisierte Liste von IP-Adressen verwaltet, die jeder Ressource in der Gruppe zugewiesen sind. Wenn Sie beispielsweise eine Autoscaling-Gruppe erstellen, um Amazon EC2-Instances hochzufahren, wird jeder Instance beim Start eine neue IP zugewiesen. Indem Sie diesen Instances eine Sicherheitsgruppe hinzufügen, können Sie über die Sicherheitsgruppen-ID der EC2-Instances Zugriff auf die Sicherheitsgruppe Ihres Datenbankservers gewähren, und jede neu gestartete EC2-Instance hat Zugriff auf die Datenbank, ohne ihre IP-Adresse zur Liste der zulässigen Instanzen hinzufügen zu müssen.
Sicherheitsgruppenregeln ähneln Netzwerk-ACLs, da sie bei der Erstellung auf Port, Protokoll und Adressen abgestimmt werden, aber sie sind zustandsbehaftet – ähnlich wie eine zustandsbehaftete Firewall. Wenn Sie einen Eintrag erstellen, um eine bestimmte Art von Datenverkehr zuzulassen, brauchen Sie keine Regel zu erstellen, die dem Rückverkehr entspricht; da der Rückverkehr zustandsabhängig ist, wird er zugelassen. Dieser Vergleich ist nützlich, um besser zu verstehen, wie Sicherheitsgruppen und ACLs interagieren
AWS-Netzwerk-Firewall und DDoS-Schutz
Um eine zusätzliche Sicherheitsebene für die Infrastruktur hinzuzufügen, können Sie die AWS Network Firewall bereitstellen. Die Network Firewall ist ein verwalteter Service, der Schutz für Ihre Amazon VPC bereitstellt. Sie bietet einen feiner abgestuften Schutz als Sicherheitsgruppen, da sie den Kontext von Verkehrsflüssen, wie die Verfolgung von Verbindungen und die Protokollidentifizierung, einbeziehen kann, um Richtlinien durchzusetzen, z. B. um zu verhindern, dass Ihre VPCs über ein nicht autorisiertes Protokoll auf Domänen zugreifen. Dies erfolgt durch die Konfiguration benutzerdefinierter Suricata-Regeln. Beispielsweise können Sie die Network Firewall so konfigurieren, dass sie vor Malware-Angriffen schützt. Wenn Sie noch einen Schritt weiter gehen, können Sie einen weiteren verwalteten Service, AWS Shield Advanced, zum Schutz vor DDoS-Bedrohungen bereitstellen.
-
Sicherung der Ressourcen, die Sie erstellen
Wenn Sie Ressourcen in der AWS-Cloud erstellen, müssen Sie sich überlegen, wie Sie sie auf der Grundlage der aktuellen Best Practices sichern können. Dies gilt, wenn Sie eine EC2-Instance, eine Datenbank oder Serverless-Ressourcen bereitstellen. In diesem Abschnitt stellen wir einige wichtige Schritte zur Sicherung der von Ihnen erstellten Ressourcen vor.
Amazon EC2-Sicherheit
Bei der Erstellung von Ressourcen in AWS sollten Sie darauf achten, dass Sie die empfohlenen bewährten Sicherheitsmethoden für die Art der Ressource, mit der Sie arbeiten, befolgen. Bei EC2-Instances beginnt die Sicherheit mit der Steuerung des Netzwerkzugriffs auf Ihre Instances, z. B. durch die Konfiguration Ihrer VPC und Sicherheitsgruppen. (Weitere Informationen finden Sie unter „Amazon-VPC-Sicherheit“ im Abschnitt „Sicherung der von Ihnen erstellten Infrastruktur“.)
Ein weiterer Aspekt der Instance-Sicherheit ist die Verwaltung der Anmeldeinformationen, die für die Verbindung zu Ihren Instances verwendet werden. Dies beginnt mit den IAM-Benutzerberechtigungen, die Sie zuweisen, erstreckt sich aber auch auf die zugewiesene Gruppe. Dies bietet ein gewisses Maß an Sicherheit für den Benutzer, der mit der EC2-Instance arbeitet, jedoch nicht für die Instance selbst. Sie sollten auch IAM-Rollen konfigurieren, die mit der Instance verbunden sind, sowie die mit diesen Rollen verbundenen Berechtigungen. Um auf eine EC2-Instanz zuzugreifen, sollten Sie EC2 Instance Connect verwenden, anstatt den Port für SSH zu öffnen oder einen Bastion/Jump-Host einzurichten.
Sie sollten sicherstellen, dass das Gastbetriebssystem und die auf der Instance bereitgestellte Software mit allen Betriebssystem-Updates und Sicherheitspatches auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Sicherheit in Amazon EC2.
Datenbanksicherheit
Die Sicherung Ihrer Datenbank ist ein wichtiger Aspekt Ihres Sicherheitsansatzes. Wie im Abschnitt über die Sicherheit von Amazon VPC erwähnt, wird empfohlen, Datenbanken in einem privaten Subnetz bereitzustellen, um den Zugriff von externen Parteien über das Internet zu verhindern. AWS bietet 15 speziell entwickelte Datenbanken. Jede ist unterschiedlich gesichert, aber alle haben die folgenden Gemeinsamkeiten.
Authentifizierung
Für den Zugriff auf eine Datenbank ist irgendeine Form der Authentifizierung erforderlich. Dies kann in Form eines Benutzernamens und eines Passworts erfolgen, die regelmäßig geändert werden sollten. Alternativ können Sie Amazon-RDS-Proxy verwenden, um IAM-Rollen zu nutzen, um den Zugriff auf die Datenbank für Sie zu verwalten. Einige Datenbankdienste wie Amazon DynamoDB verwenden IAM-Rollen, um Zugriff zu gewähren, sodass Sie keine Anmeldeinformationen selbst verwalten müssen.
Konsolenbasierter SSH-Zugriff
SSH ist eine der gebräuchlichsten Methoden zur Verwaltung Ihrer EC2-Instances. Mit Amazon EC2 Instance Connect können Sie SSH verwenden, um sich mit einmaligen SSH-Schlüsseln direkt in der Konsole mit Ihren EC2-Instances zu verbinden. Die folgenden Artikel bieten eine schrittweise Anleitung zur Aktivierung von Amazon EC2 Instance Connect und erläutern den typischen Anwendungsfall. Sie können auch SSH-Schlüssel generieren, wenn Sie Ihre EC2-Instance erstellen, sie lokal herunterladen und sie verwenden, um eine Verbindung zu Ihrer Instance herzustellen. Das bedeutet jedoch, dass Sie diese Schlüssel schützen und sicherstellen müssen, dass sie an einem Ort aufbewahrt werden, an dem Sie den Zugriff nicht verlieren, und dass Sie sich nur von einem Rechner aus mit Ihrer Instance verbinden können, der diese Schlüssel heruntergeladen hat. EC2 Instance Connect bietet denselben SSH-Zugriff, sicher, von der Konsole aus, maschinenübergreifend und auf benutzerfreundliche Weise.
Mindestberechtigungen
Es ist eine empfohlene bewährte Methode, den Zugriff auf Ihre Datenbank nur auf Dienste und Infrastruktur zu beschränken, für die Zugriff erforderlich ist. Dies kann durch die Einrichtung Ihrer Sicherheitsgruppen für Ihre RDS-Instances, Amazon-Neptune-Datenbanken oder für Amazon-Redshift -Clusters erfolgen.
Backups und Testwiederherstellungen
Die Sicherung Ihrer Daten und häufige Wiederherstellungen zur Überprüfung der korrekten Funktion der Sicherungen sollten Priorität haben. Mit AWS Backup können Sie Backups für bestimmte AWS-Services wie Amazon RDS, DynamoDB, Neptune und mehr einfach konfigurieren und verwalten.
Serverless-Sicherheit
Für Serverless-Sicherheit sollten Sie vertraut sein mit AWS Lambda, Amazon API Gateway, Amazon DynamoDB, Amazon SQS sowie IAM. Bei der Serverless-Sicherheit übernimmt AWS im Vergleich zum Modell der geteilten Verantwortung eine größere Verantwortung, aber es gibt immer noch eine Kundenverantwortung, der man sich bewusst sein muss. In einer Serverless-Umgebung verwaltet AWS die Infrastruktur, die Rechenleistung, die Ausführungsumgebung und die Laufzeitsprache. Der Kunde ist verantwortlich für den Kundenfunktionscode und die Bibliotheken, die Ressourcenkonfiguration sowie die Identitäts- und Zugriffsverwaltung, wie in der folgenden Abbildung dargestellt.
In den folgenden Abschnitten finden Sie Einzelheiten zu den Sicherheitsmethoden, die in der Verantwortung des Kunden liegen. Weitere Informationen finden Sie unter Sicherheit in AWS Lambda.
Kundenfunktionscode und Bibliotheken
AWS Lambda bietet Laufzeiten, die Ihren Funktionscode in einer Amazon-Linux-basierten Ausführungsumgebung ausführen. Wenn Sie jedoch zusätzliche Bibliotheken mit Ihrer Funktion verwenden, sind Sie für die Aktualisierung der Bibliotheken verantwortlich. Wenn Sie sicherstellen, dass Ihre Bibliotheken auf dem neuesten Stand sind, können Sie Ihre Sicherheitslage aufrechterhalten.
Ressourcenkonfiguration
AWS Lambda lässt sich in verschiedene AWS-Ressourcen wie Amazon DynamoDB, Amazon EventBridge und Amazon Simple Notification Service (Amazon SNS) integrieren. Die Einhaltung der empfohlenen Sicherheitsverfahren für jeden Dienst, den Sie im Rahmen Ihrer Funktion verwenden, trägt zur Verbesserung Ihrer Sicherheitslage bei. Die Dokumentation für jeden Dienst enthält zusätzliche Anleitungen.
Identitäts- und Zugriffsmanagement
Für die Ausführung von Lambda-Funktionen sind möglicherweise bestimmte IAM-Berechtigungen und -Rollen erforderlich. Weitere Informationen finden Sie im Abschnitt Berechtigungen des AWS-Lambda-Entwicklerhandbuchs.
Inventar und Konfiguration
Ihre Sicherheitsstrategie sollte auch Überwachung, Protokollierung und Konfigurationsmanagement umfassen. Viele Unternehmen ermöglichen beispielsweise die Abrechnung ihrer Geräte über das TACACS+-Protokoll, RADIUS oder Active Directory-Protokolle. Auf diese Weise wird sichergestellt, dass für alle administrativen Aktivitäten ein Prüfpfad erstellt wird. Innerhalb der AWS-Cloud kann dies mit AWS CloudTrail erfolgen. CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. Das AWS Serverless Application Repository, das es Entwicklern und Unternehmen erleichtert, serverlose Anwendungen in der AWS-Cloud schnell zu finden, bereitzustellen und zu veröffentlichen, ist in AWS CloudTrail integriert. Weitere Informationen finden Sie im Entwicklerhandbuch für AWS Serverless Application Repository.Sie müssen dennoch einen gewissen DoS- und Infrastrukturschutz für Ihre Serverless-Umgebungen bereitstellen, was mit AWS Shield und AWS Shield Advanced möglich ist. Die Überwachung und Erkennung von Bedrohungen wird im Abschnitt „Überwachung Ihrer Umgebung“ näher behandelt.
-
Sicherung Ihrer Daten
Kunden speichern viele Daten in der AWS-Cloud. Diese Daten enthalten Informationen, die für den Betrieb einer Organisation von entscheidender Bedeutung sind. Dazu gehören Kundendaten, geistiges Eigentum, Bestellungen, die direkt mit dem Umsatz verknüpft sind, und mehr. In diesem Abschnitt erläutern wir die wichtigsten Informationen zur Konfiguration von Daten, die auf AWS gespeichert sind, sowie von Daten, die über das Netzwerk zu und von AWS übertragen werden.
Amazon S3-Sicherheit
Bei AWS werden die Daten in Amazon S3 gespeichert, das über mehrere Kontrollen zum Schutz der Daten verfügt. Der Artikel Top 10 der besten Sicherheitsmethoden für die Sicherung von Daten in Amazon S3 behandelt die grundlegendsten Techniken. Dazu gehören das Sperren öffentlicher S3-Buckets auf Unternehmensebene, die Verwendung von Bucket-Richtlinien, um sicherzustellen, dass alle gewährten Zugriffe beschränkt und spezifisch sind, sowie die Verschlüsselung und der Schutz von Daten.
Verschlüsselung ruhender Daten
Für die Verschlüsselung können Sie mit AWS Key Management Service (AWS KMS) Schlüssel erstellen und kontrollieren, die zum Verschlüsseln oder digitalen Signieren Ihrer Daten verwendet werden. Wenn Sie Ihre Daten auf AWS verschlüsseln möchten, haben Sie einige Möglichkeiten. Die erste Möglichkeit besteht darin, eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) zu verwenden. Bei dieser Methode erfolgt die Verschlüsselung, nachdem die Daten mithilfe von Schlüsseln, die von AWS verwaltet werden, an AWS gesendet wurden.
Die zweite Option besteht darin, die Daten zu verschlüsseln, sobald sie sich in AWS befinden. Anstatt jedoch Schlüssel zu verwenden, die von AWS erstellt und verwaltet werden, können Sie eine serverseitige Verschlüsselung mit Customer Master Keys (CMKs – Kunden-Master-Schlüssel) durchführen, die in AWS KMS (SSE-KMS) gespeichert sind.
Die dritte Option zum Speichern verschlüsselter Daten auf AWS ist die Verwendung der clientseitigen Verschlüsselung. Bei diesem Ansatz werden die Daten verschlüsselt, bevor sie an AWS übertragen werden.
Ein Beispiel dafür, wie Kunden sowohl von der clientseitigen Verschlüsselung als auch von der serverseitigen Verschlüsselung profitieren, ist in der folgenden Abbildung zu sehen.
Virtual Private Networks (VPNs)
VPNs können mehrere Technologien umfassen. Die Idee hinter einem VPN ist, dass Ihre Daten bei der Übertragung ihre Integrität bewahren und sicher zwischen zwei Parteien ausgetauscht werden können. AWS bietet mehrere Technologien, mit denen Sie Ihre Daten während der Übertragung schützen können. Eine davon ist AWS PrivateLink, das verschlüsselte, private Konnektivität zwischen VPCs, AWS-Services und Ihren On-Premises-Netzwerken bereitstellt. Dies geschieht, ohne dass Ihr Datenverkehr dem öffentlichen Internet ausgesetzt wird. Auch dies könnte als ein virtuelles privates Netz betrachtet werden.
In den meisten Fällen dreht sich die Diskussion um VPN jedoch um die Verwendung von Datenverschlüsselung. Abhängig von den Umständen müssen Sie möglicherweise eine Verschlüsselung zwischen einem Client und Ihren AWS-Cloud-Ressourcen bereitstellen. In dieser Situation wäre AWS Client VPN erforderlich. Andererseits übertragen Sie möglicherweise Daten zwischen Ihrem Rechenzentrum oder Ihrer Niederlassung und Ihren AWS-Ressourcen. Sie können dies mithilfe von IPSec-Tunneln zwischen Ihren On-Premises-Ressourcen und Ihren Amazon VPCs oder AWS Transit Gateway erreichen. Diese sichere Konnektivität wird als Site-to-Site-VPN bezeichnet.
Und schließlich bietet die Verwaltung Ihrer Cloud-Ressourcen über die AWS-Managementkonsole ebenfalls eine verschlüsselte Datenübertragung. Obwohl Sie die Verbindung zur Konsole normalerweise nicht als VPN bezeichnen würden, verwendet Ihre Sitzung TLS-Verschlüsselung (Transport Layer Security). Daher werden Ihre Konfigurationen vertraulich behandelt, während Sie Ihre sichere Architektur erstellen. TLS wird auch mit der AWS-API verwendet.
-
Überwachung Ihrer Umgebungen
Da jeder der oben genannten Aspekte gesichert ist, müssen Sie unbedingt überwachen, was in Ihrer Umgebung geschieht. Auf diese Weise können Bedrohungen erkannt und proaktiv entschärft werden.
Einblick in die Verkehrsströme
AWS bietet verschiedene verwaltete Services zur Unterstützung bei der Überwachung Ihrer Umgebung sowie Self-Service-Optionen. Sie können beispielsweise VPC-Flow-Protokolle verwenden, um Netzwerkverkehrsflüsse zu protokollieren und anzuzeigen, oder Sie können Amazon CloudWatch verwenden, um AWS-WAF-Protokolle zu analysieren oder sogar, um Alarme für EC2-Instances zu erstellen. In diesem Workshop erfahren Sie mehr über Amazon CloudWatch.
Sichtbarkeit der Kontoaktivitäten
Darüber hinaus überwacht und protokolliert AWS CloudTrail die Kontobewegungen in Ihrer AWS-Infrastruktur und gibt Ihnen die Kontrolle über Speicherung, Analyse und Abhilfemaßnahmen. Dies ist unerlässlich, um einen administrativen Prüfpfad zu erstellen, Sicherheitsvorfälle zu identifizieren und betriebliche Probleme zu beheben.
Bedrohungen erkennen
Schließlich kann Amazon GuardDuty für die Erkennung von Bedrohungen verwendet werden und sogar noch einen Schritt weiter gehen, indem die veröffentlichten Ergebnisse dazu führen, dass in Ihrer AWS-Umgebung automatische Abhilfemaßnahmen eingeleitet werden.
Wenn Sie sich mit jedem dieser operativen Bereiche befassen, sind Sie auf dem besten Weg, wesentliche Sicherheitsfunktionen für Ihre Cloud-Umgebung zu etablieren.