# Schutz der Infrastruktur
<a name="a-infrastructure-protection"></a>

**Topics**
+ [SICH 5  Wie schützen Sie Ihre Netzwerkressourcen?](w2aac19b7c11b5.md)
+ [SICH 6  Wie schützen Sie Ihre Datenverarbeitungsressourcen?](w2aac19b7c11b7.md)

# SICH 5  Wie schützen Sie Ihre Netzwerkressourcen?
<a name="w2aac19b7c11b5"></a>

Alle Workloads, die über eine Art Netzwerkverbindung verfügen, unabhängig davon, ob es sich um das Internet oder ein privates Netzwerk handelt, erfordern mehrere Abwehrebenen, um Schutz vor externen und internen Netzwerkbedrohungen sicherzustellen.

**Topics**
+ [SEC05-BP01 Erstellen von Netzwerk-Layern](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatisieren des Netzwerkschutzes](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Implementieren von Prüfung und Schutz](sec_network_protection_inspection.md)

# SEC05-BP01 Erstellen von Netzwerk-Layern
<a name="sec_network_protection_create_layers"></a>

 Gruppieren Sie Komponenten mit den gleichen Erreichbarkeitsanforderungen in Ebenen. Beispielsweise sollte ein Datenbank-Cluster in einer Virtual Private Cloud (VPC) ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. In einer serverlosen Arbeitslast, die ohne VPC ausgeführt wird, können ähnliche Ebenen und die Segmentierung mit Microservices dasselbe Ziel erreichen. 

Komponenten wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Amazon Relational Database Service (Amazon RDS)-Datenbank-Cluster und AWS Lambda-Funktionen, die gemeinsame Verfügbarkeitsanforderungen haben, können in Ebenen unterteilt werden, welche von Subnetzen gebildet werden. Beispielsweise sollte ein Amazon RDS-Datenbank-Cluster in einer VPC ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. Dieser Ansatz auf mehreren Kontrollebenen mildert die Auswirkungen einer fehlerhaften Konfiguration einer einzelnen Ebene, wodurch möglicherweise unbeabsichtigter Zugriff möglich wäre. Für Lambda können Sie Ihre Funktionen in Ihrer VPC ausführen, um die VPC-basierten Kontrollen zu nutzen.

Für Netzwerkkonnektivität, die Tausende von VPCs, AWS-Konten und On-Premise-Netzwerke umfassen kann, empfiehlt sich die Verwendung von [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Es fungiert als Hub, welcher den Datenfluss für alle als Speicher agierenden Netzwerke steuert. Der Datenverkehr zwischen einer Amazon Virtual Private Cloud und AWS Transit Gateway verbleibt im privaten AWS-Netzwerk, wodurch externe Bedrohungsvektoren wie DDoS-Angriffe (Distributed Denial of Service) und häufige Exploits wie SQL-Injection, Cross-Site-Scripting, Cross-Site-Anforderungsfälschung oder Missbrauch eines fehlerhaften Authentifizierungscodes reduziert werden. Das regionsübergreifende Peering von AWS Transit Gateway verschlüsselt auch den regionsübergreifenden Datenverkehr ohne Single Point of Failure oder Bandbreitenengpässe.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Subnetze in VPC erstellen: Erstellen Sie Subnetze für jede Ebene (in Gruppen mit mehreren Availability Zones) und ordnen Sie Routing-Tabellen zu, um das Routing zu steuern. 
  +  [VPCs und Subnetze ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Routing-Tabellen ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Zugehörige Videos:** 
+  [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Kontrollieren des Datenverkehrs auf allen Ebenen
<a name="sec_network_protection_layered"></a>

  Bei der Architektur Ihrer Netzwerktopologie sollten Sie die Konnektivitätsanforderungen der einzelnen Komponenten überprüfen. Beispielsweise bei Komponenten, welche Internetzugang (ein- und ausgehend), Konnektivität zu VPCs, Edge-Services und oder externe Rechenzentren erfordern. 

 Mit einer VPC können Sie Ihre Netzwerktopologie definieren, die eine AWS-Region mit einem von Ihnen festgelegten privaten IPv4-Adressbereich oder einem von AWS ausgewählten IPv6-Adressbereich umfasst. Sie sollten mehrere Kontrollmechanismen mit einem umfassenden Verteidigungsansatz für den ein- und ausgehenden Datenverkehr anwenden, einschließlich der Verwendung von Sicherheitsgruppen (Stateful Inspection Firewall), Netzwerk-ACLs, Subnetzen und Routing-Tabellen. Innerhalb einer VPC können Sie Subnetze in einer Availability Zone erstellen. Jedes Subnetz ist mit einer Routing-Tabelle mit Routing-Regeln verknüpft, mit denen Sie die Pfade des Datenverkehrs innerhalb des Subnetzes steuern können. Sie können ein routingfähiges Internet-Subnetz über eine Route definieren, die zu einem Internet- oder NAT-Gateway geleitet wird, das dieser oder einer anderen VPC zugehörig ist. 

 Wenn eine Instance, eine Amazon Relational Database Service (Amazon RDS)-Datenbank oder ein anderer Service innerhalb einer VPC gestartet wird, verfügt sie über eine eigene Sicherheitsgruppe pro Netzwerkschnittstelle. Diese Firewall befindet sich außerhalb der Betriebssystemebene. Sie können damit Regeln für zulässigen ein- und ausgehenden Datenverkehr festlegen. Des Weiteren haben Sie die Möglichkeit, Beziehungen zwischen Sicherheitsgruppen zu definieren. Beispielsweise akzeptieren Instances innerhalb einer Sicherheitsgruppe der Datenbankebene nur Datenverkehr von Instancces innerhalb der Anwendungsebene unter Bezugnahme auf die Sicherheitsgruppen, die auf die beteiligten Instances angewendet werden. Sofern Sie keine Nicht-TCP-Protokolle verwenden, sollte es nicht notwendig sein, eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance ohne Load Balancer oder [CloudFront](https://aws.amazon.com/cloudfront). Dies schützt sie vor unbeabsichtigtem Zugriff aufgrund eines Betriebssystem- oder Anwendungsfehlers. Einem Subnetz kann auch eine Netzwerk-ACL zugeordnet sein, die als zustandslose Firewall fungiert. Sie sollten die Netzwerk-ACL so konfigurieren, dass der zulässige Datenverkehr zwischen den Ebenen beschränkt wird. Beachten Sie, dass Sie Regeln für den ein- und ausgehenden Datenverkehr definieren müssen. 

 Manche AWS-Services erfordern Komponenten für den Zugriff auf das Internet, um API-Aufrufe dort zu tätigen, wo sich [AWS-API-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) befinden. Andere AWS-Services verwenden [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) innerhalb Ihrer Amazon VPCs. Viele AWS-Services wie Amazon S3 und Amazon DynamoDB unterstützen VPC-Endpunkte. Diese Technologie wurde in [AWS PrivateLink](https://aws.amazon.com/privatelink/). Wir empfehlen Ihnen die Verwendung dieses Ansatzes für den Zugriff auf AWS-Services, Drittanbieterservices und Ihre eigenen Services, die sicher in anderen VPCs gehostet sind. Sämtlicher Netzwerkverkehr in AWS PrivateLink bleibt im globalen AWS-Backbone und durchquert nie das Internet. Die Konnektivität kann nur von Benutzern des Service eingeleitet werden, nicht vom Anbieter des Service. Die Verwendung von AWS PrivateLink für den Zugriff auf externe Services ermöglicht die Erstellung isolierter VPCs ohne Internetzugriff und hilft beim Schutz Ihrer VPCs vor externen Bedrohungsvektoren. Drittanbieterservices können AWS PrivateLink verwenden, um ihren Kunden die Verbindung mit Services über private IP-Adressen von ihren VPCs aus zu ermöglichen. Für VPC-Komponenten, die eine Verbindung mit dem Internet herstellen müssen, können diese nur ausgehend (einseitig) über ein AWS-verwaltetes NAT-Gateway, ein ausgehendes Internet-Gateway oder einen von Ihnen erstellten und verwalteten Web-Proxy erfolgen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Kontrollieren des Netzwerkdatenverkehrs in einer VPC: Implementieren Sie VPC-Best-Practices zum Kontrollieren des Datenverkehrs. 
  +  [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Amazon VPC-Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [Netzwerk-ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Kontrollieren des Datenverkehrs am Edge: Implementieren Sie Edge-Services wie Amazon CloudFront, um eine zusätzliche Schutzebene und andere Funktionen bereitzustellen. 
  +  [Amazon CloudFront-Anwendungsfälle](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Amazon VPC-Eingangs-Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Kontrollieren des privaten Netzwerkverkehrs: Implementieren Sie Services, die Ihren privaten Datenverkehr für Ihre Workload schützen. 
  +  [Amazon VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Amazon VPC-Endpunkt-Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS-Site-to-Site-VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS-Client-VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Amazon S3-Zugriffspunkte](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Ähnliche Videos:** 
+  [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield) ](https://youtu.be/0xlwLEccRe0)

 **Ähnliche Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Automatisieren des Netzwerkschutzes
<a name="sec_network_protection_auto_protect"></a>

 Automatisieren Sie Schutzmechanismen, um ein selbstverteidigendes Netzwerk bereitzustellen, das auf Threat Intelligence und Erkennung von Anomalien beruht. Zum Beispiel können Tools zur Erkennung und Verhinderung von Eindringversuchen sich an aktuelle Bedrohungen anpassen und deren Auswirkungen reduzieren. Eine Webanwendungs-Firewall ist ein Beispiel dafür, wie Sie den Netzwerkschutz automatisieren können, indem Sie beispielsweise die AWS WAF Security Automations-Lösung ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)verwenden, um Netzwerkverkehr zu blockieren, welcher von schadhaften IP-Adressen stammt. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Automatisieren des Schutzes für webbasierten Datenverkehr: AWS bietet eine Lösung, die AWS CloudFormation verwendet, um automatisch eine Reihe von AWS WAF-Regeln zum Filtern gängiger webbasierter Angriffe bereitzustellen. Benutzer können aus vorkonfigurierten Schutzfunktionen wählen, die die in einer AWS WAF Web Access Control List (Web ACL) enthaltenen Regeln definieren. 
  +  [Sicherheitsautomatisierung mit AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Erwägen von AWS Partner-Lösungen: AWS-Partner bieten Hunderte branchenführende Produkte, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können. 
  +  [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Zugehörige Videos:** 
+  [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield) ](https://youtu.be/0xlwLEccRe0)

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Implementieren von Prüfung und Schutz
<a name="sec_network_protection_inspection"></a>

 Untersuchen und filtern Sie Ihren Datenverkehr auf jeder Ebene. Mit dem VPC Network Access Analyzer können Sie Ihre VPC-Konfigurationen [auf potenziell unbeabsichtigten Zugriff überprüfen](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Sie können Ihre Netzwerkzugriffsanforderungen festlegen und potenzielle Netzwerkpfade identifizieren, die diese nicht erfüllen. Für Komponenten, die über HTTP-basierte Protokolle abgefertigt werden, kann eine Webanwendungs-Firewall zum Schutz vor gängigen Angriffen beitragen. [AWS WAF](https://aws.amazon.com/waf) ist eine Firewall für Webanwendungen, mit der Sie HTTP(s)-Anforderungen überwachen und blockieren können, die Ihren konfigurierbaren Regeln entsprechen und an eine Amazon API Gateway-API, Amazon CloudFront oder Application Load Balancer weitergeleitet werden. Für den Einstieg in AWS WAF können Sie [Von AWS verwaltete Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) in Kombination mit Ihren eigenen vorhandenen [Partnerintegrationen](https://aws.amazon.com/waf/partners/). 

 Für die Verwaltung von AWS WAF, AWS Shield Advanced-Schutzmaßnahmen und Amazon VPC-Sicherheitsgruppen in AWS Organizations können Sie AWS Firewall Manager verwenden. Dies ermöglicht Ihnen die zentrale Konfiguration und Verwaltung von Firewall-Regeln für Ihre Konten und Anwendungen, was eine Skalierung einfacher macht. Außerdem können Sie schnell auf Angriffe reagieren, indem Sie [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)oder [Lösungen](https://aws.amazon.com/solutions/aws-waf-security-automations/) verwenden, die unerwünschte Anfragen an Ihre Webanwendungen automatisch blockieren. Firewall Manager lässt sich auch mit [AWS Network Firewall kombinieren](https://aws.amazon.com/network-firewall/). AWS Network Firewall ist ein verwalteter Service, der eine Regel-Engine nutzt, um Ihnen die detaillierte Kontrolle über zustandsbehafteten und zustandlosen Netzwerkdatenverkehr zu ermöglichen. Er unterstützt [Suricata-kompatible](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) Open-Source-IPS-Spezifikationen (Intrusion Prevention System) für Regeln zum Schutz Ihrer Workload. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Konfigurieren von Amazon GuardDuty: GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und AWS-Workloads fortlaufend auf schädliche oder unbefugte Verhaltensweisen überwacht und dadurch schützt. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Übung: Automatisierte Bereitstellung von aufdeckenden Kontrollen](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Konfigurieren von Virtual Private Cloud (VPC) Flow Logs: VPC Flow Logs ist eine Funktion, mit deren Hilfe Sie Informationen zum ein- und ausgehenden IP-Datenverkehr an den Netzwerkschnittstellen Ihrer VPC erfassen können. Flussprotokolldaten können in Amazon CloudWatch Logs und Amazon Simple Storage Service (Amazon S3) veröffentlicht werden. Sobald das Flussprotokoll fertig ist, können Sie seine Daten auf den ausgewählten Zielort abrufen und dort einsehen. 
+  Erwägen von VPC-Datenverkehrabbildung: Die Datenverkehrabbildung ist eine Amazon Amazon VPC-Funktion, mit der Sie Netzwerkdatenverkehr von einer Elastic-Network-Schnittstelle von Amazon Elastic Compute Cloud (Amazon EC2)-Instances kopieren und diesen dann zur Inhaltsprüfung, Bedrohungsüberwachung und Fehlerbehebung an Out-of-Band-Sicherheits- und -Überwachungs-Appliances senden können. 
  +  [VPC-Datenverkehrabbildung](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Ähnliche Videos:** 
+  [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Ähnliche Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SICH 6  Wie schützen Sie Ihre Datenverarbeitungsressourcen?
<a name="w2aac19b7c11b7"></a>

Datenverarbeitungsressourcen in Ihrem Workload erfordern mehrere Ebenen der Abwehr zum Schutz vor externen und internen Bedrohungen. Zu den Datenverarbeitungsressourcen zählen EC2-Instances, Container, AWS Lambda-Funktionen, Datenbankservices, IoT-Geräte und mehr.

**Topics**
+ [SEC06-BP01 Schwachstellenmanagement](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Verringern der Angriffsfläche](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Implementieren von verwalteten Services](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatisieren des Datenverarbeitungsschutzes](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Personen das Ausführen von Aktionen aus der Ferne ermöglichen](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Validieren der Softwareintegrität](sec_protect_compute_validate_software_integrity.md)

# SEC06-BP01 Schwachstellenmanagement
<a name="sec_protect_compute_vulnerability_management"></a>

 Überprüfen Sie häufig Schwachstellen in Ihrem Code, Ihren Abhängigkeiten und in Ihrer Infrastruktur, um Schutz vor neuen Bedrohungen zu bieten. 

 Bei der Konfiguration Ihrer Datenverarbeitungsinfrastruktur können Sie die Erstellung und Aktualisierung von Ressourcen mit AWS CloudFormation automatisieren. CloudFormation ermöglicht die Erstellung von Vorlagen, die in YAML oder JSON geschrieben sind. Dafür können Sie entweder AWS-Beispiele verwenden oder Ihre eigenen Vorlagen schreiben. So können Sie standardmäßig sichere Infrastrukturvorlagen erstellen, die Sie mit [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/)verifizieren können. Das spart Ihnen Zeit und reduziert das Risiko von Konfigurationsfehlern. Sie können für den Aufbau Ihrer Infrastruktur und die Bereitstellung Ihrer Anwendungen auf Continuous Delivery zurückgreifen, z. B. mit [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), um das Erstellen, Testen und Freigeben zu automatisieren. 

 Sie sind für das Patch-Management für Ihre AWS-Ressourcen verantwortlich, einschließlich Amazon Elastic Compute Cloud(Amazon EC2)-Instances, Amazon Machine Images (AMIs) und viele andere Datenverarbeitungsressourcen. Für Amazon EC2-Instances automatisiert AWS Systems Manager das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches für Betriebssysteme und Anwendungen anzuwenden. (Für Windows-Server ist der Anwendungs-Support auf Updates von Microsoft-Anwendungen beschränkt.) Sie können Patch Manager verwenden, um Service Packs auf Windows-Instances zu installieren und kleinere Versions-Upgrades auf Linux-Instances vorzunehmen. Sie können Flotten von Amazon EC2-Instances oder Ihre On-Premises-Server und virtuelle Maschinen (VMs) nach Betriebssystemtyp patchen. Das beinhaltet unterstützte Versionen von Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) und Ubuntu Server. Sie können Instances scannen, um nur fehlende Patches angezeigt zu bekommen oder Sie können scannen und automatisch alle fehlenden Patches installieren. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Konfigurieren von Amazon Inspector: Amazon Inspector testen die Netzwerkzugänglichkeit Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instances und den Sicherheitsstatus der Anwendungen, die auf diesen Instances ausgeführt werden. Amazon Inspector bewertet Anwendungen hinsichtlich Exposition, Schwachstellen und Abweichungen von Best Practices. 
  +  [Was ist Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 
+  Scannen von Quellcode: Durchsuchen Sie Bibliotheken und Abhängigkeiten nach Schwachstellen. 
  +  [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 
  +  [OWASP: Tools zur Quellcodeanalyse](https://owasp.org/www-community/Source_Code_Analysis_Tools) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Zugehörige Videos:** 
+  [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP02 Verringern der Angriffsfläche
<a name="sec_protect_compute_reduce_surface"></a>

 Reduzieren Sie Ihre Gefährdung mit Blick auf unbefugte Zugriffe, indem Sie Betriebssysteme härten und Komponenten, Bibliotheken und extern nutzbare Services minimieren. Reduzieren Sie zunächst ungenutzte Komponenten für alle Workloads, unabhängig davon, ob es sich um Betriebssystempakete, Anwendungen für Amazon Elastic Compute Cloud (Amazon EC2)-basierte Workloads oder externe Softwaremodule in Ihrem Code handelt. Viele Leitfäden für Härtung und Sicherheit sind für gängige Betriebssysteme und Serversoftware verfügbar. Sie können zum Beispiel mit dem [Center for Internet Security (CIS)](https://www.cisecurity.org/) beginnen und dann iterieren.

 In Amazon EC2 können Sie zur Erfüllung der spezifischen Sicherheitsanforderungen Ihrer Organisation Ihre eigenen Amazon Machine Images (AMIs) erstellen, die Sie gepatcht und gehärtet haben. Die Patches und anderen Sicherheitskontrollen, die Sie auf das AMI anwenden, sind zum Zeitpunkt ihrer Erstellung wirksam. Sie sind nicht dynamisch, es sei denn, Sie nehmen nach dem Starten Änderungen vor (z. B. mit AWS Systems Manager). 

 Sie können den Prozess zur Erstellung sicherer AMIs mit EC2 Image Builder vereinfachen. EC2 Image Builder senkt den Aufwand für die Erstellung und Pflege goldener Images deutlich, ohne dass die Automatisierung implementiert und gewartet werden muss. Wenn Software-Updates verfügbar sind, erzeugt Image Builder automatisch ein neues Image, ohne dass Benutzer Image-Builds manuell anstoßen müssen. EC2 Image Builder ermöglicht Ihnen das einfache Validieren der Funktionalität und Sicherheit Ihrer Images mit von AWS bereitgestellten und Ihren eigenen Tests, bevor Sie die Images in der Produktion nutzen. Sie können auch von AWS bereitgestellte Sicherheitseinstellungen anwenden, um Ihre Images weiter abzusichern und interne Sicherheitskriterien zu erfüllen. Unter Verwendung von AWS bereitgestellter Vorlagen können Sie beispielsweise Security Technical Implementation Guide (STIG)-konforme Images erstellen. 

 Mit Drittanbieter-Tools zur statischen Code-Analyse können Sie häufige Sicherheitsprobleme wie nicht geprüfte Funktionseingangsgrenzen sowie zutreffende CVEs identifizieren. Sie können [Amazon CodeGuru](https://aws.amazon.com/codeguru/) für unterstützte Sprachen verwenden. Sie können auch Drittanbieter-Tools zur Überprüfung von Abhängigkeiten verwenden, um zu ermitteln, ob Bibliotheken, welche von Ihnen genutzt werden, auf dem neuesten Stand sind, frei von CVEs sind und die passende Lizenzierung enthalten, die den Anforderungen Ihrer Softwarepolitik entsprechen. 

 Amazon Inspector bietet Ihnen die Möglichkeit, Konfigurationsbewertungen Ihrer Instances bezüglich bekannter CVEs durchzuführen. Darüber hinaus können Sie eine Bewertung im Hinblick auf Sicherheits-Benchmarks vornehmen und Benachrichtigungen bei Fehlern automatisieren. Amazon Inspector kann auf Produktions-Instances und in Build-Pipelines ausgeführt werden, um Entwickler und Techniker bezüglich vorhandener Fehler zu benachrichtigen. Sie können programmgesteuert auf ermittelte Fehler zugreifen oder Ihr Team auf Backlogs und Bug-Verfolgungssysteme verweisen. [EC2 Image Builder](https://aws.amazon.com/image-builder/) kann verwendet werden, um Server-Images (AMIs) mit automatischem Patching, von AWS bereitgestellter Durchsetzung von Sicherheitsrichtlinien und anderen Anpassungen zu verwalten. Implementieren Sie bei der Verwendung von Containern [ECR Image Scanning](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) in Ihrer Build-Pipeline und scannen Sie regelmäßig Ihr Image-Repository, um nach CVEs in Ihren Containern zu suchen. 

 Amazon Inspector und andere Tools sind zwar effektiv bei der Identifizierung von Konfigurationen und vorhandenen CVEs, doch andere Methoden sind erforderlich, um Ihren Workload auf Anwendungsebene zu testen. [Fuzzing](https://owasp.org/www-community/Fuzzing) ist eine bekannte Methode zur Suche von Fehlern mithilfe von Automatisierung, um falsch formatierte Daten in Eingabefeldern und anderen Bereichen Ihrer Anwendung zu finden. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Härten des Betriebssystems: Konfigurieren Sie Betriebssysteme so, dass sie den Best Practices entsprechen. 
  +  [Sichern von Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/) 
  +  [Sichern von Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/) 
+  Härten von containerisierten Ressourcen: Konfigurieren Sie containerisierte Ressourcen so, dass sie den Best Practices für Sicherheit entsprechen. 
+  Implementieren Sie Best Practices für AWS Lambda. 
  +  [Best Practices für AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Zugehörige Videos:** 
+  [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP03 Implementieren von verwalteten Services
<a name="sec_protect_compute_implement_managed_services"></a>

 Implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon Relational Database Service (Amazon RDS), AWS Lambda und Amazon Elastic Container Service (Amazon ECS), um Ihre Aufgaben zur Wahrung der Sicherheit im Rahmen des Modells der gemeinsamen Verantwortung zu reduzieren. Amazon RDS unterstützt Sie beispielsweise beim Einrichten, Betreiben und Skalieren einer relationalen Datenbank und automatisiert Verwaltungsaufgaben wie Hardwarebereitstellung, Datenbankeinrichtung, Patching und Sicherungen. Das bedeutet, dass Sie mehr Zeit haben, sich auf alternative Möglichkeiten zum Absichern Ihrer Anwendung zu konzentrieren, die im AWS Well-Architected Framework beschrieben werden. Mit Lambda können Sie Code ausführen, ohne Server bereitstellen oder verwalten zu müssen. So müssen Sie sich nur auf die Konnektivität, den Aufruf und die Sicherheit auf Codeebene konzentrieren – nicht auf Infrastruktur oder Betriebssystem. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Ermitteln verfügbarer Services: Ermitteln, testen und implementieren Sie Services zur Verwaltung von Ressourcen wie Amazon RDS, AWS Lambda und Amazon ECS. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS-Website: ](https://aws.amazon.com/)
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Zugehörige Videos:** 
+  [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI) 

 **Zugehörige Beispiele:** 
+ [Übung: AWS Certificate Manager – Anfordern eines öffentlichen Zertifikats ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)

# SEC06-BP04 Automatisieren des Datenverarbeitungsschutzes
<a name="sec_protect_compute_auto_protection"></a>

 Automatisieren Sie Ihre Schutz-Rechenmechanismen, einschließlich Schwachstellenmanagement, Reduzierung der Angriffsfläche und Verwaltung von Ressourcen. Die Automatisierung hilft Ihnen, Zeit in die Sicherung anderer Aspekte Ihres Workloads zu investieren und das Risiko menschlicher Fehler zu reduzieren. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Automatisieren der Konfigurationsverwaltung: Erzwingen und validieren Sie sichere Konfigurationen automatisch mithilfe eines Service oder Tools zur Konfigurationsverwaltung. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Übung: Automatisierte Bereitstellung von VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 
  +  [Übung: Automatisierte Bereitstellung der EC2-Webanwendung](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 
+  Automatisieren des Patchings von Amazon Elastic Compute Cloud (Amazon EC2)-Instances: AWS Systems Manager Patch Manager automatisiert das Patching verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches für Betriebssysteme und Anwendungen anzuwenden. 
  +  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
  +  [Centralized multi-account and multi-region patching with AWS Systems Manager Automation (Zentralisiertes Patching über mehrere Konten und Regionen mit AWS Systems Manager-Automatisierung)](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  Implementieren von Maßnahmen zur Erkennung und Verhinderung von Eindringversuchen: Implementieren Sie ein Tool zur Erkennung und Verhinderung von Eindringversuchen, um böswillige Aktivitäten auf Instances zu überwachen und zu stoppen. 
+  Erwägen von AWS Partner-Lösungen: AWS-Partner bieten Hunderte branchenführende Produkte, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können. 
  +  [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
+  [Centralized multi-account and multi-region patching with AWS Systems Manager Automation (Zentralisiertes Patching über mehrere Konten und Regionen mit AWS Systems Manager-Automatisierung)](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 
+  [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Zugehörige Videos:** 
+  [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 
+  [Übung: Automatisierte Bereitstellung der EC2-Webanwendung](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 

# SEC06-BP05 Personen das Ausführen von Aktionen aus der Ferne ermöglichen
<a name="sec_protect_compute_actions_distance"></a>

 Durch das Entfernen der Möglichkeit für interaktiven Zugriff wird das Risiko menschlicher Fehler und das Potenzial einer manuellen Konfiguration oder Verwaltung reduziert. Verwenden Sie beispielsweise einen Änderungsmanagement-Workflow, um Amazon Elastic Compute Cloud (Amazon EC2)-Instances unter Verwendung von Infrastruktur als Code bereitzustellen und Amazon EC2-Instances dann mit Tools wie AWS Systems Manager zu verwalten, statt direkten Zugriff oder Zugriff über einen Bastion-Host zuzulassen. AWS Systems Manager automatisiert eine Vielzahl von Wartungs- und Bereitstellungsaufgaben mithilfe von Funktionen wie [Automatisierung](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [-Workflows](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [Dokumenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (Playbooks) und dem [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). AWS CloudFormation-Stacks werden anhand von Pipelines erstellt und können Ihre Infrastrukturbereitstellungs- und Verwaltungsaufgaben ohne direkte Verwendung der AWS-Managementkonsole oder APIs automatisieren. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Ersetzen des Konsolenzugriffs: Ersetzen Sie den Konsolenzugriff (SSH oder RDP) auf Instances mit AWS Systems Manager Run Command, um Verwaltungsaufgaben zu automatisieren. 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 
+  [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Zugehörige Videos:** 
+  [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP06 Validieren der Softwareintegrität
<a name="sec_protect_compute_validate_software_integrity"></a>

 Implementieren Sie Mechanismen (z. B. Codesignierung), um zu überprüfen, ob die Software, der Code und die Bibliotheken, die in der Workload verwendet werden, aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Sie sollten beispielsweise das Codesignierungszertifikat der Binärdateien und Skripte überprüfen, um den Autor zu bestätigen, und sicherzustellen, dass es seit der Erstellung durch den Autor nicht manipuliert wurde. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) kann Sie beim Sicherstellen der Vertrauenswürdigkeit und Integrität Ihres Codes unterstützen, indem der Codesignierungslebenszyklus zentral verwaltet wird, einschließlich Signierungszertifizierung und öffentliche und private Schlüssel. Informieren Sie sich über die Verwendung erweiterter Muster und Best Practices für die Codesignierung mit [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Darüber hinaus kann eine Prüfsumme der Software, die Sie herunterladen, im Vergleich zu der Prüfsumme vom Anbieter helfen, sicherzustellen, dass sie nicht manipuliert wurde. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Untersuchen von Mechanismen: Die Codesignierung ist ein Mechanismus, der zur Validierung der Softwareintegrität verwendet werden kann. 
  +  [NIST: Sicherheitsüberlegungen für die Codesignierung](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf) 

## Ressourcen
<a name="resources"></a>

**Zugehörige Dokumente:** 
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [New – Code Signing, a Trust and Integrity Control for (Neu: Codesignierung, eine Vertrauens- und Integritätskontrolle für AWS Lambda)](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)