# SEC05-BP01 Erstellen von Netzwerk-Layern
<a name="sec_network_protection_create_layers"></a>

 Gruppieren Sie Komponenten mit den gleichen Erreichbarkeitsanforderungen in Ebenen. Beispielsweise sollte ein Datenbank-Cluster in einer Virtual Private Cloud (VPC) ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. In einer serverlosen Arbeitslast, die ohne VPC ausgeführt wird, können ähnliche Ebenen und die Segmentierung mit Microservices dasselbe Ziel erreichen. 

Komponenten wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Amazon Relational Database Service (Amazon RDS)-Datenbank-Cluster und AWS Lambda-Funktionen, die gemeinsame Verfügbarkeitsanforderungen haben, können in Ebenen unterteilt werden, welche von Subnetzen gebildet werden. Beispielsweise sollte ein Amazon RDS-Datenbank-Cluster in einer VPC ohne erforderlichen Internetzugriff in Subnetzen ohne Route zum oder aus dem Internet platziert werden. Dieser Ansatz auf mehreren Kontrollebenen mildert die Auswirkungen einer fehlerhaften Konfiguration einer einzelnen Ebene, wodurch möglicherweise unbeabsichtigter Zugriff möglich wäre. Für Lambda können Sie Ihre Funktionen in Ihrer VPC ausführen, um die VPC-basierten Kontrollen zu nutzen.

Für Netzwerkkonnektivität, die Tausende von VPCs, AWS-Konten und On-Premise-Netzwerke umfassen kann, empfiehlt sich die Verwendung von [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Es fungiert als Hub, welcher den Datenfluss für alle als Speicher agierenden Netzwerke steuert. Der Datenverkehr zwischen einer Amazon Virtual Private Cloud und AWS Transit Gateway verbleibt im privaten AWS-Netzwerk, wodurch externe Bedrohungsvektoren wie DDoS-Angriffe (Distributed Denial of Service) und häufige Exploits wie SQL-Injection, Cross-Site-Scripting, Cross-Site-Anforderungsfälschung oder Missbrauch eines fehlerhaften Authentifizierungscodes reduziert werden. Das regionsübergreifende Peering von AWS Transit Gateway verschlüsselt auch den regionsübergreifenden Datenverkehr ohne Single Point of Failure oder Bandbreitenengpässe.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Subnetze in VPC erstellen: Erstellen Sie Subnetze für jede Ebene (in Gruppen mit mehreren Availability Zones) und ordnen Sie Routing-Tabellen zu, um das Routing zu steuern. 
  +  [VPCs und Subnetze ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Routing-Tabellen ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Amazon VPC-Sicherheit](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Zugehörige Videos:** 
+  [AWS Transit Gateway-Referenzarchitekturen für verschiedene VPCs ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Anwendungsbeschleunigung und -schutz mit Amazon CloudFront, AWS WAF und AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung von VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)