# SICH 9  Wie schützen Sie Ihre Daten bei der Übertragung?
<a name="w2aac19b7c13b9"></a>

Schützen Sie Ihre Daten während der Übertragung, indem Sie mehrere Kontrollen implementieren, um das Risiko eines unbefugten Zugriffs oder Verlusts zu reduzieren.

**Topics**
+ [SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifizieren der Netzwerkkommunikation](sec_protect_data_transit_authentication.md)

# SEC09-BP01 Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 Speichern Sie Verschlüsselungsschlüssel und Zertifikate sicher und ändern Sie sie in angemessenen Zeitintervallen mit strenger Zugriffskontrolle. Um dies zu erreichen, verwenden Sie am besten einen verwalteten Service, wie z. B. [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Damit können Sie problemlos öffentliche und private TLS-Zertifikate (Transport Layer Security) zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen verwalten und bereitstellen. TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites über das Internet sowie Ressourcen in privaten Netzwerken zu bestimmen. ACM lässt sich in AWS-Ressourcen wie Elastic Load Balancers (ELBs), AWS-Verteilungen und APIs auf API Gateway integrieren und verarbeitet auch automatische Zertifikatserneuerungen. Wenn Sie ACM verwenden, um eine private Root-CA bereitzustellen, können von ihr sowohl Zertifikate als auch private Schlüssel zur Verwendung in Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Containern usw. bereitgestellt werden. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren einer sicheren Schlüssel- und Zertifikatverwaltung: Implementieren Sie die definierte Lösung zur sicheren Schlüssel- und Zertifikatverwaltung. 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ Hosten und Verwalten einer ganzen privaten Zertifikatinfrastruktur in AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  Implementieren sicherer Protokolle: Verwenden Sie sichere Protokolle wie Transport Layer Security (TLS) oder IPsec, die Authentifizierung und Vertraulichkeit bieten, um das Risiko der Manipulation oder des Verlusts von Daten zu reduzieren. Überprüfen Sie die AWS-Dokumentation auf Protokolle und Sicherheitsinformationen, die für die von Ihnen verwendeten Services relevant sind. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS-Dokumentation ](https://docs.aws.amazon.com/)

# SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung
<a name="sec_protect_data_transit_encrypt"></a>

 Erzwingen Sie Ihre definierten Verschlüsselungsanforderungen basierend auf geeigneten Standards und Empfehlungen, damit Sie Ihre Unternehmens-, Rechts- und Compliance-Anforderungen erfüllen können. AWS-Services bieten HTTPS-Endpunkte, die für die Kommunikation TLS nutzen. Dadurch werden die Daten bei der Kommunikation mit den AWS-APIs während der Übertragung verschlüsselt. Unsichere Protokolle, wie z. B. HTTP, können in einer VPC durch die Verwendung von Sicherheitsgruppen überprüft und blockiert werden. HTTP-Anforderungen können auch [automatisch an HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) in Amazon CloudFront oder auf einen [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Sie haben uneingeschränkte Kontrolle über Ihre Datenverarbeitungsressourcen und können die Verschlüsselung während der Übertragung in alle Ihre Services implementieren. Darüber hinaus können Sie die VPN-Konnektivität mit Ihrer VPC von einem externen Netzwerk aus verwenden, um die Verschlüsselung des Datenverkehrs zu erleichtern. Sollten Sie besondere Anforderungen haben, finden Sie Lösungen von Drittanbietern im AWS Marketplace. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Erzwingen der Verschlüsselung bei der Übertragung: Die definierten Verschlüsselungsanforderungen sollten sich nach den neuesten Standards und Best Practices richten und nur sichere Protokolle zulassen. Konfigurieren Sie beispielsweise eine Sicherheitsgruppe, die nur das HTTPS-Protokoll für einen Application Load Balancer oder eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance zulässt. 
+  Konfigurieren von sicheren Protokollen bei Edge-Services: Konfigurieren Sie HTTPS mit Amazon CloudFront und die erforderlichen Verschlüsselungsverfahren. 
  + [ Verwenden von HTTPS mit CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+  Verwenden eines Virtual Private Network (VPN) für die externe Konnektivität: Ziehen Sie ein IPsec-VPN in Betracht, um Punkt-zu-Punkt- oder Netzwerk-zu-Netzwerk-Verbindungen zu sichern und so den Datenschutz und die Datenintegrität zu gewährleisten. 
  + [ VPN-Verbindungen ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+  Konfigurieren von sicheren Protokollen bei Load Balancern: Aktivieren Sie HTTPS-Listener, um die Verbindung zu Load Balancern zu sichern. 
  + [ HTTPS-Listener für den Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+  Konfigurieren von sicheren Protokollen für Instances: Ziehen Sie eine HTTPS-Verschlüsselung für Instances in Betracht. 
  + [ Tutorial: SSL/TLS unter Amazon Linux 2 konfigurieren ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+  Konfigurieren sicherer Protokolle in Amazon Relational Database Service (Amazon RDS): Verwenden Sie Secure Socket Layer (SSL) oder Transport Layer Security (TLS) zum Verschlüsseln der Verbindung zu Datenbank-Instances. 
  + [ Verwenden von SSL zum Verschlüsseln einer Verbindung zu einer Datenbank-Instance ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+  Konfigurieren sicherer Protokolle in Amazon Redshift: Konfigurieren Sie Ihr Cluster so, dass eine SSL- oder TLS-Verbindung vorgeschrieben ist. 
  + [ Konfigurieren von Sicherheitsoptionen für Verbindungen ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+  Konfigurieren sicherer Protokolle in weiteren AWS-Services: Bestimmen Sie die Funktionen zur Verschlüsselung während der Übertragung für die AWS-Services, die Sie nutzen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS-Dokumentation ](https://docs.aws.amazon.com/index.html)

# SEC09-BP03 Automatisieren der Erkennung von unbeabsichtigtem Datenzugriff
<a name="sec_protect_data_transit_auto_unintended_access"></a>

 Verwenden Sie Tools wie Amazon GuardDuty zum automatischen Erkennen von verdächtigen Aktivitäten oder Versuchen, Daten außerhalb definierter Grenzen zu verschieben. GuardDuty kann beispielsweise ungewöhnliche Amazon Simple Storage Service (Amazon S3)-Leseaktivitäten erkennen. Verwendet wird dafür [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Zusätzlich zu GuardDuty können auch [Amazon VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), die die Netzwerkverkehrsinformationen erfassen, zusammen mit Amazon EventBridge verwendet werden, um die Erkennung anormaler Verbindungen – sowohl erfolgreich als auch abgelehnt – zu berichten. [Mit Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) können Sie ermitteln, welche Daten für wen in Ihren Amazon S3-Buckets zugänglich sind. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Automatisieren der Erkennung von unbefugtem Datenzugriff: Setzen Sie Tools oder Erkennungsmechanismen ein, die automatisch erkennen, wenn versucht wird, Daten außerhalb festgelegter Grenzen zu verschieben. Damit lässt sich beispielsweise ein Datenbanksystem erkennen, das Daten auf einen unbekannten Host kopiert. 
  + [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+  Erwägen von Amazon Macie: Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der mithilfe von Machine Learning und Mustervergleichen Ihre sensiblen Daten in AWS erkennt und schützt. 
  + [ Amazon Macie ](https://aws.amazon.com/macie/)

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [ Amazon Macie ](https://aws.amazon.com/macie/)

# SEC09-BP04 Authentifizieren der Netzwerkkommunikation
<a name="sec_protect_data_transit_authentication"></a>

 Überprüfen Sie die Identität der Kommunikation mithilfe von Protokollen, die die Authentifizierung unterstützen, wie Transport Layer Security (TLS) oder IPsec. 

Durch die Verwendung von Netzwerkprotokollen, die die Authentifizierung unterstützen, kann eine Vertrauensstellung zwischen den kommunizierenden Einheiten hergestellt werden. Dadurch wird die im Protokoll verwendete Verschlüsselung hinzugefügt, um das Risiko zu verringern, dass die Kommunikation geändert oder abgefangen wird. Häufig verwendete Protokolle, die die Authentifizierung implementieren, sind Transport Layer Security (TLS), das in vielen AWS-Services verwendet wird, sowie IPsec, welches in [AWS Virtual Private Network (Site-to-Site VPN) verwendet wird](http://aws.amazon.com/vpn).

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren sicherer Protokolle: Verwenden Sie sichere Protokolle wie TLS oder IPsec, die Authentifizierung und Vertraulichkeit bieten, um das Risiko der Manipulation oder des Verlusts von Daten zu reduzieren. Überprüfen Sie die [AWS-Dokumentation](https://docs.aws.amazon.com/) auf Protokolle und Sicherheitsinformationen, die für die von Ihnen verwendeten Services relevant sind. 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS-Dokumentation](https://docs.aws.amazon.com/)