# Schutz der Infrastruktur
<a name="infrastructure-protection"></a>

Der Schutz der Infrastruktur umfasst Kontrollmethoden, z. B. die Tiefenverteidigung, die notwendig sind, um bewährte Methoden und organisatorische oder gesetzliche Verpflichtungen zu erfüllen. Die Nutzung dieser Methoden ist für erfolgreiche, kontinuierliche Betriebsabläufe sowohl in der Cloud als auch lokal ausschlaggebend. 

Der Schutz der Infrastruktur ist ein wichtiger Bestandteil eines Informationssicherheitsprogramms. Sie schützen dadurch die Systeme und Services innerhalb Ihrer Workload vor unbeabsichtigten und nicht autorisierten Zugriffen sowie potenziellen Schwachstellen. Sie definieren beispielsweise Vertrauensgrenzen (z. B. Netzwerk- und Kontogrenzen), Systemsicherheitskonfiguration und -wartung (z. B. Härtung, Minimierung und Patching), Betriebssystemauthentifizierung und Autorisierungen (z. B. Benutzer, Schlüssel und Zugriffsebenen) und andere geeignete Durchsetzungsmechanismen für Richtlinien (z. B. Firewalls für Webanwendungen und/oder API-Gateways). 

 **Regionen, Availability Zones, AWS Local Zones und AWS Outposts**

Stellen Sie sicher, dass Sie vertraut sind mit Regionen, Availability Zones, [AWS Local Zones](https://aws.amazon.com/about-aws/global-infrastructure/localzones/) und [AWS Outposts](https://aws.amazon.com/outposts/), die Bestandteile der sicheren globalen AWS-Infrastruktur sind.

Das Konzept von AWS beruht auf Regionen, bei denen es sich um physische Standorte auf der ganzen Welt handelt, in denen wir Rechenzentren als Cluster zusammenfassen. Wir nennen jede Gruppe logischer Rechenzentren eine Availability Zone (AZ). Jede AWS-Region besteht aus mehreren isolierten und räumlich getrennten AZs innerhalb eines geografischen Gebiets. Wenn Sie Anforderungen an die Datenresidenz haben, können Sie die AWS-Region wählen, die sich in der Nähe Ihres gewünschten Standorts befindet. Sie behalten volle Kontrolle und Rechte über die Regionen bei, in denen Ihre Daten sich physisch befinden; was hilfreich sein kann Ihre regionalen Anforderungen an Compliance und Datenresidenz zu erfüllen. Jede AZ verfügt über eine unabhängige Stromversorgung, Kühlung und physische Sicherheit. Wenn eine Anwendung auf mehrere AZs aufgeteilt ist, sind Sie besser isoliert und vor Problemen wie Stromausfällen, Blitzeinschlägen, Tornados, Erdbeben usw. geschützt. AZs sind physisch durch eine deutliche Entfernung von vielen Kilometern voneinander getrennt, liegen aber alle in einem Umkreis von 100 km voneinander. Alle AZs in einer AWS-Region sind über ein Netzwerk mit hoher Bandbreite und niedriger Latenz miteinander verbunden, wobei vollständig redundante, dedizierte Metro-Glasfasern verwendet werden, die einen hohen Durchsatz und eine niedrige Latenz zwischen den AZs ermöglichen. Der gesamte Datenverkehr zwischen den AZs ist verschlüsselt. AWS-Kunden, die Wert auf hohe Verfügbarkeit legen, können ihre Anwendungen so konzipieren, dass sie in mehreren AZs laufen, um eine noch größere Fehlertoleranz zu erreichen. AWS- Regionen erfüllen die höchsten Anforderungen an Sicherheit, Compliance und Datenschutz.

 

AWS Local Zones bringen Datenverarbeitungs-, Speicher-, Datenbank- und andere ausgewählte AWS-Services näher an die Endnutzer heran. Mit AWS Local Zones können Sie problemlos anspruchsvolle Anwendungen ausführen, die Latenzzeiten im einstelligen Millisekundenbereich für Ihre Endbenutzer erfordern, wie z. B. die Erstellung von Medien- und Unterhaltungsinhalten, Echtzeitspiele, Reservoirsimulationen, die Automatisierung von Elektronikdesign und Machine Learning. Jeder Standort einer AWS Local Zone ist eine Erweiterung einer AWS-Region, in der Sie Ihre latenzempfindlichen Anwendungen unter Verwendung von AWS-Services wie Amazon EC2, Amazon VPC, Amazon EBS, Amazon File Storage und Elastic Load Balancing in geografischer Nähe zu den Endbenutzern ausführen können. AWS Local Zones bieten eine sichere Verbindung mit hoher Bandbreite zwischen lokalen Workloads und denjenigen, die in der AWS-Region ausgeführt werden. So können Sie über dieselben APIs und Toolsets nahtlos auf die gesamte Palette der Services in der Region zugreifen.

 

 AWS Outposts bringen native AWS-Services, Infrastruktur und Betriebsmodelle in praktisch jedes Rechenzentrum, jede Co-Location-Umgebung und jede On-Premises-Einrichtung. Sie können dieselben AWS-APIs, Tools und Infrastrukturen sowohl On-Premises als auch in der AWS-Cloud nutzen, um ein wirklich konsistentes Hybrid-Erlebnis zu bieten. AWS Outposts ist für vernetzte Umgebungen konzipiert und kann zur Unterstützung von Workloads eingesetzt werden, die aufgrund geringer Latenzzeiten oder lokaler Datenverarbeitungsanforderungen On-Premises bleiben müssen.

AWS bietet eine Reihe von Ansätzen zum Schutz der Infrastruktur. In den nächsten Abschnitten werden folgende Ansätze erläutert. 

**Topics**
+ [Schutz von Netzwerken](protecting-networks.md)
+ [Schutz der Datenverarbeitung](protecting-compute.md)

# Schutz von Netzwerken
<a name="protecting-networks"></a>

Benutzer, sowohl Ihre Mitarbeiter als auch Ihre Kunden, können sich überall befinden. Sie müssen sich von traditionellen Modellen verabschieden, bei denen Sie allem und jedem vertrauen, das Zugang zu Ihrem Netzwerk hat. Wenn Sie dem Prinzip folgen, Sicherheit auf allen Ebenen anzuwenden, setzen Sie einen [Zero-Trust](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)-Ansatz um. Zero-Trust-Sicherheit ist ein Modell, bei dem Anwendungskomponenten oder Microservices als voneinander getrennt betrachtet werden und keine Komponente oder kein Microservice anderen vertraut.

Die sorgfältige Verwaltung Ihres Netzwerkdesigns bildet die Grundlage, um Ressourcen innerhalb Ihrer Workload zu isolieren und einzugrenzen. Da viele Ressourcen in Ihrer Workload in einer VPC ausgeführt werden und die Sicherheitseigenschaften übernehmen, ist es wichtig, dass das Design automatisierte Inspektions- und Schutzmechanismen unterstützt wird. Für Workloads, welche außerhalb einer VPC mit Edge-Services oder Serverless ausgeführt werden, bestehen vereinfachte bewährte Methoden. Spezifische Anleitungen zur Serverless-Sicherheit finden Sie unter [AWS Well-Architected Serverless Application Lens](https://docs.aws.amazon.com/wellarchitected/latest/serverless-applications-lens/welcome.html). 

**Topics**
+ [SEC05-BP01 Erstellen von Netzwerkebenen](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Kontrollieren des Datenverkehrsflusses innerhalb Ihrer Netzwerkebenen](sec_network_protection_layered.md)
+ [SEC05-BP03 Implementieren Sie einen inspektionsbasierten Schutz](sec_network_protection_inspection.md)
+ [SEC05-BP04 Automatisieren Sie den Netzwerkschutz](sec_network_auto_protect.md)

# SEC05-BP01 Erstellen von Netzwerkebenen
<a name="sec_network_protection_create_layers"></a>

 Segmentieren Sie Ihre Netzwerktopologie in verschiedene Ebenen, die auf logischen Gruppierungen Ihrer Workload-Komponenten entsprechend ihrer Datensensibilität und Zugriffsanforderungen basieren. Unterscheiden Sie zwischen Komponenten, auf die vom Internet aus zugegriffen werden muss, wie z. B. öffentliche Web-Endpunkte, und solchen, die nur intern erreichbar sein müssen, wie z. B. Datenbanken. 

 **Gewünschtes Ergebnis:** Die Ebenen Ihres Netzwerks sind Teil eines ganzheitlichen, tiefgreifenden Sicherheitsansatzes, der die Identitätsauthentifizierungs- und Autorisierungsstrategie Ihrer Workloads ergänzt. Je nach Sensibilität der Daten und den Zugriffsanforderungen werden Ebenen mit entsprechenden Verkehrsfluss- und Kontrollmechanismen eingerichtet. 

 **Typische Anti-Muster:** 
+  Sie erstellen alle Ressourcen in einem einzigen VPC oder Subnetz. 
+  Sie erstellen Ihre Netzwerkebenen ohne Rücksicht auf die Anforderungen an die Datensensibilität, das Verhalten der Komponenten oder die Funktionalität. 
+  Sie verwenden VPCs und Subnetze als Standards für alle Aspekte der Netzwerkebenen und berücksichtigen nicht, wie verwaltete AWS-Services Ihre Topologie beeinflussen. 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Einrichtung von Netzwerkebenen ist der erste Schritt, um unnötige Pfade durch das Netzwerk einzuschränken, insbesondere solche, die zu kritischen Systemen und Daten führen. Dadurch wird es für Unbefugte schwieriger, sich Zugriff auf Ihr Netzwerk zu verschaffen und zu weiteren Ressourcen darin zu navigieren. Diskrete Netzwerkebenen reduzieren den Umfang der Analyse für Inspektionssysteme, z. B. für die Erkennung von Eindringlingen oder die Verhinderung von Malware, vorteilhaft. Dadurch wird das Potenzial für Fehlalarme und unnötigen Verarbeitungsaufwand reduziert. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Beim Entwurf einer Workload-Architektur ist es üblich, die Komponenten je nach ihrer Verantwortlichkeit in verschiedene Ebenen aufzuteilen. Eine Webanwendung kann zum Beispiel eine Präsentationsebene, eine Anwendungsebene und eine Datenebene haben. Bei der Gestaltung Ihrer Netzwerktopologie können Sie einen ähnlichen Ansatz wählen. Die zugrunde liegenden Netzwerkkontrollen können dazu beitragen, die Anforderungen Ihres Workloads an den Datenzugriff durchzusetzen. In einer dreistufigen Webanwendungsarchitektur können Sie zum Beispiel Ihre statischen Präsentationsebenendateien in [Amazon S3](https://aws.amazon.com/s3/) speichern und sie von einem Content Delivery Network (CDN) wie [Amazon CloudFront](https://aws.amazon.com/cloudfront/) aus bereitstellen. Die Anwendungsebene kann öffentliche Endpunkte haben, die ein [Application Load Balancer (ALB)](https://aws.amazon.com/elasticloadbalancing/application-load-balancer/) in einem [Amazon VPC](https://aws.amazon.com/vpc/)-öffentlichen Subnetz (ähnlich einer demilitarisierten Zone oder DMZ) bedient, während die Backend-Services in privaten Subnetzen bereitgestellt werden. Die Datenebene, die Ressourcen wie Datenbanken und gemeinsam genutzte Dateisysteme hostet, kann sich in anderen privaten Subnetzen befinden als die Ressourcen Ihrer Anwendungsebene. An jeder dieser Ebenengrenzen (CDN, öffentliches Subnetz, privates Subnetz) können Sie Kontrollen bereitstellen, die es nur autorisiertem Datenverkehr erlauben, diese Grenzen zu überqueren. 

 Ähnlich wie bei der Modellierung von Netzwerkebenen auf der Grundlage des funktionalen Zwecks der Komponenten Ihres Workloads sollten Sie auch die Sensibilität der verarbeiteten Daten berücksichtigen. Wenn Sie das Beispiel der Webanwendung verwenden, kann es sein, dass alle Ihre Workload-Services innerhalb der Anwendungsebene angesiedelt sind, während verschiedene Services Daten mit unterschiedlichen Sensibilitätsstufen verarbeiten. In diesem Fall kann die Aufteilung der Anwendungsebene durch mehrere private Subnetze, verschiedene VPCs in demselben AWS-Konto oder sogar verschiedene VPCs in verschiedenen AWS-Konten für jede Stufe der Datensensibilität je nach Ihren Kontrollanforderungen angemessen sein. 

 Eine weitere Überlegung für Netzwerkebenen ist die Verhaltenskonsistenz der Komponenten Ihres Workloads. Um das Beispiel fortzusetzen: In der Anwendungsebene haben Sie möglicherweise Services, die Eingaben von Endbenutzern oder externen Systemintegrationen akzeptieren, die von Natur aus risikoreicher sind als die Eingaben für andere Services. Beispiele sind das Hochladen von Dateien, das Ausführen von Skripten, das Scannen von E-Mails und so weiter. Die Unterbringung dieser Services in einer eigenen Netzwerkebene hilft dabei, eine stärkere Isolationsgrenze um sie herum zu schaffen, und kann verhindern, dass ihr einzigartiges Verhalten falsche positive Alarme in Inspektionssystemen erzeugt. 

 Berücksichtigen Sie bei Ihrer Planung, wie die Nutzung von AWS verwalteten Services Ihre Netzwerktopologie beeinflusst. Erfahren Sie, wie Services wie [Amazon VPC Lattice](https://aws.amazon.com/vpc/lattice/) die Interoperabilität Ihrer Workload-Komponenten über Netzwerkebenen hinweg erleichtern können. Wenn Sie [AWS Lambda](https://aws.amazon.com/lambda/) verwenden, sollten Sie die Bereitstellung in Ihren VPC-Subnetzen vornehmen, es sei denn, es gibt besondere Gründe, die dagegen sprechen. Bestimmen Sie, wo VPC-Endpunkte und [AWS PrivateLink](https://aws.amazon.com/privatelink/) die Einhaltung von Sicherheitsrichtlinien, die den Zugriff auf Internet-Gateways beschränken, vereinfachen können. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Überprüfen Sie Ihre Workload-Architektur. Gruppieren Sie Komponenten und Services logisch nach den Funktionen, die sie erfüllen, nach der Sensibilität der verarbeiteten Daten und nach ihrem Verhalten. 

1.  Für Komponenten, die auf Anfragen aus dem Internet reagieren, sollten Sie Load Balancer oder andere Proxys verwenden, um öffentliche Endpunkte bereitzustellen. Erkunden Sie die Verlagerung der Sicherheitskontrollen durch den Einsatz von verwalteten Services wie CloudFront, [Amazon API Gateway](https://aws.amazon.com/api-gateway/), Elastic Load Balancing und [AWS Amplify](https://aws.amazon.com/amplify/) zum Hosten öffentlicher Endpunkte. 

1.  Für Komponenten, die in Datenverarbeitungsumgebungen ausgeführt werden, wie Amazon EC2-Instances, [AWS Fargate](https://aws.amazon.com/fargate/)-Container oder Lambda-Funktionen, stellen Sie diese in privaten Subnetzen bereit, und zwar basierend auf Ihren Gruppen aus dem ersten Schritt. 

1.  Für vollständig verwaltete AWS-Services, wie [Amazon DynamoDB](https://aws.amazon.com/dynamodb/), [Amazon Kinesis](https://aws.amazon.com/kinesis/) oder [Amazon SQS](https://aws.amazon.com/sqs/), sollten Sie VPC-Endpunkte als Standard für den Zugriff über private IP-Adressen verwenden. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [REL02 Planen der Netzwerktopologie](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) 
+  [PERF04-BP01 Verstehen der Auswirkungen des Netzwerks auf die Leistung](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_networking_understand_how_networking_impacts_performance.html) 

 **Zugehörige Videos:** 
+  [AWS re:Invent 2.023 - AWS networking foundations](https://www.youtube.com/watch?v=8nNurTFy-h4) 

 **Zugehörige Beispiele:** 
+  [VPC-Beispiele](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-examples-intro.html) 
+  [Greifen Sie privat auf Container-Anwendungen auf Amazon ECS zu, indem Sie AWS Fargate, AWS PrivateLink und einen Network Load Balancer verwenden](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.html) 
+  [Serve static content in an Amazon S3 bucket through a VPC by using Amazon CloudFront](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.html) 

# SEC05-BP02 Kontrollieren des Datenverkehrsflusses innerhalb Ihrer Netzwerkebenen
<a name="sec_network_protection_layered"></a>

 Verwenden Sie innerhalb der einzelnen Ebenen Ihres Netzwerks eine weitere Segmentierung, um den Datenverkehr auf die für die einzelnen Workloads erforderlichen Flüsse zu beschränken. Konzentrieren Sie sich zunächst auf die Kontrolle des Datenverkehrs zwischen dem Internet oder anderen externen Systemen eines Workloads und Ihrer Umgebung (*Nord-Süd-Verkehr*). Betrachten Sie anschließend die Ströme zwischen verschiedenen Komponenten und Systemen (*Ost-West-Verkehr*). 

 **Gewünschtes Ergebnis:** Sie lassen nur die Netzwerkflüsse zu, die für die Kommunikation der Komponenten Ihrer Workloads untereinander, mit ihren Clients und mit allen anderen Services, von denen sie abhängig sind, erforderlich sind. Ihr Design berücksichtigt Überlegungen wie öffentlichen im Vergleich zu privatem Ingress und Egress, Datenklassifizierung, regionale Vorschriften und Protokollanforderungen. Wo immer es möglich ist, bevorzugen Sie Punkt-zu-Punkt-Flüsse gegenüber Netzwerk-Peering im Rahmen des *Prinzips der geringsten Berechtigung*. 

 **Typische Anti-Muster:** 
+  Sie verfolgen bei der Netzwerksicherheit einen Perimeter-basierten Ansatz und kontrollieren den Datenverkehr nur an den Grenzen Ihrer Netzwerkebenen. 
+  Sie gehen davon aus, dass der gesamte Verkehr innerhalb einer Netzwerkebene authentifiziert und autorisiert ist. 
+  Sie kontrollieren entweder den eingehenden oder den ausgehenden Datenverkehr, aber nicht beide. 
+  Sie verlassen sich bei der Authentifizierung und Autorisierung des Datenverkehrs ausschließlich auf Ihre Workload-Komponenten und Netzwerkkontrollen. 

 **Vorteile der Nutzung dieser bewährten Methode:** Diese Vorgehensweise trägt dazu bei, das Risiko unbefugter Bewegungen innerhalb Ihres Netzwerks zu verringern, und fügt Ihren Workloads eine zusätzliche Autorisierungsebene hinzu. Durch die Kontrolle des Datenverkehrs können Sie den Umfang der Auswirkungen eines Sicherheitsvorfalls begrenzen und die Erkennung und Reaktion beschleunigen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Netzwerkebenen helfen zwar bei der Abgrenzung von Komponenten Ihres Workloads, die eine ähnliche Funktion, eine ähnliche Datensensibilität und ein ähnliches Verhalten aufweisen. Sie können jedoch eine wesentlich feinere Ebene der Datenverkehrskontrolle schaffen, indem Sie Techniken zur weiteren Segmentierung von Komponenten innerhalb dieser Ebenen einsetzen, die dem Prinzip der geringsten Berechtigung folgen. Innerhalb von AWS werden Netzwerkebenen in erster Linie über Subnetze entsprechend den IP-Adressbereichen innerhalb eines Amazon VPC definiert. Ebenen können auch über verschiedene VPCs definiert werden, z. B. für die Gruppierung von Microservice-Umgebungen nach Business Domain. Wenn Sie mehrere VPCs verwenden, vermitteln Sie das Routing mit einem [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). Dies ermöglicht zwar die Kontrolle des Datenverkehrs auf Layer-4-Ebene (IP-Adressen- und Portbereiche) mithilfe von Sicherheitsgruppen und Routing-Tabellen, aber Sie können mit zusätzlichen Services, wie [AWS PrivateLink](https://aws.amazon.com/privatelink/), [Amazon Route 53-Resolver-DNS-Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html), [AWS Network Firewall](https://aws.amazon.com/network-firewall/) und [AWS WAF](https://aws.amazon.com/waf/) weitere Kontrolle erlangen. 

 Verstehen und inventarisieren Sie den Datenfluss und die Kommunikationsanforderungen Ihrer Workloads in Bezug auf verbindungsauslösende Parteien, Ports, Protokolle und Netzwerkebenen. Prüfen Sie die verfügbaren Protokolle für den Verbindungsaufbau und die Datenübertragung, um diejenigen auszuwählen, die Ihre Schutzanforderungen erfüllen (z. B. HTTPS statt HTTP). Erfassen Sie diese Anforderungen sowohl an den Grenzen Ihrer Netzwerke als auch innerhalb jeder Ebene. Sobald diese Anforderungen identifiziert sind, prüfen Sie die Möglichkeiten, um nur den erforderlichen Datenverkehr an jedem Verbindungspunkt zuzulassen. Ein guter Ausgangspunkt ist die Verwendung von *Sicherheitsgruppen* innerhalb Ihrer VPC, da sie an Ressourcen angehängt werden können, die eine Elastic-Network-Schnittstelle (ENI) verwenden, wie Amazon EC2-Instances, Amazon ECS-Aufgaben, Amazon EKS-Pods oder Amazon RDS-Datenbanken. Im Gegensatz zu einer Layer-4-Firewall kann eine Sicherheitsgruppe eine Regel haben, die den Datenverkehr einer anderen Sicherheitsgruppe anhand ihrer Kennung zulässt, wodurch Aktualisierungen minimiert werden, wenn sich die Ressourcen innerhalb der Gruppe im Laufe der Zeit ändern. Sie können den Datenverkehr auch mithilfe von Sicherheitsgruppen nach eingehenden und ausgehenden Regeln filtern. 

 Wenn sich der Datenverkehr zwischen VPCs bewegt, ist es üblich, VPC-Peering für einfaches Routing oder AWS Transit Gateway für komplexes Routing zu verwenden. Mit diesen Ansätzen erleichtern Sie den Datenverkehrsfluss zwischen dem Bereich der IP-Adressen des Quell- und des Zielnetzwerks. Wenn Ihr Workload jedoch nur Datenverkehrsflüsse zwischen bestimmten Komponenten in verschiedenen VPCs erfordert, sollten Sie eine Punkt-zu-Punkt-Verbindung mit [AWS PrivateLink](https://aws.amazon.com/privatelink/) verwenden. Bestimmen Sie dazu, welcher Service als Produzent und welcher als Verbraucher fungieren soll. Stellen Sie einen kompatiblen Load Balancer für den Produzenten bereit, schalten Sie PrivateLink entsprechend ein und akzeptieren Sie dann eine Verbindungsanfrage des Verbrauchers. Dem Produzenten-Service wird dann eine private IP-Adresse aus der VPC des Verbrauchers zugewiesen, die der Verbraucher für nachfolgende Anfragen verwenden kann. Dieser Ansatz reduziert die Notwendigkeit, die Netzwerke zu peeren. Beziehen Sie die Kosten für die Datenverarbeitung und den Load Balancer in die Bewertung von PrivateLink mit ein. 

 Sicherheitsgruppen und PrivateLink tragen zwar dazu bei, den Fluss zwischen den Komponenten Ihrer Workloads zu kontrollieren. Eine weitere wichtige Überlegung ist jedoch, wie Sie kontrollieren können, auf welche DNS-Domains Ihre Ressourcen zugreifen dürfen (falls überhaupt). Abhängig von der DHCP-Konfiguration Ihrer VPCs können Sie zwei verschiedene AWS-Services für diesen Zweck in Betracht ziehen. Die meisten Kunden verwenden den standardmäßigen Route 53-Resolver DNS-Service (auch Amazon-DNS-Server oder AmazonProvidedDNS genannt), der für VPCs unter der \$12-Adresse ihres CIDR-Bereichs verfügbar ist. Mit diesem Ansatz können Sie DNS-Firewall-Regeln erstellen und diese mit Ihrer VPC verknüpfen, die festlegen, welche Aktionen für die von Ihnen bereitgestellten Domain-Listen durchgeführt werden sollen. 

 Wenn Sie nicht den Route 53-Resolver verwenden, oder wenn Sie den Resolver mit tieferen Prüf- und Flusskontrollfunktionen als der Domain-Filterung ergänzen wollen, sollten Sie die Bereitstellung eines AWS Network Firewall erwägen. Dieser Service prüft einzelne Pakete anhand von zustandslosen oder zustandsbehafteten Regeln, um zu entscheiden, ob der Datenverkehr verweigert oder zugelassen werden soll. Einen ähnlichen Ansatz können Sie für die Filterung des eingehenden Internetdatenverkehrs zu Ihren öffentlichen Endpunkten mit AWS WAF verfolgen. Weitere Hinweise zu diesen Services finden Sie unter [SEC05-BP03 Implementieren eines prüfungsbasierten Schutzes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_inspection.html). 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Identifizieren Sie die erforderlichen Datenflüsse zwischen den Komponenten Ihrer Workloads. 

1.  Wenden Sie mehrere Kontrollen mit einem Ansatz der Tiefenverteidigung sowohl für den eingehenden als auch für den ausgehenden Datenverkehr an, einschließlich der Verwendung von Sicherheitsgruppen und Routing-Tabellen.  

1.  Verwenden Sie Firewalls, um eine feinkörnige Kontrolle über den Netzwerkverkehr in, aus und zwischen Ihren VPCs zu definieren, wie z. B. die Route 53 Resolver DNS Firewall, AWS Network Firewall und AWS WAF. Erwägen Sie den Einsatz von [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) für die zentrale Konfiguration und Verwaltung Ihrer Firewall-Regeln in Ihrer Organisation. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [REL03-BP01 Segmentierung Ihres Workloads](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_service_architecture_monolith_soa_microservice.html) 
+  [SEC09-BP02 Erzwingen einer Verschlüsselung bei der Übertragung](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_transit_encrypt.html) 

 **Zugehörige Dokumente:** 
+  [Security best practices for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) 
+  [AWS Network Optimization Tips](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-network-optimization-tips/) 
+  [Guidance for Network Security on AWS](https://aws.amazon.com/solutions/guidance/network-security-on-aws/) 
+  [Secure your VPC's outbound network traffic in the AWS Cloud](https://docs.aws.amazon.com/prescriptive-guidance/latest/secure-outbound-network-traffic/welcome.html) 

 **Zugehörige Tools:** 
+  [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) 

 **Zugehörige Videos:** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) 
+  [AWS re:Inforce 2023: Firewalls and where to put them](https://www.youtube.com/watch?v=lTJxWAiQrHM) 

# SEC05-BP03 Implementieren Sie einen inspektionsbasierten Schutz
<a name="sec_network_protection_inspection"></a>

 Richten Sie Kontrollpunkte für den Datenverkehr zwischen Ihren Netzwerkebenen ein, um sicherzustellen, dass die Daten während der Übertragung den erwarteten Kategorien und Mustern entsprechen.  Analysieren Sie Datenverkehrsströme, Metadaten und Muster, um Ereignisse effektiver zu identifizieren, zu erkennen und darauf zu reagieren. 

 **Gewünschtes Ergebnis:** Der Datenverkehr, der zwischen Ihren Netzwerkebenen verläuft, wird geprüft und autorisiert.  Entscheidungen über das Zulassen oder Verweigern von Zugriffen beruhen auf expliziten Regeln, Informationen über Bedrohungen und Abweichungen vom Grundverhalten.  Der Schutz wird strenger, je näher der Datenverkehr an sensible Daten heranrückt. 

 **Typische Anti-Muster:** 
+  Ausschließlich auf Firewall-Regeln vertrauen, die auf Ports und Protokollen basieren, und Vorteile intelligenter Systeme außer Acht lassen 
+  Firewall-Regeln auf der Grundlage bestimmter aktueller Bedrohungsmuster erstellen, die sich ändern können 
+  Überprüfung des Datenverkehrs auf den Übergang von privaten zu öffentlichen Subnetzen oder von öffentlichen Subnetzen zum Internet beschränken 
+  Keine Basisansicht Ihres Netzwerkdatenverkehrs haben, die Sie auf Verhaltensanomalien hin überprüfen können 

 **Vorteile der Nutzung dieser bewährten Methode:** Prüfungssysteme ermöglichen es Ihnen, intelligente Regeln zu erstellen, z. B. den Datenverkehr nur dann zuzulassen oder zu verweigern, wenn bestimmte Bedingungen in den Datenverkehrsdaten vorliegen. Profitieren Sie von verwalteten Regelsätzen von AWS und Partnern, die auf den neuesten Bedrohungsinformationen basieren, da sich die Bedrohungslandschaft im Laufe der Zeit ändert.  Dadurch verringert sich der Aufwand für die Pflege von Regeln und die Suche nach Indikatoren für eine Gefährdung, wodurch das Potenzial für Fehlalarme reduziert wird. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: **Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 [Verschaffen Sie sich mithilfe anderer [Firewalls](https://aws.amazon.com/marketplace/search/results?searchTerms=firewalls) und [Intrusion Prevention-Systeme](https://aws.amazon.com/marketplace/search/results?searchTerms=Intrusion+Prevention+Systems) (IPS) AWS Network Firewall, die Sie hinter einem Gateway Load Balancer () einsetzen können, eine genaue Kontrolle über Ihren AWS Marketplace statusbehafteten und statusfreien Netzwerkverkehr. GWLB](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)AWS Network Firewall unterstützt [Suricata-kompatible](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) Open-Source-Spezifikationen, um Ihre Workloads zu schützen. IPS 

 AWS Network Firewall Sowohl die Lösungen als auch die von Anbietern, die A verwenden, GWLB unterstützen unterschiedliche Bereitstellungsmodelle für Inline-Inspektionen.  Sie können beispielsweise Inspektionen auf VPC Einzelbasis durchführen, sie in Form einer zentralen Inspektion durchführen oder sie in einem Hybridmodell einsetzenVPC, bei dem der Ost-West-Verkehr durch eine Inspektion fließt VPC und der Interneteingang einzeln geprüft wird. VPC  Eine weitere Überlegung ist, ob die Lösung das Entpacken von Transport Layer Security (TLS) unterstützt, wodurch eine Deep Packet Inspection für Datenflüsse, die in beide Richtungen initiiert werden, ermöglicht wird. Weitere Informationen und ausführliche Details zu diesen Konfigurationen finden Sie im Leitfaden für [AWS Network Firewall Best Practices](https://aws.github.io/aws-security-services-best-practices/guides/network-firewall/). 

 [Wenn Sie Lösungen verwenden, die out-of-band Inspektionen durchführen, z. B. die PCAP-Analyse von Paketdaten von Netzwerkschnittstellen, die im Promiscuous-Modus arbeiten, können Sie die Verkehrsspiegelung konfigurieren. VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) Gespiegelter Datenverkehr wird auf die verfügbare Bandbreite Ihrer Schnittstellen angerechnet und unterliegt denselben Datenübertragungsgebühren wie nicht gespiegelter Datenverkehr. Sie können sehen, ob virtuelle Versionen dieser Appliances auf dem verfügbar sind [AWS Marketplace](https://aws.amazon.com/marketplace/solutions/infrastructure-software/cloud-networking), was möglicherweise die Inline-Bereitstellung hinter einem unterstützt. GWLB 

 Schützen Sie Ihre Anwendung bei Komponenten, die über HTTP basierte Protokolle abgewickelt werden, mit einer Webanwendungs-Firewall (WAF) vor häufigen Bedrohungen. [AWS WAF](https://aws.amazon.com/waf)ist eine Firewall für Webanwendungen, mit der Sie Anfragen, die Ihren konfigurierbaren Regeln entsprechen, überwachen und blockieren HTTP können, bevor sie an Amazon API Gateway CloudFront, Amazon AWS AppSync oder einen Application Load Balancer gesendet werden. Ziehen Sie Deep Packet Inspection in Betracht, wenn Sie den Einsatz Ihrer Webanwendungs-Firewall evaluieren, da Sie bei einigen Anwendungen den Vorgang TLS vor der Datenverkehrsinspektion beenden müssen. Zu Beginn können Sie AWS WAF es [Von AWS verwaltete Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group)in Kombination mit Ihren eigenen Integrationen verwenden oder bestehende [Partnerintegrationen](https://aws.amazon.com/waf/partners/) verwenden. 

 Mit können Sie AWS WAF, AWS Shield Advanced AWS Network Firewall, und VPC Amazon-Sicherheitsgruppen in Ihrer gesamten AWS Organisation zentral verwalten [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/).  

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  Stellen Sie fest, ob Sie die Inspektionsregeln breit fassen könnenVPC, z. B. durch eine Inspektion, oder ob Sie einen detaillierteren VPC Ansatz benötigen. 

1.  Für Inline-Prüfungslösungen: 

   1.  Falls Sie diese verwenden AWS Network Firewall, erstellen Sie Regeln, Firewall-Richtlinien und die Firewall selbst. Sobald diese konfiguriert sind, können Sie den [Datenverkehr an den Endpunkt der Firewall leiten](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/), um die Prüfung zu aktivieren.  

   1.  Wenn Sie eine Appliance eines Drittanbieters mit einem Gateway Load Balancer (GWLB) verwenden, stellen Sie Ihre Appliance in einer oder mehreren Availability Zones bereit und konfigurieren Sie sie. Erstellen Sie dann Ihren GWLB Endpunktdienst und konfigurieren Sie das Routing für Ihren Datenverkehr. 

1.  Für out-of-band Inspektionslösungen: 

   1.  Aktivieren Sie VPC Traffic Mirroring auf Schnittstellen, an denen eingehender und ausgehender Datenverkehr gespiegelt werden soll. Sie können EventBridge Amazon-Regeln verwenden, um eine AWS Lambda Funktion aufzurufen, mit der die Verkehrsspiegelung auf Schnittstellen aktiviert wird, wenn neue Ressourcen erstellt werden. Richten Sie die Sitzungen zur Datenverkehrsspiegelung auf den Network Load Balancer vor Ihrer Appliance, der den Datenverkehr verarbeitet. 

1.  Für Lösungen für eingehenden Internetdatenverkehr: 

   1.  Um zu konfigurieren AWS WAF, konfigurieren Sie zunächst eine Web-Zugriffskontrollliste (WebACL). Das Web ACL ist eine Sammlung von Regeln mit einer seriell verarbeiteten Standardaktion (ALLOWoderDENY), die definiert, wie Sie mit dem Datenverkehr WAF umgehen. Sie können Ihre eigenen Regeln und Gruppen erstellen oder AWS verwaltete Regelgruppen in Ihrem Web ACL verwenden. 

   1.  Sobald Ihr Web konfiguriert ACL ist, verknüpfen Sie das Web ACL mit einer AWS Ressource (wie einem Application Load Balancer, einem API Gateway oder einer CloudFront Distribution) RESTAPI, um mit dem Schutz des Webverkehrs zu beginnen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [What is Traffic Mirroring?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 
+  [Implementing inline traffic inspection using third-party security appliances](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/welcome.html) 
+  [AWS Network Firewall Beispielarchitekturen mit Routing](https://docs.aws.amazon.com/network-firewall/latest/developerguide/architectures.html) 
+  [Zentralisierte Inspektionsarchitektur mit AWS Gateway Load Balancer und AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) 

 **Zugehörige Beispiele:** 
+  [Best practices for deploying Gateway Load Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/) 
+  [TLSInspektionskonfiguration für verschlüsselten Ausgangsverkehr und AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-egress-traffic-and-aws-network-firewall/) 

 **Zugehörige Tools:** 
+  [AWS Marketplace IDS/IPS](https://aws.amazon.com/marketplace/search/results?prevFilters=%257B%2522id%2522%3A%25220ed48363-5064-4d47-b41b-a53f7c937314%2522%257D&searchTerms=ids%2Fips) 

# SEC05-BP04 Automatisieren Sie den Netzwerkschutz
<a name="sec_network_auto_protect"></a>

 Automatisieren Sie die Implementierung Ihrer Netzwerkschutzmaßnahmen mithilfe von DevOps Methoden wie *Infrastructure as Code* (IaC) und CI/CD-Pipelines.  Diese Praktiken können Ihnen helfen, Änderungen an Ihrem Netzwerkschutz über ein Versionskontrollsystem zu verfolgen, den Zeitaufwand für die Bereitstellung von Änderungen zu reduzieren und zu erkennen, wenn Ihr Netzwerkschutz von der gewünschten Konfiguration abweicht.   

 **Gewünschtes Ergebnis:** Sie definieren Netzwerkschutzmaßnahmen mit Vorlagen und übertragen diese in ein Versionskontrollsystem.  Automatisierte Pipelines werden initiiert, wenn neue Änderungen vorgenommen werden, die ihre Prüfung und Bereitstellung orchestrieren.  Richtlinienprüfungen und andere statische Tests dienen der Validierung von Änderungen vor der Bereitstellung.  Sie stellen die Änderungen in einer Staging-Umgebung bereit, um zu überprüfen, ob die Kontrollen wie erwartet funktionieren.  Die Bereitstellung in Ihrer Produktionsumgebung erfolgt ebenfalls automatisch, sobald die Kontrollen genehmigt sind. 

 **Typische Anti-Muster:** 
+  Darauf vertrauen, dass die einzelnen Workload-Teams ihren kompletten Netzwerkstack, Schutzmaßnahmen und Automatisierungen selbst definieren  Keine zentrale Veröffentlichung von Standardaspekten des Netzwerkstapels und der Schutzmechanismen für Workload-Teams zur Nutzung 
+  Auf ein zentrales Netzwerkteam vertrauen, das alle Aspekte des Netzwerks, der Schutzmaßnahmen und der Automatisierungen definiert  Verzicht auf die Delegation von Workload-spezifischen Aspekten des Netzwerkstacks und der Schutzmaßnahmen an das Team des Workloads 
+  Beibehalten eines ausgewogenen Verhältnisses zwischen Zentralisierung und Delegation zwischen einem Netzwerkteam und Workload-Teams, aber keine Anwendung konsistenter Test- und Bereitstellungsstandards über Ihre IaC-Vorlagen und CI/CD-Pipelines hinweg  Unterlassen der Erfassung erforderlicher Konfigurationen in Tools, die Ihre Vorlagen auf Einhaltung überprüfen 

 **Vorteile der Nutzung dieser bewährten Methode:** Durch die Verwendung von Vorlagen zur Definition Ihres Netzwerkschutzes können Sie Änderungen im Laufe der Zeit mit einem Versionskontrollsystem verfolgen und vergleichen.  Der Einsatz von Automatisierung zum Testen und Bereitstellen von Änderungen schafft Standardisierung und Vorhersehbarkeit, erhöht die Chancen auf eine erfolgreiche Bereitstellung und reduziert die sich wiederholenden manuellen Konfigurationen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: **Mittel  

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Eine Reihe von Netzwerkschutzmaßnahmen, die in [SEC05-BP02 Steuern Sie den Datenfluss innerhalb Ihrer Netzwerkschichten und SEC 05-BP03](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_layered.html) [Implementieren Sie inspektionsbasierten Schutz](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_inspection.html) beschrieben sind, verfügen über verwaltete Regelsysteme, die automatisch auf der Grundlage der neuesten Bedrohungsinformationen aktualisiert werden können.  [Beispiele für den Schutz Ihrer Web-Endgeräte sind [AWS WAF verwaltete](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) Regeln und automatische Abwehr auf Anwendungsebene.AWS Shield Advanced DDoS](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) Verwenden Sie [von AWS Network Firewall verwaltete Regelgruppen](https://docs.aws.amazon.com/network-firewall/latest/developerguide/nwfw-managed-rule-groups.html), um auch bei Domain-Listen mit geringer Reputation und Bedrohungssignaturen auf dem Laufenden zu bleiben. 

 Neben verwalteten Regeln empfehlen wir Ihnen, DevOps Methoden zur Automatisierung der Bereitstellung Ihrer Netzwerkressourcen, Schutzmaßnahmen und der von Ihnen festgelegten Regeln zu verwenden.  Sie können diese Definitionen in [AWS CloudFormation](https://aws.amazon.com/cloudformation/) oder einem anderen *Infrastructure as Code* (IaC)-Tool Ihrer Wahl erfassen, sie an ein Versionskontrollsystem übergeben und sie über CI/CD-Pipelines bereitstellen.  Nutzen Sie diesen Ansatz, um die traditionellen Vorteile der DevOps Verwaltung Ihrer Netzwerkkontrollen zu nutzen, z. B. vorhersehbarere Versionen, automatisierte Tests mit Tools wie [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)und die Erkennung von Abweichungen zwischen Ihrer bereitgestellten Umgebung und der gewünschten Konfiguration. 

 Basierend auf den Entscheidungen, die Sie im Rahmen von [SEC05-BP01 Create Network Layers getroffen haben, verfolgen Sie möglicherweise einen zentralen Managementansatz für die Erstellung von Netzwerkschichten](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_create_layers.html)VPCs, die für Eingangs-, Ausgangs- und Inspektionsabläufe vorgesehen sind.  [Wie in der [AWS Sicherheitsreferenzarchitektur (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture) beschrieben, können Sie diese VPCs in einem speziellen Netzwerkinfrastrukturkonto definieren.](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html)  Sie können ähnliche Techniken verwenden, um zentral die von Ihren Workloads in anderen Konten VPCs verwendeten Sicherheitsgruppen, AWS Network Firewall Bereitstellungen, Route 53-Resolver-Regeln und DNS Firewall-Konfigurationen sowie andere Netzwerkressourcen zu definieren.  Sie können diese Ressourcen mit Ihren anderen Konten mit [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) teilen.  Mit diesem Ansatz können Sie das automatisierte Testen und die Bereitstellung Ihrer Netzwerkkontrollen für das Netzwerkkonto vereinfachen, da Sie nur ein Ziel verwalten müssen.  Sie können dies in einem hybriden Modell tun, bei dem Sie bestimmte Kontrollen zentral bereitstellen und gemeinsam nutzen und andere Kontrollen an die einzelnen Workload-Teams und ihre jeweiligen Konten delegieren. 

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  Legen Sie fest, welche Aspekte des Netzwerks und des Schutzes zentral definiert werden und welche Ihre Workload-Teams verwalten können. 

1.  Erstellen Sie Umgebungen zum Testen und Bereitstellen von Änderungen an Ihrem Netzwerk und dessen Schutzmaßnahmen.  Verwenden Sie zum Beispiel ein Netzwerk-Testkonto und ein Netzwerk-Produktionskonto. 

1.  Legen Sie fest, wie Sie Ihre Vorlagen in einem Versionskontrollsystem speichern und pflegen wollen.  Speichern Sie zentrale Vorlagen in einem Repository, das sich von den Workload-Repositories unterscheidet, während Workload-Vorlagen in Repositories gespeichert werden können, die speziell für diesen Workload gelten. 

1.  Erstellen Sie CI/CD-Pipelines zum Testen und Bereitstellen von Vorlagen.  Definieren Sie Tests, um zu prüfen, ob Fehlkonfigurationen vorliegen und ob die Vorlagen den Standards Ihres Unternehmens entsprechen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP06 Automatisieren Sie die Implementierung von Standard-Sicherheitskontrollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls) 

 **Zugehörige Dokumente:** 
+  [AWS Security Reference Architecture - Network account](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html) 

 **Zugehörige Beispiele:** 
+  [AWS Deployment Pipeline Reference Architecture](https://pipelines.devops.aws.dev/) 
+  [NetDevSecOpszur Modernisierung von Netzwerkinstallationen AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/netdevsecops-to-modernize-aws-networking-deployments/) 
+  [Integration von AWS CloudFormation Sicherheitstests und Berichten AWS Security Hub CSPMAWS CodeBuild](https://aws.amazon.com/blogs/security/integrating-aws-cloudformation-security-tests-with-aws-security-hub-and-aws-codebuild-reports/) 

 **Zugehörige Tools:** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [cfn\$1nag](https://github.com/stelligent/cfn_nag) 

# Schutz der Datenverarbeitung
<a name="protecting-compute"></a>

Zu den Rechenressourcen gehören u. a. EC2-Instances, Container, AWS-Lambda-Funktionen, Datenbankservices und IoT-Geräte. Jeder dieser Typen von Datenverarbeitungsressourcen erfordert unterschiedliche Ansätze, um sie zu schützen. Sie haben jedoch gemeinsame Strategien, die Sie in Betracht ziehen müssen: tiefgehende Sicherheit, Schwachstellenmanagement, Verringerung der Angriffsfläche, Automatisierung von Konfiguration und Betrieb und Durchführung von Aktionen aus der Ferne. In diesem Abschnitt finden Sie eine allgemeine Anleitung zum Schutz Ihrer Datenverarbeitungsressourcen für wichtige Services. Es ist wichtig, dass Sie für jeden verwendeten AWS-Service die spezifischen Sicherheitsempfehlungen in der Dokumentation des Services überprüfen.

**Topics**
+ [SEC06-BP01 Schwachstellenmanagement](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Bereitstellen von Rechenleistung aus gehärteten Images](sec_protect_compute_hardened_images.md)
+ [SEC06-BP03 Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs](sec_protect_compute_reduce_manual_management.md)
+ [SEC06-BP04 Softwareintegrität validieren](sec_protect_compute_validate_software_integrity.md)
+ [SEC06-BP05 Automatisieren des Datenverarbeitungsschutzes](sec_protect_compute_auto_protection.md)

# SEC06-BP01 Schwachstellenmanagement
<a name="sec_protect_compute_vulnerability_management"></a>

Überprüfen und Patchen Sie Ihren Code, Ihre Abhängigkeiten und Ihre Infrastruktur häufig auf Schwachstellen, um sich vor neuen Bedrohungen zu schützen.

 **Gewünschtes Ergebnis:** Sie verfügen über eine Lösung, die Ihren Workload kontinuierlich auf Software-Schwachstellen, potenzielle Fehler und unbeabsichtigte Netzwerkrisiken überprüft. Sie haben Prozesse und Verfahren eingerichtet, um diese Schwachstellen basierend auf Risikobewertungskriterien zu identifizieren, zu priorisieren und zu beheben. Darüber hinaus haben Sie eine automatisierte Patch-Verwaltung für Ihre Datenverarbeitungs-Instances implementiert. Ihr Programm für das Schwachstellenmanagement ist in Ihren Softwareentwicklungszyklus integriert und bietet Lösungen zum Scannen Ihres Quellcodes in der CI/CD-Pipeline. 

 **Typische Anti-Muster:** 
+  Fehlen eines Programms für das Schwachstellenmanagement 
+  Durchführung von System-Patches ohne Berücksichtigung des Schweregrads oder der Risikovermeidung 
+  Verwendung von Software nach dem vom Anbieter angegebenen Lebenszyklusenddatum 
+  Bereitstellung von Code für die Produktion, bevor dieser auf Sicherheitsprobleme untersucht wurde 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Das Schwachstellenmanagement ist ein wichtiger Aspekt bei der Aufrechterhaltung einer sicheren und robusten Cloud-Umgebung. Es umfasst einen umfassenden Prozess, der Sicherheitsscans, die Identifizierung und Priorisierung von Problemen sowie Patch-Operationen zur Behebung der identifizierten Schwachstellen umfasst. Die Automatisierung spielt in diesem Prozess eine zentrale Rolle, da sie das kontinuierliche Scannen von Workloads auf potenzielle Probleme und unbeabsichtigte Netzwerkrisiken sowie die Durchführung von Abhilfemaßnahmen ermöglicht. 

 Das [AWS-Modell der gemeinsamen Verantwortung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/shared-responsibility.html) ist ein Basiskonzept, das dem Schwachstellenmanagement zugrunde liegt. Gemäß diesem Modell ist AWS für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, einschließlich Hardware, Software, Netzwerk und der Einrichtungen, in denen AWS-Services ausgeführt werden. Umgekehrt sind Sie für die Sicherung Ihrer Daten, die Sicherheitskonfigurationen und die Verwaltungsaufgaben im Zusammenhang mit Services wie Amazon-EC2-Instances und Amazon-S3-Objekten verantwortlich. 

 AWS bietet verschiedene Services zur Unterstützung von Programmen für das Schwachstellenmanagement an. [Amazon Inspector](https://aws.amazon.com/inspector/) scannt AWS Workloads kontinuierlich auf Software-Schwachstellen und unbeabsichtigte Netzwerkzugriffe, während [AWSSystems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) die Verwaltung von Patches für Amazon-EC2-Instances unterstützt. Diese Services können mit [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) integriert werden, einem Service für das Management der Cloud-Sicherheit. Dieser Service automatisiert AWS-Sicherheitsprüfungen, zentralisiert Sicherheitswarnungen und stellt eine umfassende Übersicht über die Sicherheitslage einer Organisation bereit. Darüber hinaus verwendet [Amazon CodeGuru Security](https://aws.amazon.com/codeguru/) Analysen des statischen Codes, um während der Entwicklungsphase potenzielle Probleme in Java- und Python-Anwendungen zu erkennen. 

 Durch die Integration von Verfahren für das Schwachstellenmanagement in den Software-Entwicklungszyklus können Sie Schwachstellen proaktiv beseitigen, bevor sie in Produktionsumgebungen eingeführt werden. Dies reduziert das Risiko von Sicherheitsvorfällen und die potenziellen Auswirkungen von Schwachstellen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  **Machen Sie sich mit dem Modell der geteilten Verantwortung vertraut:** Informieren Sie sich über das AWS-Modell der geteilten Verantwortung, um Ihre Verantwortung für die Sicherung Ihrer Workloads und Daten in der Cloud zu verstehen. AWS ist für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur verantwortlich, während Sie für die Sicherheit Ihrer Anwendungen und Daten sowie der genutzten Services verantwortlich sind. 

1.  **Implementieren Sie Schwachstellenscans**: Konfigurieren Sie einen Service für das Scannen von Schwachstellen, z. B. Amazon Inspector, um Ihre Datenverarbeitungs-Instances (z. B. virtuelle Maschinen, Container oder Serverless-Funktionen) automatisch auf Software-Schwachstellen, potenzielle Fehler und unbeabsichtigte Netzwerkrisiken zu scannen. 

1.  **Richten Sie Prozesse für das Schwachstellenmanagement ein:** Definieren Sie Prozesse und Verfahren für die Identifizierung, Priorisierung und Behebung von Schwachstellen. Dies kann die Einrichtung von Zeitplänen für das regelmäßige Scannen auf Sicherheitslücken, die Festlegung von Kriterien für die Risikobewertung und die Definition von Zeitplänen für die Behebung basierend auf dem Schweregrad der Schwachstelle umfassen. 

1.  **Richten Sie eine Patch–Verwaltung ein:** Verwenden Sie einen Service für die Verwaltung von Patches, um das Patchen Ihrer Datenverarbeitungs-Instances zu automatisieren, sowohl für Betriebssysteme als auch für Anwendungen. Sie können den Service für das Scannen von Instances auf fehlende Patches und das automatische Installieren von Patches nach Zeitplan konfigurieren. Ziehen Sie AWS Systems Manager Patch Manager in Betracht, um diese Funktionalität bereitzustellen. 

1.  **Konfigurieren Sie einen Malware-Schutz:** Implementieren Sie Mechanismen für die Erkennung bösartiger Software in Ihrer Umgebung. Sie können beispielsweise Tools wie [Amazon GuardDuty](https://aws.amazon.com/guardduty/) verwenden, um EC2- und EBS-Volumes hinsichtlich Malware zu analysieren, Malware zu erkennen und vor Malware zu warnen. GuardDuty kann auch neu zu Amazon S3 hochgeladene Objekte auf potenzielle Malware oder Viren scannen und Maßnahmen ergreifen, um sie vor der Aufnahme in nachgelagerte Prozesse zu isolieren. 

1.  **Integrieren Sie Schwachstellen-Scans in CI/CD-Pipelines:** Wenn Sie eine CI/CD-Pipeline für Ihre Anwendungsbereitstellung verwenden, sollten Sie Tools zum Scannen auf Schwachstellen in Ihre Pipeline integrieren. Tools wie Amazon CodeGuru Security und Open-Source-Optionen können Quellcode, Abhängigkeiten und Artefakte auf potenzielle Sicherheitsprobleme scannen. 

1.  **Konfigurieren Sie einen Service für die Überwachung der Sicherheit:** Richten Sie einen Service für die Überwachung der Sicherheit ein, z. B. AWS Security Hub CSPM, um einen umfassenden Überblick über Ihren Sicherheitsstatus über verschiedene Cloud-Services hinweg zu erhalten. Der Service sollte Erkenntnisse zur Sicherheit aus verschiedenen Quellen sammeln und sie in einem standardisierten Format anzeigen, um Priorisierung und Behebung zu vereinfachen. 

1.  **Implementieren Sie Penetrationstests für Webanwendungen**: Wenn es sich bei Ihrer Anwendung um eine Webanwendung handelt und Ihre Organisation über die erforderlichen Kompetenzen verfügt oder externe Unterstützung erhalten kann, sollten Sie die Implementierung von Penetrationstests für Webanwendungen in Betracht ziehen, um potenzielle Schwachstellen in Ihrer Anwendung zu identifizieren. 

1.  **Automatisieren Sie mit „Infrastructur as Code“**: Verwenden Sie Infrastructure as Code (IAC)-Tools, z. B. [AWS CloudFormation](https://aws.amazon.com/cloudformation/), um die Bereitstellung und Konfiguration Ihrer Ressourcen zu automatisieren, einschließlich der zuvor genannten Sicherheitsservices. Dieses Verfahren hilft, eine konsistentere und standardisierte Ressourcenarchitektur für mehrere Konten und Umgebungen zu erstellen. 

1.  **Überwachung und kontinuierliche Verbesserung**: Überwachen Sie kontinuierlich die Effektivität Ihres Programms für das Schwachstellenmanagement und verbessern Sie es wie notwendig. Überprüfen Sie die Sicherheitserkenntnisse, bewerten Sie die Effektivität Ihrer Abhilfemaßnahmen und passen Sie Ihre Prozesse und Tools entsprechend an. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Security Overview of AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 
+ [ Amazon CodeGuru ](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [ Improved, Automated Vulnerability Management for Cloud Workloads with a New Amazon Inspector ](https://aws.amazon.com/blogs/aws/improved-automated-vulnerability-management-for-cloud-workloads-with-a-new-amazon-inspector/)
+ [ Automate vulnerability management and remediation in AWS using Amazon Inspector and AWS Systems Manager – Part 1 ](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/)

 **Zugehörige Videos:** 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI) 

# SEC06-BP02 Bereitstellen von Rechenleistung aus gehärteten Images
<a name="sec_protect_compute_hardened_images"></a>

 Bieten Sie weniger Möglichkeiten für einen unbeabsichtigten Zugriff auf Ihre Laufzeitumgebungen, indem Sie sie über gehärtete Images bereitstellen. Beziehen Sie Laufzeit-Abhängigkeiten wie Container-Images und Anwendungsbibliotheken nur von vertrauenswürdigen Registern und überprüfen Sie deren Signaturen. Erstellen Sie Ihre eigenen privaten Register, um vertrauenswürdige Images und Bibliotheken für die Verwendung in Ihren Build- und Bereitstellungsprozessen zu speichern. 

 **Gewünschtes Ergebnis:** Ihre Datenverarbeitungsressourcen werden über gehärtete Baseline-Images bereitgestellt. Sie rufen externe Abhängigkeiten, wie Container-Images und Anwendungsbibliotheken, nur aus vertrauenswürdigen Registern ab und überprüfen deren Signaturen. Diese werden in privaten Registern gespeichert, auf die Ihre Build- und Bereitstellungsprozesse verweisen können. Sie überprüfen und aktualisieren Images und Abhängigkeiten regelmäßig, um sich vor neu entdeckten Schwachstellen zu schützen. 

 **Typische Anti-Muster:** 
+  Abrufen von Images und Bibliotheken aus vertrauenswürdigen Registern, ohne deren Signaturen zu überprüfen oder Schwachstellen zu scannen, bevor sie eingesetzt werden 
+  Härtung von Images, ohne sie regelmäßig auf neue Schwachstellen zu testen oder auf die neueste Version zu aktualisieren 
+  Installation oder Nichtentfernung von Softwarepaketen, die während des erwarteten Lebenszyklus des Images nicht benötigt werden 
+  Vertrauen auf Patches als einzige Methode, um Datenverarbeitungsressourcen in der Produktion auf dem neuesten Stand zu halten Die alleinige Verwendung von Patches kann immer noch dazu führen, dass Datenverarbeitungsressourcen im Laufe der Zeit von dem gehärteten Standard abweichen. Patches sind außerdem nicht in der Lage, Malware zu entfernen, die möglicherweise von einem Bedrohungsakteur während eines Sicherheitsvorfalls installiert wurde. 

 **Vorteile der Nutzung dieser bewährten Methode:** Das Härten von Images trägt dazu bei, die Anzahl der in Ihrer Laufzeitumgebung verfügbaren Pfade zu reduzieren, die unbeabsichtigten Zugriff auf nicht autorisierte Benutzer oder Services ermöglichen können. Auch das Ausmaß der Auswirkungen eines unbeabsichtigten Zugriffs kann damit verringert werden. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Um Ihre Systeme abzusichern, sollten Sie mit den neuesten Versionen von Betriebssystemen, Container-Images und Anwendungsbibliotheken beginnen. Wenden Sie Patches auf bekannte Probleme an. Reduzieren Sie das System auf ein Minimum, indem Sie nicht benötigte Anwendungen, Services, Gerätetreiber, Standardbenutzer und andere Anmeldeinformationen entfernen. Ergreifen Sie alle weiteren erforderlichen Maßnahmen, wie z. B. das Deaktivieren von Ports, um eine Umgebung zu schaffen, die nur über die von Ihren Workloads benötigten Ressourcen und Fähigkeiten verfügt. Von dieser Baseline aus können Sie dann Software, Agenten oder andere Prozesse installieren, die Sie für Zwecke wie die Überwachung des Workloads oder die Verwaltung von Schwachstellen benötigen. 

 Sie können die Belastung durch die Abhärtung von Systemen verringern, indem Sie sich an Anleitungen von vertrauenswürdigen Quellen wie dem [Center for Internet Security (CIS) und den Security](https://www.cisecurity.org/) [Technical Implementation Guides](https://public.cyber.mil/stigs/) () der Defense Information Systems Agency (DISA) halten. STIGs Wir empfehlen Ihnen, mit einem [Amazon Machine Image](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) (AMI) zu beginnen, das von AWS oder einem APN Partner veröffentlicht wurde, und den AWS [EC2Image Builder](https://aws.amazon.com/image-builder/) zu verwenden, um die Konfiguration gemäß einer geeigneten Kombination von CIS und STIG Kontrollen zu automatisieren. 

 Zwar sind gehärtete Images und EC2 Image Builder Builder-Rezepte verfügbar, die die CIS DISA STIG Oder-Empfehlungen anwenden, aber Sie stellen möglicherweise fest, dass Ihre Software aufgrund ihrer Konfiguration nicht erfolgreich ausgeführt werden kann. In diesem Fall können Sie von einem nicht gehärteten Basis-Image ausgehen, Ihre Software installieren und dann schrittweise CIS Kontrollen anwenden, um deren Wirkung zu testen. Testen Sie bei allen CIS Kontrollen, die die Ausführung Ihrer Software verhindern, ob Sie stattdessen die detaillierteren Empfehlungen zur Absicherung implementieren können. DISA Behalten Sie den Überblick über die verschiedenen CIS Steuerungen und DISA STIG Konfigurationen, die Sie erfolgreich anwenden können. Verwenden Sie diese, um Ihre Rezepte für die Bildhärtung in EC2 Image Builder entsprechend zu definieren. 

 [Für containerisierte Workloads sind gehärtete Images von Docker im öffentlichen Repository von [Amazon Elastic Container Registry () ECR](https://aws.amazon.com/ecr/) verfügbar.](https://gallery.ecr.aws/docker) Sie können EC2 Image Builder verwenden, um Container-Images gleichzeitig AMIs zu härten. 

 Ähnlich wie bei Betriebssystemen und Container-Images können Sie Codepakete (oder *Bibliotheken*) mithilfe von Tools wie pip, npm, Maven und aus öffentlichen Repositorys abrufen. NuGet Wir empfehlen Ihnen, Code-Pakete zu verwalten, indem Sie private Repositorys, wie z. B. innerhalb von [AWS CodeArtifact](https://aws.amazon.com/codeartifact/), mit vertrauenswürdigen öffentlichen Repositorys verbinden. Diese Integration kann das Abrufen, Speichern und Aufbewahren von Paketen für Sie übernehmen. up-to-date Ihre Anwendungsentwicklungsverfahren können dann die neueste Version dieser Pakete zusammen mit Ihrer Anwendung abrufen und testen. Dabei kommen Techniken wie Software Composition Analysis (SCA), Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) zum Einsatz. 

 Vereinfachen Sie für serverlose Workloads, die verwenden AWS Lambda, die Verwaltung von Paketabhängigkeiten mithilfe von [Lambda-Schichten](https://docs.aws.amazon.com/lambda/latest/dg/chapter-layers.html). Verwenden Sie Lambda-Ebenen, um einen Satz von Standardabhängigkeiten, die von verschiedenen Funktionen gemeinsam genutzt werden, in einem eigenständigen Archiv zu konfigurieren. Sie können Ebenen mithilfe eines eigenen Build-Prozesses erstellen und verwalten, sodass Ihre Funktionen auf zentrale Weise erhalten bleiben. up-to-date 

## Implementierungsschritte
<a name="implementation-steps"></a>
+  Härten des Betriebssystems: Verwenden Sie Basis-Images aus vertrauenswürdigen Quellen als Grundlage für den Aufbau Ihres gehärteten SystemsAMIs. Verwenden Sie [EC2Image Builder](https://aws.amazon.com/image-builder/), um die auf Ihren Images installierte Software anzupassen. 
+  Härten von containerisierten Ressourcen: Konfigurieren Sie containerisierte Ressourcen so, dass sie den bewährten Methoden im Bereich Sicherheit entsprechen. Wenn Sie Container verwenden, implementieren Sie [ECRImage Scanning](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) in Ihrer Build-Pipeline und regelmäßig anhand Ihres Image-Repositorys, um CVEs in Ihren Containern danach zu suchen.  
+  Wenn Sie die serverlose Implementierung mit verwenden AWS Lambda, verwenden Sie [Lambda-Schichten](https://docs.aws.amazon.com/lambda/latest/dg/chapter-layers.html), um Anwendungsfunktionscode und gemeinsam genutzte abhängige Bibliotheken zu trennen. Konfigurieren Sie die [Codesignierung](https://docs.aws.amazon.com/lambda/latest/dg/configuration-codesigning.html) für Lambda, um sicherzustellen, dass nur vertrauenswürdiger Code in Ihren Lambda-Funktionen ausgeführt wird. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [OPS05-BP05 Führen Sie das Patch-Management durch](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_patch_mgmt.html) 

 **Zugehörige Videos:** 
+  [Tauchen Sie tief in die Sicherheit ein AWS Lambda](https://www.youtube.com/watch?v=FTwsMYXWGB0) 

 **Zugehörige Beispiele:** 
+  [AMIMit EC2 Image Builder schnell STIG baukonform erstellen](https://aws.amazon.com/blogs/security/quickly-build-stig-compliant-amazon-machine-images-using-amazon-ec2-image-builder/) 
+  [Building better container images](https://aws.amazon.com/blogs/containers/building-better-container-images/) 
+  [Using Lambda layers to simplify your development process](https://aws.amazon.com/blogs/compute/using-lambda-layers-to-simplify-your-development-process/) 
+  [Entwickeln und implementieren Sie AWS Lambda Ebenen mit dem Serverless Framework](https://github.com/aws-samples/aws-serverless-lambda-layers) 
+  [Aufbau einer end-to-end AWS DevSecOps CI/CD-Pipeline mit Open Source SCA und Tools SAST DAST](https://aws.amazon.com/blogs/devops/building-end-to-end-aws-devsecops-ci-cd-pipeline-with-open-source-sca-sast-and-dast-tools/) 

# SEC06-BP03 Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs
<a name="sec_protect_compute_reduce_manual_management"></a>

 Nutzen Sie Automatisierung für die Bereitstellung, Konfiguration, Wartung und Untersuchung, wo immer dies möglich ist. Erwägen Sie den manuellen Zugriff auf Datenverarbeitungsressourcen in Notfällen oder in sicheren (Sandbox-)Umgebungen, wenn keine Automatisierung möglich ist. 

 **Gewünschtes Ergebnis:** Programmatische Skripte und Automatisierungsdokumente (Runbooks) erfassen autorisierte Aktionen in Ihren Datenverarbeitungsressourcen. Diese Runbooks werden entweder automatisch durch Systeme zur Erkennung von Änderungen oder manuell ausgelöst, wenn ein menschliches Urteilsvermögen erforderlich ist. Der direkte Zugriff auf Datenverarbeitungsressourcen wird nur in Notfällen gewährt, wenn keine Automatisierung verfügbar ist. Alle manuellen Aktivitäten werden protokolliert und in einen Überprüfungsprozess einbezogen, um Ihre Automatisierungsmöglichkeiten kontinuierlich zu verbessern. 

 **Typische Anti-Muster:** 
+  Interaktiver Zugriff auf Amazon EC2-Instances mit Protokollen wie SSH oder RDP. 
+  Verwalten einzelner Benutzeranmeldungen wie `/etc/passwd` oder lokaler Windows-Benutzer. 
+  Gemeinsame Nutzung eines Passworts oder privaten Schlüssels für den Zugriff auf eine Instance durch mehrere Benutzer. 
+  Manuelles Installieren von Software und Erstellen oder Aktualisieren von Konfigurationsdateien. 
+  Manuelles Aktualisieren oder Patchen von Software. 
+  Einloggen in eine Instance, um Probleme zu beheben. 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Durchführung automatisierter Aktionen hilft Ihnen, das betriebliche Risiko unbeabsichtigter Änderungen und Fehlkonfigurationen zu verringern. Durch das Entfernen von Secure Shell (SSH) und Remote Desktop Protocol (RDP) für den interaktiven Zugriff wird der Umfang des Zugriffs auf Ihre Datenverarbeitungsressourcen reduziert. Damit wird ein gängiger Weg für unbefugte Aktionen abgeschnitten. Die Erfassung Ihrer Aufgaben zur Verwaltung von Datenverarbeitungsressourcen in Automatisierungsdokumenten und programmatischen Skripten bietet einen Mechanismus, mit dem Sie den gesamten Umfang der autorisierten Aktivitäten bis ins kleinste Detail definieren und überprüfen können. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: **Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Das Protokollieren einer Instance ist eine klassische Methode der Systemverwaltung. Nach der Installation des Server-Betriebssystems würden sich die Benutzer normalerweise manuell anmelden, um das System zu konfigurieren und die gewünschte Software zu installieren. Während der Lebensdauer des Servers melden sich die Benutzer möglicherweise an, um Software-Updates durchzuführen, Patches anzuwenden, Konfigurationen zu ändern und Probleme zu beheben. 

 Der manuelle Zugriff birgt jedoch eine Reihe von Risiken. Er erfordert einen Server, der auf Anfragen achtet, wie z. B. einen SSH- oder RDP-Service, der einen potenziellen Pfad für unbefugten Zugriff darstellen kann. Außerdem erhöht sich dadurch das Risiko menschlicher Fehler bei der Durchführung manueller Schritte. Diese können zu Störungen des Workloads, zur Beschädigung oder Zerstörung von Daten oder zu anderen Sicherheitsproblemen führen. Der menschliche Zugriff erfordert außerdem Schutzmaßnahmen gegen die Weitergabe von Anmeldeinformationen, was zusätzlichen Verwaltungsaufwand bedeutet.  

 Um diese Risiken abzuschwächen, können Sie eine agentenbasierte Remotezugriffslösung implementieren, wie z. B. [AWS Systems Manager](https://aws.amazon.com/systems-manager/). AWS Systems Manager Systems Manager-Agent (SSM Agent) initiiert einen verschlüsselten Kanal und ist daher nicht darauf angewiesen, auf von außen initiierte Anfragen zu achten. Erwägen Sie, SSM Agent so zu konfigurieren, dass er [diesen Kanal über einen VPC-Endpunkt aufbaut](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html). 

 Systems Manager gibt Ihnen eine fein abgestufte Kontrolle darüber, wie Sie mit Ihren verwalteten Instances interagieren können. Sie legen fest, welche Automatisierungen ausgeführt werden sollen, wer sie ausführen darf und wann sie ausgeführt werden können. Systems Manager ist in der Lage, Patches anzuwenden, Software zu installieren und Konfigurationsänderungen ohne interaktiven Zugriff auf die Instance vorzunehmen. Systems Manager kann außerdem den Zugriff auf eine entfernte Shell ermöglichen und jeden während der Sitzung aufgerufenen Befehl und seine Ausgabe in Protokollen und [Amazon S3](https://aws.amazon.com/s3/) protokollieren. [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) zeichnet Aufrufe von Systems Manager-APIs zur Überprüfung auf. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  [Installieren Sie AWS Systems Manager Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html) (SSM Agent) auf Ihren Amazon EC2-Instances. Prüfen Sie, ob der SSM-Agent als Teil Ihrer AMI-Basiskonfiguration enthalten ist und automatisch gestartet wird. 

1.  Überprüfen Sie, ob die IAM-Rollen, die mit Ihren EC2-Instance-Profilen verbunden sind, die [verwaltete IAM-Richtlinie `AmazonSSMManagedInstanceCore`](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) enthalten. 

1.  Deaktivieren Sie SSH, RDP und andere Remotezugriffsservices, die auf Ihren Instances ausgeführt werden. Sie können dies tun, indem Sie Skripte ausführen, die im Abschnitt Benutzerdaten Ihrer Startvorlagen konfiguriert sind, oder indem Sie mit Tools wie EC2 Image Builder angepasste AMIs erstellen. 

1.  Vergewissern Sie sich, dass die für Ihre EC2-Instances geltenden Ingress-Regeln der Sicherheitsgruppe keinen Zugriff auf Port 22/tcp (SSH) oder Port 3389/tcp (RDP) zulassen. Implementieren Sie die Erkennung und Alarmierung bei falsch konfigurierten Sicherheitsgruppen mit Services wie AWS Config. 

1.  Definieren Sie entsprechende Automatisierungen, Runbooks und Run Commands in Systems Manager. Verwenden Sie IAM-Richtlinien, um festzulegen, wer diese Aktionen durchführen darf und unter welchen Bedingungen sie erlaubt sind. Testen Sie diese Automatisierungen gründlich in einer nicht produktiven Umgebung. Rufen Sie diese Automatisierungen bei Bedarf auf, anstatt interaktiv auf die Instance zuzugreifen. 

1.  Verwenden Sie [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), um bei Bedarf interaktiven Zugriff auf Instances zu ermöglichen. Aktivieren Sie die Protokollierung der Sitzungsaktivitäten, um einen Audit Trail zu erstellen, in [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) oder [Amazon S3](https://aws.amazon.com/s3/).  

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [REL08-BP04 Bereitstellung mit einer unveränderlichen Infrastruktur](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_immutable_infrastructure.html) 

 **Zugehörige Beispiele:** 
+  [Replacing SSH access to reduce management and security overhead with AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) 

 **Zugehörige Tools:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 

 **Zugehörige Videos:** 
+  [Controlling User Session Access to Instances in AWS Systems Manager Session Manager](https://www.youtube.com/watch?v=nzjTIjFLiow) 

# SEC06-BP04 Softwareintegrität validieren
<a name="sec_protect_compute_validate_software_integrity"></a>

 Verwenden Sie die kryptografische Überprüfung, um die Integrität von Software-Artefakten (einschließlich Images) zu überprüfen, die Ihr Workload verwendet.  Signieren Sie Ihre Software kryptografisch, um sie vor unbefugten Änderungen in Ihren Computerumgebungen zu schützen. 

 **Gewünschtes Ergebnis:** Alle Artefakte werden aus vertrauenswürdigen Quellen bezogen. Die Zertifikate der Website des Anbieters sind validiert.  Heruntergeladene Artefakte werden anhand ihrer Signaturen kryptographisch verifiziert. Ihre eigene Software ist kryptografisch signiert und wird von Ihren Computerumgebungen überprüft. 

 **Typische Anti-Muster:** 
+  Vertrauen auf die Websites seriöser Anbieter, um Software-Artefakte zu erhalten, aber Hinweise zum Ablauf von Zertifikaten ignorieren  Fortfahren mit dem Herunterladen, ohne zu bestätigen, dass die Zertifikate gültig sind 
+  Validieren der Zertifikate von Anbieter-Websites, aber keine kryptografische Überprüfung der heruntergeladenen Artefakte von diesen Websites 
+  Prüfen der Integrität von Software ausschließlich anhand von Digests oder Hashes  Hashes stellen sicher, dass Artefakte gegenüber der ursprünglichen Version nicht verändert wurden, aber sie bestätigen nicht ihre Quelle. 
+  Nicht signieren Ihrer eigene Software, Ihres eigenen Codes oder Ihrer eigenen Bibliotheken, selbst wenn Sie sie nur in Ihren eigenen Bereitstellungen verwenden.  

 **Vorteile der Nutzung dieser bewährten Methode:** Die Überprüfung der Integrität von Artefakten, von denen Ihr Workload abhängt, hilft zu verhindern, dass Malware in Ihre Computerumgebungen eindringt.  Das Signieren Ihrer Software schützt Sie davor, dass sie von Unbefugten in Ihrer Computerumgebung ausgeführt wird.   Sichern Sie Ihre Softwarelieferkette durch Signieren und Verifizieren von Code. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Betriebssystem-Images, Container-Images und Code-Artefakte werden oft mit verfügbaren Integritätsprüfungen verteilt, z. B. durch einen Digest oder Hash.  Diese ermöglichen es den Clients, die Integrität zu überprüfen, indem sie ihren eigenen Hash der Nutzdaten berechnen und überprüfen, ob er mit dem veröffentlichten Hash übereinstimmt.  Diese Überprüfungen helfen zwar dabei, sicherzustellen, dass die Nutzdaten nicht manipuliert wurden, aber sie bestätigen nicht, dass die Nutzdaten von der ursprünglichen Quelle (ihrer *Herkunft*) stammen.  Zur Überprüfung der Herkunft ist ein Zertifikat erforderlich, das eine vertrauenswürdige Stelle ausstellt, um das Artefakt digital zu signieren. 

 Wenn Sie in Ihrem Workload eine heruntergeladene Software oder Artefakte verwenden, prüfen Sie, ob der Anbieter einen öffentlichen Schlüssel für die Überprüfung der digitalen Signatur bereitstellt.  Hier sind einige Beispiele dafür, wie AWS einen öffentlichen Schlüssel und Verifizierungsanweisungen für die von uns veröffentlichte Software bereitstellt: 
+  [EC2Image Builder: Überprüfen Sie die Signatur des AWS TOE Installationsdownloads](https://docs.aws.amazon.com/imagebuilder/latest/userguide/awstoe-verify-sig.html) 
+  [AWS Systems Manager: Überprüfung der Signatur des Agenten SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/verify-agent-signature.html) 
+  [Amazon CloudWatch: Überprüfung der Signatur des CloudWatch Agentenpakets](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/verify-CloudWatch-Agent-Package-Signature.html) 

 Integrieren Sie die Überprüfung digitaler Signaturen in die Prozesse, die Sie zum Abrufen und Härten von Images verwenden, wie unter [SEC06-BP02 Bereitstellung von Rechenleistung](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_hardened_images.html) aus gehärteten Images beschrieben. 

 Sie können [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) verwenden, um die Überprüfung von Signaturen sowie Ihren eigenen Lebenszyklus der Codesignatur für Ihre eigene Software und Artefakte zu verwalten.  Sowohl [AWS Lambda](https://aws.amazon.com/lambda/) als auch [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/) bieten Integrationen mit Signer, um die Signaturen Ihres Codes und Ihrer Images zu überprüfen.  Mit den Beispielen im Abschnitt Ressourcen können Sie Signer in Ihre Continuous Integration und Delivery (CI/CD) Pipelines einbinden, um die Überprüfung von Signaturen und die Signierung Ihres eigenen Codes und Ihrer Images zu automatisieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Cryptographic Signing for Containers](https://aws.amazon.com/blogs/containers/cryptographic-signing-for-containers/) 
+  [Bewährte Methoden zur Sicherung Ihrer Pipeline für die Erstellung von Container-Images mithilfe von AWS Signer](https://aws.amazon.com/blogs/security/best-practices-to-help-secure-your-container-image-build-pipeline-by-using-aws-signer/) 
+  [Ankündigung von Container Image Signing with AWS Signer und Amazon EKS](https://aws.amazon.com/blogs/containers/announcing-container-image-signing-with-aws-signer-and-amazon-eks/) 
+  [Codesignatur konfigurieren für AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-codesigning.html) 
+  [Best practices and advanced patterns for Lambda code signing](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/) 
+  [Codesignatur mit AWS Certificate Manager privater CA und AWS Key Management Service asymmetrischen Schlüsseln](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/) 

 **Zugehörige Beispiele:** 
+  [Automatisieren Sie die Lambda-Code-Signierung mit Amazon CodeCatalyst und AWS Signer](https://aws.amazon.com/blogs/devops/automate-lambda-code-signing-with-amazon-codecatalyst-and-aws-signer/) 
+  [Signieren und Validieren von OCI Artefakten mit AWS Signer](https://aws.amazon.com/blogs/containers/signing-and-validating-oci-artifacts-with-aws-signer/) 

 **Zugehörige Tools:** 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 
+  [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) 
+  [AWS Key Management Service](https://aws.amazon.com/kms/) 
+  [AWS CodeArtifact](https://aws.amazon.com/codeartifact/) 

# SEC06-BP05 Automatisieren des Datenverarbeitungsschutzes
<a name="sec_protect_compute_auto_protection"></a>

 Automatisieren Sie den Datenverarbeitungsschutz, um das Erfordernis menschlichen Eingreifens zu reduzieren. Nutzen Sie automatisierte Scans, um potenzielle Probleme in Ihren Datenverarbeitungsressourcen zu erkennen und mit automatisierten programmatischen Reaktionen oder Flottenmanagement-Vorgängen zu beheben.  Integrieren Sie die Automatisierung in Ihre CI/CD-Prozesse, um vertrauenswürdige Workloads mit aktuellen Abhängigkeiten bereitzustellen. 

 **Gewünschtes Ergebnis:** Automatisierte Systeme führen alle Scans und Patches von Datenverarbeitungsressourcen durch. Sie verwenden die automatische Überprüfung, um sicherzustellen, dass Software-Images und Abhängigkeiten aus vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. Workloads werden automatisch auf aktuelle Abhängigkeiten geprüft und signiert, um die Vertrauenswürdigkeit in AWS-Datenverabeitungsumgebungen zu gewährleisten.  Automatisierte Abhilfemaßnahmen werden eingeleitet, wenn nicht konforme Ressourcen entdeckt werden.  

 **Typische Anti-Muster:** 
+  Verfolgen des Ansatzes einer unveränderlichen Infrastruktur, aber ohne eine Lösung für Notfall-Patches oder den Austausch von Produktionssystemen 
+  Verwenden von Automatisierung, um falsch konfigurierte Ressourcen zu korrigieren, ohne dass ein manueller Überschreibungsmechanismus vorhanden ist  Es können Situationen entstehen, in denen Sie die Anforderungen anpassen müssen, und es kann sein, dass Sie die Automatisierungen aussetzen müssen, bis Sie diese Änderungen vorgenommen haben. 

 **Vorteile der Nutzung dieser bewährten Methode:** Die Automatisierung kann das Risiko des unbefugten Zugriffs und der Nutzung Ihrer Datenverarbeitungsressourcen verringern.  Sie hilft zu verhindern, dass Fehlkonfigurationen in Produktionsumgebungen gelangen, und Fehlkonfigurationen zu erkennen und zu beheben, wenn sie auftreten.  Die Automatisierung hilft auch bei der Erkennung von unbefugtem Zugriff und der Nutzung von Datenverarbeitungsressourcen, um Ihre Reaktionszeit zu verkürzen.  Dies wiederum kann den Gesamtumfang der Auswirkungen des Problems verringern. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Sie können die in den Methoden der Sicherheitssäule beschriebenen Automatisierungen zum Schutz Ihrer Datenverarbeitungsressourcen anwenden. In [SEC06-BP01 Schwachstellenmanagement](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_vulnerability_management.html) wird beschrieben, wie Sie [Amazon Inspector](https://aws.amazon.com/inspector/) sowohl in Ihren CI/CD-Pipelines als auch für die kontinuierliche Überprüfung Ihrer Laufzeitumgebungen auf bekannte CVEs (Common Vulnerabilities and Exposures) einsetzen können.  Sie können [AWSSystems Manager](https://aws.amazon.com/systems-manager/) verwenden, um Patches anzuwenden oder neue Images über automatisierte Runbooks bereitzustellen, damit Ihre Computerflotte stets mit der neuesten Software und den neuesten Bibliotheken ausgestattet ist.  Nutzen Sie diese Techniken, um den Bedarf an manuellen Prozessen und interaktivem Zugriff auf Ihre Datenverarbeitungsressourcen zu reduzieren.  Weitere Informationen finden Sie unter [Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html). 

 Die Automatisierung spielt auch eine Rolle bei der Bereitstellung von Workloads, die vertrauenswürdig sind. Dies wird in [SEC06-BP02 Bereitstellen von Datenverarbeitung über gehärtete Images](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_hardened_images.html) und [SEC06-BP04 Validieren der Softwareintegrität](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_validate_software_integrity.html) beschrieben.  Sie können Services wie [EC2 Image Builder](https://aws.amazon.com/image-builder/), [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html), [AWS CodeArtifact](https://aws.amazon.com/codeartifact/) und [Amazon Elastic Container Registry (ECR)](https://aws.amazon.com/ecr/) verwenden, um gehärtete und genehmigte Images und Code-Abhängigkeiten herunterzuladen, zu überprüfen, zu erstellen und zu speichern.   Neben Inspector kann jeder von ihnen eine Rolle in Ihrem CI/CD-Prozess spielen, sodass Ihr Workload nur dann in die Produktion geht, wenn sichergestellt ist, dass seine Abhängigkeiten aktuell sind und aus vertrauenswürdigen Quellen stammen.  IIhr Workload ist außerdem signiert, damit AWS-Datenverarbeitungsumgebungen wie [AWS Lambda](https://aws.amazon.com/lambda/) und [Amazon Elastic Kubernetes Service (EKS)](https://aws.amazon.com/eks/) überprüfen können, dass er nicht manipuliert wurde, bevor sie ihn ausführen. 

 Über diese präventiven Kontrollen hinaus können Sie die Automatisierung auch bei den detektivischen Kontrollen für Ihre Datenverarbeitungsressourcen einsetzen.  Ein Beispiel: [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) bietet den Standard [NIST 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html), der Prüfungen wie [[EC2.8] EC2 instances should use Instance Metadata Service Version 2 (IMDSv2)](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) enthält.  IMDSv2 verwendet die Techniken der Sitzungsauthentifizierung, des Blockierens von Anfragen, die einen X-Forwarded-For HTTP-Header enthalten, und eine Netzwerk-TTL von 1, um den von externen Quellen stammenden Datenverkehr zum Abrufen von Informationen über die EC2-Instance zu stoppen. Diese Prüfung in Security Hub CSPM kann erkennen, wenn EC2 Instances IMDSv1 verwenden und eine automatische Abhilfe einleiten. Weitere Informationen zur automatisierten Erkennung und zu Abhilfemaßnahmen finden Sie unter [SEC04-BP04 Initiieren von Abhilfemaßnahmen für nicht konforme Ressourcen.](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Automatisieren Sie die Erstellung sicherer, konformer und gehärteter AMIs mit [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/integ-compliance-products.html).  Sie können Images erstellen, die Kontrollen aus den Center for Internet Security (CIS)-Benchmarks oder Security Technical Implementation Guide (STIG)-Standards aus Basis- AWS und APN-Partner-Images enthalten. 

1.  Automatische Konfigurationsverwaltung. Erzwingen und validieren Sie sichere Konfigurationen in Ihren Datenverarbeitungsressourcen automatisch. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung.  

   1.  Automatisiertes Konfigurationsmanagement mit [AWS Config](https://aws.amazon.com/config/) 

   1.  Automatisiertes Sicherheits- und Compliance-Management mit [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 

1.  Automatisieren Sie das Patchen oder Ersetzen von Amazon Elastic Compute Cloud (Amazon EC2)-Instances. AWS Systems Manager Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patchmanager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen. 

   1.  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 

1.  Automatisieren Sie das Scannen von Datenverarbeitungsressourcen auf häufige Schwachstellen und Gefährdungen (CVEs) und betten Sie Sicherheitsscan-Lösungen in Ihre Build-Pipeline ein. 

   1.  [Amazon Inspector](https://aws.amazon.com/inspector/) 

   1.  [ECR Image Scanning](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) 

1.  Ziehen Sie Amazon GuardDuty für die automatische Erkennung von Malware und Bedrohungen in Betracht, um Datenverarbeitungsressourcen zu schützen. GuardDuty kann außerdem mögliche Probleme identifizieren, wenn eine [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)-Funktion in Ihrer AWS-Umgebung aufgerufen wird.  

   1.  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) 

1.  Ziehen Sie AWS-Partnerlösungen in Betracht. AWS -Partner bieten branchenführende Produkte an, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig oder identisch sind oder sich in diese integrieren lassen. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in Ihren Cloud- und On-Premises-Umgebungen ermöglichen können. 

   1.  [Sicherheit der Infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP06 Automatisieren der Bereitstellung von Standard-Sicherheitskontrollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 

 **Zugehörige Dokumente:** 
+  [Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure](https://aws.amazon.com/blogs/security/get-the-full-benefits-of-imdsv2-and-disable-imdsv1-across-your-aws-infrastructure/) 

 **Zugehörige Videos:** 
+  [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI)