Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Zentralisierte Eingangsinspektion
<a name="centralized-inbound-inspection"></a>

Internetanwendungen haben naturgemäß eine größere Angriffsfläche und sind Bedrohungskategorien ausgesetzt, denen die meisten anderen Arten von Anwendungen nicht ausgesetzt sind. Der notwendige Schutz vor Angriffen auf diese Art von Anwendungen und die Minimierung der Angriffsfläche sind ein zentraler Bestandteil jeder Sicherheitsstrategie.

Wenn Sie Anwendungen in Ihrer Landing Zone bereitstellen, greifen die Benutzer über das öffentliche Internet (z. B. über ein Content Delivery Network (CDN) oder über eine öffentlich zugängliche Webanwendung) über einen öffentlich zugänglichen Load Balancer, ein API-Gateway oder direkt über ein Internet-Gateway auf viele Apps zu. In diesem Fall können Sie Ihre Workloads und Anwendungen sichern, indem Sie die AWS Web Application Firewall (AWS WAF) für die Inspektion eingehender Anwendungen oder alternativ die IDS/IPS eingehende Inspektion mit Gateway Load Balancer oder verwenden. AWS Network Firewall

Wenn Sie weiterhin Anwendungen in Ihrer Landing Zone bereitstellen, müssen Sie möglicherweise den eingehenden Internetverkehr überprüfen. Sie können dies auf verschiedene Arten erreichen, entweder mithilfe verteilter, zentraler oder kombinierter Inspektionsarchitekturen mithilfe von Gateway Load Balancer, auf dem Ihre Firewall-Appliances von Drittanbietern ausgeführt werden, oder AWS Network Firewall mit erweiterten DPI- und IDS/IPS Funktionen durch die Verwendung von Open-Source-Suricata-Regeln. In diesem Abschnitt werden sowohl der Gateway Load Balancer als auch eine zentralisierte Bereitstellung behandelt, AWS Network Firewall bei der die Funktion AWS Transit Gateway als zentraler Hub für das Routing des Datenverkehrs verwendet wird.

## AWS WAF und AWS Firewall Manager zur Überprüfung des eingehenden Datenverkehrs aus dem Internet
<a name="waf-and-firewall-manager"></a>

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz Ihrer Webanwendungen oder APIs vor gängigen Web-Exploits und Bots beiträgt, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. AWS WAF gibt Ihnen die Kontrolle darüber, wie der Datenverkehr Ihre Anwendungen erreicht, indem Sie Sicherheitsregeln erstellen können, die den Bot-Verkehr kontrollieren und gängige Angriffsmuster wie SQL-Injection oder Cross-Site Scripting (XSS) blockieren. Sie können auch Regeln anpassen, die bestimmte Verkehrsmuster herausfiltern. 

Sie können AWS WAF auf Amazon CloudFront als Teil Ihrer CDN-Lösung, des Application Load Balancer, der Ihre Webserver unterstützt, Amazon API Gateway für Ihr REST oder AWS AppSync für Ihr APIs GraphQL bereitstellen. APIs

Nach der Bereitstellung können Sie dann mithilfe des Visual Rule Builder AWS WAF, Code in JSON und verwalteten Regeln, die von verwaltet werden, Ihre eigenen Regeln für den Traffic erstellen oder Regeln von AWS Drittanbietern abonnieren. AWS Marketplace Mit diesen Regeln können Sie unerwünschten Datenverkehr herausfiltern, indem sie den Datenverkehr anhand der angegebenen Muster auswerten. Sie können Amazon außerdem CloudWatch für die Überwachung und Protokollierung eingehender Verkehrsmetriken verwenden.

Für die zentrale Verwaltung all Ihrer Konten und Anwendungen können Sie Folgendes verwenden AWS Firewall Manager. AWS Organizations AWS Firewall Manager ist ein Sicherheitsverwaltungsdienst, mit dem Sie Firewallregeln zentral konfigurieren und verwalten können. AWS Firewall Manager Durch die Durchsetzung einheitlicher Sicherheitsregeln können Sie bei der Erstellung neuer Anwendungen und Ressourcen ganz einfach die Einhaltung gesetzlicher Vorschriften sicherstellen. 

Mithilfe AWS Firewall Manager können Sie ganz einfach AWS WAF Regeln für Ihre Application Load Balancers, API Gateway Gateway-Instances und CloudFront Amazon-Distributionen einführen. AWS Firewall Manager lässt sich in Von AWS verwaltete Regeln for integrieren AWS WAF, sodass Sie auf einfache Weise vorkonfigurierte, kuratierte AWS WAF Regeln für Ihre Anwendungen bereitstellen können. Weitere Informationen zur zentralen Verwaltung AWS WAF mit AWS Firewall Manager finden Sie unter [Zentral verwalten AWS WAF (API v2) und Von AWS verwaltete Regeln skalierbar](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/) mit. AWS Firewall Manager

![\[Ein Diagramm, das die zentrale Inspektion des eingehenden Datenverkehrs anhand von AWS WAF\]](http://docs.aws.amazon.com/de_de/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)


In der vorherigen Architektur werden Anwendungen auf Amazon EC2 EC2-Instances in mehreren Availability Zones in den privaten Subnetzen ausgeführt. Vor den Amazon EC2 EC2-Instances ist ein öffentlich zugänglicher Application Load Balancer (ALB) installiert, der die Anfragen zwischen verschiedenen Zielen ausgleicht. Der AWS WAF ist dem ALB zugeordnet.

### Vorteile
<a name="advantages-21"></a>
+ Mit [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/) erhalten Sie Transparenz und Kontrolle über den allgemeinen und allgegenwärtigen Bot-Traffic zu Ihren Anwendungen.
+ Mit [Managed Rules for AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules) können Sie schnell loslegen und Ihre Webanwendung oder APIs vor gängigen Bedrohungen schützen. Sie können aus vielen Regeltypen wählen, z. B. solche, die sich mit Problemen wie den 10 größten Sicherheitsrisiken des Open Web Application Security Project (OWASP), spezifischen Bedrohungen für Content Management Systeme (CMS) wie Joomla WordPress oder sogar neu auftretende Common Vulnerabilities and Exposures (CVE) befassen. Verwaltete Regeln werden automatisch aktualisiert, wenn neue Probleme auftreten, sodass Sie mehr Zeit mit der Entwicklung von Anwendungen verbringen können.
+ AWS WAF ist ein verwalteter Service, für dessen Inspektion in dieser Architektur keine Appliance erforderlich ist. Darüber hinaus werden über [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/) Protokolle nahezu in Echtzeit bereitgestellt. AWS WAF bietet nahezu in Echtzeit Einblick in Ihren Web-Traffic, den Sie verwenden können, um neue Regeln oder Benachrichtigungen in Amazon zu erstellen. CloudWatch

### Wesentliche Überlegungen
<a name="key-considerations-42"></a>
+ Diese Architektur eignet sich am besten für die Inspektion von HTTP-Headern und verteilten Inspektionen, da sie auf einem ALB-, CloudFront Distributions- und API Gateway integriert AWS WAF ist. AWS WAF protokolliert den Hauptteil der Anfrage nicht.
+ Datenverkehr, der zu einer zweiten Gruppe von ALB geht (falls vorhanden), wird möglicherweise nicht von derselben AWS WAF Instanz überprüft, da eine neue Anfrage an die zweite Gruppe von ALB gestellt würde.

# Zentralisierte eingehende Inspektion mit Appliances von Drittanbietern
<a name="centralized-inspection-third-party"></a>

In diesem architektonischen Entwurfsmuster stellen Sie Firewall-Appliances von Drittanbietern auf Amazon EC2 in mehreren Availability Zones hinter einem Elastic Load Balancer (ELB) wie einem Load Application/Network Balancer in einer separaten Inspection-VPC bereit.

Die Inspection-VPC und andere Spoke VPCs sind über ein Transit Gateway als VPC-Anhänge miteinander verbunden. Die Anwendungen in Spoke VPCs verfügen über ein internes ELB, das je nach Anwendungstyp entweder ALB oder NLB sein kann. Die Clients stellen über das Internet eine Verbindung zum DNS des externen ELB in der Inspektions-VPC her, der den Datenverkehr an eine der Firewall-Appliances weiterleitet. Die Firewall überprüft den Datenverkehr und leitet ihn dann über das Transit Gateway mithilfe des DNS des internen ELB an die Spoke-VPC weiter, wie in der folgenden Abbildung dargestellt. Weitere Informationen zur Sicherheitsprüfung eingehender Nachrichten mit Appliances von Drittanbietern finden Sie im Blogbeitrag [So integrieren Sie Firewall-Appliances von Drittanbietern in eine AWS-Umgebung](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/).

![\[Ein Diagramm, das die zentrale Inspektion des eingehenden Datenverkehrs mithilfe von Drittanbieter-Appliances und ELB zeigt\]](http://docs.aws.amazon.com/de_de/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)


## Vorteile
<a name="advantages-22"></a>
+ Diese Architektur unterstützt alle Arten von Anwendungen für die Inspektion und erweiterte Inspektionsfunktionen, die über Firewall-Appliances von Drittanbietern angeboten werden. 
+ Dieses Muster unterstützt DNS-basiertes Routing von Firewall-Appliances zu Spoke VPCs, wodurch die Anwendungen in Spoke VPCs unabhängig hinter einem ELB skaliert werden können. 
+ Sie können Auto Scaling mit dem ELB verwenden, um die Firewall-Appliances in der Inspection-VPC zu skalieren. 

## Wesentliche Überlegungen
<a name="key-considerations-52"></a>
+ Für eine hohe Verfügbarkeit müssen Sie mehrere Firewall-Appliances in allen Availability Zones bereitstellen. 
+ Die Firewall muss mit Quell-NAT konfiguriert werden und diese ausführen, um die Flusssymetrie aufrechtzuerhalten, was bedeutet, dass die Client-IP-Adresse für die Anwendung nicht sichtbar ist. 
+ Erwägen Sie die Bereitstellung von Transit Gateway und Inspection VPC im Network Services-Konto.
+ Zusätzliche licensing/support Firewall-Kosten von Drittanbietern. Die Gebühren für Amazon EC2 hängen vom Instance-Typ ab.

# Untersuchung des eingehenden Datenverkehrs aus dem Internet mithilfe von Firewall-Appliances mit Gateway Load Balancer
<a name="inspecting-inbound-traffic-fa"></a>

Kunden verwenden Firewalls der nächsten Generation (NGFW) und Intrusion Prevention Systems (IPS) von Drittanbietern als Teil ihrer Defense-in-Depth-Strategie. Traditionell handelt es sich dabei häufig um spezielle Hardware oder Appliances. software/virtual Sie können Gateway Load Balancer verwenden, um diese virtuellen Appliances horizontal zu skalieren, um den Verkehr von und zu Ihrer VPC zu untersuchen, wie in der folgenden Abbildung dargestellt.

![\[Ein Diagramm, das die zentrale Inspektion des eingehenden Datenverkehrs mithilfe von Firewall-Appliances mit Gateway Load Balancer darstellt\]](http://docs.aws.amazon.com/de_de/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)


In der vorherigen Architektur werden Gateway Load Balancer-Endpunkte in jeder Availability Zone in einer separaten Edge-VPC bereitgestellt. Die Firewalls, Intrusion Prevention-Systeme usw. der nächsten Generation werden hinter dem Gateway Load Balancer in der zentralen Appliance-VPC bereitgestellt. Diese Appliance-VPC kann sich im selben AWS-Konto wie das Spoke-Konto VPCs oder in einem anderen AWS-Konto befinden. Virtuelle Appliances können für die Verwendung von Auto Scaling-Gruppen konfiguriert werden und werden automatisch beim Gateway Load Balancer registriert, was eine Auto Scaling der Sicherheitsebene ermöglicht. 

Diese virtuellen Appliances können verwaltet werden, indem über ein Internet Gateway (IGW) auf ihre Verwaltungsschnittstellen zugegriffen wird oder indem ein Bastion-Host-Setup in der Appliance-VPC verwendet wird.

Mithilfe der VPC-Ingress-Routing-Funktion wird die Edge-Routing-Tabelle aktualisiert, um eingehenden Datenverkehr vom Internet zu Firewall-Appliances hinter dem Gateway Load Balancer weiterzuleiten. Der geprüfte Datenverkehr wird über Gateway Load Balancer-Endpunkte an die VPC-Zielinstanz weitergeleitet. Einzelheiten zu den verschiedenen Verwendungsmöglichkeiten von [AWS Gateway Load Balancer finden Sie im Blogbeitrag Einführung in Gateway Load Balancer: Unterstützte Architekturmuster](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/).

# Verwendung von AWS Network Firewall für den zentralisierten Dateneingang
<a name="using-network-firewall-for-centralized-ingress"></a>

In dieser Architektur wird der eingehende Datenverkehr von geprüft, AWS Network Firewall bevor er den Rest erreicht. VPCs In diesem Setup wird der Verkehr auf alle Firewall-Endpunkte aufgeteilt, die in der Edge-VPC bereitgestellt werden. Sie stellen ein öffentliches Subnetz zwischen dem Firewall-Endpunkt und dem Transit Gateway Gateway-Subnetz bereit. Sie können eine ALB oder NLB verwenden, die IP-Ziele in Ihrem Spoke enthalten und VPCs gleichzeitig Auto Scaling für dahinter liegende Ziele handhaben.

![\[Ein Diagramm, das die Inspektion des eingehenden Datenverkehrs mithilfe der AWS Network Firewall zeigt\]](http://docs.aws.amazon.com/de_de/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)


 Zur Vereinfachung der Bereitstellung und Verwaltung von AWS Network Firewall AWS Firewall Manager kann dieses Modell verwendet werden. Mit Firewall Manager können Sie Ihre verschiedenen Firewalls zentral verwalten, indem der Schutz, den Sie am zentralen Ort erstellt haben, automatisch auf mehrere Konten angewendet wird. Firewall Manager unterstützt sowohl verteilte als auch zentralisierte Bereitstellungsmodelle für Network Firewall. Weitere Informationen [zum Modell finden Sie im Blogbeitrag How to Deployment AWS Network Firewall by](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) Using. AWS Firewall Manager

## Deep Packet Inspection (DPI) mit AWS Network Firewall
<a name="deep-packet-inspection-with-network-firewall"></a>

 Die Network Firewall kann bei eingehendem Datenverkehr eine Deep Packet Inspection (DPI) durchführen. Mithilfe eines in (ACM) gespeicherten Transport Layer Security AWS Certificate Manager (TLS) -Zertifikats kann die Network Firewall Pakete entschlüsseln, DPI durchführen und Pakete erneut verschlüsseln. Es gibt einige Überlegungen zur Einrichtung von DPI mit der Network Firewall. Zunächst muss ein vertrauenswürdiges TLS-Zertifikat in ACM gespeichert werden. Zweitens müssen die Netzwerk-Firewall-Regeln so konfiguriert werden, dass Pakete korrekt zur Entschlüsselung und erneuten Verschlüsselung gesendet werden. Weitere Informationen finden Sie im Blogbeitrag [Konfiguration der TLS-Inspektion für verschlüsselten AWS Network Firewall Datenverkehr](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/). 

## Wichtige Überlegungen zu AWS Network Firewall einer zentralisierten Ingress-Architektur
<a name="key-considerations-66"></a>
+ Elastic Load Balancing in Edge VPC kann nur IP-Adressen als Zieltypen haben, keinen Hostnamen. In der vorherigen Abbildung handelt es sich bei den Zielen um die privaten Ziele IPs des Network Load Balancer in Spoke VPCs. Die Verwendung von IP-Zielen hinter dem ELB in der Edge-VPC führt zum Verlust von Auto Scaling.
+ Erwägen Sie die Verwendung AWS Firewall Manager als zentrale Anlaufstelle für Ihre Firewall-Endpunkte.
+ Dieses Bereitstellungsmodell verwendet die Verkehrsinspektion direkt beim Eintritt in die Edge-VPC, sodass es die Gesamtkosten Ihrer Inspektionsarchitektur senken kann.