Netzwerk-Sicherheitsmaßnahmen für AWS-Cloud-Ressourcen

Die perfekte Lösung für die Sicherung eines Cloud-Netzwerks gibt es nicht. Um AWS-Cloud-Ressourcen zu schützen, ist ein umfassender Ansatz gefragt.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Das Absichern von Anwendungen und Daten in der AWS-Cloud (Amazon Web Services) ist ein komplexer Prozess, der mehrere...

Dienste und Kontrollinstanzen beinhaltet. Es gibt jedoch drei zentrale Maßnahmen für die Aufrechterhaltung der Netzwerksicherheit, denen Unternehmen bei der Einrichtung einer AWS-Umgebung folgen sollten: Sicherheitsgruppen, Subnetze und Virtual Private Clouds (VPC).

Sicherheitsgruppen sind virtuelle Firewalls, die den ein- und ausgehenden Datenverkehr einer Vielzahl von AWS-Ressourcen kontrollieren – einschließlich virtueller Maschinen (VM), Load Balancer und relationalen Databankservices. Eine Sicherheitsgruppe ist, vereinfacht gesagt, ein Satz von Regeln für den ein- und ausgehenden Datenverkehr. Um zum Beispiel eine SSH-Verbindung (Secure Socket Shell) zu einem Server zuzulassen, benötigt eine Sicherheitsgruppe für die Instanz eine Regel, die eingehenden und ausgehenden TCP-Datenverkehr auf Port 22 erlaubt.

Da die meisten Administratoren nicht jedem die Möglichkeit geben wollen, sich über SSH mit ihren Servern zu verbinden, beinhalten die Regeln der Sicherheitsgruppe die erlaubten Quelladressen für den eingehenden Datenverkehr und die Zieladressen für den ausgehenden Datenverkehr.

AWS-Sicherheitsgruppen legen den Zugriff auf die Netzwerkprotokollschichten fest. Am besten ist es, die Anzahl der offenen Ports möglichst nur auf diejenigen zu minimieren, die unbedingt erforderlich sind, damit Anwendungen auf den Servern problemlos laufen können. In vollautomatischen Konfigurationen, wenn ein Admin sich nicht bei einer Instanz anmelden muss, kann sogar Port 22 blockiert werden.

Subnetze und Kontrolllisten für den Netzwerkzugriff

Subnetze sind logisch getrennte Unterabschnitte von größeren Netzwerken. In AWS wird ein Subnetz als Bereich von IP-Adressen gemanagt und Ressourcen werden innerhalb einer einzelnen Availability Zone angesiedelt – das funktionelle Äquivalent eines Rechenzentrums. Weiterhin kontrollieren limitierte Routen zu Gateways den Zugriff auf Subnetze.

Der IP-Datenverkehr kann zwischen zwei beliebigen Geräten im Subnetz fließen und weiter an Geräte außerhalb des Subnetzes, wenn ein Gateway zur Verfügung steht. Wenn ein Teilnetz eine Route zu einem Internet-Gateway hat, wird es als öffentliches (Public) Subnetz betrachtet. Geht der Traffic an ein virtuelles privates Gateway, wird es als VPN-only Subnetz angesehen.

Mehr granulare Kontrolle bieten Network Access Control Lists (NACL). NACLs sind im Prinzip nichts anderes als Firewalls, die ähnlich wie AWS-Sicherheitsgruppen funktionieren, aber nur für Subnetze gelten – nicht für einzelne virtuelle Geräte. NACLs erlauben oder verbieten Regeln. Im Gegensatz zu Subnetzen, die stateful (zustandsorientiert) sind und es zulassen, den Traffic automatisch zurückzuleiten, sind NACLs stateless (zustandslos) und müssen Regeln haben, die den Rückverkehr explizit erlauben. Die NACL-Regeln eines Subnetzes gelten für alle Instanzen im Subnetz.

Subnetze werden verwendet, um logischen Schichten zu erzeugen, wie DMZ-hosting Internet-accessible Webserver, Services-Subnetze, die Microservices ablaufen lassen und Data Service Layer, die Datenbankserver enthalten. Subnetze und NACLs helfen, in jeder Schicht die Art des Datenverkehrs zu minimieren. Beispielsweise können Sie den Datenverkehr vom Services-Subnetz zum Data Subnet auf den TCP-Datenverkehr für die Ports einschränken, die der Datenbankserver verwendet.

Da NACLs und Sicherheitsgruppen ähnliche Schutzmaßnahmen bieten, gibt es Situationen, in denen beide verwendet werden können, um die gleichen Anforderungen zu erfüllen. Wenn zum Beispiel ein Unternehmen nur eine kleine Anzahl von Anwendungs- und Datenbankservern besitzt, dann sind Sicherheitsgruppen einfacher zu verwalten und genauso effektiv wie die Nutzung von Sicherheitsgruppen mit NACLs.

Virtual Private Clouds (VPC)

Eine dritte Netzwerksicherheitsmaßnahme für AWS ist die Verwendung von Virtual Private Clouds (VPC). Einer der offensichtlichsten Unterschiede zwischen der Bereitstellung der Infrastruktur für Infrastructure as a Service (IaaS) und einem lokalen On Premise Rechenzentrum ist, dass sich IaaS-Kunden miteinander alle die gleiche physische Infrastruktur teilen. Enterprise-Kunden benötigen aber oft Netzwerkabstraktionen und Kontrollen, die sich auf alle Ressourcen anwenden lassen, einschließlich der Subnetze und maschinellen Instanzen.

Ein VPC ist ein virtuelles Netzwerk innerhalb eines AWS-Kontos, das mehrere Verfügbarkeitszonen umfassen kann. Es ermöglicht die Bereitstellung eines logisch isolierten Bereichs der AWS-Cloud, in dem AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausgeführt werden. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung unter anderem bei der Auswahl Ihres eigenen IP-Adressbereichs, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways.

VPCs können mehrere Subnetze und ein Internet-Gateway enthalten. Die Standard-Subnetz, das einem VPC zugeordnet ist, hat eine Verbindung zum Internet-Gateway, aber andere Subnetze können privat und ohne Internetzugang sein. VPCs können sich mit einer On-Premise-Infrastruktur über IPsec VPN verbinden. Dazu wird ein virtuelles Gateway auf dem VPC verwendet und ein physisches Gerät wird im lokalen Rechenzentrum eingesetzt.

Die Kombination von Sicherheitsgruppen, Subnetzen, NACLs und VPCs bilden die Bausteine für Netzwerksicherheitsmaßnahmen in AWS. Sicherheitsgruppen funktionieren auf der Ebene der einzelnen maschinellen Instanzen. NACLs bieten die Möglichkeit, die Kontrolle des Traffics granularer zu steuern. Virtual Private Clouds (VPC) erzeugen ein logisches Netzwerk, das verschiedene Verfügbarkeitszonen überspannt und mehrere Subnetze enthält. Und eine VPC unterstützt über ein VPN die Ausweitung eines lokalen Netzwerks in die Cloud.

Mehr zum Thema AWS-Security:

Sichere Softwareentwicklung in AWS gewährleisten.

AWS-Programmierschnittstellen in Amazon API Gateway absichern.

Kann man proprietäre Datenbanken sicher in die AWS Cloud migrieren?

Datensicherheit und gemeinsame Verantwortung in Amazon Web Services (AWS).

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close