Die Sicherheit von AWS ist eine gemeinsame Verantwortung. Während AWS die Verantwortung für die Sicherheit der Cloud trägt, ist der Kunde für die Sicherheit in der Cloud verantwortlich. Von AWS und anderen Anbietern stehen zahlreiche Tools und Services zur Verfügung, die Ihnen dabei helfen, Ihre Sicherheits- und Compliance-Ziele zu erreichen. Insbesondere AWS-Sicherheitsgruppen helfen Ihnen, Ihre Amazon EC2-Ressourcen zu schützen.
Eine AWS-Sicherheitsgruppe fungiert als virtuelle Firewall für Ihre EC2-Instanzen, um den ein- und ausgehenden Datenverkehr zu kontrollieren. Sowohl eingehende als auch ausgehende Regeln steuern den Datenverkehr zu bzw. von Ihrer Instanz.
AWS-Sicherheitsgruppen helfen Ihnen, Ihre Cloud-Umgebung zu schützen, indem sie steuern, wie Datenverkehr zu Ihren EC2-Maschinen zugelassen wird. Mit Sicherheitsgruppen können Sie sicherstellen, dass der gesamte Datenverkehr, der auf Instanzebene fließt, nur über Ihre eingerichteten Ports und Protokolle erfolgt.
Wenn Sie eine Instance auf Amazon EC2 starten, müssen Sie sie einer bestimmten Sicherheitsgruppe zuweisen. Sie können jeder Sicherheitsgruppe Regeln hinzufügen, die Datenverkehr zu oder von bestimmten Diensten einschließlich zugehöriger Instanzen zulassen.
Wie Whitelists sind Sicherheitsgruppenregeln immer freizügig. Es ist nicht möglich, Regeln zu erstellen, die den Zugriff verweigern. Beispielsweise könnte Datenverkehr von einem Elastic Load Balancer (ELB) zu einem Subnetz mit Webservern kommen. Ihre AWS-Sicherheitsgruppe kann diesen ELB als ihre einzige zulässige Quelle auflisten.
Sicherheitsgruppen sind zustandsbehaftet. Das heißt, wenn eine eingehende Anforderung erfolgreich ist, wird auch die ausgehende Anforderung erfolgreich sein.
Sie können für jede EC2-Instanz eine oder mehrere Sicherheitsgruppen angeben, maximal fünf pro Netzwerkschnittstelle. Darüber hinaus kann jede Instanz in einem Subnetz in Ihrer VPC einem anderen Satz von Sicherheitsgruppen zugewiesen werden. Beim Zulassen, dass Datenverkehr eine Instanz erreicht, wertet Amazon EC2 alle Regeln aller zugeordneten Sicherheitsgruppen aus.
Sobald Regeln hinzugefügt oder geändert werden, werden sie automatisch auf alle Instanzen angewendet, die der Sicherheitsgruppe zugeordnet sind.
Mit Tools wie CloudGuard können Sie Ihre Cloud-Sicherheitslage auf Infrastrukturebene (VPCs, Sicherheitsgruppen, EC2- und RDS-Instanzen, Amazon S3-Buckets, Elastic Load Balancer usw.) visualisieren und Konfigurationsabweichungen interaktiv erkennen.
Eine Netzwerkzugriffskontrollliste (NACL) ist eine zusätzliche Möglichkeit, den Datenverkehr in und aus einem oder mehreren Subnetzen zu kontrollieren. Im Gegensatz zu AWS-Sicherheitsgruppen sind NACLs zustandslos, sodass sowohl eingehende als auch ausgehende Regeln ausgewertet werden. Netzwerk-ACLs können als optionale, zusätzliche Sicherheitsebene für Ihre VPC eingerichtet werden.
Mit AWS Firewall Manager können Sie Ihre Firewall-Regeln für AWS-Konten und Anwendungen zentral konfigurieren und verwalten. Am 8. Juli 2020 führte AWS Firewall Manager „neue vorkonfigurierte Regeln ein, um Kunden dabei zu helfen, ihre VPC-Sicherheitsgruppen zu prüfen und detaillierte Berichte überCompliance von einem zentralen Administratorkonto zu erhalten.“ Diese Funktion macht es für Kunden einfacher, ihre Sicherheitsgruppen zentral zu prüfen, und „erledigt gleichzeitig die mühsame manuelle Konfiguration benutzerdefinierter Prüfprüfungen.“
Wie bei jeder Punktlösung ist es unwahrscheinlich, dass AWS-Sicherheitsgruppen alle Sicherheitsanforderungen der meisten Unternehmen erfüllen. Es ist möglich, auf jeder Ihrer Instanzen eine eigene Firewall zu verwalten.
Die Checkpoint CloudGuard-Plattform ist eine Cloud-native Sicherheitslösung für Amazon AWS-Umgebungen. CloudGuard Cloud Netzwerk Security bietet fortschrittliche Bedrohungsprävention und automatisierte Netzwerksicherheit mit einheitlicher Verwaltung für Cloud- und lokale Umgebungen. CloudGuard ist außerdem eine Sicherheitsorchestrierungsplattform, die Transparenz und Management des Sicherheitsstatus (CSPM), Compliance-Automatisierung und Einbruchserkennung in der öffentlichen Cloud bietet.
CloudGuard verfügt über eine native API-Integration mit Amazon Security Hub, um über eine konsolidierte Sicherheitskonsole einen verbesserten Einblick in Schwachstellen in der Cloud-Sicherheit und Compliance eines Unternehmens zu ermöglichen.
CloudGuard Cloud Netzwerk Security verhindert aktiv Cyber-Angriffe und Netzwerk-Schwachstellen und leitet diese Bedrohungswarnungen an die AWS Security Hub-Konsole weiter. Diese kontinuierliche Bedrohungsprävention wird durch die native Firewall, IPS, Anwendungskontrolle, IPSec VPN, Antivirus und Anti-beide-Funktionen der Plattform vorangetrieben.
Das über CloudGuard bereitgestellte Cloud-Sicherheit-Statusmanagement hilft Ihnen, Ihren Cloud- Sicherheitsstatus auf Infrastrukturebene (VPCs, Sicherheitsgruppen, EC2- und RDS-Instanzen, Amazon S3-Buckets, Elastic Load Balancer usw.) zu visualisieren. Mit CloudGuard können Sie Konfigurationsabweichungen interaktiv erkennen, die Auswirkungen neuer Schwachstellen bewerten und Fehlkonfigurationen von Firewall-Regeln schnell erkennen.