Was sind AWS-Sicherheitsgruppen?

Was sind AWS-Sicherheitsgruppen?

Eine AWS-Sicherheitsgruppe fungiert als virtuelle Firewall für Ihre EC2-Instanzen, um den ein- und ausgehenden Datenverkehr zu kontrollieren. Sowohl eingehende als auch ausgehende Regeln steuern den Datenverkehr zu bzw. von Ihrer Instanz.

So funktionieren AWS-Sicherheitsgruppen

AWS-Sicherheitsgruppen helfen Ihnen, Ihre Cloud-Umgebung zu schützen, indem sie steuern, wie Datenverkehr zu Ihren EC2-Maschinen zugelassen wird. Mit Sicherheitsgruppen können Sie sicherstellen, dass der gesamte Datenverkehr, der auf Instanzebene fließt, nur über Ihre eingerichteten Ports und Protokolle erfolgt.

Wenn Sie eine Instance auf Amazon EC2 starten, müssen Sie sie einer bestimmten Sicherheitsgruppe zuweisen. Sie können jeder Sicherheitsgruppe Regeln hinzufügen, die Datenverkehr zu oder von bestimmten Diensten einschließlich zugehöriger Instanzen zulassen.

Wie Whitelists sind Sicherheitsgruppenregeln immer freizügig. Es ist nicht möglich, Regeln zu erstellen, die den Zugriff verweigern. Beispielsweise könnte Datenverkehr von einem Elastic Load Balancer (ELB) zu einem Subnetz mit Webservern kommen. Ihre AWS-Sicherheitsgruppe kann diesen ELB als ihre einzige zulässige Quelle auflisten.

Sicherheitsgruppen sind zustandsbehaftet. Das heißt, wenn eine eingehende Anforderung erfolgreich ist, wird auch die ausgehende Anforderung erfolgreich sein.

Verwendung mehrerer AWS-Sicherheitsgruppen

Sie können für jede EC2-Instanz eine oder mehrere Sicherheitsgruppen angeben, maximal fünf pro Netzwerkschnittstelle. Darüber hinaus kann jede Instanz in einem Subnetz in Ihrer VPC einem anderen Satz von Sicherheitsgruppen zugewiesen werden. Beim Zulassen, dass Datenverkehr eine Instanz erreicht, wertet Amazon EC2 alle Regeln aller zugeordneten Sicherheitsgruppen aus.

Sobald Regeln hinzugefügt oder geändert werden, werden sie automatisch auf alle Instanzen angewendet, die der Sicherheitsgruppe zugeordnet sind.

With tools like Check Point, you can visualize your cloud security posture at the infrastructure level (VPCs, security groups, EC2 and RDS instances, Amazon S3 buckets, Elastic Load Balancers, etc.) and interactively detect configuration drift.

Sicherheitsgruppen und Netzwerk-ACLs

Eine Netzwerkzugriffskontrollliste (NACL) ist eine zusätzliche Möglichkeit, den Datenverkehr in und aus einem oder mehreren Subnetzen zu kontrollieren. Im Gegensatz zu AWS-Sicherheitsgruppen sind NACLs zustandslos, sodass sowohl eingehende als auch ausgehende Regeln ausgewertet werden. Netzwerk-ACLs können als optionale, zusätzliche Sicherheitsebene für Ihre VPC eingerichtet werden.

Neue AWS-Sicherheitsgruppen-Funktionalität

Mit AWS Firewall Manager können Sie Ihre Firewall-Regeln für AWS-Konten und Anwendungen zentral konfigurieren und verwalten. Am 8. Juli 2020 führte AWS Firewall Manager „neue vorkonfigurierte Regeln ein, um Kunden dabei zu helfen, ihre VPC-Sicherheitsgruppen zu prüfen und detaillierte Berichte überCompliance von einem zentralen Administratorkonto zu erhalten.“ Diese Funktion macht es für Kunden einfacher, ihre Sicherheitsgruppen zentral zu prüfen, und „erledigt gleichzeitig die mühsame manuelle Konfiguration benutzerdefinierter Prüfprüfungen.“

Check Point AWS-Sicherheitslösungen

Wie bei jeder Punktlösung ist es unwahrscheinlich, dass AWS-Sicherheitsgruppen alle Sicherheitsanforderungen der meisten Unternehmen erfüllen. Es ist möglich, auf jeder Ihrer Instanzen eine eigene Firewall zu verwalten.

Checkpoint Check Point platform is a cloud native security solution for Amazon AWS environments. Check Point Cloud Network Security provides advanced threat prevention and automated network security with unified management across cloud and on-prem environments. Check Point also extends as a security orchestration platform that offers visibility and management into the security posture (CSPM), compliance automation and intrusion detection in the public cloud.

Check Point has a native API integration with Amazon Security Hub to provide enhanced visibility into vulnerabilities in an organization’s cloud security and compliance posture from a consolidated security console.

Check Point Cloud Network Security actively prevents cyber-attacks and network vulnerabilities and feeds these threat alerts into the AWS Security Hub console. This continuous threat prevention is driven by the platform’s native firewall, IPS, application control, IPsec VPN, antivirus and anti-both capabilities.

Cloud security posture management delivered through Cloudguard helps you visualize your cloud security posture at the infrastructure level (VPCs, security groups, EC2 and RDS instances, Amazon S3 buckets, Elastic Load Balancers, etc.) With Check Point, you can interactively detect configuration drift, assess impact of new vulnerabilities and spot firewall rule misconfigurations quickly.