AWS Certified Advanced Networking Specialty
Zuletzt überprüft: Mai 2026
Eine übersichtliche Referenz der Architekturmuster, die in der ANS-C01-Prüfung getestet werden. Von oben nach unten lesen oder zu einem Abschnitt springen.
Vollständige Mesh-Konnektivität für viele VPCs, teilweise mit überlappenden CIDRs.
Stellen Sie ein Transit Gateway bereit. Beheben Sie überlappende CIDRs, indem Sie den betroffenen VPCs eindeutige, sekundäre CIDR-Blöcke hinzufügen.
Warum: Transit Gateway bietet skalierbares, transientes Routing, kann aber nicht zwischen überlappenden IP-Bereichen routen. Eine IP-Bereinigung ist erforderlich.
Hybridkonnektivität mit hohem Durchsatz, geringer Latenz und hoher Ausfallsicherheit.
Stellen Sie zwei dedizierte Direct Connect-Verbindungen an zwei verschiedenen Direct Connect-Standorten bereit.
Warum: Die Verwendung von zwei verschiedenen Standorten schützt vor Ausfällen auf Standortebene (Glasfaserkabelbrüche, Stromausfälle) und bietet maximale Ausfallsicherheit. Ein einziger Standort, selbst mit mehreren Verbindungen, ist ein Single Point of Failure.
Bidirektionale DNS-Auflösung zwischen lokalen und privaten gehosteten AWS-Zonen.
Verwenden Sie Route 53 Resolver. Erstellen Sie Inbound Endpoints, damit lokale Systeme AWS abfragen können. Erstellen Sie Outbound Endpoints mit Weiterleitungsregeln, damit AWS lokale Systeme abfragen kann.
Warum: Inbound Endpoints stellen erreichbare IPs für lokale DNS-Weiterleitungen bereit. Outbound Endpoints ermöglichen die bedingte Weiterleitung innerhalb der VPC. Der VPC-Standard-Resolver (VPC+2) ist von lokalen Systemen aus nicht erreichbar.
Bereitstellung von Dienstzugriff zwischen zwei VPCs, ohne Netzwerk-Layer-Routen zu erstellen.
Verwenden Sie AWS PrivateLink. Erstellen Sie einen VPC Endpoint Service (der von einem NLB unterstützt wird) in der Anbieter-VPC und einen Interface VPC Endpoint in der Consumer-VPC.
Warum: PrivateLink bietet eine unidirektionale, dienstspezifische Konnektivität unter Verwendung von ENIs in der VPC des Consumers, wodurch Routing auf Netzwerkebene und CIDR-Überlappungsprobleme vollständig vermieden werden.
Bieten Sie ausgehenden Internetzugang nur für IPv6-fähige Instanzen in privaten Subnetzen.
Erstellen Sie ein Egress-Only Internet Gateway (EIGW) und fügen Sie der Routing-Tabelle des privaten Subnetzes eine Route für `::/0` hinzu, die auf das EIGW zeigt.
Warum: Ein EIGW ist zustandsbehaftet für ausgehende IPv6-Verbindungen, erlaubt Rückverkehr, verhindert aber unaufgeforderte eingehende Verbindungen, analog zu einem NAT Gateway, aber für IPv6.
Inspektion des gesamten Inter-VPC-Verkehrs mit AWS Network Firewall in einem zentralisierten Modell mit Transit Gateway.
Erstellen Sie eine dedizierte Inspektions-VPC mit Network Firewall. Konfigurieren Sie die TGW-Routing-Tabellen so, dass der gesamte Inter-VPC-Verkehr an die Inspektions-VPC gesendet wird. Innerhalb der Inspektions-VPC müssen die Routing-Tabellen den Verkehr für symmetrisches Routing durch die NFW-Endpunkte leiten.
Warum: Diese Architektur erfordert eine sorgfältige Routenführung: TGW sendet Verkehr an die Inspektions-VPC; VPC-Routing-Tabellen senden ihn an den Firewall-Endpunkt; die Firewall sendet ihn zurück an das TGW-Attachment-ENI; TGW leitet ihn an das endgültige Ziel.
Segmentierung von VPCs (z. B. Produktion vs. Entwicklung) mit Transit Gateway, wobei beide auf eine Shared Services VPC zugreifen können.
Verwenden Sie mehrere Transit Gateway-Routing-Tabellen. Erstellen Sie eine Routing-Tabelle für jedes Segment (Prod, Dev, Shared). Ordnen Sie VPCs ihren jeweiligen Tabellen zu. Propagieren Sie Routen, um eine Hub-Spoke-Topologie zu erstellen, bei der Spokes nur den Hub sehen können.
Warum: TGW-Routing-Tabellen-Assoziationen und -Propagierungen sind der primäre Mechanismus für Netzwerksegmentierung und Verkehrsisolation auf der Netzwerkebene.
Reduzieren Sie die Latenz für eine dynamische, nicht-cachebare globale Anwendung (z. B. API, Gaming), die in einer einzelnen Region gehostet wird.
Verwenden Sie AWS Global Accelerator. Es bietet Anycast-IPs, die Benutzer zum nächstgelegenen AWS Edge Location leiten, dann durchläuft der Verkehr das optimierte AWS-Backbone zum Origin.
Warum: Global Accelerator optimiert die "First Mile" und "Middle Mile" über das AWS-Netzwerk und reduziert Latenz und Jitter für TCP/UDP-Verkehr. CloudFront ist besser für cachebaren Inhalt geeignet.
Bieten Sie privaten Zugriff von einer VPC auf S3 und DynamoDB, ohne das Internet zu durchqueren.
Erstellen Sie Gateway VPC Endpoints für S3 und DynamoDB. Dies fügt Präfixlisteneinträge zu den angegebenen Subnetz-Routing-Tabellen hinzu.
Warum: Gateway Endpoints sind der spezifische, hochleistungsfähige und kostenfreie Mechanismus für den privaten Zugriff auf S3 und DynamoDB. Andere Dienste verwenden Interface Endpoints (PrivateLink).
Greifen Sie von einer einzigen lokalen Direct Connect-Verbindung auf VPCs in mehreren AWS-Regionen zu.
Verwenden Sie ein Direct Connect Gateway mit einem Transit Virtual Interface (T-VIF). Ordnen Sie das DX Gateway den Transit Gateways in jeder erforderlichen Region zu.
Warum: Ein Transit VIF mit einem DX Gateway ist die skalierbare Lösung für die Verbindung mit mehreren Transit Gateways über Regionen hinweg. Ein Private VIF mit einem DX Gateway hat niedrigere Grenzen.
Integration einer virtuellen Firewall-Appliance eines Drittanbieters zur transparenten Verkehrsinspektion.
Verwenden Sie einen Gateway Load Balancer (GWLB). Er arbeitet auf Layer 3 und verwendet das GENEVE-Protokoll zur Kapselung des Datenverkehrs, wobei die ursprüngliche Quell-/Ziel-IP erhalten bleibt.
Warum: Die GENEVE-Kapselung des GWLB macht es zu einem "Bump-in-the-Wire", das Appliances transparent in den Netzwerkpfad einfügt, ohne Source NAT zu erfordern, was für Sicherheits-Appliances entscheidend ist.
Verwalten Sie die IP-Adressvergabe für Hunderte von VPCs in einer Multi-Account-Organisation, um Überlappungen zu verhindern und die Nutzung zu verfolgen.
Verwenden Sie Amazon VPC IP Address Manager (IPAM). Erstellen Sie einen Top-Level-Pool und delegieren Sie regionale Pools, um die VPC CIDR-Zuweisung zu automatisieren.
Warum: VPC IPAM ist der speziell entwickelte, skalierbare AWS-Dienst für die zentrale IP-Adressverwaltung, der fehleranfällige manuelle Methoden ersetzt.
Integrieren Sie eine SD-WAN-Appliance eines Drittanbieters mit Transit Gateway unter Verwendung von GRE-Tunneln und dynamischem BGP-Routing.
Verwenden Sie ein Transit Gateway Connect-Attachment.
Warum: TGW Connect wurde speziell für die SD-WAN-Integration entwickelt. Es unterstützt GRE für höhere Bandbreite (bis zu 5 Gbit/s pro Peer) und BGP für dynamisches Routing.
Eine reine IPv6-VPC muss mit reinen IPv4-Ressourcen im Internet kommunizieren.
Aktivieren Sie DNS64 in den Route 53 Resolver-Einstellungen der VPC und konfigurieren Sie ein NAT Gateway in einem öffentlichen Subnetz. Leiten Sie `64:ff9b::/96` an das NAT Gateway weiter.
Warum: DNS64 synthetisiert AAAA-Einträge für IPv4-Ziele. Das NAT Gateway führt die NAT64-Protokollübersetzung von der synthetisierten IPv6-Adresse zur echten IPv4-Adresse durch.
Verbinden Sie Hunderte von VPCs über viele Regionen hinweg mit strengen Segmentierungsanforderungen (Prod, Dev, Shared Services).
Verwenden Sie AWS Cloud WAN. Definieren Sie Segmente und Segmentaktionen in einer einzigen Core-Netzwerkrichtlinie, um das Routing zwischen Segmenten global zu steuern.
Warum: Cloud WAN bietet eine zentralisierte, deklarative globale Netzwerkrichtlinie, die skalierbarer und weniger komplex ist als die Verwaltung eines vollständigen Mesh aus Transit Gateway-Peerings und Routing-Tabellen in jeder Region.
Bündelung mehrerer Direct Connect-Verbindungen an einem einzigen Standort für erhöhte Bandbreite und Link-Redundanz.
Konfigurieren Sie eine Link Aggregation Group (LAG). Alle Verbindungen müssen dieselbe Bandbreite haben und am selben AWS-Gerät terminiert werden.
Warum: LAGs bündeln physische Links zu einem logischen Link. Dies bietet Failover auf Link-Ebene, schützt aber nicht vor Geräte- oder Standortausfällen. Verwenden Sie `minimum links`, um den Failover-Schwellenwert zu definieren.
Erreichen Sie ein DNS-Failover unter 60 Sekunden für eine Multi-Region-Anwendung.
Verwenden Sie Route 53 Failover-Routing mit Health Checks. Konfigurieren Sie Health Checks mit schnellem Intervall (10s) und niedrigem Fehlerschwellenwert (1). Verwenden Sie Alias-Datensätze oder sehr niedrige TTLs (z. B. 10-60s).
Warum: Schnelles Failover erfordert schnelle Erkennung (schnelle Health Checks) und schnelle clientseitige Updates (niedrige TTLs oder Alias-Datensätze mit dynamischen TTLs).
Erhöhen Sie den gesamten VPN-Durchsatz, indem Sie beide Tunnel einer Site-to-Site VPN-Verbindung gleichzeitig nutzen.
Verbinden Sie das VPN mit einem Transit Gateway. Aktivieren Sie die ECMP-Unterstützung am Transit Gateway VPN-Attachment.
Warum: Standardmäßig kann VPN zu TGW nur einen Tunnel verwenden. Die Aktivierung von ECMP am TGW-Attachment verteilt den Datenverkehr auf beide Tunnel, wenn BGP-Routen gleichwertig sind.
Stellen Sie sicher, dass Backend-TCP-Dienste hinter einem Network Load Balancer die ursprüngliche Client-IP-Adresse sehen.
Registrieren Sie Ziele nach Instanz-ID. Wenn Ziele nach IP registriert sind, aktivieren Sie Proxy Protocol v2 in der Zielgruppe.
Warum: Wenn Ziele nach Instanz-ID registriert sind, bewahrt der NLB die Client-IP standardmäßig. Wenn sie nach IP registriert sind, wird die IP des NLB zur Quelle, und Proxy Protocol v2 ist erforderlich, um die ursprüngliche IP weiterzugeben.
Beeinflussen Sie, wie AWS den Datenverkehr zurück zu einem lokalen Netzwerk leitet, wenn mehrere Direct Connect-Pfade existieren.
Verwenden Sie BGP AS path prepending auf dem weniger bevorzugten Pfad vom lokalen Router.
Warum: Für ausgehenden Datenverkehr von AWS ist der primäre, vom Kunden kontrollierte Mechanismus die AS-Pfadlänge. AWS bevorzugt den Pfad mit dem kürzesten AS-Pfad. Sie können keine lokale Präferenz auf AWS-Seite konfigurieren.
Ermöglichen Sie Spoke-Konten in einer AWS-Organisation, ihre VPCs an ein Transit Gateway anzuhängen, das einem zentralen Netzwerkkonto gehört.
Verwenden Sie AWS Resource Access Manager (RAM). Das Netzwerkkonto teilt das Transit Gateway mit der Organisation oder spezifischen OUs.
Warum: RAM ist der spezifische AWS-Dienst, der für die gemeinsame Nutzung von Ressourcen wie Transit Gateways über Konten hinweg entwickelt wurde. Dies ermöglicht eine zentralisierte Verwaltung und gleichzeitig eine Self-Service-Anbindung für Spoke-Konten.
Aggregieren Sie den Durchsatz jenseits der 1,25 Gbit/s-Grenze eines einzelnen VPN-Tunnels.
Erstellen Sie mehrere Site-to-Site VPN-Verbindungen zu einem Transit Gateway mit aktivierter ECMP-Unterstützung.
Warum: Jeder VPN-Tunnel ist auf ~1,25 Gbit/s begrenzt. Um zu skalieren, müssen Sie mehrere Tunnel/Verbindungen verwenden und ECMP auf einem Transit Gateway nutzen, um den Datenverkehr auf diese zu verteilen.
Konfigurieren Sie Route 53 Health Checks für eine interne, nicht-internetfähige Ressource wie einen internen ALB.
Erstellen Sie einen CloudWatch-Alarm, der eine Metrik für die interne Ressource überwacht (z. B. `HealthyHostCount` für einen ALB). Konfigurieren Sie den Route 53 Health Check so, dass er den Status des CloudWatch-Alarms überwacht.
Warum: Route 53 Health Checker sind extern. Um interne Ressourcen zu überwachen, müssen sie ein Proxy-Signal wie den Status eines CloudWatch-Alarms überwachen, der durch interne Metriken ausgelöst werden kann.
Automatisches Failover von CloudFront-Verkehr zu einem sekundären Origin (z. B. einer statischen S3-Website), wenn der primäre Origin (z. B. ein ALB) 5xx-Fehler zurückgibt.
Erstellen Sie eine CloudFront Origin Group mit dem ALB als primärem und S3 als sekundärem Origin. Konfigurieren Sie diese so, dass sie bei bestimmten Statuscodes (z. B. 500, 502, 503, 504) ein Failover durchführt.
Warum: Origin Groups sind der native CloudFront-Mechanismus für hohe Verfügbarkeit, der ein nahtloses Failover am Edge ohne DNS-Änderungen ermöglicht.
Erreichen Sie ein Failover unter einer Sekunde für eine Direct Connect-Verbindung zu einem Backup-VPN oder einem sekundären DX-Pfad.
Aktivieren Sie Bidirectional Forwarding Detection (BFD) auf der virtuellen Direct Connect-Schnittstelle. Konfigurieren Sie BFD auf dem lokalen Router.
Warum: BFD bietet eine viel schnellere Erkennung von Link-Fehlern (bis zu 300 ms) im Vergleich zu BGP-Keepalive-Timern (Standard 90s), was eine schnelle Rekonvergenz des Datenverkehrs ermöglicht.
Aktivieren Sie die Konnektivität zwischen Transit Gateways in zwei verschiedenen Regionen.
Stellen Sie eine Transit Gateway Peering-Verbindung her. Fügen Sie manuell statische Routen in jeder TGW-Routing-Tabelle hinzu, die über das Peering-Attachment auf die CIDRs der entfernten Region zeigen.
Warum: Entscheidend ist, dass Transit Gateway Inter-Region Peering keine dynamische Routenpropaganda unterstützt. Alle regionsübergreifenden Routen müssen statisch konfiguriert werden.
Beheben Sie Konnektivitätsprobleme innerhalb von AWS, indem Sie die spezifische blockierende Komponente (z. B. Route, NACL, SG) identifizieren.
Verwenden Sie VPC Reachability Analyzer. Geben Sie eine Quelle und ein Ziel an, und es führt eine statische Analyse der Netzwerkkonfiguration durch.
Warum: Reachability Analyzer bietet eine definitive, Hop-by-Hop-Analyse von AWS-Netzwerkkonstrukten, die effektiver ist als Traceroute (das möglicherweise nicht funktioniert) oder die manuelle Überprüfung jeder Komponente.
Langfristige Speicherung und Ad-hoc-Abfrage detaillierter VPC Flow Logs für Compliance-Zwecke.
Veröffentlichen Sie Flow Logs direkt in S3 im Parquet-Format mit einem benutzerdefinierten Feldlayout. Verwenden Sie Amazon Athena für SQL-basierte Ad-hoc-Abfragen.
Warum: S3 ist der kostengünstigste Speicher. Das Parquet-Format ist für Athena-Abfragen sehr effizient, reduziert Scan-Kosten und verbessert die Leistung. Dies ist das serverlose, skalierbare Muster für die Flow-Log-Analyse.
Zentrale Durchsetzung obligatorischer Sicherheitsgruppenregeln über alle VPCs in einer AWS-Organisation hinweg und automatische Behebung von Nicht-Compliance.
Verwenden Sie AWS Firewall Manager mit einer Sicherheitsgruppen-Audit-Richtlinie. Definieren Sie die erforderlichen Regeln und konfigurieren Sie die Richtlinie so, dass nicht-konforme Gruppen automatisch behoben werden.
Warum: Firewall Manager ist das zentrale Governance-Tool für Sicherheitsrichtlinien (WAF, SG, NFW) in einer Organisation. Seine Audit-Richtlinie mit automatischer Behebung bietet Durchsetzung.
Visualisieren und überwachen Sie eine globale Netzwerktopologie einschließlich Transit Gateways, VPNs und Direct Connect über Regionen und Konten hinweg.
Verwenden Sie AWS Network Manager. Registrieren Sie Transit Gateways in einem einzigen globalen Netzwerk, um ein zentralisiertes Dashboard, eine Topologiekarte und eine Gesundheitsüberwachung zu erhalten.
Warum: Network Manager wurde speziell entwickelt, um eine zentrale Übersicht für komplexe, globale AWS-Netzwerke zu bieten und Überwachung und Verwaltung zu konsolidieren.
Diagnose von intermittierendem Paketverlust oder Fehlern bei einer Direct Connect-Verbindung.
Überprüfen Sie Direct Connect CloudWatch-Metriken (`ConnectionErrorCount`). Überprüfen Sie am Kundenrouter die optischen Signalpegel (Tx/Rx Lichtpegel) und Schnittstellen-Fehlerzähler (CRC-Fehler, Eingabefehler).
Warum: Paketverlust kann ein Problem der physikalischen Schicht sein. Sowohl AWS-seitige Metriken als auch kundenseitige Router-Diagnosen sind erforderlich, um Probleme wie ein sich verschlechterndes Glasfaserkabel oder einen Transceiver zu isolieren.
Automatische Erkennung und Behebung von nicht-konformen Netzwerkkonfigurationen, z. B. eine Sicherheitsgruppe, die öffentlichen SSH-Zugriff erlaubt.
Verwenden Sie AWS Config mit einer verwalteten Regel (z. B. `restricted-ssh`) und konfigurieren Sie eine automatische Behebungsaktion unter Verwendung eines SSM Automation-Dokuments.
Warum: Dies bietet ein geschlossenes Compliance-System. AWS Config erkennt die Verletzung, und seine Behebungsaktion löst ein SSM-Dokument aus, um die Konfiguration automatisch zu korrigieren.
Proaktive Identifizierung unbeabsichtigter Netzwerkzugriffspfade zu sensiblen Ressourcen aus dem Internet oder anderen nicht vertrauenswürdigen Netzwerken.
Verwenden Sie VPC Network Access Analyzer. Definieren Sie einen Zugriffsbereich und führen Sie eine Analyse durch, um eine Liste aller möglichen übereinstimmenden Netzwerkpfade zu erhalten.
Warum: Dieses Tool führt eine formale Netzwerkverifikation durch, analysiert alle Komponenten (SGs, NACLs, TGW, IGW), um potenzielle Pfade zu finden, was umfassender ist als manuelle Überprüfungen oder reaktives Monitoring.
Sammeln Sie VPC Flow Logs, DNS Query Logs und Network Firewall Logs von vielen Mitgliedskonten in einem zentralen Logging-Konto.
Konfigurieren Sie Dienste in Mitgliedskonten so, dass sie Logs direkt in einen zentralisierten S3-Bucket (für Flow Logs/NFW) oder eine CloudWatch Log Group (für DNS Logs) im Logging-Konto veröffentlichen, unter Verwendung von Cross-Account-Bucket-Richtlinien und IAM-Rollen.
Warum: Direktes Cross-Account-Log-Publishing ist das effizienteste und skalierbarste Muster, das native AWS-Funktionen nutzt, ohne Agenten oder komplexe Datenpipelines zu erfordern.
Optimieren Sie die Netzwerkkosten für datenintensiven Datenverkehr zwischen bestimmten VPC-Paaren in einer Transit Gateway Hub-and-Spoke-Architektur.
Für datenintensive VPC-Paare erstellen Sie eine direkte VPC-Peering-Verbindung, um das Transit Gateway zu umgehen. Behalten Sie das TGW für den gesamten anderen Hub-Spoke-Verkehr bei.
Warum: VPC Peering hat keine Gebühren pro GB für die Datenverarbeitung (nur Standard-Datentransfer), während Transit Gateway dies hat. Das Verlagern von datenintensivem Punkt-zu-Punkt-Verkehr auf Peering reduziert die Kosten erheblich.
Verschlüsseln Sie Direct Connect-Verkehr auf Layer 2 für Line-Rate-Leistung.
Aktivieren Sie MACsec (IEEE 802.1AE). Erfordert eine dedizierte 10-Gbit/s- oder 100-Gbit/s-Verbindung an einem MACsec-fähigen Standort.
Warum: MACsec bietet Hop-by-Hop-Verschlüsselung zwischen dem Kundenrouter und dem AWS-Gerät und sichert die physische Verbindung mit minimalem Leistungs-Overhead.
Schützen Sie eine Webanwendung vor gängigen Angriffen (SQLi, XSS) und beschränken Sie den Zugriff nach Ländern.
Verwenden Sie AWS WAF. Fügen Sie eine Web-ACL an den ALB/CloudFront an. Verwenden Sie AWS Managed Rule Groups (z. B. `AWSManagedRulesSQLiRuleSet`, `AWSManagedRulesCommonRuleSet`) und erstellen Sie eine Geo-Match-Regel.
Warum: AWS Managed Rules bieten sofortigen Schutz vor gängigen Bedrohungen, während Geo-Match-Regeln geografische Kontrolle ermöglichen. Dies ist das Standard-WAF-Implementierungsmuster.
Implementieren Sie eine Multi-Tier-Anwendungsisolierung (z. B. Web -> App -> DB) innerhalb einer VPC.
Erstellen Sie eine Sicherheitsgruppe für jede Schicht. Verwenden Sie Sicherheitsgruppen-ID-Referenzen in den Regeln (z. B. erlaubt die App-SG den Ingress von der Web-SG).
Warum: Das Referenzieren von Sicherheitsgruppen ist dynamischer und sicherer als die Verwendung von CIDR-Bereichen. Es passt sich automatisch an, wenn Instanzen zu einer Schicht hinzugefügt oder daraus entfernt werden.
Überwachen und erkennen Sie DNS-basierte Bedrohungen wie DNS-Tunneling und Kommunikation mit C2-Servern.
Aktivieren Sie das Route 53 Resolver Query Logging. Aktivieren Sie Amazon GuardDuty, das die DNS-Abfrageprotokolle als Datenquelle analysiert.
Warum: GuardDuty verfügt über integrierte Bedrohungsanalysen, die DNS-Protokolle analysieren, um bekannte bösartige Domains, DGAs und anomale Abfragemuster zu erkennen, die auf Datenexfiltration hindeuten.
Stellen Sie sicher, dass S3-Inhalte nur über CloudFront zugänglich sind, nicht direkt über die S3-URL, während andere IAM-Prinzipale weiterhin Zugriff haben.
Verwenden Sie Origin Access Control (OAC). Aktualisieren Sie die S3-Bucket-Richtlinie, um den Zugriff vom OAC-Service-Principal und allen anderen erforderlichen IAM-Rollen/Benutzern zu erlauben.
Warum: OAC ist der moderne Ersatz für OAI. Es erstellt einen Service-Principal, der in Bucket-Richtlinien referenziert werden kann und eine granularere und flexiblere Zugriffskontrolle bietet.
Verhindern Sie, dass Benutzer CloudFront umgehen und direkt auf einen ALB-Origin zugreifen.
Konfigurieren Sie CloudFront so, dass es einen benutzerdefinierten HTTP-Header mit einem geheimen Wert zu Origin-Anfragen hinzufügt. Erstellen Sie eine ALB-Listener-Regel, die diesen Header und Wert überprüft und Anfragen blockiert, die ihn nicht enthalten.
Warum: Dies bietet einen stärkeren Schutz als IP-basierte Beschränkungen (mit der verwalteten Präfixliste), da es überprüft, ob die Anfrage von Ihrer spezifischen Distribution stammt. Verwenden Sie beides für eine Defense-in-Depth-Strategie.
Erfassen Sie vollständige Netzwerkpaketdaten von einer bestimmten EC2-Instanz für die forensische Analyse, ohne Agenten zu installieren.
Verwenden Sie VPC Traffic Mirroring. Konfigurieren Sie eine Spiegelsitzung auf der ENI der Instanz, um den Datenverkehr an ein Ziel zu kopieren (z. B. einen NLB vor Analysewerkzeugen).
Warum: Traffic Mirroring bietet eine agentenlose, vollständige Paketerfassung, die für eine tiefgehende forensische Analyse unerlässlich ist. Flow Logs liefern nur Metadaten.
Bieten Sie umfassenden DDoS-Schutz für öffentlich zugängliche Anwendungen.
Abonnieren Sie AWS Shield Advanced. Ordnen Sie den Schutz kritischen Ressourcen (CloudFront, ALB, EIPs, Route 53) zu. Verwenden Sie AWS WAF zur Layer-7-Mitigation. Ziehen Sie das Shield Response Team (SRT) bei Angriffen hinzu.
Warum: Shield Advanced bietet verbesserte Erkennung, Kostenschutz gegen DDoS-induzierte Skalierung und Zugang zum SRT für fachkundige Unterstützung, was für geschäftskritische Anwendungen entscheidend ist.
Ausstellen und automatische Rotation von TLS-Zertifikaten für interne Microservices von einer privaten Zertifizierungsstelle.
Verwenden Sie AWS Private Certificate Authority (Private CA), um die CA zu erstellen. Verwenden Sie AWS Certificate Manager (ACM), um den Lebenszyklus (einschließlich automatischer Erneuerung) privater Zertifikate von dieser CA auszustellen und zu verwalten.
Warum: Diese Kombination bietet eine vollständig verwaltete private PKI-Lösung, die den komplexen Lebenszyklus interner Zertifikate ohne öffentliche Exposition automatisiert.
Verhindern Sie, dass Benutzer in Mitgliedskonten einer AWS-Organisation ein Internet Gateway erstellen oder anhängen können.
Wenden Sie eine Service Control Policy (SCP) auf der Ebene des Organisations-Roots an, die die Aktionen `ec2:CreateInternetGateway` und `ec2:AttachInternetGateway` verweigert.
Warum: SCPs bieten präventive Leitplanken, die nicht durch IAM-Richtlinien innerhalb von Mitgliedskonten überschrieben werden können, was sie zum definitiven Werkzeug für die Durchsetzung organisationsweiter Sicherheitsrichtlinien macht.
Entschlüsseln und inspizieren Sie HTTPS-Verkehr auf Bedrohungen mit AWS Network Firewall und verschlüsseln Sie ihn dann erneut.
Erstellen oder importieren Sie ein CA-Zertifikat in ACM. Erstellen Sie eine TLS-Inspektionskonfiguration in der Firewall-Richtlinie, die diese CA referenziert. Verteilen Sie das CA-Zertifikat als vertrauenswürdige Root-CA an Client-Systeme.
Warum: Network Firewall führt die TLS-Inspektion über einen Man-in-the-Middle-Ansatz durch, wobei eine von Ihnen bereitgestellte CA verwendet wird, um Zertifikate im laufenden Betrieb neu zu signieren. Clients müssen dieser CA vertrauen, um Zertifikatsfehler zu vermeiden.
Blockieren Sie DNS-Abfragen an bekannte bösartige Domains über alle VPCs in einer AWS-Organisation.
Erstellen Sie DNS Firewall-Regelgruppen in einem zentralen Konto unter Verwendung von AWS-verwalteten Domänenlisten. Teilen Sie die Regelgruppen über RAM und ordnen Sie sie VPCs in Mitgliedskonten zu.
Warum: DNS Firewall bietet verwaltete, zentral aktualisierbare Bedrohungsinformationen, um bösartige Domains auf der DNS-Auflösungsebene zu blockieren, eine kritische Sicherheitskontrolle.
Verschlüsseln Sie den gesamten Netzwerkverkehr zwischen EC2-Instanzen in derselben VPC ohne Anwendungsänderungen.
Verwenden Sie Instanztypen, die auf dem AWS Nitro System basieren.
Warum: Nitro-Instanzen verschlüsseln den gesamten Datenverkehr zwischen Instanzen automatisch auf Hardwareebene und bieten so eine transparente, Line-Rate-Verschlüsselung ohne Konfiguration.
