book

Sicherheit und Microservice-Architektur auf AWS

Name: Sicherheit und Microservice-Architektur auf AWS
Author: Gaurav Raje
ISBN: 9781098195410

by Gaurav Raje

September 2024

Intermediate to advanced

396 pages

11h 57m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Ziele dieses BuchesWer sollte dieses Buch benutzen?In diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Einführung in Cloud Microservices
Grundlagen der Cloud InformationssicherheitRisiko- und SicherheitskontrollenOrganisatorische SicherheitspolitikSicherheitsvorfälle und die CIA-TriadeAWS-Modell der geteilten VerantwortungCloud Architektur und SicherheitSicherheit durch ModularitätSicherheit durch EinfachheitSicherheit durch vollständig gemanagte AWS-ServicesExplosionsradius, Isolation und die Analogie der verschlossenen RäumeDefense-in-Depth und SicherheitSicherheit durch PerimeterschutzSicherheit durch Zero Trust ArchitekturEine kurze Einführung in die Software-ArchitekturTier-basierte ArchitekturDomänenorientiertes DesignMicroservicesImplementierung von Microservices auf AWSContainer-basierte Microservice-ArchitekturEine sehr kurze Einführung in KubernetesFunction as a Service: FaaS mit AWS LambdaÜberblick über die Cloud Microservice ImplementierungAmazon EKSAmazon EKS Fargate ModusFunction as a Service mit AWS LambdaZusammenfassung der Microservice-ImplementierungBeispiele von Microservice-KommunikationsmusternBeispiel 1: Einfache Nachrichtenübermittlung zwischen KontextenBeispiel 2: NachrichtenwarteschlangenBeispiel 3: Ereignisgesteuerte MicroservicesZusammenfassung
2. Grundlagen der Autorisierung und Authentifizierung
Grundlagen des AWS Identitäts- und ZugriffsmanagementsSchulleiter auf AWSIAM-RichtlinienDas Prinzip des geringsten PrivilegsPoLP und ExplosionsradiusStruktur der AWS IAM-RichtlinienPrinzipientreue PolitikenRessourcenbasierte PolitikenDie Zone des VertrauensBewertung der PolitikenErweiterte Konzepte in AWS IAM-RichtlinienIAM-Politik BedingungenAWS-Tags und Attribut-basierte Zugriffskontrolle"Not"-Richtlinienelemente: NotPrincipal und NotResourceZusammenfassung der IAM-RichtlinienRollenbasierte ZugriffskontrolleRBAC-ModellierungRollen sichernRollen übernehmenÜbernehmen von Rollen mit der AWS-Befehlszeilenschnittstelle (CLI)Rollenwechsel mit der AWS Management ConsoleDienstgebundene RolleAuthentifizierung und IdentitätsmanagementGrundlagen der AuthentifizierungIdentity Federation auf AWSIdentitätsverbund mit SAML 2.0 und OpenID ConnectRBAC und MicroservicesRollen bei der AusführungRBAC mit AWS LambdaRBAC mit EC2 und dem Instance Metadata ServiceRBAC mit Amazon EKS unter Verwendung von IAM-Rollen für ServicekontenZusammenfassung
3. Grundlagen der Verschlüsselung
Kurzer Überblick über die VerschlüsselungWarum ist Verschlüsselung bei AWS wichtig?Warum ist Verschlüsselung für Microservice-Architekturen wichtig?Verschlüsselung bei AWSSicherheitsprobleme bei schlüsselbasierter VerschlüsselungBusiness ProblemAWS Key Management ServiceGrundlegende Verschlüsselung mit CMKUmschlag-VerschlüsselungEnvelope Encryption in AktionSicherheit und AWS KMSKMS-Kontexte und zusätzliche authentifizierte DatenWichtige PolitikenZuschüsse und ViaServiceCMK und seine Komponenten und unterstützten AktionenRegionen und KMSKosten, Komplexität und regulatorische ErwägungenAsymmetrische Verschlüsselung und KMSVerschlüsselung und EntschlüsselungDigitales Signieren (Signieren und Prüfen)Domänenorientiertes Design und AWS KMSKontextuelle Grenzen und VerschlüsselungKonten und gemeinsame Nutzung von CMKÜberlegungen zu KMS und NetzwerkKMS-Zuschüsse im RückblickKMS-Konten und Topologien: Alles miteinander verknüpfenOption 1: Einbeziehung der CMK in begrenzte KontexteOption 2: Verwendung eines eigens eingerichteten Kontos für das CMKAWS Secrets ManagerSo funktioniert der Secrets ManagerGeheimnisschutz in AWS Secrets ManagerZusammenfassung
4. Sicherheit in Ruhe
Grundlagen der DatenklassifizierungRekapitulation der Umschlagverschlüsselung mit KMSAWS Simple Storage ServiceVerschlüsselung auf AWS S3Zugriffskontrolle auf Amazon S3 durch S3 Bucket PoliciesAmazon GuardDutyUnleugbarkeit mit Glacier Vault LockSicherheit im Ruhezustand für RechendiensteStatische Codeanalyse mit AWS CodeGuruAWS Elastic Container RegistryAWS LambdaAWS Elastic Block StoreAlles zusammenbindenMicroservice-Datenbank-SystemeAWS DynamoDBAmazon Aurora Relationaler DatenserviceMediensanitisierung und DatenlöschungZusammenfassung
5. Sicherheit in der Vernetzung
Vernetzung bei AWSKontrolliertDas Monolith- und Microservice-Modell verstehenSegmentierung und MicroservicesSoftware-definierte NetzwerkpartitionenSubnettingRouting in einem SubnetzGateways und SubnetzeÖffentliches TeilnetzPrivates TeilnetzSubnetze und Availability ZonesInternetzugang für SubnetzeVirtuelle Private CloudRouting in einer VPCMikrosegmentierung auf der NetzwerkebeneVPC-übergreifende KommunikationVPC PeeringAWS Transit GatewayVPC EndpunkteNachbereitung der Cross-VPC-KommunikationFirewall-Äquivalente in der CloudSicherheitsgruppenSicherheitsgruppenreferenzierung (Verkettung) und DesignsEigenschaften von SicherheitsgruppenNetzwerk-Zugriffskontroll-ListenSicherheitsgruppen vs. NACLsContainer und NetzwerksicherheitBlock Instance Metadata ServiceVersuche, Pods in einem privaten Subnetz zu betreibenSperrung des Internetzugangs für Pods, sofern nicht notwendigVerschlüsselte Netzwerkverbindungen zwischen Pods verwendenLambdas und NetzwerksicherheitZusammenfassung
6. Öffentlich zugängliche Dienste
API-First Design und API GatewayAWS API GatewayArten von AWS API Gateway EndpunktenSichern des API-GatewaysAPI Gateway IntegrationZugriffskontrolle am API GatewaySicherheit der Infrastruktur am API GatewayKostenüberlegungen bei der Nutzung von AWS API GatewayBastion WirtLösungStatische Verteilung von Inhalten (Content Distribution Network)AWS CloudFrontSignierte URLs oder CookiesAWS Lambda@EdgeSchutz vor gängigen Angriffen auf Edge-NetzwerkeAWS Web Application FirewallAWS-Schutzschild und AWS-Schutzschild AdvancedMicroservices und AWS Shield AdvancedKostenüberlegungen für KantenschutzZusammenfassung
7. Sicherheit im Transit
Grundlagen der Transport Layer SecurityDigitales SignierenZertifikate, Zertifizierungsstelle und IdentitätsüberprüfungVerschlüsselung mit TLSTLS-Kündigung und Kompromisse mit MicroservicesTLS Offloading und BeendigungKosten- und Komplexitätsaspekte bei Verschlüsselung im TransitAnwendung von TLS in MicroservicesSicherheit im Transit bei der Verwendung von Message Queues (AWS SQS)gRPC und Application Load BalancerGegenseitiges TLSEine (sehr kurze) Einführung in Service Meshes: Eine SicherheitsperspektiveProxys und BeiwagenApp Mesh Komponenten und TerminologieTLS und App MeshmTLS RevisitedAWS App Mesh: Wrap-UpServerlose Microservices und Verschlüsselung im TransitAWS API Gateway und AWS LambdaCaching, API Gateway und Verschlüsselung bei der ÜbermittlungVerschlüsselung auf FeldebeneZusammenfassung
8. Sicherheitsdesign für organisatorische Komplexität
Organisatorische Struktur und MicroservicesConway's GesetzEine teamorientierte ServicearchitekturRollenbasierte ZugriffskontrollePrivilegienerweiterungGrenzen der ErlaubnisGrenzen der Erlaubnis zum Delegieren von VerantwortlichkeitenAWS-Kontenstruktur für große OrganisationenAWS Konten und TeamsAWS-OrganisationenOrganisationseinheiten und DienstkontrollrichtlinienZweckgebundene KontenAWS-Tools für OrganisationenBewährte Methoden für AWS-OrganisationenAWS Resource Access ManagerGeteilte Dienste mit AWS RAMAWS Single Sign-OnErzwingen der Multifaktor-Authentifizierung in KontenVereinfachung einer komplexen bereichsbezogenen Organisation mit RBAC, SSO und AWS-OrganisationenZusammenfassung
9. Überwachung und Reaktion auf Vorfälle
NIST Incident Response FrameworkSchritt 1: Entwurf und VorbereitungSchritt 2: Erkennung und AnalyseSchritt 3: Eindämmung und IsolierungSchritt 4: Forensische AnalyseSchritt 5: AusrottungSchritt 6: Aktivitäten nach dem VorfallSicherung der SicherheitsinfrastrukturSichern eines CloudTrailsZweckgebundene KontenZusammenfassung

A. Terraform Cloud in fünf Minuten
EinrichtungDeinen Arbeitsbereich gestaltenHinzufügen von AWS-Zugang und geheimem SchlüsselTerraform ProzessAnbieterStaatPläneBewirb dichDeine Terraform-Infrastruktur als Code schreibenWurzelmodul und OrdnerstrukturEingabevariablenRessourcenAusführen und Anwenden deines Plans
B. Beispiel für einen SAML-Identitätsanbieter für AWS
Ein praktisches Beispiel für eine föderierte IdentitätseinrichtungSchritt 1: Konfiguriere deinen IdPSchritt 2: Exportiere Metadaten, die in das AWS-Konto importiert werden sollenSchritt 3: Füge deinen SAML IdP als vertrauenswürdigen IdP hinzuSchritt 4: Erstelle eine Rolle, die deine föderierten Benutzer annehmen können, um mit deinem AWS-Konto zu interagierenSchritt 5: Kontrolle des Zugriffs auf mehrere Rollen durch benutzerdefinierte Attribute innerhalb des IdPZusammenfassung
C. Hands-On Verschlüsselung mit AWS KMS
Grundlegende Verschlüsselung mit dem CMKGrundlegende Entschlüsselung mit dem CMKUmschlagverschlüsselung mit dem CMKEntschlüsseln einer mit einem Umschlag verschlüsselten Nachricht
D. Ein praktisches Beispiel für die Anwendung des Grundsatzes des geringsten Rechtsanspruchs
Schritt 1: Erstelle eine AWS IAM-Richtlinie für deine AufgabeSchritt 2: Definiere die Dienst-, Aktions- und Wirkungsparameter einer IAM-RichtlinieSchritt 3: Definiere die RessourceSchritt 4: Bedingungen anfordernSchritt 5: Bestätige die resultierende RichtlinieSchritt 6: Speichern der RichtlinieSchritt 7: Verbinde die Police mit einem PrincipalZusammenfassung
Index

Content preview from Sicherheit und Microservice-Architektur auf AWS

Anhang D. Ein praktisches Beispiel für die Anwendung des Grundsatzes des geringsten Rechtsanspruchs

In diesem Anhang zeige ich dir ein praktisches Beispiel dafür, wie Sicherheitsexperten das Prinzip der geringsten Privilegien (PoLP) anwenden können, um Identitäts- und Zugriffsmanagement-Richtlinien (IAM) in AWS zu erstellen. In Kapitel 2 wurde ausführlich über PoLP gesprochen, aber zur Erinnerung: Der Zweck von PoLP ist es, sicherzustellen, dass jeder Principal (ein AWS-Benutzer oder eine AWS-Rolle) innerhalb einer Organisation nur das absolute Minimum an Zugriffsrechten erhält, das er benötigt, um seine Aufgabe zu erfüllen, und nicht mehr. Der Zugriff auf AWS wird mithilfe von IAM-Richtlinien kontrolliert. Jede IAM-Richtlinie in einem Konto sollte einem bestimmten Zweck dienen und unabhängig von dem Prinzipal existieren, dem sie zugeordnet ist.

Betrachten wir eine typische Organisation mit vielen Abteilungen. In diesem Beispiel möchte ich den Mitarbeitern der Finanzabteilung den Zugriff auf Objekte in einem bestimmten Amazon Simple Storage Service (Amazon S3)-Bucket innerhalb des Unternehmenskontos ermöglichen. Als verantwortlicher Sicherheitsadministrator möchte ich sicherstellen, dass ich bei der Festlegung der Zugriffsrichtlinien für die Prinzipale (Benutzer oder Rollen) innerhalb meiner Organisation das PoLP anwende.

Um den Zugang zu sichern, werde ich daher die folgenden Bedingungen durchsetzen:

Der Direktor, dem diese Richtlinie zugeordnet ist, sollte das AWS-Tag Abteilung ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098195410

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Sicherheit und Microservice-Architektur auf AWS

by Gaurav Raje

Anhang D. Ein praktisches Beispiel für die Anwendung des Grundsatzes des geringsten Rechtsanspruchs

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.