book

Sicherheit und Microservice-Architektur auf AWS

Name: Sicherheit und Microservice-Architektur auf AWS
Author: Gaurav Raje
ISBN: 9781098195410

by Gaurav Raje

September 2024

Intermediate to advanced

396 pages

11h 57m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Ziele dieses BuchesWer sollte dieses Buch benutzen?In diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Einführung in Cloud Microservices
Grundlagen der Cloud InformationssicherheitRisiko- und SicherheitskontrollenOrganisatorische SicherheitspolitikSicherheitsvorfälle und die CIA-TriadeAWS-Modell der geteilten VerantwortungCloud Architektur und SicherheitSicherheit durch ModularitätSicherheit durch EinfachheitSicherheit durch vollständig gemanagte AWS-ServicesExplosionsradius, Isolation und die Analogie der verschlossenen RäumeDefense-in-Depth und SicherheitSicherheit durch PerimeterschutzSicherheit durch Zero Trust ArchitekturEine kurze Einführung in die Software-ArchitekturTier-basierte ArchitekturDomänenorientiertes DesignMicroservicesImplementierung von Microservices auf AWSContainer-basierte Microservice-ArchitekturEine sehr kurze Einführung in KubernetesFunction as a Service: FaaS mit AWS LambdaÜberblick über die Cloud Microservice ImplementierungAmazon EKSAmazon EKS Fargate ModusFunction as a Service mit AWS LambdaZusammenfassung der Microservice-ImplementierungBeispiele von Microservice-KommunikationsmusternBeispiel 1: Einfache Nachrichtenübermittlung zwischen KontextenBeispiel 2: NachrichtenwarteschlangenBeispiel 3: Ereignisgesteuerte MicroservicesZusammenfassung
2. Grundlagen der Autorisierung und Authentifizierung
Grundlagen des AWS Identitäts- und ZugriffsmanagementsSchulleiter auf AWSIAM-RichtlinienDas Prinzip des geringsten PrivilegsPoLP und ExplosionsradiusStruktur der AWS IAM-RichtlinienPrinzipientreue PolitikenRessourcenbasierte PolitikenDie Zone des VertrauensBewertung der PolitikenErweiterte Konzepte in AWS IAM-RichtlinienIAM-Politik BedingungenAWS-Tags und Attribut-basierte Zugriffskontrolle"Not"-Richtlinienelemente: NotPrincipal und NotResourceZusammenfassung der IAM-RichtlinienRollenbasierte ZugriffskontrolleRBAC-ModellierungRollen sichernRollen übernehmenÜbernehmen von Rollen mit der AWS-Befehlszeilenschnittstelle (CLI)Rollenwechsel mit der AWS Management ConsoleDienstgebundene RolleAuthentifizierung und IdentitätsmanagementGrundlagen der AuthentifizierungIdentity Federation auf AWSIdentitätsverbund mit SAML 2.0 und OpenID ConnectRBAC und MicroservicesRollen bei der AusführungRBAC mit AWS LambdaRBAC mit EC2 und dem Instance Metadata ServiceRBAC mit Amazon EKS unter Verwendung von IAM-Rollen für ServicekontenZusammenfassung
3. Grundlagen der Verschlüsselung
Kurzer Überblick über die VerschlüsselungWarum ist Verschlüsselung bei AWS wichtig?Warum ist Verschlüsselung für Microservice-Architekturen wichtig?Verschlüsselung bei AWSSicherheitsprobleme bei schlüsselbasierter VerschlüsselungBusiness ProblemAWS Key Management ServiceGrundlegende Verschlüsselung mit CMKUmschlag-VerschlüsselungEnvelope Encryption in AktionSicherheit und AWS KMSKMS-Kontexte und zusätzliche authentifizierte DatenWichtige PolitikenZuschüsse und ViaServiceCMK und seine Komponenten und unterstützten AktionenRegionen und KMSKosten, Komplexität und regulatorische ErwägungenAsymmetrische Verschlüsselung und KMSVerschlüsselung und EntschlüsselungDigitales Signieren (Signieren und Prüfen)Domänenorientiertes Design und AWS KMSKontextuelle Grenzen und VerschlüsselungKonten und gemeinsame Nutzung von CMKÜberlegungen zu KMS und NetzwerkKMS-Zuschüsse im RückblickKMS-Konten und Topologien: Alles miteinander verknüpfenOption 1: Einbeziehung der CMK in begrenzte KontexteOption 2: Verwendung eines eigens eingerichteten Kontos für das CMKAWS Secrets ManagerSo funktioniert der Secrets ManagerGeheimnisschutz in AWS Secrets ManagerZusammenfassung
4. Sicherheit in Ruhe
Grundlagen der DatenklassifizierungRekapitulation der Umschlagverschlüsselung mit KMSAWS Simple Storage ServiceVerschlüsselung auf AWS S3Zugriffskontrolle auf Amazon S3 durch S3 Bucket PoliciesAmazon GuardDutyUnleugbarkeit mit Glacier Vault LockSicherheit im Ruhezustand für RechendiensteStatische Codeanalyse mit AWS CodeGuruAWS Elastic Container RegistryAWS LambdaAWS Elastic Block StoreAlles zusammenbindenMicroservice-Datenbank-SystemeAWS DynamoDBAmazon Aurora Relationaler DatenserviceMediensanitisierung und DatenlöschungZusammenfassung
5. Sicherheit in der Vernetzung
Vernetzung bei AWSKontrolliertDas Monolith- und Microservice-Modell verstehenSegmentierung und MicroservicesSoftware-definierte NetzwerkpartitionenSubnettingRouting in einem SubnetzGateways und SubnetzeÖffentliches TeilnetzPrivates TeilnetzSubnetze und Availability ZonesInternetzugang für SubnetzeVirtuelle Private CloudRouting in einer VPCMikrosegmentierung auf der NetzwerkebeneVPC-übergreifende KommunikationVPC PeeringAWS Transit GatewayVPC EndpunkteNachbereitung der Cross-VPC-KommunikationFirewall-Äquivalente in der CloudSicherheitsgruppenSicherheitsgruppenreferenzierung (Verkettung) und DesignsEigenschaften von SicherheitsgruppenNetzwerk-Zugriffskontroll-ListenSicherheitsgruppen vs. NACLsContainer und NetzwerksicherheitBlock Instance Metadata ServiceVersuche, Pods in einem privaten Subnetz zu betreibenSperrung des Internetzugangs für Pods, sofern nicht notwendigVerschlüsselte Netzwerkverbindungen zwischen Pods verwendenLambdas und NetzwerksicherheitZusammenfassung
6. Öffentlich zugängliche Dienste
API-First Design und API GatewayAWS API GatewayArten von AWS API Gateway EndpunktenSichern des API-GatewaysAPI Gateway IntegrationZugriffskontrolle am API GatewaySicherheit der Infrastruktur am API GatewayKostenüberlegungen bei der Nutzung von AWS API GatewayBastion WirtLösungStatische Verteilung von Inhalten (Content Distribution Network)AWS CloudFrontSignierte URLs oder CookiesAWS Lambda@EdgeSchutz vor gängigen Angriffen auf Edge-NetzwerkeAWS Web Application FirewallAWS-Schutzschild und AWS-Schutzschild AdvancedMicroservices und AWS Shield AdvancedKostenüberlegungen für KantenschutzZusammenfassung
7. Sicherheit im Transit
Grundlagen der Transport Layer SecurityDigitales SignierenZertifikate, Zertifizierungsstelle und IdentitätsüberprüfungVerschlüsselung mit TLSTLS-Kündigung und Kompromisse mit MicroservicesTLS Offloading und BeendigungKosten- und Komplexitätsaspekte bei Verschlüsselung im TransitAnwendung von TLS in MicroservicesSicherheit im Transit bei der Verwendung von Message Queues (AWS SQS)gRPC und Application Load BalancerGegenseitiges TLSEine (sehr kurze) Einführung in Service Meshes: Eine SicherheitsperspektiveProxys und BeiwagenApp Mesh Komponenten und TerminologieTLS und App MeshmTLS RevisitedAWS App Mesh: Wrap-UpServerlose Microservices und Verschlüsselung im TransitAWS API Gateway und AWS LambdaCaching, API Gateway und Verschlüsselung bei der ÜbermittlungVerschlüsselung auf FeldebeneZusammenfassung
8. Sicherheitsdesign für organisatorische Komplexität
Organisatorische Struktur und MicroservicesConway's GesetzEine teamorientierte ServicearchitekturRollenbasierte ZugriffskontrollePrivilegienerweiterungGrenzen der ErlaubnisGrenzen der Erlaubnis zum Delegieren von VerantwortlichkeitenAWS-Kontenstruktur für große OrganisationenAWS Konten und TeamsAWS-OrganisationenOrganisationseinheiten und DienstkontrollrichtlinienZweckgebundene KontenAWS-Tools für OrganisationenBewährte Methoden für AWS-OrganisationenAWS Resource Access ManagerGeteilte Dienste mit AWS RAMAWS Single Sign-OnErzwingen der Multifaktor-Authentifizierung in KontenVereinfachung einer komplexen bereichsbezogenen Organisation mit RBAC, SSO und AWS-OrganisationenZusammenfassung
9. Überwachung und Reaktion auf Vorfälle
NIST Incident Response FrameworkSchritt 1: Entwurf und VorbereitungSchritt 2: Erkennung und AnalyseSchritt 3: Eindämmung und IsolierungSchritt 4: Forensische AnalyseSchritt 5: AusrottungSchritt 6: Aktivitäten nach dem VorfallSicherung der SicherheitsinfrastrukturSichern eines CloudTrailsZweckgebundene KontenZusammenfassung

A. Terraform Cloud in fünf Minuten
EinrichtungDeinen Arbeitsbereich gestaltenHinzufügen von AWS-Zugang und geheimem SchlüsselTerraform ProzessAnbieterStaatPläneBewirb dichDeine Terraform-Infrastruktur als Code schreibenWurzelmodul und OrdnerstrukturEingabevariablenRessourcenAusführen und Anwenden deines Plans
B. Beispiel für einen SAML-Identitätsanbieter für AWS
Ein praktisches Beispiel für eine föderierte IdentitätseinrichtungSchritt 1: Konfiguriere deinen IdPSchritt 2: Exportiere Metadaten, die in das AWS-Konto importiert werden sollenSchritt 3: Füge deinen SAML IdP als vertrauenswürdigen IdP hinzuSchritt 4: Erstelle eine Rolle, die deine föderierten Benutzer annehmen können, um mit deinem AWS-Konto zu interagierenSchritt 5: Kontrolle des Zugriffs auf mehrere Rollen durch benutzerdefinierte Attribute innerhalb des IdPZusammenfassung
C. Hands-On Verschlüsselung mit AWS KMS
Grundlegende Verschlüsselung mit dem CMKGrundlegende Entschlüsselung mit dem CMKUmschlagverschlüsselung mit dem CMKEntschlüsseln einer mit einem Umschlag verschlüsselten Nachricht
D. Ein praktisches Beispiel für die Anwendung des Grundsatzes des geringsten Rechtsanspruchs
Schritt 1: Erstelle eine AWS IAM-Richtlinie für deine AufgabeSchritt 2: Definiere die Dienst-, Aktions- und Wirkungsparameter einer IAM-RichtlinieSchritt 3: Definiere die RessourceSchritt 4: Bedingungen anfordernSchritt 5: Bestätige die resultierende RichtlinieSchritt 6: Speichern der RichtlinieSchritt 7: Verbinde die Police mit einem PrincipalZusammenfassung
Index

Content preview from Sicherheit und Microservice-Architektur auf AWS

Kapitel 8. Sicherheitsdesign für organisatorische Komplexität

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Bislang lag der Schwerpunkt dieses Buches auf der Architektur der Organisation, ohne zu berücksichtigen, wie die Teams strukturiert sind. In diesem Kapitel geht es darum, wie Sicherheitsarchitekten Sicherheitsmaßnahmen konstruieren können, die mit der Organisationsstruktur einer Microservice-basierten Organisation vereinbar sind, und wie sie sich auf den menschlichen Aspekt der Sicherheitsgestaltung konzentrieren können.

Unsere Aufgabe als Sicherheitsexperten ist es, dafür zu sorgen, dass jeder Mitarbeiter in unserem Unternehmen reibungslos mit den vorhandenen Sicherheitsmechanismen arbeiten kann. Das Sicherheitsteam eines Unternehmens sollte die Mitarbeiter/innen mit dem richtigen Schutz ausstatten, der sie vor externen und internen Bedrohungen schützt, und gleichzeitig sicherstellen, dass die Mitarbeiter/innen nicht mit Systemen umgehen müssen, für die sie nicht ausgebildet sind. Gleichzeitig sollten die Beschäftigten in der Lage sein, ihre Arbeit fortzusetzen, ohne befürchten zu müssen, in einen Zustand zu geraten, in dem die Beschäftigten bei der Ausübung ihrer täglichen Arbeit Reibungsverluste erfahren, auch bekannt als "Sicherheitshölle".

Es wird oft gesagt, dass der Weg zur "Sicherheitshölle" mit guten Absichten gepflastert ist. Viele Menschen mit guten Absichten glauben, dass ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098195410

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Sicherheit und Microservice-Architektur auf AWS

by Gaurav Raje

Kapitel 8. Sicherheitsdesign für organisatorische Komplexität

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.