Funktionen von AWS Network Firewall

Stellen Sie die zustandsbehaftete Untersuchung mit Deep Packet Inspection (DPI) bereit, um Datenverkehrsflüsse anhand der Quelladresse, des Protokolltyps und der Verkehrsrichtung zu bewerten. Die flexible Regel-Engine unterstützt die Konfiguration von Regeln auf Grundlage von Quell-/Ziel-IP-Adressen, Ports und Protokollen. Außerdem unterstützt sie die Filterung gängiger Protokolle ohne Anforderungen an die Portspezifikation.

Filtern Sie den ein- und ausgehenden Webverkehr mithilfe der HTTP-Header-Untersuchung für unverschlüsselte Datenflüsse und mit der SNI-Filterung (Server Name Indication) für verschlüsselten Datenverkehr. Wenden Sie domainbasierte Kontrollen mit Filtern für den vollqualifizierten Domainnamen an, um den Zugriff auf bestimmte Websites und Services zu verwalten.

Stellen Sie explizite Forward-Proxy-Funktionen bereit, um Clients zu authentifizieren und den ausgehenden Internetverkehr durch eine umfassende Untersuchung und Filterung zu kontrollieren. Der Proxy von AWS Network Firewall befindet sich zwischen den Workloads und dem Internet, um die Datenexfiltration zu verhindern, Domains zu filtern und HTTP-Header zu untersuchen.

Implementieren Sie die TLS-Untersuchung (Transport Layer Security), um verschlüsselte Verkehrsflüsse in der VPC zu analysieren. Die native TLS-Untersuchung erfolgt innerhalb der Firewall-Instance. Dadurch bleibt der Datenschutz gewahrt, während zugleich die Analyse des ein- und ausgehenden Datenverkehrs ermöglicht wird.

Wenden Sie mithilfe der Zuordnung von IP-Adressen zu Ländern ortsbezogene Datenverkehrskontrollen an. Erstellen Sie entsprechende Regeln, um den Datenverkehr auf Grundlage geografischer Regionen zuzulassen oder abzulehnen und somit die Anforderungen an die Datensouveränität zu erfüllen und regionale Zugangsrichtlinien umzusetzen.

Konfigurieren Sie an den VPC-Grenzen Kontrollen für den bidirektionalen Datenverkehr. Wenden Sie detaillierte Regeln für den eingehenden Datenverkehr an und überwachen Sie die ausgehende Kommunikation, um Compliance-Anforderungen zu erfüllen und die Daten-Governance aufrechtzuerhalten.

Wenden Sie mithilfe der signaturbasierten Erkennung Kontrollen in der Netzwerk- und Anwendungsschicht an. Das IPS bewertet Datenverkehrsmuster anhand bekannter Signaturen und analysiert Byte-Sequenzen und Paketmerkmale, um mögliche Sicherheitsereignisse zu ermitteln. AWS Network Firewall umfasst AWS-verwaltete Bedrohungssignaturen und Regelgruppen für bösartige Domains – ohne zusätzliche Kosten.

Implementieren Sie automatisierte Kontrollen mithilfe globaler Bedrohungsinformationen von Amazon. Von AWS verwaltete Regeln ermitteln aktive Bedrohungen und reagieren darauf, wobei die gleichen Bedrohungsinformationen wie in Amazon GuardDuty genutzt werden. So tragen sie zur Gewährleistung einheitlicher Sicherheitskontrollen in der gesamten Infrastruktur bei.

Konfigurieren Sie eigene Regeln, um Ihre jeweiligen Sicherheitsanforderungen umzusetzen, oder nutzen Sie vorgefertigte Regeln von AWS. Dank der Kompatibilität mit Suricata können Sie IDS/IPS-Signaturen aus der aktiven Open-Source-Sicherheits-Community importieren. Dabei behalten Sie die Flexibilität, Kontrollen nach Bedarf zu aktualisieren und individuell anzupassen.

Verschiedene AWS-Partner bieten verwaltete Regeln über den AWS Marketplace an. Sie stellen automatisch aktualisierte Sicherheitsregeln bereit, die direkt in den Richtlinien von AWS Network Firewall implementiert werden können.

Untersuchen Sie den Ost-West-Datenverkehr zwischen VPCs mithilfe der einfachen Transit-Gateway-Integration, ohne separate Untersuchungs-VPCs verwalten zu müssen. Implementieren Sie zentrale Sicherheitsrichtlinien zur Überwachung und Steuerung der internen Netzwerkkommunikation – und das bei einer weniger komplexen Architektur.

Wenden Sie mithilfe einer einzigen Firewall-Instance einheitliche Sicherheitskontrollen für alle VPC-Endpunkte an. Sorgen Sie für eine einheitliche Durchsetzung von Richtlinien für Datenverkehrsflüsse zwischen VPCs und zentralisieren Sie zugleich das Sicherheitsmanagement.

Sorgen Sie mit integrierter Redundanz und dem Service Level Agreement von AWS Network Firewall für gleichbleibend hohen Schutz. Profitieren Sie davon, dass bei sich verändernden Datenverkehrsmustern eine nahtlose Skalierung in der jeweiligen Availability Zone erfolgt. Die Kapazität wird automatisch angepasst, um die Leistung aufrechtzuerhalten und dabei die Kosten zu optimieren. So erübrigen sich manuelle Skalierungsvorgänge.

Maximieren Sie die Effizienz, indem Sie mehrere VPC-Endpunkte mit einer einzigen Firewall-Instance verbinden. Verringern Sie den Betriebsaufwand und die Kosten durch ein konsolidiertes Sicherheitsmanagement für mehrere VPCs. Diese flexible Architektur unterstützt verschiedene Bereitstellungsmuster. Zugleich gewährleistet sie eine einheitliche Durchsetzung von Richtlinien in Ihrer gesamten AWS-Umgebung.

Überwachen Sie mit CloudWatch die Netzwerkaktivitäten mithilfe detaillierter Warnungs- und Flussprotokolle. Verfolgen Sie Regelübereinstimmungen und Sitzungsdaten mithilfe von Warnungsprotokollen, während Flussprotokolle Informationen zum Status des bidirektionalen Datenverkehrs liefern. Speichern Sie Protokolle zur Integration in vorhandene Analyse-Workflows in Amazon S3, Kinesis oder CloudWatch.

Optimieren Sie die Sicherheitsabläufe durch die zentrale Verwaltung von Richtlinien in Ihrer gesamten AWS-Organisation. Stellen Sie mithilfe einer hierarchischen Richtlinienverwaltung einheitliche Regeln und Kontrollen für mehrere Konten, Anwendungen und VPCs bereit. Die Funktionen zur automatischen Compliance-Überwachung und Problembehebung tragen dazu bei, die Sicherheitsstandards bei wachsender Infrastruktur aufrechtzuerhalten. Zugleich bieten sie aufschlussreiche Einblicke in die Einhaltung von Richtlinien im gesamten Unternehmen.

Implementieren Sie mithilfe der nativen Integration in AWS-Services Kontrollen für die Netzwerksicherheit. Nutzen Sie Transit Gateway für eine zentralisierte Architektur, VPC für das Routing des Datenverkehrs, IAM für die Zugriffsverwaltung und CloudWatch für die Betriebsüberwachung.

Erhöhen Sie die Sicherheit durch ein umfangreiches Netzwerk von Partnerlösungen und Integrationsmöglichkeiten. Kooperieren Sie mit führenden Sicherheitspartnern, um Richtlinien zu orchestrieren und Feeds mit Bedrohungsinformationen zu erhalten – unter Wahrung der Investitionen in vorhandene Sicherheitslösungen. Exportieren Sie Sicherheitsereignisse und Protokolldaten in Ihre bevorzugte SIEM-Lösung und ermöglichen Sie so umfassende Sicherheitsanalysen der gesamten Infrastruktur. Vollständige Liste der Partner für AWS Network Firewall anzeigen