Firewall Designs für die AWS Cloud

Sep 8, 2021 | Cloud

Segmentierung, bzw. Zonierung im Rechenzentrum gehört zum Standard Design. Ebenso die Verwendung von Firewalls und Proxies, um diese Zonen sicher zu verbinden. Bei AWS bildet ein Account eine logische, isolierte Umgebung. Eine Trennung, bzw. Segmentierung von unterschiedlichen Umgebungen erfolgt somit mittels unterschiedlichen Accounts, was zu einer Multi-Account-Architektur führt.

Mittels AWS Control Tower und/oder AWS Organizations werden für unterschiedliche Applikationen/Workloads und Environments (z.B. DEV, INT, PROD) dedizierte Accounts erstellt. Diese Struktur vereinfacht die Durchsetzung des Least-Privilege-Prinzip und reduziert den Blast Radius, falls ein Workload kompromittiert werden sollte. Pro Account und Region wird eine VPC (Virtual Private Cloud) konfiguriert, welche mittels Transit Gateway miteinander verbunden werden. Ein Transit Gateway kann als verteilter Cloud Router bezeichnet werden, mit welchem unterschiedliche Topologien abgebildet werden können.

Ein typisches Design ist eine Hub&Spoke-Topologie, wobei die einzelnen VPCs für die Workloads als Spoke definiert sind. VPCs für Shared Services, z.B. DNS- oder SD-WAN-Anbindung, werden als Hub definiert. Diese Topologie verhindert eine direkte Kommunikation zwischen einzelnen VPCs/Workloads, erlaubt hingegen den Zugriff auf zentrale Ressourcen wie DNS oder OnPrem Services.

Die Kommunikation zwischen einzelnen VPCs

Was ist, wenn einzelne VPCs untereinander kommunizieren sollen? Dieser Fall tritt ein, wenn eine Applikation auf Daten einer anderen Applikation zugreifen (konsumieren) möchte. Eine Möglichkeit besteht mit der Anpassung der Transit Gateway-Topologie, so dass direkte Kommunikation möglich wird. Dabei muss sich jeder Workload mittels Security Groups (Micro-Segmentierung) von ungewünschten Verbindungen schützen.

Eine zweite Möglichkeit besteht in der Nutzung der AWS Network Firewall. Dies ist eine gemanagte state-of-the-art Firewall, welche als Service konsumiert wird. Dieses Design erlaubt ein zentrales Zugriffsmanagement durch die Firewall, ebenso kann eine Segregation of Duty (unterschiedliche Administratoren für Frontend und Backend Firewall) umgesetzt werden.

Die Implementierung in diesem Beispiel erfolgt als zusätzlicher Hub, welche als Backend Firewall bezeichnet wird. Dies hat mehrere Vorteile: So lässt sich dies einfach implementieren (Building Block) und die Lösung ist kosteneffizient, da ausschliesslich Ost-West-Traffic über die Firewall geroutet wird. Hier fallen Kosten für das Datenvolumen an, welche die Firewall bearbeiten muss, sogenannte Traffic Processing Costs. Verbindungen zwischen VPCs können zentral und granular mittels Firewall Rules freigeschaltet werden. Ebenso ist ein zentrales Logging aller Verbindungen gegeben.

Zugriff via Internet auf Applikationen

Applikationen können mit cloud-native Mitteln sehr sicher vom Internet zugänglich gemacht werden. Dieser Ingress Traffic kann mittels Application Loadbalancer und WAF sowie Security Groups geschützt werden. Eine AWS Network Firewall kann zusätzlichen Schutz bieten, speziell bei nicht-Web-Protokollen oder wenn ein IPS (Intrusion Prevention System) gewünscht wird.

Benötigt die Applikation Daten von OnPrem oder anderen VPCs, kann dies über die Backend Firewall angebunden werden. Diese Lösung reduziert Risiken von Fehlkonfigurationen, erlaubt eine Segregation of Duty und hat einen hohen Wiedererkennungswert einer klassischen DMZ-Struktur mit Untrusted und Trusted Zones. Das High-Level Design für diese Struktur ist hier abgebildet.

Haben Sie Fragen, suchen Sie Unterstützung im Aufbau einer AWS-Umgebung oder würden auch Sie gerne Ihre bestehende Sicherheits-Architektur überprüfen und diskutieren? Unsere AWS Engineers stehen gerne für Ihre Anfrage zur Verfügung >