Unternehmen sind täglich mit zahlreichen Bedrohungen der Cybersicherheit konfrontiert, und da Angreifer immer komplexere Techniken einsetzen, ist die Abwehr von Angriffen zu einer großen Herausforderung geworden. Diese Sicherheitsvorfälle müssen schnell erkannt und analysiert werden, damit Abhilfemaßnahmen ergriffen werden können. Zu diesem Zweck müssen die Netzwerkaktivitäten protokolliert und ständig auf verdächtige Ereignisse untersucht werden.
Um diese Vorfälle zu erkennen und einzudämmen, müssen die verschiedenen Komponenten der Virtual Private Cloud (VPC) mit den von Amazon Web Services angebotenen nativen Überwachungstools wie NAT Gateway Monitoring und VPC Flow Logs überwacht und analysiert werden.
Ein NAT-Gateway (Network Address Translation) ist ein Gerät, das es den Instanzen in einem privaten Subnetz ermöglicht, eine Verbindung mit dem Internet oder anderen AWS-Services herzustellen und Datenverkehr an diese zu senden. Es lässt jedoch nicht zu, dass der aus dem Internet kommende eingehende Verkehr die Instanz erreicht.
Wenn das NAT-Gateway die von der Instanz gesendeten Daten an das Internet weiterleitet, ersetzt es die IPv4-Adresse des privaten Subnetzes durch die Adresse des NAT-Geräts. Sobald eine Antwort empfangen wird, wird die NAT-Geräteadresse durch die IPv4-Adresse ersetzt, bevor die Antwort an die Instanz weitergeleitet wird. NAT-Gateways unterstützen keinen IPv6-Verkehr.
Der NAT-Gateway-Service wird vollständig von Amazon verwaltet und erfordert keinen Aufwand seitens der Administratoren.
Amazon CloudWatch – ein Service, der zur Überwachung und Sammlung von Daten aus Amazon Web Services (AWS)-Ressourcen sowie Anwendungen verwendet wird, um verwertbare Erkenntnisse in Echtzeit zu liefern – kann zur Überwachung von NAT-Gateways verwendet werden.
CloudWatch sammelt zunächst Daten in Form von Protokollen, Ereignissen und Metriken von AWS-Ressourcen, Anwendungen und Services, die in der AWS-Infrastruktur gehostet werden. Es überwacht auch die Ressourcen und liefert wichtige Informationen zu verschiedenen Metriken wie CPU-Auslastung, Latenz und Festplattenspeicher.
Es stellt Standardberichte zur Verfügung und zeigt Informationen auf Dashboards an, die zur Analyse verschiedener Trends, zur Korrelation von Daten und zur Überwachung der Leistung von Ressourcen verwendet werden können. Wenn Probleme entdeckt werden, kann die Fehlerbehebung sofort erfolgen. Benutzer können auch Alarme konfigurieren, um Aktionen auszulösen, indem sie Schwellenwerte für ausgewählte Metriken festlegen und Benachrichtigungen aktivieren, die an den Benutzer gesendet werden, wenn es Änderungen gibt.
Die Metrikdaten von NAT-Gateways werden in einminütigen Abständen an CloudWatch übermittelt. CloudWatch sammelt Daten wie aktive Verbindungen, übertragene Bytes und die Anzahl der Pakete und verwendet sie zur Überwachung der Gateways. Wenn Probleme auftreten, können Sie diese sofort beheben. CloudWatch-Metrikdaten werden aufgezeichnet und für einen Zeitraum von 15 Monaten ohne zusätzliche Kosten aufbewahrt. Danach verfallen die Datenpunkte und werden fortlaufend gelöscht, wenn neue Datenpunkte eingehen.
Ein Datenflussprotokoll sammelt Informationen über den Netzwerkverkehr, der die Netzwerkschnittstellen in einer VPC betritt oder verlässt. Es kann für ein VPC-Subnetz, eine VPC oder eine Netzwerkschnittstelle erstellt werden. Wenn ein Datenflussprotokoll für ein Subnetz oder eine VPC erstellt wird, werden alle Netzwerkschnittstellen in dem Subnetz oder der VPC überwacht.
Diese VPC-Datenflussprotokolle helfen Sicherheitsteams, den Verkehrsfluss im gesamten virtuellen Netzwerk zu überwachen, Anomalien zu erkennen, bei verdächtigen Aktivitäten einzugreifen und übermäßig restriktive Regeln in Sicherheitsgruppen zu identifizieren.
Zu den verschiedenen Informationstypen, die von den Datenflussprotokollen erfasst werden, gehören Quell- und Ziel-IP-Adressen, Portnummern und verwendete Protokolle, übertragene Pakete und Bytes, von Sicherheitsgruppen erlaubter und verweigerter Netzwerkverkehr, Netzwerk-Zugriffskontrolllisten und mehr. Sie werden als Datenflussprotokollsätze aufgezeichnet. Jeder Protokollsatz besteht aus den Werten der verschiedenen Komponenten des IP-Verkehrsflusses, die innerhalb eines Aggregationsintervalls (Erfassungsfenster) auftreten.
Das Standardformat für den Datenflussprotokollsatz besteht aus den folgenden Feldern in der gleichen Reihenfolge:
<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
Das Standardformat zeichnet nur Informationen für eine Teilmenge aller verfügbaren Felder eines Datenflussprotokolls auf. Wenn Sie Informationen für alle verfügbaren Felder oder für eine andere Teilmenge der Felder aufzeichnen möchten, können Sie ein benutzerdefiniertes Format wählen. Mit benutzerdefinierten Formaten können Sie Bewegungsprotokolle entsprechend Ihren Anforderungen erstellen.
Hier ist ein Beispiel für einen Datenflussprotokollsatz. In diesem Fall wurde SSH-Verkehr für die Netzwerkschnittstelle eni-1235b8ca134556889 im Konto 12456788010 zugelassen.
2 12456788010 eni-135b8ca1234556889 172.31.16.139 172.31.16.21 20641 22 6 20 4229 1417630010 1418530070 ACCEPT OK
Diese Datenflussprotokolle bieten den Benutzern verschiedene Einblicke und helfen ihnen nicht nur bei der Erkennung von abnormalen Aktivitäten, Sicherheits- und Konnektivitätsproblemen sowie Leistungsproblemen, sondern auch bei der Fehlerbehebung. Sie helfen auch dabei, sicherzustellen, dass die Netzwerkzugriffsregeln wie erwartet funktionieren.