9 Min. Lesezeit

Lernziele

Am Ende dieses Moduls werden Sie in der Lage sein:

  • zu erklären, was Network Security Groups sind und wie sie einen zentralisierten Firewall-Schutz über Ihre virtuellen Rechenzentren hinweg bieten
  • den Zweck von Certificate Manager und SSH Key Manager bei der Sicherung von Cloud-Ressourcen zu beschreiben
  • zu bestimmen, wann Sie DDoS Protect Basic im Vergleich zu Advanced für den Schutz Ihrer Anwendungen verwenden sollten

Einheit 2.6: Sicherheitsdienste

Einführung

Stellen Sie sich vor, eine moderne Stadt zu bauen. Sie benötigen Sicherheitssysteme - Ampeln, Überwachungskameras, Zugangstore - um alles sicher zu betreiben. Ihre Cloud-Umgebung erfordert ähnliche Schutzschichten über die grundlegende Rechenleistung und Speicherung hinaus. Sie benötigen Firewalls, um zu kontrollieren, wer auf Ihre Ressourcen zugreifen kann, Schutzschilde gegen groß angelegte Angriffe und Tools, um die Credentials und Zertifikate zu verwalten, die die Identität über Ihre Infrastruktur hinweg nachweisen.

In dieser Einheit werden Sie die Sicherheitsdienste von IONOS Cloud erkunden, die Ihr Netzwerk schützen und Credentials verwalten. Wir werden die Verwaltung von Firewall mit Network Security Groups, die Abwehr von DDoS-Angriffen und die zentrale Verwaltung von SSL/TLS-Zertifikaten und SSH-Schlüsseln behandeln.

1. Netzwerksicherheitsdienste

IONOS Cloud bietet Sicherheitstools, die Ihnen helfen, den Netzwerzzugriff zu kontrollieren und gegen Bedrohungen zu schützen. Denken Sie an diese als die Sicherheitstore und Wachsysteme für Ihre digitale Infrastruktur.

1.1 Network Security Groups (NSGs)

Network Security Groups sind IONOS Clouds virtuelle Firewall-Bausteine für ein virtuelles Rechenzentrum (VDC). Sie fungieren als zentrale Firewall-Richtlinien-Manager, die eingehenden (Ingress) und ausgehenden (Egress) Datenverkehr für die Ressourcen, die sie schützen, filtern und kontrollieren. Anstatt individuelle Firewall-Regeln für jede virtuelle Maschine einzeln zu verwalten, können NSGs verwendet werden, um Regeln auf eine Gruppe von VMs anzuwenden, wodurch die Effizienz bei der Bereitstellung vieler virtueller Maschinen, die ähnliche Firewall-Regelanforderungen haben, verbessert wird.

So funktionieren NSGs:

  • NSGs können an Netzwerkkarten (NICs) oder ganze virtuelle Maschinen (VMs) angehängt werden
  • Wenn ein VM Mitglied einer NSG ist, erben alle seine NICs automatisch die Regeln der Gruppe
  • Sie enthalten einen Satz von Sicherheitsregeln basierend auf Quell-/Ziel-IPs, Ports und Protokollen
  • Jeder Datenverkehr, der nicht explizit durch eine Regel zugelassen ist, wird automatisch abgelehnt (Default-Deny-Ansatz)

NSG-Typen:

Typ Zweck Anwendung
Standard-NSG Wird nur erstellt, wenn Sie die Option beim Erstellen des VDC (DCD-Kästchen oder API-Flag) auswählen, nicht automatisch für jedes VDC Wird einmal erstellt, gilt für alle neuen VMs in diesem VDC, sofern nicht anders angegeben, und bietet Basisschutz
Benutzerdefinierte NSG Wird für spezifische Sicherheitsanforderungen erstellt Wird an individuelle VMs oder NICs angehängt, um eine feinere Kontrolle zu ermöglichen

Wann Sie Network Security Groups verwenden sollten:

Sie sollten NSGs verwenden, wenn Sie eine zentrale Firewall-Verwaltung über Ihr VDC benötigen. Sie sind besonders wertvoll, wenn Sie sowohl eingehenden als auch ausgehenden Datenverkehr auf VM- oder NIC-Ebene kontrollieren möchten, eine feinere Zugriffskontrolle für bestimmte Workloads benötigen oder Ihre Sicherheit schnell anpassen müssen, wenn sich Ihr Unternehmen oder die Bedrohungslandschaft ändert. NSGs helfen Ihnen, doppelte Firewall-Konfigurationen zu vermeiden, indem Sie die gleiche Sicherheitsrichtlinie auf mehrere Ressourcen anwenden können.

Wichtige Sicherheitsvorteile:

  • Zustandsbehaftete virtuelle Firewall, die Verbindungen verfolgen und automatisch Rückverkehr zulassen
  • Zentrale Richtlinienverwaltung an einem Ort für ein ganzes VDC
  • Feinere, pro-Ressourcen-Kontrolle für präzise Regelanwendung
  • Standard-Schutz mit minimalem Aufwand für alle neuen VMs
  • Vereinfachte Verwaltung und Compliance mit einfacherer Überwachung

1.2 DDoS Protect

DDoS-Schutz in IONOS Cloud ist ein gemanagter Verteidigungsdienst, der Ihre Ressourcen vor verteilten Denial-of-Service-Angriffen schützt. Wenn ein Angriff erkannt wird, wird der Datenverkehr zu IONOS' Filter- und Reinigungsplattform umgeleitet. Schädliche Pakete werden entfernt und nur echter Datenverkehr wird an das ursprüngliche Ziel weitergeleitet, um Ihre Anwendungen auch unter schweren Angriffen verfügbar zu halten.

Schutzumfang:

DDoS Protect schützt vor Layer-3- und Layer-4-Angriffen (wie UDP-Fluten, SYN-Fluten und anderen volumetrischen und protokollbasierten Angriffen) für jede Ressource in allen IONOS-Rechenzentren. Dieser netzwerkbasierte Schutz stellt sicher, dass Ihre Infrastruktur während Angriffen zugänglich bleibt.

Verfügbare Pakete:

Paket Schutzlevel Funktionen
DDoS Protect-Basic Automatisch, immer aktiv Aktiviert für alle Benutzer, keine Konfiguration erforderlich. Bietet Erkennung, automatische Eindämmung und Datenverkehrsfilters für häufige volumetrische und protokollbasierte Angriffe
DDoS Protect-Advanced Erweitert, proaktiv Enthält alles im Basic-Paket plus 24/7-Experten-Support, proaktive Überwachung und auf Abruf IP-spezifische Filterung oder Angriffsdiagnose

Der Dienst ist cloud-nativ und immer aktiv, filtert schädlichen Datenverkehr auf Netzwerkebene ohne manuelle Eingriffe und stellt somit die kontinuierliche Verfügbarkeit Ihrer Workloads während DDoS-Angriffen sicher.

2. Anmelde- und Zertifikatsverwaltung

Die Verwaltung von Zugriffsberechtigungen und Sicherheitszertifikaten über Cloud-Ressourcen hinweg kann komplex werden, wenn Ihre Infrastruktur wächst. IONOS Cloud bietet dedizierte Dienste, um diese kritischen Sicherheitsaufgaben zu vereinfachen.

2.1 Certificate Manager

Certificate Manager ist der dedizierte Dienst von IONOS für die Verwaltung von SSL/TLS-Zertifikaten über Ihre Cloud-Ressourcen hinweg. Er vereinfacht den gesamten Lebenszyklus von Zertifikaten (Erwerb, Installation, Verlängerung und Widerruf), damit der Datenverkehr und die Daten, die zwischen Benutzern und Ihren Servern ausgetauscht werden, verschlüsselt und vertrauenswürdig bleiben.

Was Certificate Manager tut:

  • Importiert und verwaltet selbstverwaltete Zertifikate (einschließlich Zertifikatskette und privatem Schlüssel) für die Verwendung mit Application Load Balancers (ALBs) bei der Beendigung von HTTPS-Datenverkehr.
  • Bietet automatisch verlängerbare Zertifikate über ACME-Anbieter wie Let's Encrypt, DigiCert, Sectigo, GlobalSign und ZeroSSL.
  • Automatisch verlängerte Zertifikate können mit dem CDN verwendet werden; der Application Load Balancer erfordert ein importiertes Zertifikat anstelle eines automatisch verlängerten.
  • Dient als zentrales Zentrum für die sichere Bereitstellung und Wartung von TLS-Zertifikaten.

Warum Certificate Manager verwenden:

Anstelle von manueller Generierung, Nachverfolgung und Verlängerung von Zertifikaten über mehrere Server hinweg, zentralisiert Certificate Manager diesen Prozess. Sie vermeiden abgelaufene Zertifikate, die HTTPS-Verbindungen unterbrechen, reduzieren den manuellen Aufwand bei der Zertifikatsverlängerung und gewährleisten eine konsistente Sicherheit über alle Ihre webbasierten Dienste hinweg. Der Dienst ist allgemein verfügbar, unabhängig von der Rechenzentrum-Location, und funktioniert mit IONOS Public Cloud-Ressourcen.

2.2 SSH Key Manager

SSH-Schlüsselverwaltung in IONOS Cloud ist die zentrale Verwaltung von öffentlichen SSH-Schlüsseln, die für den sicheren, passwortlosen Zugriff auf Linux-basierte virtuelle Maschinen und andere Rechenressourcen verwendet werden.

Wie SSH Key Manager funktioniert:

Der Data Center Designer bietet eine SSH-Schlüsselansicht, in der Sie bis zu 100 öffentliche SSH-Schlüssel speichern können. Dies eliminiert die Notwendigkeit, jeden Schlüssel zu kopieren und einzufügen, wenn Sie den Zugriff auf eine neue VM konfigurieren. Der Dienst unterstützt sowohl gespeicherte Schlüssel als auch ad-hoc-SSH-Schlüssel für Dedicated Core-Server, vCPU-Server und Cubes.

Schlüssellebenszyklus-Aktionen:

  • Hinzufügen von Schlüsseln durch Einfügen von Text oder Hochladen einer Schlüsseldatei.
  • Bearbeiten von vorhandenen Schlüsseln, um Beschreibungen zu aktualisieren.
  • Festlegen eines Standard-Schlüssels, der vorab ausgewählt wird, wenn der Zugriff auf eine SSH-Instanz konfiguriert wird.
  • Löschen von Schlüsseln, wenn sie nicht mehr benötigt werden.

Warum SSH-Schlüsselverwaltung wichtig ist:

SSH-Schlüssel ersetzen Passwörter durch stärkere, kryptografische Authentifizierung für Remote-Logins. Die zentrale Speicherung von Schlüsseln vereinfacht die VM-Bereitstellung. Wenn Sie eine Linux-VM erstellen, können Sie jeden gespeicherten Schlüssel aus der SSH-Schlüssel-Einstellung auswählen, und der Schlüssel wird automatisch in das VM-Image injiziert, wodurch ein sofortiger SSH-Zugriff ohne manuelle Schlüsselverteilung ermöglicht wird.

Typischer Arbeitsablauf:

  1. Generieren Sie ein Schlüsselpaar lokal mit Tools wie SSH-keygen.
  2. Fügen Sie den öffentlichen Schlüssel zum DCD hinzu, indem Sie ihn einfügen oder hochladen.
  3. Legen Sie ihn optional als Standard fest, um die Auswahl zu erleichtern.
  4. Ordnen Sie den Schlüssel einer VM während der Erstellung zu.
  5. Verbinden Sie sich mit der VM mithilfe des entsprechenden privaten Schlüssels.

Häufige Anwendungsfälle

Reale Szenarien, in denen diese Sicherheitsdienste verwendet werden:

  1. Mehrschichtige Anwendung mit Network Security Groups: Ein Softwareunternehmen betreibt eine dreischichtige Anwendung (Web-, Anwendungs- und Datenbank-Schicht) in IONOS Cloud. Sie erstellen benutzerdefinierte Netzwerksicherheitsgruppen (NSGs) für jede Schicht, wie in Abschnitt 1.1 diskutiert. Die NSG der Web-Schicht ermöglicht eingehende HTTPS (Port 443) von überall, erlaubt aber nur ausgehende Verbindungen zur Anwendungs-Schicht. Die NSG der Anwendungs-Schicht akzeptiert Datenverkehr nur von der Web-Schicht und kann nur mit der Datenbank-Schicht verbunden werden. Die NSG der Datenbank-Schicht akzeptiert Verbindungen nur von der Anwendungs-Schicht. Dieser schichtweise Sicherheitsansatz, der die zentrale Firewall-Verwaltung wie in Abschnitt 1.1 beschrieben verwendet, stellt sicher, dass jede Schicht isoliert und gemäß dem Prinzip der geringsten Privilegien geschützt ist.
  2. Öffentlich zugängliche Web-Anwendung mit DDoS-Schutz und TLS: Ein Online-Händler betreibt einen Kundenfacing-Shop in IONOS Cloud. DDoS Protect Basic (Abschnitt 1.2) schützt die Anwendung automatisch vor Volumenangriffen, ohne dass eine Konfiguration erforderlich ist. Das Team verwendet Certificate Manager (Abschnitt 2.1), um ein TLS-Zertifikat für ihre Anwendung Load Balancer zu importieren, da der ALB ein importiertes Zertifikat erfordert, anstatt eines automatisch erneuerten, um sicherzustellen, dass HTTPS immer aktiv ist.
  3. Team-VM-Bereitstellung mit zentralen SSH-Schlüsseln: Ein Entwicklungsteam von fünfzehn Ingenieuren bereitstellt und beendet häufig Linux-VMs für Tests. Anstatt SSH-Schlüssel manuell zu verteilen, lädt der Teamleiter jeden öffentlichen Schlüssel der Ingenieure in den SSH Key Manager (Abschnitt 2.2) hoch und legt einen Standard-Schlüssel für gemeinsame Umgebungen fest. Wenn ein Teammitglied eine neue VM-Instanz erstellt, wählt es einfach den entsprechenden Schlüssel aus der gespeicherten Liste aus, und der SSH-Zugriff ist sofort nach der Bereitstellung bereit.

Zusammenfassung

Diese Einheit hat die Sicherheitsdienste von IONOS Cloud erkundet, die Ihr Netzwerk schützen, Angriffe abwehren und die Verwaltung von Anmeldeinformationen vereinfachen. Network Security Groups bieten zentrale, Zustands-Firewall-Verwaltung über Ihre virtuellen Rechenzentren hinweg, mit Standard-Schutz für alle virtuellen Maschinen und benutzerdefinierten Richtlinien für bestimmte Workloads. DDoS Protect schützt vor Netzwerkangriffen mit automatischer Datenverkehr-Filterung und optionaler erweiterter Unterstützung.

Certificate Manager vereinfacht die Verwaltung des Lebenszyklus von SSL/TLS-Zertifikaten, während SSH Key Manager den sicheren Zugriff auf Linux-virtuelle Maschinen zentralisiert. Zusammen bilden diese Dienste die Sicherheitsgrundlage, die die Rechen-, Speicher- und Netzwerkressourcen schützt, die Sie in früheren Einheiten erkundet haben.

Wichtige Punkte:

  • Network Security Groups fungieren als zentrale Firewall-Richtlinien-Manager, die den Datenverkehr auf der VM- und Netzwerkkarten-Ebene mit Standard-Verwehr-Sicherheit filtern
  • DDoS Protect bietet immer-ein-geschaltete Abwehr von Angriffen auf Layer 3 und Layer 4 mit automatischer Datenverkehr-Filterung
  • Certificate Manager und SSH Key Manager zentralisieren die Sicherheitsverwaltung von Anmeldeinformationen über Ihre Cloud-Ressourcen hinweg

Wichtige Begriffe:

  • Netzwerksicherheitsgruppe (NSG): Virtuelle Firewall, die eingehenden und ausgehenden Datenverkehr für virtuelle Maschinen und Netzwerkkarten auf der Grundlage zentral verwalteter Sicherheitsregeln filtert
  • DDoS Protect: Gemanagter Abwehrdienst, der Angriffsdatenverkehr zu Filterplattformen umleitet, während legitimer Datenverkehr Ressourcen erreichen darf
  • Certificate Manager: Dienst, der den Lebenszyklus von SSL/TLS-Zertifikaten (Erwerb, Installation, Verlängerung, Widerruf) für Webanwendungen verwaltet

Nächste Schritte

Weiterlernen: Einheit 2.7: Künstliche Intelligenz und Container-Dienste

Verwandte Themen: