Wie wird ausgehender Netzwerkverkehr kontrolliert?
amaise kontrolliert ausgehenden Netzwerkverkehr auf mehreren Ebenen:
NAT-Gateway: Alle privaten Subnetze nutzen ein NAT-Gateway für ausgehenden Internetverkehr.
VPC-Endpunkte: Zugriffe auf S3 und DynamoDB erfolgen über Gateway-Endpunkte und verlassen das AWS-Netzwerk nicht.
DNS-Firewall: Route53 Resolver DNS Firewall blockiert in Produktionsumgebungen bösartige und verdächtige Top-Level-Domains sowie bekannte Botnet-C&C- und Malware-Domains.
Packet Inspection: Für ausgehenden Verkehr wird Deep Packet Inspection durchgeführt, um potenziell schädliche oder unautorisierte Datenübertragungen zu erkennen.
Erlaubte Dienste: Eine Allowlist definiert die erlaubten externen Dienste (Authentifizierungsdienst, Cloud-APIs, Fehlertracking, Monitoring).
Azure OpenAI Gateway: In jeder Produktionsumgebung akzeptiert das Azure OpenAI Gateway (Azure API Management) ausschliesslich eingehenden Verkehr von der Backend-Egress-IP-Adresse von amaise — das KI-Gateway ist damit nur aus dem amaise-Backend erreichbar, nicht aus dem öffentlichen Internet.
Protokollierung: DNS-Firewall-Logs werden 365 Tage in CloudWatch aufbewahrt.
Eingehend akzeptiert der Load Balancer ausschliesslich HTTPS (Port 443). Die WAF filtert sämtlichen eingehenden Verkehr.