Cloud-Sicherheit mit AWS

Amazon Web Services unter Sicherheitsaspekten

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Florian Karlstetter

Amazon Web Services bietet eine ganze Reihe an Sicherheitszertifizierungen und spezielle Dienste zum Schutz. Trotzdem müssen sich Kunden aktiv an der Absicherung ihrer eigenen Cloud beteiligen.
Amazon Web Services bietet eine ganze Reihe an Sicherheitszertifizierungen und spezielle Dienste zum Schutz. Trotzdem müssen sich Kunden aktiv an der Absicherung ihrer eigenen Cloud beteiligen. (© GKSD - Fotolia.com)

„Nur die Paranoiden überleben“ meinte Andy Grove, Intels legendärer CEO. Im Cloud-Zeitalter gewinnt diese Aussage angesichts massiver Cyberattacken praxisnahe Bedeutung. Anwender von AWS können (und sollten) sich mit geeigneten Mitteln zur Wehr setzen. Der vorliegende Bericht wirft Licht auf die Cloud-Sicherheit von AWS.

Amazon AWS bietet Unternehmen eine kosteneffiziente Cloud-Computing-Infrastruktur für das Deployment geschäftskritischer Anwendungen in einer Vielzahl von Deployment-Szenarien, wirft jedoch berechtigte Fragen nach der Sicherheit auf.

Die Anwendungen und Daten in einer Public Cloud „sitzen“ an einer exponierten Position: Unberechtigte Zugriffe auf diese Ressourcen können nicht nur aus dem Internet und von anderen Instanzen heraus via Netzwerk erfolgen, sondern können unter Verwendung von entführten API-Schlüsseln oder gar föderierten Identitäten zu Stande kommen.

Um die Risiken zu minimieren hat AWS diverse Zertifizierungen rund um die eigenen Fähigkeiten zur sicheren Verwaltung der Daten und Anwendungen seiner Nutzer erworben (darunter ISO 27001, ISO 27017, SOC 1/2/3 und PCI DSS Level 1) und hat die eigene Implementierung der EU-Direktive 95/46/EC zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von den zuständigen EU-Behörden erfolgreich validieren lassen (eine Übersicht der wichtigsten Zertifizierungen mit den passenden Erklärungen finden Sie im Kasten weiter unten).

„Eine Kette bricht an ihrem schwächsten Glied“ wie der Volksmund zu sagen pflegt. Dies trifft auch auf die Cloud zu. In der Public Cloud gilt nämlich das Prinzip gemeinsamer Verantwortung: Amazon zeichnet für die Sicherheit der bereitgestellten Infrastrukturdienste verantwortlich, der Anwender muss diese jedoch verantwortungsvoll nutzen und für die Abschottung der eigenen Ressourcen, selbst Sorge tragen.

Grundlegende Sicherheitsmaßnahmen

Diese Sicherheitsmaßnahmen umfassen:

  • die Nutzung von IAM-Authentifizierungsdiensten (anstelle des AWS-Root-Accounts) mit MFA (vorzugsweise unter Verwendung des Tokengenerators von Gemalto);
  • die Härtung der eigenen EC2-Instanzen (durch Kernel-Härtung, den Verzicht auf Passwort-basierte Authentifizierung zu Gunsten von Schlüsselpaaren, zeitnahe Updates zur Vermeidung von Zero-Day-Exploits, etc.), optional mit Software zur Einbruchserkennung;
  • die Nutzung restriktiv konfigurierter Sicherheitsgruppen;
  • das Verschlüsseln von EBS-Volumes im Ruhezustand, vorzugsweise unter Verwendung des AWS Key Management Service zur Verwaltung von Schlüsselpaaren;
  • die Nutzung von VPS anstelle von EC2-Classic (Letzteres ist ja ohnehin nur in älteren AWS-Accounts verfügbar);
  • die Abschirmung von VPC-Umgebungen durch die so genannten DNZs (demilitarisierte Zonen) und Bastion-Hosts;
  • Remote-Zugriff auf EC2-Instanzen in privaten Subnetzen via NAT, zum Beispiel unter Verwendung des kürzlich vorgestellten Dienstes VPC NAT Gateway für AWS;
  • die Nutzung von IAM-Policies (anstelle von ACLs, den so genannten Access Control Lists, denn diese hat Amazon zum alten Eisen gelegt).

Ergänzendes zum Thema
 
Sicherheitszertifizierungen und weiterführende Links

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43854039 / Cloud und Virtualisierung)