Cloud-Sicherheit mit AWS

Amazon Web Services unter Sicherheitsaspekten

Seite: 2/2

Firmen zum Thema

Spezialisierte AWS-Dienste: Inspector, Config Rules, Trusted Advisor und CloudTrail

Doch damit erschöpft sich das Arsenal der Sicherheitsmaßnahmen, die ein AWS-Administrator zum Schutz der Cloud ergreifen kann, bei Weitem nicht. Amazon stellt dem AWS-Anwender spezialisierte Dienste und Managementfeatures zur Verfügung, die darauf ausgerichtet sind, potenzielle Verwundbarkeiten aufzuspüren, Sicherheitsvorfällen vorzubeugen und nachträgliche Nachverfolgung von relevanten Ereignissen zu erleichtern. Diese spezialisierten Dienste beinhalten:

  • Amazon Inspector (derzeit als Vorabversion verfügbar), ein Dienst zum Untersuchen von laufenden Anwendungen auf potenzielle Verwundbarkeiten hin;
  • AWS Config Rules, eine Sammlung von Cloud-Verwaltungsfunktionen für die kontinuierliche Überwachung der Einhaltung der vorgegebenen Konfigurationsrichtlinien;
  • Amazon Trusted Advisor, IT-Consulting als ein Software-Dienst;
  • AWS CloudTrail, ein Dienst zum Loggen von API-Aufrufen in der AWS-Umgebung,
  • AWS Key Management Service, ein Dienst zum Verwalten der Datenverschlüsselung.
Bildergalerie

Amazon Inspector

Bei Amazon Inspector handelt es sich um einen Dienst, der mit Hilfe eines Agenten auf virtuellen Server dort ablaufende Cloud-Anwendungen auf potenzielle Verwundbarkeiten hin automatisch überprüft. Amazon Inspector kann Schwachstellen in Netzwerken, Betriebssystemen und dem zugehörigen Speicher aufdecken und konkrete Methoden zum Schließen eventueller Sicherheitslücken vorschlagen.

AWS Config Rules

Mit AWS Config Rules bekommen Cloud-Administratoren die Möglichkeit, Richtlinien zur Bereitstellung und Konfiguration ihrer AWS-Ressourcen zu definieren und deren Einhaltung kontinuierlich zu überwachen. Mit Hilfe von AWS Config Rules lässt sich beispielsweise sicherstellen, dass keinerlei Daten auf unverschlüsselten EBS-Volumes aufbewahrt werden und etwaige Modifikationen an der Konfiguration von Ressourcen sich unmittelbar aufspüren lassen.

Amazon Trusted Advisor

Amazon Trusted Advisor untersucht die AWS-Umgebung auf der Suche nach möglichen Optimierungen unter anderem auch im Hinblick auf mögliche Sicherheitslücken.

AWS CloudTrail

AWS CloudTrail ermöglicht es, den Verlauf administrativer Aktivitäten in der AWS-Umgebung aufzuzeichnen, um Sicherheitsanalysen, die lückenlose Nachverfolgung von Ressourcenänderungen und die kontinuierliche Überwachung der Einhaltung von Vorschriften zu gewährleisten.

Die Achillesfersen von AWS

Dennoch ist (auch) Amazons Cloud-Plattform nicht ganz ohne Sicherheitsschwachstellen. Cloudfront unterstützt nur SSL-Schlüssel in einer Maximallänge von 2048 Bit, was ja nicht gerade als zeitgerecht gilt.

Alle VMs von Amazon laufen zudem auf mehreren eigenen Forks des quelloffenen Xen-Hypervisors und so ist Amazon von möglichen Verwundbarkeiten von Xen potenziell unmittelbar betroffen. Zum Patchen von Sicherheitslöchern waren in der Vergangenheit mehrmals Neustarts der EC2-Dienste erforderlich; da sich diese im Einzelfall negativ auf die Sicherheit der Anwendungen auswirken können, bekamen die betroffenen Kunden vorab eine Benachrichtigung (allerdings ohne die Angabe der technischen Ursache).

Aktuelle Security Bulletins

Beim Bekanntwerden neuer Verwundbarkeiten (wie etwa im Falle von ISC Bind) veröffentlicht Amazon Sicherheitsberichte. Diese lassen sich unter der Adresse:

http://aws.amazon.com/de/security/security-bulletins/ abrufen.

Fazit

Der mehrfach zertifizierte Cloud-Betreiber führt regelmäßig interne Audits und Risiko-Bewertungen durch und unterzieht die eigenen Cloud-Dienste vielfachen Überprüfungen durch externe Dienstleister, um eine kontinuierliche Konformität der AWS-Cloud mit anerkannten Sicherheitsrichtlinien zu gewährleisten. Dennoch sind Pannen nicht auszuschließen.

AWS zeigt sich bemüht, dem Administrator mit spezialisierten Diensten wie dem AWS Inspector unter die Arme zu greifen. Die Anwender von AWS müssen sich an der Absicherung ihrer eigenen Cloud aktiv beteiligen und dem Grundsatz paranoider Sicherheit treu bleiben.

Ergänzendes zum Thema
Buchtipp: Schnelleinstieg in AWS: Amazon Web Services auf den Punkt gebracht

Buchempfehlung: „Schnelleinstieg in AWS. Amazon Web Services auf den Punkt gebracht. Cloud-Administration im Schnellverfahren lernen“.
Buchempfehlung: „Schnelleinstieg in AWS. Amazon Web Services auf den Punkt gebracht. Cloud-Administration im Schnellverfahren lernen“.
( Bild:_ Digital Masters )

Eine weiter gehende Einführung in die Amazon Web Services bietet das Buch „Schnelleinstieg in AWS: Amazon Web Services auf den Punkt gebracht. Cloud-Administration im Schnellverfahren lernen“.

Die fünfte, erweiterte und überarbeitete Auflage geht unter anderem auf die Cybersecurity der Cloud und Möglichkeiten der Cloud-Orchestrierung ein.

Weitere Informationen und Bestellung

Die Autoren

Filipe Pereira Martins und Anna Kobylinska sind als IT-Consultants auf Cybersecurity spezialisiert und sind für die Leser auf Twitter via @RealPro4Real, @CloudInsidr und @D1gitalInfo erreichbar.

Artikelfiles und Artikellinks

(ID:43854039)