Eigenverantwortung für Cloud-Sicherheit Die zehn größten AWS-Security-Fehler

Von Thomas Ehrlich* |

Anbieter zum Thema

Mit einem Anteil von mehr als 30 Prozent am globalen Cloud-Markt und einer Vielzahl von anpassbaren Funktionen ist Amazon Web Services (AWS) für viele Unternehmen zum bevorzugten Anbieter von Cloud-Diensten geworden. Während AWS zwar die Sicherheit der Cloud verwaltet, liegt die Verantwortung für die Sicherheit in der Cloud trotzdem beim Kunden.

AWS ist sicher – eigentlich – und doch dürfen sich Nutzer nicht zu sehr darauf verlassen, sondern eigenverantwortlich Security-Mechanismen für die Cloud-Nutzung veranlassen.
AWS ist sicher – eigentlich – und doch dürfen sich Nutzer nicht zu sehr darauf verlassen, sondern eigenverantwortlich Security-Mechanismen für die Cloud-Nutzung veranlassen.
(Bild: © lassedesignen - stock.adobe.com)

Sicherheitsteams müssen ihren Teil des Modells der geteilten Verantwortung verstehen, bei dem Kunden die Kontrolle darüber behalten, welche Sicherheit sie zum Schutz ihrer eigenen Inhalte, Plattform, Anwendungen, Systeme und Netzwerke implementieren – genauso wie bei einem eigenen Rechenzentrum. Je nach Erfahrung mit Cloud-Diensten und Phase der Nutzung der öffentlichen Cloud gibt es bestimmte Punkte, auf die man sein Augenmerk richten sollte. Werfen wir einen Blick auf die zehn größten Fehler in Bezug auf die Security, um zu erkennen, was Unternehmen tun können, um die Sicherheit zu gewährleisten.

Fehler 1: Nutzung des Root-Accounts für alltägliche Aktivitäten

Der Root-Account (Root User oder auch Superuser) verfügt über die volle Kontrolle über den Account, einschließlich der Möglichkeit, den Account und sämtliche Inhalte zu löschen. Diese Zugriffsebene ist für bestimmte Aufgaben erforderlich und sollte nur in den entsprechenden Fällen verwendet werden. Alltägliche Aufgaben sollten auf Benutzerkonten mit begrenzten Befugnissen delegiert werden.

Damit vermeidet man die übermäßige Nutzung des Root-Accounts, was zu unbeabsichtigten, weitreichenden Änderungen von Berechtigungen, Richtlinien, Einstellungen und ähnlichem führen kann. Die meisten Benutzer, besonders in größeren Unternehmen, können ihre Arbeit problemlos mit eingeschränkteren Befugnissen erledigen. Und die die Kompromittierung eines Root-Kontos, das einem Angreifer die Möglichkeit bietet, alles mit den Daten zu tun, einschließlich des Löschens, kann verhindert werden. In größeren Unternehmen erhöht schon die schiere Anzahl der Benutzer das Risiko einer Kompromittierung.

AWS gibt die Flexibilität, zu partitionieren und Rollenberechtigungen festzulegen. Mit Lösungen von Drittanbietern können zudem Aktivitäten von Root-Benutzern überprüft und Sicherheitsverantwortliche auf schlechte Praktiken, wie die regelmäßige Verwendung eines Root-Benutzers in einem AWS-Konto, hingewiesen werden.

Fehler 2: Keine Partitionierung von Benutzer- und Rollenberechtigungen

Eine bewährte AWS-Sicherheitspraxis für Berechtigungen besteht darin, dem Benutzer nur die Berechtigungsstufe zu gewähren, die für die effektive Ausführung seiner Arbeit erforderlich ist. Diese Art des eingeschränkten rollenbasierten Zugriffs erfordert möglicherweise einige Feinabstimmung, um genau das richtige Maß zu finden, jedoch schränkt sie die Gefährdung Ihrer Daten effektiv ein. Wenn ein bestimmter Benutzer gelegentlich mehr Zugriff benötigt, als Sie ihm für den täglichen Gebrauch gewährt haben (etwa um Amazon EC2-Instanzen zu erstellen), gewähren Sie ihm zusätzliche Privilegien für die Dauer einer bestimmten Aufgabe und setzen Sie dann wieder auf den Standard zurück.

Fehler 3: Unbeschränkter Zugang zu Amazon S3 Buckets

Ein Amazon S3-Bucket ist ein öffentlicher Cloud-Speicherdienst, in dem oft auch sensible Daten wie Kunden- oder Zahlungsinformationen gespeichert werden. Es kommt leider immer wieder vor, dass AWS-Nutzer vergessen, Einschränkungen vorzunehmen, so dass der Zugriff auf diese Container für jeden möglich ist, der den entsprechenden Namen erraten (oder erschließen) kann. Ohne angemessene Zugangsrichtlinien sind Daten in Amazon S3 anfällig. Auch hier gibt es Drittanbieter-Lösungen, die nach außen offene Buckets aufspüren und konkrete Schritte zur Abhilfe vorschlagen.

Fehler 4: Verzicht auf Multi-Faktor-Authentifizierung

Viele Datenverletzungen sind das Ergebnis von Passwörtern, die keinen ausreichenden Schutz bieten, etwa weil sie von Haus aus schwach sind oder kompromittiert wurden. Heutzutage reicht eine einzige Authentifizierung bei der Anmeldung nicht mehr aus, um Ihre Daten sicher zu halten. Entsprechend ist eine Multi-Faktor-Authentifizierung (MFA) zum Muss geworden. Indem Sie von den Benutzern verlangen, sich mit ihrem Kontopasswort anzumelden und dann einen zweiten Schritt zu durchlaufen, können Sie das Risiko für Ihr Unternehmen verringern.

Einige gängige Beispiele für MFA sind zum einen OTP (one-time passwords). Hier werden Einmal-Passwörter per Telefon oder E-Mail an den Benutzer zur Überprüfung seiner Identität geschickt, bevor er seine Anmeldung abschließt. Zum anderen die Authentifizierung über USB-Hardware-Token, wobei der Nutzer nur einen USB-Stick benötigt, der ein OTP erzeugt, bevor er Zugriff erhält.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

AWS-Benutzer, die nach einer Möglichkeit suchen, MFA einzusetzen, ohne ihrem Sicherheitsbudget einen weiteren Posten hinzuzufügen, können auf kostenlose Tools wie Google Authenticator zurückgreifen. Grundsätzlich sollten Sie überwachen, ob Best Practices wie MFA befolgt werden, und eine kontinuierliche Sicherheitsbewertung Ihrer Umgebung durchführen, um Risiken schnell zu erkennen und zu beheben. Diese zusätzlichen Schritte sind relativ schnell und schmerzlos, und sie tragen wesentlich zur Sicherung Ihrer Daten bei.

Fehler 5: Keine Verschlüsselung abgelegter Daten

AWS verfügt über einen Key-Management-Service, mit dem Sie Verschlüsselungs-Keys verwalten können. Dieser sollte zur Verschlüsselung von gespeicherten Daten verwendet werden. Leider ist diese Möglichkeit vielen Benutzern jedoch nicht bewusst. Zu den besten Verschlüsselungspraktiken gehört die Festlegung eines Verschlüsselungsschlüssels und wer ihn verwenden kann, und dann das Sperren des Schlüssels. Eine Verschlüsselung verhindert zwar keinen Datenverstoß, aber sie stellt sicher, dass Ihre Daten im Falle eines Datenverlusts privat bleiben.

Fehler 6: Keine Verwendung von Netzwerk-ACLs

Port-Scans sind ein sehr beliebter Angriffsvektor, um das schwächste Glied zu finden, über das ein Netzwerk infiltriert werden kann. Ohne die Implementierung der richtigen Schutzmaßnahmen wird permanent eine Menge unnötiger, unerwünschter und potenziell unsicherer Datenverkehr Ihre Sicherheitsgruppen treffen. Diese Gruppen fungieren oft als Firewall auf Instanzebene, aber je mehr Datenverkehr auf sie trifft, desto schwieriger ist es, potenzielle Bedrohungen wirksam zu überwachen. Die Verwendung der Standard-Netzwerk-ACLs lässt viel Datenverkehr zu und erzeugt eine größere Anzahl von Warnungen im Downstream, wodurch sich das Signal-Rausch-Verhältnis erhöht.

Verwendet man hingegen spezifische Netzwerk-ACLs lässt sich der Verkehr begrenzen und entsprechend der Lärm reduzieren. Wenn Sie zum Beispiel zulassen, dass SSH nur von einem bestimmten IP-Block innerhalb der ACLs stammt, erhalten Sie von den Instanzen keine Blockbenachrichtigungen in den VPC-Flussprotokollen. Infolgedessen können kompromittierte Anmeldeinformationen nicht von anderen IP-Adressen verwendet werden, und das SSH-Scannen wird Ihre Instanzen nicht treffen.

Fehler 7: Kein Einsatz von Monitoring- und Protokollierungsdiensten

AWS bietet eine Reihe von Möglichkeiten, die Benutzer bei der Verwaltung, dem Verständnis und der Feinabstimmung ihrer Cloud-Dienste für mehr Sicherheit und einen insgesamt besseren Betrieb zu unterstützen. Insbesondere neue oder nicht besonders versierte Benutzer sollten die Nutzung folgender Services in Betracht ziehen:

  • AWS Config hilft Ihnen bei der Beurteilung der Konfiguration Ihrer AWS-Ressourcen zur Unterstützung von Konformitätsprüfungen, Fehlerbehebung im Betrieb und Sicherheitsbewertungen.
  • Mit AWS CloudWatch können Sie Metriken sammeln und verfolgen, Protokolldateien überwachen, Alarme einstellen, automatisch auf Änderungen reagieren und vieles mehr.
  • AWS CloudTrail ermöglicht unter anderem die Prüfung von Risiken und Betriebsabläufen, protokolliert und überwacht Kontoaktivitäten und bietet Ereignisverläufe zur Vereinfachung der Sicherheitsanalyse.

Fehler 8: Keine Identifizierung (und Verhinderung) von anormalem Verhalten

Wann immer eine Änderung in Ihrer AWS-Umgebung vorgenommen wird, sollten Sie dies bemerken und dann den Gründen nachgehen. Nutzen Sie hierfür Ihre Protokolle und Daten. Alle bisher beschriebenen Maßnahmen sind nur dann erfolgreich, wenn Sie strenge Verfahren anwenden, die sofortige proaktive Reaktionen ermöglichen. Effektive Cloud-Security-Lösungen lösen Alarme und Schutzmaßnahmen aus, sobald anomale Aktivitäten entdeckt werden.

Sie können kompromittierte Anmeldeinformationen oder potenzielle Kontoübernahmesituationen und andere Anomalien schnell identifizieren, indem Sie beispielsweise Anmeldeversuche oder fehlgeschlagene Anmeldeversuche verfolgen. Wenn Sie nicht über ein solches System verfügen, das Sie bei ungewöhnlichem Verhalten benachrichtigt, werden Sie Sicherheitsprobleme möglicherweise erst sehr spät oder gar nicht bemerken.

Fehler 9: Keine regelmäßige Änderung der Anmeldeinformationen (Access Keys)

Kompromittierte Zugangsdaten geben einem potenziellen Eindringling Zugang zu Ihren Cloud-Ressourcen. Wenn Sie Ihre Anmeldeinformationen regelmäßig ändern, begrenzen Sie den Zeitraum für einzelnen Berechtigungen und damit die Auswirkungen auf Ihre Daten und Ihr Geschäft, sollten sie in falsche Hände geraten. Richten Sie hierfür einen Zeitplan und einen Prozess für die Rotation der Anmeldeinformationen ein, um die Risiken zu minimieren.

AWS lässt diese Berechtigungsnachweise in einigen Anwendungen automatisch ablaufen und erneuert sie automatisch, aber je nach Standort Ihrer Anwendungen müssen Sie möglicherweise zusätzliche Schritte unternehmen, um einen Prozess zur Rotation der Zugangsdaten einzurichten.

Fehler 10: Kein hinreichendes Verständnis für die Auswirkungen auf die Sicherheit bei der Einführung und Nutzung von Diensten

Zahlreiche neue Benutzer steigen in AWS ein, ohne die Wirkungsweise oder die damit verbundenen Implikationen in Bezug auf die Datensicherheit zu verstehen. Wenn Sie zum ersten Mal mit AWS arbeiten, sollten Sie sich ausreichend Zeit nehmen, um zu verstehen, wie sich die verschiedenen Zugangsmöglichkeiten in der „realen Welt“ auswirken und welche Richtlinien und Verfahren eingeführt werden müssen, um das Risiko nachhaltig zu verringern.

Thomas Ehrlich, Netskope.
Thomas Ehrlich, Netskope.
(Bild: Netskope)

Die Cloud verleitet zu hohem Tempo. Dennoch: Fangen Sie einfach an und bauen Sie dann langsam auf den Basisdiensten auf. Wenn man schnell verschiedene Dienste einrichtet, ist es schwierig, zu erkennen, was benötigt wird und was nicht, und zu verstehen, welche Sicherheitskontrollen implementiert werden müssen. Auch in der Cloud muss Sicherheit stets oberste Priorität haben.

* Der Autor Thomas Ehrlich ist Country Manager DACH von Netskope.

(ID:46803727)