Cloud-Sicherheit mit AWS

Amazon Web Services unter Sicherheitsaspekten

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Florian Karlstetter

Amazon Web Services bietet eine ganze Reihe an Sicherheitszertifizierungen und spezielle Dienste zum Schutz. Trotzdem müssen sich Kunden aktiv an der Absicherung ihrer eigenen Cloud beteiligen.
Amazon Web Services bietet eine ganze Reihe an Sicherheitszertifizierungen und spezielle Dienste zum Schutz. Trotzdem müssen sich Kunden aktiv an der Absicherung ihrer eigenen Cloud beteiligen. ( © GKSD - Fotolia.com)

„Nur die Paranoiden überleben“ meinte Andy Grove, Intels legendärer CEO. Im Cloud-Zeitalter gewinnt diese Aussage angesichts massiver Cyberattacken praxisnahe Bedeutung. Anwender von AWS können (und sollten) sich mit geeigneten Mitteln zur Wehr setzen. Der vorliegende Bericht wirft Licht auf die Cloud-Sicherheit von AWS.

Amazon AWS bietet Unternehmen eine kosteneffiziente Cloud-Computing-Infrastruktur für das Deployment geschäftskritischer Anwendungen in einer Vielzahl von Deployment-Szenarien, wirft jedoch berechtigte Fragen nach der Sicherheit auf.

Die Anwendungen und Daten in einer Public Cloud „sitzen“ an einer exponierten Position: Unberechtigte Zugriffe auf diese Ressourcen können nicht nur aus dem Internet und von anderen Instanzen heraus via Netzwerk erfolgen, sondern können unter Verwendung von entführten API-Schlüsseln oder gar föderierten Identitäten zu Stande kommen.

Um die Risiken zu minimieren hat AWS diverse Zertifizierungen rund um die eigenen Fähigkeiten zur sicheren Verwaltung der Daten und Anwendungen seiner Nutzer erworben (darunter ISO 27001, ISO 27017, SOC 1/2/3 und PCI DSS Level 1) und hat die eigene Implementierung der EU-Direktive 95/46/EC zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von den zuständigen EU-Behörden erfolgreich validieren lassen (eine Übersicht der wichtigsten Zertifizierungen mit den passenden Erklärungen finden Sie im Kasten weiter unten).

„Eine Kette bricht an ihrem schwächsten Glied“ wie der Volksmund zu sagen pflegt. Dies trifft auch auf die Cloud zu. In der Public Cloud gilt nämlich das Prinzip gemeinsamer Verantwortung: Amazon zeichnet für die Sicherheit der bereitgestellten Infrastrukturdienste verantwortlich, der Anwender muss diese jedoch verantwortungsvoll nutzen und für die Abschottung der eigenen Ressourcen, selbst Sorge tragen.

Grundlegende Sicherheitsmaßnahmen

Diese Sicherheitsmaßnahmen umfassen:

  • die Nutzung von IAM-Authentifizierungsdiensten (anstelle des AWS-Root-Accounts) mit MFA (vorzugsweise unter Verwendung des Tokengenerators von Gemalto);
  • die Härtung der eigenen EC2-Instanzen (durch Kernel-Härtung, den Verzicht auf Passwort-basierte Authentifizierung zu Gunsten von Schlüsselpaaren, zeitnahe Updates zur Vermeidung von Zero-Day-Exploits, etc.), optional mit Software zur Einbruchserkennung;
  • die Nutzung restriktiv konfigurierter Sicherheitsgruppen;
  • das Verschlüsseln von EBS-Volumes im Ruhezustand, vorzugsweise unter Verwendung des AWS Key Management Service zur Verwaltung von Schlüsselpaaren;
  • die Nutzung von VPS anstelle von EC2-Classic (Letzteres ist ja ohnehin nur in älteren AWS-Accounts verfügbar);
  • die Abschirmung von VPC-Umgebungen durch die so genannten DNZs (demilitarisierte Zonen) und Bastion-Hosts;
  • Remote-Zugriff auf EC2-Instanzen in privaten Subnetzen via NAT, zum Beispiel unter Verwendung des kürzlich vorgestellten Dienstes VPC NAT Gateway für AWS;
  • die Nutzung von IAM-Policies (anstelle von ACLs, den so genannten Access Control Lists, denn diese hat Amazon zum alten Eisen gelegt).

Ergänzendes zum Thema
 
Sicherheitszertifizierungen und weiterführende Links

Spezialisierte Dienste und Managementfeatures für mehr Sicherheit

Es gibt eine ganze Reihe an spezialisierten AWS-Diensten wie Inspector, Config Rules, Trusted Advisor und CloudTrail. Doch damit erschöpft sich das Arsenal der Sicherheitsmaßnahmen, die ein AWS-Administrator zum Schutz der Cloud ergreifen kann, bei Weitem nicht. Amazon stellt dem AWS-Anwender spezialisierte Dienste und Managementfeatures zur Verfügung, die darauf ausgerichtet sind, potenzielle Verwundbarkeiten aufzuspüren, Sicherheitsvorfällen vorzubeugen und nachträgliche Nachverfolgung von relevanten Ereignissen zu erleichtern. Die zuvor genannten spezialisierten Dienste beinhalten:

  • Amazon Inspector (derzeit als Vorabversion verfügbar), ein Dienst zum Untersuchen von laufenden Anwendungen auf potenzielle Verwundbarkeiten hin;
  • AWS Config Rules, eine Sammlung von Cloud-Verwaltungsfunktionen für die kontinuierliche Überwachung der Einhaltung der vorgegebenen Konfigurationsrichtlinien;
  • Amazon Trusted Advisor, IT-Consulting als ein Software-Dienst;
  • AWS CloudTrail, ein Dienst zum Loggen von API-Aufrufen in der AWS-Umgebung,
  • AWS Key Management Service, ein Dienst zum Verwalten der Datenverschlüsselung.

Amazon Inspector

Bei Amazon Inspector handelt es sich um einen Dienst, der mit Hilfe eines Agenten auf virtuellen Server dort ablaufende Cloud-Anwendungen auf potenzielle Verwundbarkeiten hin automatisch überprüft. Amazon Inspector kann Schwachstellen in Netzwerken, Betriebssystemen und dem zugehörigen Speicher aufdecken und konkrete Methoden zum Schließen eventueller Sicherheitslücken vorschlagen.

AWS Config Rules

Mit AWS Config Rules bekommen Cloud-Administratoren die Möglichkeit, Richtlinien zur Bereitstellung und Konfiguration ihrer AWS-Ressourcen zu definieren und deren Einhaltung kontinuierlich zu überwachen. Mit Hilfe von AWS Config Rules lässt sich beispielsweise sicherstellen, dass keinerlei Daten auf unverschlüsselten EBS-Volumes aufbewahrt werden und etwaige Modifikationen an der Konfiguration von Ressourcen sich unmittelbar aufspüren lassen.

Amazon Trusted Advisor

Amazon Trusted Advisor untersucht die AWS-Umgebung auf der Suche nach möglichen Optimierungen unter anderem auch im Hinblick auf mögliche Sicherheitslücken.

AWS CloudTrail

AWS CloudTrail ermöglicht es, den Verlauf administrativer Aktivitäten in der AWS-Umgebung aufzuzeichnen, um Sicherheitsanalysen, die lückenlose Nachverfolgung von Ressourcenänderungen und die kontinuierliche Überwachung der Einhaltung von Vorschriften zu gewährleisten.

Die Achillesfersen von AWS

Dennoch ist (auch) Amazons Cloud-Plattform nicht ganz ohne Sicherheitsschwachstellen. Cloudfront unterstützt nur SSL-Schlüssel in einer Maximallänge von 2048 Bit, was ja nicht gerade als zeitgerecht gilt.

Alle VMs von Amazon laufen zudem auf mehreren eigenen Forks des quelloffenen Xen-Hypervisors und so ist Amazon von möglichen Verwundbarkeiten von Xen potenziell unmittelbar betroffen. Zum Patchen von Sicherheitslöchern waren in der Vergangenheit mehrmals Neustarts der EC2-Dienste erforderlich; da sich diese im Einzelfall negativ auf die Sicherheit der Anwendungen auswirken können, bekamen die betroffenen Kunden vorab eine Benachrichtigung (allerdings ohne die Angabe der technischen Ursache).

Aktuelle Security Bulletins

Beim Bekanntwerden neuer Verwundbarkeiten (wie etwa im Falle von ISC Bind) veröffentlicht Amazon Sicherheitsberichte. Diese lassen sich unter der Adresse:

http://aws.amazon.com/de/security/security-bulletins/ abrufen.

Fazit

Der mehrfach zertifizierte Cloud-Betreiber führt regelmäßig interne Audits und Risiko-Bewertungen durch und unterzieht die eigenen Cloud-Dienste vielfachen Überprüfungen durch externe Dienstleister, um eine kontinuierliche Konformität der AWS-Cloud mit anerkannten Sicherheitsrichtlinien zu gewährleisten. Dennoch sind Pannen nicht auszuschließen.

AWS zeigt sich bemüht, dem Administrator mit spezialisierten Diensten wie dem AWS Inspector unter die Arme zu greifen. Die Anwender von AWS müssen sich an der Absicherung ihrer eigenen Cloud aktiv beteiligen und dem Grundsatz paranoider Sicherheit treu bleiben.

Ergänzendes zum Thema
 
Buchtipp: Schnelleinstieg in AWS: Amazon Web Services auf den Punkt gebracht

Die Autoren

Filipe Pereira Martins und Anna Kobylinska sind als IT-Consultants auf Cybersecurity spezialisiert und sind für die Leser auf Twitter via @RealPro4Real, @CloudInsidr und @D1gitalInfo erreichbar.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43832771 / Allgemein)