Interview mit Glenn Gore zu Development und Open Source

Sicherheit hat bei AWS aktuell Vorrang

| Autor / Redakteur: Michael Matzer / Stephan Augsten

Glenn Gore bei der Keynote auf dem letztjährigen AWS Berlin Summit im Jahr 2018.
Glenn Gore bei der Keynote auf dem letztjährigen AWS Berlin Summit im Jahr 2018. (© Karolina Kovac)

Wie unterstützt AWS die Open-Source-Community und Entwickler im Allgemeinen? Welche Dienste, Tools und Blaupausen helfen bei Security-by-Design-Strategien? Diese Fragen beantwortet Glenn Gore, Lead Architect bei Amazon Web Services, im Interview mit unserem Autor Michael Matzer im Auftrag von Dev-Insider.

Herr Gore: Mit welchen Services unterstützen Sie Entwickler?

Glenn Gore: Das sind eine ganze Menge! Am besten schauen Sie die lange Liste auf unserer Webseite nach. Zudem haben wir seit dem letzten deutschen AWS Summit den Umfang unseres Service-Angebots erweitert, so etwa auf der re:Invent 2018 in Las Vegas.

Aber was hat AWS beispielsweise in puncto Security unternommen?

Gore: Diesbezüglich möchte ich Sie auf Amazon GuardDuty hinweisen, eine Art Dashboard für Security-Services. Es bietet intelligente Bedrohungserkennung. GuardDuty analysiert viele Milliarden Ereignisse über unterschiedliche AWS-Datenquellen hinweg, wie beispielsweise AWS CloudTrail, Amazon VPC Flow Logs und DNS-Logs.

Daneben haben wir auch den Dienst AWS Control Tower, der eine Blaupause für Security-Dienste bereitstellt. AWS Control Tower automatisiert die Einrichtung einer Landing Zone für eine „Well-Architected“ AWS-Umgebung zur Verwaltung mehrerer Konten.

Im Übrigen weise ich darauf hin, dass Amazon schon seit ein paar Jahren von zahlreichen Prüfinstanzen zertifiziert worden ist, nicht zuletzt auch für die Erfüllung der Vorschriften der DSGVO in Deutschland seit März 2018.

Welchen Sicherheitsrichtlinien folgt Amazon Web Services also selbst? Empfehlen Sie diese Ihren Kunden auf der Entwicklerseite?

Gore: Seit Dezember 2018 befolgen wir die Richtlinien des „Well-architected Frameworks“. Dieses berücksichtigt auch Reviews seitens unserer Partner. Für die Auditierung bieten wir zudem AWS CloudTrail an und unterstützen granulare Zugriffskontrollmethoden innerhalb des Identity and Access Managements (IAM).

Shared Responsibility: Die Kundenverantwortlichkeit wird durch die AWS Cloud-Services bestimmt, die ein Kunde auswählt. Dies bestimmt den Konfigurationsaufwand, den der Kunde als Teil der Sicherheitsverantwortlichkeiten bewältigen muss.
Shared Responsibility: Die Kundenverantwortlichkeit wird durch die AWS Cloud-Services bestimmt, die ein Kunde auswählt. Dies bestimmt den Konfigurationsaufwand, den der Kunde als Teil der Sicherheitsverantwortlichkeiten bewältigen muss. (Bild: Amazon Web Services)

Allerdings möchte ich auf das Shared Responsibility Model hinweisen, das für AWS und den jeweiligen Kunden gilt. Darin wird eine verteilte Verantwortung festgelegt. Der Kunde ist also immer ebenfalls in der Pflicht, sicherheitsrelevante Vorschriften zu beachten, auch in der Entwicklungsphase.

Die Unterstützung der DSGVO ist begrüßenswert, aber die Cloud Security Alliance (CSA) hat vielleicht andere Vorstellungen von der Umsetzung der Sicherheitsrichtlinien. Unterstützt AWS die CSA-Richtlinien?

Gore: Ja, siehe dazu das Compliance-Dokument auf unserer CSA-Webseite: „Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation mit dem Ziel der „Förderung des Einsatzes bewährter Methoden zum Gewährleisten von Sicherheit beim Cloud Computing und zum Informieren über die Einsatzmöglichkeiten von Cloud Computing zum Absichern aller anderen Formen der Datenverarbeitung.“

Wie realisiert AWS eigentlich Verschlüsselung? Geht das überhaupt schon in ALLEN Services?

Gore: Für die Verschlüsselung nutzen wir unsere eigenen Zertifikate. Wir bieten einen Key Management Service (AWS KMS) an, der sogar ein Hardware-Sicherheitsmodul (HSM) unterstützt. Durch das HSM können auch Behörden und andere auf Hochsicherheit bedachte Nutzer ihr maximales Sicherheitsniveau realisieren.

Manche Nutzer machen sich Sorgen, ihre Anwendungen und Services können langsamer werden, wenn sie konsequent Verschlüsselung verwenden. Ist diese Sorge berechtigt?

Gore: Nein, denn heutzutage gibt es keinen Performance-Verlust, wenn man Verschlüsselung verwendet. Wenn man an die Absicherung des Edge Computing denkt, wo Milliarden von Endgeräten Server-los Daten erzeugen und verarbeiten, dann ist dies von großer Bedeutung.

Wie und in welchem Umfang unterstützt AWS die Open-Source-Gemeinde?

Gore: Unsere Open-Source-Unterstützung erstreckt sich auf bestimmte Services und Organisationen wie die Apache Foundation. Zudem finden Entwickler und Data Scientists auf dem AWS Marketplace Machine Learning Algorithmen und vortrainierte Modelle, die auch für Branchen wie etwa Medizin oder Handel zugeschnitten sind. AWS versteht sich grundsätzlich als neutral, niemand wird bevorzugt oder benachteiligt.

Welche Services haben Sie bereits der Community übergeben?

Gore: Dazu gehört unter anderem der neue Elastic Kubernetes Service (Amazon EKS), aber auch der Service Firecracker, das auf FreeRTOS läuft und seit Dezember 2018 verfügbar ist. Firecracker startet in rapidem Tempo MicroVMs, die auf Linux KVM aufsetzen. Firecracker ist seit Ende 2018 ein neues Virtualisierungs- und Open-Source-Projekt zur Ausführung von Mehrmandanten-Container-Workloads.

Für Amazon ist die neutrale Kollaboration tonangebend. Daher liefern wir der Entwicklergemeinde beispielsweise im Bereich Analytics Algorithmen, optimierte Bibliotheken und vortrainierte Modelle, die dem TENSOR-Projekt helfen sollen. Apache MXNet für Deep Learning ist mittlerweile ein Open-Source-Projekt. Amazon investiert hier und hat dafür gesorgt, dass dieses Neuronale Netzwerk nur geringen Overhead für Deep-Learning-Cluster-Computing aufweist.

Die zugehörige Programmierschnittstelle (API) ist Gluon, mittlerweile ebenfalls ein Open-Source-Projekt geworden. Die API verfügt über eine Programmiersprache für den Aufbau eines Distributed Neural Networks (DNN) sowie über Libraries. Entwicklerfreundlich sind alle diese Produkte insofern, als alles an ihnen leicht verständlich sein soll.

Mit welcher Amazon-Infrastruktur können Entwickler in Deutschland rechnen, damit sie hier Anwendungen installieren und betreiben können?

Gore: Die AWS-Infrastruktur in Deutschland ist recht umfangreich. Die AWS-Region EU/Frankfurt am Main verfügt über drei Availability-Zonen, die seit Oktober 2014 gestartet wurden. Sie weist mittlerweile zwölf Edge Locations auf, davon allein acht in Frankfurt am Main. Die anderen sind in Berlin und München. Ebenfalls in Frankfurt gibt es seit 2016 einen Regional Edge Cache, damit der Datenverkehr performant ist.

Ist Deutschland auch als Entwicklungsstandort interessant?

Gore: Ja, Amazon betreibt in Deutschland vier AWS Development Centers, nämlich seit 2013 in Dresden, ebenso lange in Berlin sowie in Aachen und Tübingen.

Wie viele Kunden hat Amazon Web Services in Deutschland?

Gore: Über 80 Prozent der im DAX30 gelisteten Unternehmen nutzen AWS-Technologie, um ihre Geschäftstätigkeit weltweit zu unterstützen. Ich kann nur so viel sagen, dass AWS in Deutschland Zehntausende von aktiven Nutzern hat.

KI und Edge Computing im Fokus des AWS Summit Berlin 2019

AWS Summit Berlin 2019

KI und Edge Computing im Fokus des AWS Summit Berlin 2019

11.03.19 - Auf dem AWS Summit Berlin 2019 informierten sich rund 7000 Besucher in über hundert Sessions über die Neuheiten, die Amazon letzten November auf der Weltkonferenz re:Invent 2018 angekündigt hatte. Über 70 Sponsoren-Partner aus dem Amazon Partner Network (APN) stellten sich den neugierigen Fragen der Expo-Besucher. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45826528 / Content-Security)