rvlsoft - Fotolia

F

Wie zwei neue AWS APIs die Cloud-Security verbessern

Zwei neu veröffentlichte AWS APIs simulieren IAM-Richtlinien für Sicherheitstests. Damit lassen sich Richtlinien simulieren, bevor man sie einsetzt.

Amazon Web Services (AWS) hat zwei neue APIs für das Identity und Access Management (IAM) veröffentlicht, mit denen sich IAM-Richtlinien simulieren lassen. Wie funktionieren diese AWS APIs? Wie häufig sollten IAM-Richtlinien und Berechtigungen für den Cloud-Zugriff getestet werden, um sicherzustellen, dass sie richtig funktionieren?

Die neuen AWS APIs ermöglichen Anwendern das Testen einer Reihe von Aktionen, wie zum Beispiel das Ändern eines Passworts für ein Benutzerkonto, gegenüber Richtlinien, bevor sie in einer Produktivumgebung zum Einsatz kommen. Hierfür können Nutzer die IAM-Richtlinien simulieren. Die AWS APIs zeigen, was passieren würde, wenn jemand tatsächlich versucht, eine Aktion mit bestimmten Anmeldedaten auszuführen. Der Simulator ändert dabei nichts an der AWS-Umgebung oder Konfiguration.

Die zwei APIs des IAM-Richtliniensimulators sind iam:SimulatePrinciplePolicy und iam:SimulateCustomPolicy. Die erste API wird verwendet, um vorhandene Richtlinien für Nutzer und Ressourcen zu evaluieren, während die zweite für den Einsatz von Richlinien gedacht ist, die noch nicht auf einen Nutzer, eine Gruppe oder Rolle angewendet wurden.

Ruft man eine Simulation im Richtliniensimulator auf, werden ein Benutzer, Gruppen oder Rollen ARN (Amazon Resource Name) und eine Reihe von Richtlinien getestet. Der Aufruf muss API-Aktionsnamen beinhalten, die während der Simulation aufgerufen werden. Optional lässt sich eine Liste von ARNs angeben, die Objekte auflistet, welche gegen Aktionen getestet werden sollen. Einige Richtlinien enthalten Kontrollen für bestimmte Bedingungen. Für diese Richtlinien kann eine Liste von Kontextschlüsseln und Werten zur Verfügung gestellt werden, die als Bewertungskriterien während der Simulation dienen.

Wie bei anderen AWS APIs auch, lassen sich diese Funktionen über Kommandozeilen aufrufen. Die übliche AWS Befehlszeilenkonfiguration ist dabei erforderlich (zum Beispiel indem AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY spezifiziert werden). Die API-Funktionen erzeugen als Ausgabe das Ergebnis der Simulation. Dazu gehören zum Beispiel Details wie die Entscheidungsauswertung (zum Beispiel erlaubt oder verweigert), Aktionsnamen, angepasste Statements innerhalb der IAM-Richtlinie und der ausgewertete Ressourcenname.

Die Testfrequenz hängt von den Sicherheitsanforderungen und der Risikotoleranz ab. Eine gute Praxis ist, Simulationen nach einer großen Anzahl von Änderungen auszuführen, und anschließend in regelmäßigen Abständen, um weitere Änderungen zu testen. Nutzer, die von einem bestimmten Ereignis betroffen sind, wie zum Beispiel Änderungen an einem Konto mit Administrations-Rechten, sollten über eine CloudTrail-Benachrichtigung nachdenken.

Mehr zum Thema AWS-Sicherheit:

Netzwerk-Sicherheitsmaßnahmen für AWS-Cloud-Ressourcen.

Datensicherheit und gemeinsame Verantwortung in Amazon Web Services (AWS).

Modell für Cloud-Sicherheit von AWS basiert auf geteilter Verantwortung.

IAM-Tools von AWS sind für die Sicherheit von Cloud-Diensten unverzichtbar.

AWS-Sicherheitsstrategie basiert auf strengen Verfahren für Cloud-Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close