AWS-Sicherheitsstrategie basiert auf strengen Verfahren für Cloud-Sicherheit

AWS-CISO Stephen Schmidt gab auf der AWS re:Invent-Konferenz interessante Einblicke in das Sicherheitskonzept von Amazon Web Services.

Dem für die Sicherheit bei Amazon Web Services zuständigen Manager ist nur zu bewusst: Die wichtigste Sorge von potenziellen wie bestehenden Kunden betrifft die  Sicherheit ihrer Daten. Daher unternimmt er alles, um die Systeme und Daten von Kunden besser zu schützen als sie es selbst könnten.

Man muss unbedingt unterscheiden zwischen dem, was wir für Sicherheit tun, und dem, was unsere Kunden tun können.

Stephen Schmidt, CISO, Amazon Web Services

In einer Veranstaltung bei der Konferenz „AWS re:Invent“ gab AWS-CISO Stephen Schmidt dem Publikum konkrete Einblicke in die AWS-Sicherheitsstrategie. Vor allem hob er die mühevolle Kleinarbeit hervor, die der Unternehmens-Gigant für Cloud-Computing in seinen Ansatz für Sicherheit und tägliche Praktiken investiert.

Dabei vergaß Schmidt allerdings nicht, bereits zu Anfang seines Vortrags auf die vom Unternehmen und seinen Kunden gemeinsam getragene Verantwortung hinzuweisen: „Es ist wichtig zu unterscheiden zwischen dem, was wir tun, und dem, was Sie auf Ihrer Seite tun“, so Schmidt. Er bezog sich damit auf die durch den Kunden zu klärende Frage hinsichtlich der Sicherheit seiner Plattformen, Anwendungen und letztlich auch der von ihm verwendeten Verfahren für den Zugriff auf die Daten. Demgegenüber ist AWS verantwortlich für die Sicherheit der Komponenten unterhalb der Ebene des Betriebssystems.

Weiter führte Schmidt aus: „Somit kann ein Unternehmen den Sicherheitsaspekten mehr Zeit und Aufmerksamkeit widmen, die ihm wichtig sind: etwa der Auswahl von Anwendungen, Konfiguration der Systeme sowie der Überwachung des Zugriffs auf Daten durch die Mitarbeiter.“

Natürlich birgt auch diese Aufgabe eine Reihe von Herausforderungen. Zum Thema Distributed Denial-of-Service (DDoS)-Angriffe verwies Schmidt auf die mehreren hundert Angriffe, die AWS jeden Tag für seine Kunden abwehrt, ohne dass diese dadurch beeinträchtigt würden. Dabei lässt sich jedoch oft nicht immer gleich sagen, ob es sich tatsächlich um einen DoS-Angriff handelt.

„Nach dem Tod von Michael Jackson nutzte beispielsweise eine Plattenfirma AWS, um eine Gedenk-Site für ihn zu erstellen. Der Datenverkehr zu diesen Ressourcen ist geradezu explodiert“, berichtete Schmidt. „Für uns sah das wie eine astreine DDoS-Attacke aus. Der Punkt ist dabei, dass wir den Datenverkehr nicht einfach blockierten, ohne erst einmal die Ursache hierfür zu ermitteln.“

AWS bietet zustandsorientierte wie zustandslose (stateful/stateless) Firewalls, abhängig von der jeweils verwendeten Infrastruktur. Standardmäßig verlangt AWS laut Schmidt von jeder gehosteten virtuellen Maschine eine installierte Firewall, die am Anfang erst einmal jeden Datenverkehr blockiert. Auf diese Weise hätten Kunden die Möglichkeit, passende Firewall-Regeln zu erstellen und so viele mögliche Angriffswege zu schließen.

Wie Schmidt weiter ausführte, fragen Kunden im Hinblick auf die Sicherheit häufig nach dem Paket-Fluss und ob nicht ein anderer Kunde mithilfe illegaler Scanner in der Lage wäre, den über die gleiche physische Maschine abgewickelten Datenverkehr auszuspähen. Dies ist Schmidt zufolge nicht möglich, da der Datenverkehr erst die Firewall- und Hypervisor-Ebenen passieren muss, bevor er zu einem anderen Ziel weitergeleitet werden kann. Dabei spielt es keine Rolle, ob es sich um die gleiche physische oder eine andere virtuelle Maschine handelt, die sich die gleiche Hardware teilen.

Angesichts einer so großen verteilten Infrastruktur mit fünf globalen Regionen, 15 Verfügbarkeitszonen und Dutzenden Standalone-Anlagen ist ein sorgfältiges Change-Management erforderlich. Wie Schmidt erläuterte, werden Änderungen an Software oder Konfiguration zuerst in einer Testumgebung vorgenommen, bevor sie auf eine Beta-Umgebung und anschließend auf eine einzelne Produktionsmaschine übertragen werden. Erst im letzten Schritt erfolgt dann die Implementierung für alle Maschinen einer Verfügbarkeitszone, die mehrere physische Standorte in einer geografischen Region umfassen kann. Falls keine Probleme auftreten, werden die Änderungen schließlich für eine andere Verfügbarkeitszone in einer weiteren Region übernommen.

„Wir führen Änderungen nicht in zwei Verfügbarkeitszonen in der gleichen Region gleichzeitig durch“, erklärte Schmidt. „Schließlich erwarten unsere Kunden, sich auf mehrere Verfügbarkeitszonen verlassen zu können.“

Speziell in Bezug auf die Daten-Integrität des S3 Simple Storage Service von Amazon erklärte Schmidt, dass alle in den Speicher aufgenommenen Daten-Objekte mit einem MD5-Hash verschlüsselt werden. Diese Hashes ermöglichen dem Unternehmen zu überprüfen, ob die Daten über ihre gesamte Lebensdauer in S3 hinweg intakt bleiben.

Noch einmal wies Schmidt ausdrücklich auf die Transparenz des AWS-Sicherheitsprogramms hin. So könne ein AWS-Kunde auf Wunsch sogar minütlich einen API-Scan durchführen, um den Status seiner Cloud-Assets zu bestätigen. Zudem vertraut das Unternehmen auf mehrere externe Prüfer, die seine Sicherheitsmaßnahmen kontrollieren.

„Es handelt sich um eine Reihe unabhängiger Prüfungen durch externe Auditoren mit einwandfreiem Ruf in der Branche. Hinsichtlich der Frage, ob wir für effiziente Sicherheitsverfahren sorgen, können sich unsere Kunden somit voll und ganz auf deren Urteil verlassen“, sagte Schmidt. „Wir können schlecht 9.000 Kunden kreuz und quer durch unsere Rechenzentren laufen lassen, damit sie sich selbst von unseren Sicherheitsmaßnahmen überzeugen. Daher erledigen das die externen Prüfer für sie.“

Die unabhängigen Auditoren prüfen die Einhaltung einer Reihe von Standards wie SOC1 und SOC2, ISO 27001, FISMA und PCI DSS durch AWS. „Aus naheliegenden Gründen ist PCI für Amazon.com – einen unserer größten Kunden – extrem wichtig“, sagte Schmidt. „So können auch Sie AWS für Ihre geschäftlichen Aktivitäten genauso effektiv nutzen wie Amazon.com.“

Hinsichtlich der physischen Sicherheit, die laut Schmidt „das Fundament für alle unsere Aktivitäten bildet“, verwies er unter anderem auf die Verschwiegenheit von AWS. So gibt das Unternehmen den genauen Standort seiner Rechenzentren nicht preis, und sogar die eigenen Mitarbeiter sind größtenteils nicht darüber informiert.

Dazu Schmidt: „Unsere Mitarbeiter können zwar eine geografische Region benennen, und für unsere Audits geben wir auch den Namen der jeweiligen Stadt heraus. Allerdings erfährt niemand eine genaue Anschrift, da unsere Mitarbeiter diese Information für ihre Arbeit nicht benötigen. Warum sollten wir sie dann preisgeben? Das würde nur die Sicherheit unserer Kunden gefährden.“

Die strengen Vorgaben des AWS-Sicherheitsprogramms werden interessanterweise auch auf das Sicherheitspersonal angewandt. Kandidaten werden Schmidt zufolge umfassend und soweit gesetzlich zulässig überprüft. Von Interesse sind hierbei der finanzielle Hintergrund oder mögliche Einträge ins Strafregister sowie die Häufigkeit, mit der ein Bewerber den Wohnort wechselt. Auch im Falle einer Einstellung werden die Mitarbeiter in regelmäßigen Abständen überprüft.

Wie Joe Stevensen, Sicherheitsmanager eines bekannten Software-Unternehmens und Teilnehmer der Konferenz berichtet, war die Sitzung sehr informativ und ausführlich. Allerdings seien hauptsächlich solche Informationen erläutert worden, die Kunden von AWS bereits bekannt gewesen seien.

Auf der anderen Seite lobte Stevensen AWS für sein Sicherheitsprogramm und vor allem für seine Maßnahmen im Bereich Identitäts- und Zugriffsmanagement. Diese bezeichnete er als „Schlüsselmerkmal, durch das sich AWS von seinen Mitbewerbern abhebt“.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close