IAM-Tools von AWS sind für die Sicherheit von Cloud-Diensten unverzichtbar

Techniken für Identitäts- und Zugriffsmanagement (IAM) sind unverzichtbar für die Sicherheit von Cloud-Diensten.

Am Mittwoch fanden bei der Konferenz „AWS re:Invent“ in Las Vegas die technischen Sitzungen zu Sicherheitsfragen statt. Wenn es dabei ein klares Thema gab, dann dieses: den korrekten Einsatz von IAM-Tools und Best Practices für den Schutz von AWS Cloud-Umgebungen.

Ohne mehrstufige Authentifizierung ist Ihr Root-Account im Grunde genommen nur durch ein Passwort geschützt.

Jim Scharf, Leiter Identity und Access Management, AWS

So sprach Max Ramsay, Principal Security Solutions Architect bei AWS, über die CSIS 20 Critical Security Controls des SANS Institute als Basis für die Sicherheit der Cloud-Umgebung von Amazon Web Services (AWS). Insbesondere Techniken für Identitäts- und Zugriffsmanagement (IAM) seien entscheidend dafür, diese 20 Sicherheitsmaßnahmen umsetzen zu können.

So empfahl Ramsay für CC1 (Liste aller autorisierten sowie nicht autorisierten Geräte) die Verwendung der IAM-Tools von AWS zur Trennung von Aufgaben. Dadurch könnten nur Personen mit entsprechender Berechtigung Services erstellen und starten.

Seiner Meinung nach ist dies auch hilfreich für CC12 (kontrollierter Einsatz von Administratorrechten), um bestimmte Zugriffsebenen für Dritte und temporäre Nutzer zu erstellen. Beispielsweise können so mit bestimmten Aufgaben betraute Subunternehmer mit eingeschränkten Zugriffsrechten ausgestattet werden. Hingegen kann Auditoren eine reine Leseberechtigung erteilt werden, die ihnen Einblicke in die gesamte Infrastruktur ermöglicht, jedoch keinerlei Änderungen daran erlaubt.

Jim Scharf, Director of Identity and Access Management bei AWS, referierte über die spezifischen IAM-Funktionen von AWS. Demnach versucht das Unternehmen mit dem Design seiner IAM-Verwaltung, Cloud-unerfahrenen Nutzern und Startup-Unternehmen eine möglichst einfache Lösung zu bieten. Gleichzeitig verfüge diese über zahlreiche Funktionen für Feintuning, um auch großen Unternehmen alle benötigten Funktionen zur Verfügung zu stellen.

Scharf führte konkrete Beispiele für diverse Detail-Einstellungen an: Vergabe einer reinen Leseberechtigung an Nutzer für Dateien des Amazon Simple Storage Service (S3); zeit- und ortsabhängige Zugriffsberechtigungen, so dass ein Nutzer nur von einem bestimmten Standort aus und zu einer bestimmten Tageszeit auf die Services zugreifen kann; schließlich eine verpflichtende mehrstufige Authentifizierung vor Erteilung der Zugriffsberechtigung auf bestimmte Dateien.

Als Fallbeispiel für die Unterstützung von geschäftlichen Funktionen durch AWS nannte Scharf einen Unternehmer, der den Geschäftsbereichen seines Startup-Unternehmens unterschiedliche Zugriffsberechtigungen erteilen muss. Der IT-Abteilung ließen sich schnell umfassende Zugriffsberechtigungen für alle Systeme erteilen. Diese Gruppe benötigt auch sogenannte Zugriffsschlüssel-IDs, die für jeden Nutzer erstellt werden müssen, damit sie auch Services von anderen AWS-Diensten aufrufen können.

Die Vertriebs- und Marketing-Teams dagegen, so Scharf weiter, benötigen lediglich grundlegende Leserechte. Der Provisionierungsprozess lasse sich in diesem Fall mithilfe einer AWS-Vorlage beschleunigen. Im Gegensatz dazu sind für die Gruppe der Entwickler fein definierte Berechtigungen für den Zugriff auf eine Vielzahl von Systemen und Dateien erforderlich. Mit der Funktion zur Generierung von Richtlinien lassen sich hier eigene Regeln erstellen.

Laut Scharf ist die Provisionierung von Nutzern innerhalb weniger Minuten erledigt, wobei das System standardmäßig keinerlei Berechtigungen erteilt. Daher muss der Administrator nach Erstellung eines Benutzerkontos auch die entsprechenden Zugriffsrechte definieren – ein Schritt, der als zusätzliche Kontrolle dient.

Scharf erläuterte auch die IAM-Rollen für EC2, eine in diesem Jahr schon angekündigte Funktion zur einfacheren Erstellung von Instanzen in der Elastic Compute Cloud (EC2) von Amazon. Die Zugriffsrechte für EC2-Instanzen werden automatisch erteilt, um Anwendungen auf EC2 einen sicheren Zugriff auf die Programmier-Schnittstellen der Service-Anwendungen von AWS zu ermöglichen.

Darüber hinaus führte Scharf aus, wie sich in großen Unternehmen mithilfe mehrerer integrierter Funktionen sicherstellen lässt, dass der Zugang zu den Amazon Web Services in Übereinstimmung mit den internen Richtlinien erfolgt. So können beispielsweise  Anforderungen zur Länge von Kennwörtern ebenso festgelegt werden wie eine mehrstufige Authentifizierung über ein Token oder eine Smartphone-App. Sogar Nutzern ohne Administratorrechte kann eine Berechtigung zum selbstständigen Ändern ihrer  Kennwörter erteilt werden.

Als besonders wichtigen Aktionspunkt empfahl Scharf allen AWS-Kunden, standardmäßig eine mehrstufige Authentifizierung für ihre Root-Accounts vorzusehen. „Ohne mehrstufige Authentifizierung ist Ihr Root-Account im Grunde genommen nur durch ein Passwort geschützt. Das ist nicht gerade optimal“, so Scharf. „Sie sollten noch vor dem Ende dieser Konferenz alle Ihre Konten durch eine mehrstufige Authentifizierung schützen. Das meine ich ernst.“

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close