Der Logging-Service Amazon CloudTrail verändert das Log-Management in der Cloud

Mit CloudTrail bietet Amazon einen Service an, mit dem sich das Event-Management für IT-Ressourcen in der Cloud einfacher verwalten lassen soll.

Dieser Artikel behandelt

Cloud-Sicherheit

Logging und Event-Management waren lange Zeit das größte Sicherheitsproblem für Cloud-Anwendungen. Security-Teams...

haben viele Fragen über Best Practices für die Cloud gestellt. Die meisten davon lassen sich nicht einfach beantworten:

  • Unterstützen IaaS-, PaaS- und SaaS-Umgebungen detaillierte Log-Generierung , wie das bei internen Anforderungen der Fall ist?
  • Sollte man Log-Management-Plattformen im selben Cloud-Netzwerk platzieren wie eigene Systeme? Lassen sie sich überhaupt in der Cloud betreiben?
  • Wie speichert man Log-Daten auf sichere Weise? Wie passt das zu unseren Anforderungen für die Lebensdauer der Daten?
  • Wie sieht es mit API Logging (Application Programming Interface) sowie Applikations-orientierten Logs aus?

Diese Liste ist lediglich oberflächlich formuliert. Nur selten können Security-Teams eigene Logging-Architekturen und -Anforderungen im Netzwerk eines Cloud-Providers einsetzen oder implementieren. Vor kurzem hat Amazon Web Services (AWS) allerdings einen neuen Service veröffentlicht, der sich CloudTrail nennt. Damit möchte AWS die Art ändern, wie man Cloud-Logging ausführt und verwaltet.

In diesem Tipp erklären wir, was CloudTrail ist, wie es funktioniert und warum es das Cloud-Event-Management in AWS-Umgebungen vereinfacht.

Amazon CloudTrail im Überblick

Wirft man einen Blick auf Amazons Security-orientierte Services, ist CloudTrail der erste Zusatz seit einiger Zeit. CloudTrail ist ein neuer Logging-Service, der sämtliche API-Calls an AWS aufzeichnet.

Der Service erfasst eine beträchtliche Menge Daten, die für Security-Profis bedeutend sind. Dazu gehören Benutzeridentität des API-Calls, Zeit, Quell-IP-Adresse, Anfrage- und  Antwort- Parameter, die der AWS-Service zurücksendet. CloudTrail loggt alle Anfragen, die von der Standard-AWS-Management-Konsole ausgehen. Das gilt auch für Kommandozeilen-Tools, sämtliche AWS-SDKs (Software Development Kits) und andere AWS-Services.

CloudTrail kann eine der größten Herausforderungen lösen, auf die Security-Team bei einer Migration von IT-Ressourcen zu Amazon stoßen. Ab sofort können Sie Ereignisdaten sammeln und verwalten. Die Daten lassen sich in existierende Log-Management- und SIEM-Plattformen (Security Information and Event Management) importieren. Viele Unternehmen haben nicht unbeträchtliche Summen in Log-Management- und SIEM-Systeme investiert. Damit sollen Security-Vorfälle aus vielen Systemen aggregiert und in einen Zusammenhang gestellt werden. Bisher haben Security-Teams nach Wegen gesucht, diese Log-Daten aus Cloud-Umgebungen zu sammeln.

CloudTrail verwendet Amazon S3 als Storage für Log-Daten. Somit können Security-Teams die gleichen APIs anwenden, um auf die Daten zuzugreifen und diese für interne Korrelation und Aggregierung zu verwenden. Log-Daten lassen sich auch automatisch nach einer bestimmten Zeit löschen. Ebenso ist eine Archivierung auf internes Storage oder zusätzliche Amazon-Services wie Glacier möglich, sollten Sie die Daten länger aufheben wollen oder müssen. Eine Aggregation der Log-Daten ist Konten- und Regionen-übergreifend möglich. Das gilt auch für automatische Warnungen und Benachrichtigungen, sollten bestimmte Ereignisse eintreffen.

Security-Vorteile von CloudTrail

AWS hat vor kurzer Zeit ein Whitepaper veröffentlicht, das die Security-Vorteile von CloudTrail beschreibt. Darin geht es auch um potenzielle Kontrollen für die Konformität und Anforderungen, die durch Nutzung des Services eingehalten werden. Zugriff auf die in den S3 Buckets gespeicherten CloudTrail-Logs lassen sich einschränken. Dafür verwenden Sie die gleichen Rollen-basierten AWS-IAM-Policies, die Sie als Unternehmen möglicherweise schon im Einsatz haben. Schließlich können Sie Multifaktor-Authentifizierung nutzen.

Amazon hat CloudTrail auch eine Alarmfunktion spendiert. Damit erhalten Admins eine Nachricht, wenn der Service Log-Archive generiert. Diese Warnungen können und sollten erzeugt werden, wenn das Logging falsch konfiguriert ist oder wenn sich Logs nicht angemessen generieren. Im Anschluss hat der Adminstrator die Möglichkeit, auf die fehlgeschlagene Log-Erzeugung oder die falsche Konfiguration zu reagieren. Dafür gibt es Links oder Adressen zu S3 Buckets, die dann weiterführende Daten anzeigen.

CloudTrail-Logs werden per Standard verschlüsselt, bevor Sie in ein S3 Bucket wandern. Dazu verwendet Amazon S3 Server Side Encryption (SSE). Da Firmen die Lebensdauer und Speicherung der AWS-Log-Dateien kontrollieren können, hilft dies bei der Einhaltung der Konformität. Log-Dateien lassen sich mit einem Verfallsdatum versehen oder unendlich aufheben.

Das Log-Reporting lässt sich an eigene Bedürfnisse anpassen. Die Berichte können Informationen über Authentifizierung, Autorisierung von Rollen sowie Daten über den Missbrauch von Privilegien enthalten. Wie schon angesprochen, sind viele Details über API Calls abrufbar. Dazu gehören unter anderem Kontodaten, Objekte und Ereignisse.

CloudTrail ist eine innovative Lösung, die ein schwieriges Problem lösen soll: Das Loggen von Events in einer Cloud-Umgebung und dem Speichern dieser Daten auf einfache Weise. Viele Unternehmen haben intern bereits eine umfassende Logging-Infrastruktur implementiert. Bisher war es problematisch, die Logs von einem Cloud-Service in die primären Logging-Plattformen zu importieren. Mit CloudTrail können Sie Logs wesentlich einfacher generieren, speichern und archivieren. Somit lässt sich das Ereignis-Management in der Cloud endlich mit existierenden Log-Management- und SIEM-Systemen integrieren.

Über den Autor: Dave Shackleford ist der Eigentümer und leitender Consultant von Voodoo Security. Er hat bereits mehrere Hundert Unternehmen in den Bereichen Security, Compliance und Netzwerk-Architektur beraten. Zudem ist er erfahrener VMware-Experte für das Design und die Konfiguration von sicheren virtualisierten Umgebungen. Shackleford hat als CSO für Configuresoft, als CTO beim Center for Internet Security und für diverse Fortune-500-Unternehmen als Security-Architekt, Analyst und Manager gearbeitet. Er ist Autor des Buchs “Virtualization Security: Protecting Virtualized Environments” sowie Co-Autor von “Hands-On Information Security” von Course Technology. Vor kurzem war er Co-Autor für die Erstausgabe des vom SANS-Institut entworfenen Kurses über Virtualisierungs-Security tätig. Derzeit ist er im Vorstand des SANS Technology Institutes und unterstützt die Leitung der Cloud Security Alliance.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close