Tipps zur Planung effektiver Security- und Schwachstellen-Scans für AWS

Auch wenn die Infrastruktur von AWS gehostet wird, müssen regelmäßig Security-Scans durchgeführt werden. Diese Tipps helfen bei der Konfiguration.

AWS (Amazon Web Services) stellt zwar bereits einen robusten Satz an Kontrollmechanismen auf seiner eigenen Infrastruktur zur Verfügung, trotzdem sollten Sie sich darüber bewusst sein, dass die Verantwortung für die Security individueller Server beim Kunden oder Client und nicht bei Amazon liegt.

Dieser Unterschied wird nicht immer richtig verstanden. Es wäre für Amazon nicht realisierbar, das Security-Management der gesamten Infrastruktur zu übernehmen. Dazu würde Amazon als Cloud-Provider beispielsweise Administrator- oder Root-Rechte für jeden Server benötigen. Aus Sicht des Datenschutzes ist so ein Szenario ein Alptraum.

Die Infrastruktur, die von Amazon verwaltet wird, wird natürlich regelmäßig auf Sicherheitsprobleme getestet. Das schließt allerdings IP-Adressen aus, die Ihr Unternehmen kontrolliert. IP-Adressen innerhalb von AWS sollte man genauso wie private oder öffentliche IP-Adressen behandeln. Die im Unternehmen geltenden Richtlinien für das Management der Sicherheitsschwachstellen sollte man also so erweitern, dass auch in AWS gehostete Server einbezogen sind.

In diesem Tipp erörtern wird, was Unternehmen tun müssen, um Ihre Verpflichtung bei Shared-Responsibility-Modellen zu erfüllen, wenn es um das Scannen von Schwachstellen in AWS geht.

Security- und Schwachstellen-Management bei AWS

Die beste Methode für das Security- und Schwachstellen-Management in AWS ist die Installation einer virtuellen Instanz als Appliance für das Schwachstellen-Scanning direkt in AWS. Mögliche Optionen hierfür bieten Qualys oder Tenable Network Security. Bei AWS benötigt man in der Regel eine Erlaubnis, um jegliche Form von Schwachstellenbewertung auf Servern innerhalb von AWS laufen zu lassen. Durch die Installation einer virtuellen Appliance innerhalb der Instanz des Unternehmens lässt sich diese Anforderung aber umgehen.

Weitere Artikel zu AWS:

Tipps zur Kostenoptimierung für AWS Reserved Instances

AWS und Co.: Wie steht es um die Transparenz in der Cloud?

So lässt sich Multifaktor-Authentifikation für AWS konfigurieren

Es kommt allerdings ein bisschen darauf an, welches Preismodell Sie gewählt haben. Die Appliance lässt sich dann so einstellen, dass sie Scans in einem beliebigen Rhythmus durchführt. Gibt es entsprechende Administrator- (für Windows) oder Root-Rechte (unter Linux/Unix), kann der virtuelle Scanner ein gewisses Patch-Niveau für beide Betriebssysteme, für Software von Drittanbietern und auch für Schwachstellen in der Systemkonfiguration bereitstellen.

Virtuelle Appliances für das Scannen von Schwachstellen sind normalerweise in der Lage, private und öffentliche IP-Adressen innerhalb von EC2 (Elastic Compute Cloud) und Amazon VPC (Virtual Private Cloud) zu scannen. Das gilt auch für private IP-Adressen, die mit Amazon via IPSec VPN verbunden sind und öffentliche IP-Adressen im Internet. Die Appliance lässt sich über Amazon Marketplace erwerben und wird via AMI (Amazon Machine Image) ausgeliefert.

Sobald man eine AWS-Subscription abgeschlossen hat, lässt sich die AMI-Instanz über die AWS-EC2-Konsole (sie ist durch die Management-Konsole in AWS erreichbar) starten. Die Subscription einer virtuellen Appliance für das Schwachstellen-Scanning setzt normalerweise eine existierende AWS-Subscription für die entsprechende Scan-Software voraus.

Die Kosten für den Betrieb der virtuellen Appliance zum Schwachstellen-Scanning lassen sich in zwei Teile aufschlüsseln. Zunächst einmal benötigen Sie eine eigene Lizenz für das Amazon Machine Image. Dann bezahlen Sie noch eine Gebühr an AWS, um die Appliance laufen lassen zu können. Diese Gebühr deckt die Kapazitäten für das Computing ab, was den Löwenanteil ausmacht. Zudem sind hierbei die Daten enthalten, die nach innen und außen transportiert werden.

Nach dem Schwachstellen-Scan

Die Schwachstellen-Scans unter AWS laufen zu lassen ist dabei natürlich nur der erste Schritt. Unternehmen müssen zusätzlich sicherstellen, dass sie die technische Expertise besitzen, um die Resultate der Scans richtig interpretieren zu können. Die Schwachstellen-Scanner sind nützliche Tools, aber Sie sind auch fehleranfällig. Zudem können die Tools alleine auch die Bedeutung der gefundenen Schwachstellen für das eigene Unternehmen nicht bewerten. Mit diesem Wissen im Hinterkopf sollte das Schwachstellen- und Security-Scanning ein wesentlicher Bestandteil jeder auf AWS gehosteten Infrastruktur sein.

Über den Autor:
Rob Shapland ist Penetrationstester bei First Base Technologies und dort auf Security für Webapplikationen spezialisiert. Während seiner Laufbahn hat er schon Websites von sehr großen und auch kleinen Unternehmen getestet und dafür verschiedene Webtechnologien eingesetzt. Er ist der festen Überzeugung, dass sämtliche Penetrationstests im Kern manuell ablaufen sollten. Automatisierte Tools kann man als unterstützende Maßnahmen zu Rate ziehen. Shapland beschäftigt sich außerdem mit Netzwerktests und Social Endineering.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close