Suchen

#AWSChannelNews Security und Compliance in der AWS-Cloud

Wie sicher sind Daten in der AWS-Cloud? Welche Kontrolle haben Kunden, insbesondere dann, wenn sie Services über mehrere Regionen hinweg nutzen? Es lohnt sich, die Strukturen und Anforderungen des Hyperscalers genauer zu betrachten.

Firmen zum Thema

Shared Responsibility und Encrypt Everything - AWS nutzt verschiedene Methoden, um die Daten seiner Kunden bestmöglich zu schützen.
Shared Responsibility und Encrypt Everything - AWS nutzt verschiedene Methoden, um die Daten seiner Kunden bestmöglich zu schützen.
(Bild: Sergey Nivens - stock.adobe.com)

„Dance like nobody’s watching, encrypt like everyone is.“ Dieses Zitat von Werner Vogels, CTO bei Amazon, bringt die Maxime des Cloud-Anbieters auf den Punkt. Sicherheit ist für den Hyperscaler ein geschäftskritisches Qualitätskriterium.

Die Struktur des Hyperscalers

In der AWS-Cloud stehen mehr als 175 Services bereit, aktuell in 24 Infrastruktur-Regionen mit 74 so genannten Verfügbarkeitszonen, die isolierte Partitionen der Plattform darstellen. Globale Reichweite und Skalierbarkeit ermöglichen es Kunden, ihre Applikationen unter Berücksichtigung lokaler Compliance-Vorgaben und bei hoher Verfügbarkeit zu betreiben. AWS lässt Dienste zu verschiedenen Compliance-Programmen wie PCI DSS, ISO 27001 oder SOC 1/2/3 zertifizieren. Diese Zertifizierungen werden regelmäßig von unabhängigen Auditoren überprüft, wobei die zugehörigen Prüfberichte in der AWS-Webkonsole eingesehen werden können. Für Unternehmen in Deutschland ist dabei besonders wichtig: AWS-Dienste können in Übereinstimmung mit der DSGVO genutzt werden, und der Anbieter unterstützt seine Kunden mit Services und Ressourcen dabei, die Vorgaben der Verordnung zu erfüllen. Zudem sind viele Dienste und Regionen gemäß dem Cloud Computing Compliance Criteria Catalogue (C5-Kriterienkatalog) des BSI testiert.

Shared Responsibility

Der Cloud Provider bietet Kunden eine Reihe von Diensten an, mit denen sie Risiken adressieren können, wie beispielsweise den AWS Key Management Service (KMS) zur Verschlüsselung, AWS Cloudtrail zur Überwachung von Ereignissen oder Amazon GuardDuty zur kontinuierlichen Erkennung von Bedrohungen. Wie aus dem aktuellen „AWS Shield Threat Intelligence Report“ hervorgeht, schützt der Anbieter seine Kunden vor Gefahren aus dem Netz und unterstützt sie dabei, den Schutz ihrer eigenen Workloads zu verbessern. Viele dieser Sicherheitsdienste werden durch die große Menge an Rechenkapazität und Bandbreite bei AWS ermöglicht, deren Investitionskosten sich für einzelne Unternehmen nicht rechnen würden. Allerdings müssen die Kunden ihren Teil zur Sicherheit beitragen: Der Hyperscaler unterscheidet seine Verantwortung für die „Sicherheit der Cloud“, für den Schutz der Infrastruktur, auf der die AWS-Dienste bereitgestellt werden, von der Verantwortung der Kunden für die „Sicherheit in der Cloud“: Unternehmen müssen ihre Anwendungen, die sie auf der Plattform betreiben, und ihre Daten, die sie dort verarbeiten und speichern, selbst schützen. Dazu gehört zum Beispiel, dass sie Firewalls konfigurieren oder ihre Software updaten und patchen. Diese Aufgabenteilung wird als „Shared Responsibility Model“ bezeichnet.

Die Services

Die Sicherheitsdienste von AWS decken fünf Disziplinen ab. In die Kategorie Identity & Access Management fällt unter anderem der Service AWS Single Sign On (SSO), der den zentralen Zugriff auf mehrere Konten ermöglicht und sich mit Verzeichnisdiensten wie Azure Active Directory verbinden lässt. Zu den Erkennungskontrollen gehören neben GuardDuty und weiteren Diensten auch der AWS Security Hub als einheitliches Sicherheits- und Compliance-Zentrum sowie Amazon Detective zur Untersuchung potenzieller Sicherheitsprobleme. Für Infrastrukturschutz stehen Services wie AWS Firewall Manager und AWS Shield (DDoS Protection) bereit. In der Kategorie Datenschutz ist neben dem KMS der AWS Certificate Manager zur Verwaltung von SSL-/TLS-Zertifikaten ein weiterer zentraler Dienst. Compliance wird insbesondere durch AWS Artifact abgedeckt, ein kostenloses Self-Service-Portal, über das sich Reports abrufen lassen.

Regional und international

Die Nutzung von AWS ermöglicht es Unternehmen, Leistungen nahe an ihren Mitarbeitern in externen Niederlassungen und nahe an ihren Kunden zu erbringen, und zwar weltweit. Zum Beispiel kann ein deutscher Mittelständler seine IoT-Dienste mit niedriger Latenz für Kunden in Asien aus der AWS-Region Singapur bereitstellen, mit den gleichen Automatismen und Sicherheitsfunktionen wie in Deutschland, ohne dass er vor Ort ein Datacenter aufbauen und betreiben muss. Für Kunden und die sie betreuenden Partner ergeben sich schnellere Projektstarts und kürzere Umsetzungszeiten. Zudem können Unternehmen sich mehr auf ihre Applikationen und deren Funktionen fokussieren, anstatt sich um die Sicherheit von Rechenzentren zu kümmern, und das bei detaillierter Nachvollziehbarkeit der Ereignisse in den eingesetzten Diensten.

AWS verschlüsselt Daten auf unterschiedlichen Ebenen

Die Gefahr bei Hacker-Angriffen besteht weniger darin, dass Daten erbeutet werden, als dass lesbare Informationen in die falschen Hände geraten. Daher spielt Verschlüsselung aus Sicht von AWS eine eminent wichtige Rolle. Der Hysperscaler bietet dazu auf unterschiedlichen Ebenen technologische Möglichkeiten, mit denen sich Daten schützen lassen. Ihre Daten können Kunden entweder Client-seitig verschlüsseln, bevor sie Objekte in die Cloud hochladen, oder sie lassen die Daten auf Provider-Seite mit Hilfe von Tools wie dem AWS KMS verschlüsseln. Um die Übertragung von Daten abzusichern, bietet AWS die Möglichkeit, öffentliche und private SSL-/TLS-Zertifikate zu nutzen, mit denen sich die Netzwerkkommunikation verschlüsseln lässt. Grundsätzlich werden alle Daten, die über den Backbone fließen, der die weltweiten Rechenzentren des Cloud-Anbieters miteinander verbindet, automatisch auf der physischen Netzwerkebene verschlüsselt. Innerhalb von Virtual Private Clouds (VPCs) gibt es inzwischen ein weiteres Encryption-Verfahren, das auf Ebene der Nitro-Hardware von AWS implementiert ist. Darüber hinaus wird der Datenverkehr zwischen mehreren VPCs eines Kunden (VPC Peering Traffic) verschlüsselt, wenn die sich in verschiedenen Regionen befinden.

Dieser Beitrag wird im AWS Channel Guide 2020 zu lesen sein – zusammen mit vielen anderen spannenden Artikeln rund um den Hyperscaler und dessen Partnerökosystem. Freuen Sie sich schon jetzt auf die Lektüre des Hefts, das am 22. Juni mit Ausgabe 11/2020 der IT-BUSINESS und als E-Book bereits am 17. Juni zum AWS Summit Online erscheint!

(ID:46635958)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH