Laut Gartner werden bis 2025 90 % der Unternehmen, die die Nutzung der öffentlichen Cloud nicht kontrollieren, sensible Daten auf unzulässige Weise weitergeben. Eine andere Studie von Thales Global Cloud Security besagt, dass im Jahr 2021 40 % der Unternehmen von einer Cloud-basierten Datenpanne betroffen sein werden. Da immer mehr Unternehmen sensible Daten und Dienste in Cloud-Umgebungen verlagern, ist die Cloud-Sicherheit zu einem zentralen Anliegen der Kunden von Cloud-Speichern und anderen Dienstanbietern geworden.
Artikel von
Dmitry Vyrostkov
Leiter der Cybersicherheitsdienste
Viele Unternehmen setzen sich bei der Migration in die Cloud dem Risiko von Sicherheitsverletzungen und -vorfällen in der Cloud aus. Eine kürzlich durchgeführte Umfrage von Ermetic zeigt, dass fast 80 % der befragten Unternehmen in den letzten 18 Monaten mindestens eine Datenschutzverletzung in der Cloud erlebt haben, und 43 % berichteten von zehn oder mehr Verstößen. Es ist keine Überraschung, dass Cloud-Nutzer Bedenken haben, ihre kritischen Geschäftsdaten in der Cloud zu speichern. Wenn sich Ihre Anwendung in der Cloud befindet, ist jetzt der richtige Zeitpunkt, um ihre Integrität und Vertraulichkeit zu schützen. Die Frage lautet also nicht mehr: "Ist die Cloud sicher?", sondern vielmehr: "Welche Schritte muss ich unternehmen, um meine Daten in der Cloud zu schützen?"
Im Jahr 2022 wird mehr als die Hälfte der Unternehmensdaten in der Cloud gespeichert sein, und dieser Anteil wird weiter wachsen. Deshalb werden der Schutz sensibler Daten und die Vermeidung von Datenlecks und Datenschutzverletzungen wichtiger denn je sein.
Es gibt zahlreiche Cloud-Service-Anbieter auf dem Markt, doch Amazon Web Services (AWS) gehört mit einem Marktanteil von 33% zu den größten. In diesem Blogbeitrag erläutern wir, wie Sie ein AWS-Sicherheitsaudit durchführen und sicherstellen, dass die AWS-Umgebung Ihres Unternehmens so sicher wie möglich ist.
Was ist AWS?
AWS ist eine der beliebtesten Cloud Computing-Plattformen. Sie bietet eine äußerst zuverlässige, skalierbare und kostengünstige Infrastrukturplattform in der Cloud, die es Unternehmen erleichtert, ihren Betrieb weltweit und rund um die Uhr zu verwalten. AWS ist eine effiziente und sichere Lösung, die Unternehmen hilft, die wachsende Nachfrage nach digitalen Diensten zu befriedigen, ohne in eine teure IT-Infrastruktur zu investieren. DataArt ist ein AWS Advanced Consulting Partner, und unsere Teams haben zahlreiche Kunden bei der erfolgreichen Bewältigung ihrer Cloud-Transformation unterstützt und AWS-Sicherheitsaudits für sie durchgeführt.
Wie jeder Cloud-Service-Anbieter arbeitet AWS nach einem Modell der geteilten Verantwortung. Diese Vereinbarung ermöglicht es Unternehmen, die Verantwortung für Sicherheit und Compliance mit einem Cloud-Anbieter zu teilen. Was ist das Modell der geteilten Verantwortung, und welche Rollen spielen der Kunde und der Cloud-Anbieter in diesem Modell?
Was ist ein Modell der geteilten Verantwortung?
Nehmen wir an, Sie haben Ihre Anwendungen, Dienste und Datenspeicher von einem Rechenzentrum in eine Cloud migriert. Sie haben eine Firewall und wahrscheinlich einen VPN-Zugangspunkt eingerichtet. Sie haben auch gehört, dass Cloud-Konfigurationen im Allgemeinen sicherer sind als klassische On-Premises-Lösungen. Und Sie denken wahrscheinlich, dass Ihre Assets standardmäßig in Sicherheit sind. Stimmt das?
Leider lautet die Antwort "Nein". Ein Minimum an proaktivem Schutz reicht nicht aus, denn die Sicherheit der Cloud-Ressourcen ist eine gemeinsame Aufgabe von Ihnen als Cloud-Kunde und dem Cloud-Anbieter.
Ein Cloud-Anbieter ist in der Regel für die physische Sicherheit seiner Software, Hardware, Gebäude, Server, Hypervisor-Konfigurationen, verwalteten Dienste und die Überprüfung der Mitarbeiter verantwortlich.
Sie als Cloud-Kunde sind unter anderem verantwortlich für:
die Durchführung des digitalen Identitätsmanagements
die Festlegung, welche Mitarbeiter Zugang zur Cloud haben sollen
die Konfiguration von Diensten auf eine sichere Art und Weise, die mit den Sicherheitsrichtlinien des Unternehmens übereinstimmt
das Verhindern von Downloads sensibler Daten
Erkennen und Verhindern von Sicherheitsverletzungen.
Aber es gibt noch etwas mehr. Eine Reihe von Aufgaben wird zwischen dem Anbieter und dem Kunden aufgeteilt. Sie könnten als dedizierte Cloud-Services bereitgestellt oder teilweise implementiert werden, während der andere Teil, die Durchsetzung der AWS-Sicherheitsaudit-Tools, vom Kunden definiert werden sollte. Diese sind:
die Durchsetzung der Einhaltung externer Vorschriften
Verwaltung von Schwachstellen
Anwendung von Sicherheits-Patches
Aktualisierung von Betriebssystemen und Software
Gewährleistung der Netzwerksicherheit
Entwicklung ausgereifter Strategien für die Geschäftskontinuität und Notfallwiederherstellung.
Im Falle des AWS Shared Responsibility Model ist AWS für die Sicherheit und Compliance der Cloud verantwortlich. Im Gegensatz dazu ist der Kunde für die Sicherheit und Compliance in der Cloud verantwortlich.
Was beinhaltet ein AWS-Sicherheitsaudit?
In erster Linie ermöglicht ein Sicherheitsaudit eine umfassende Bewertung des Netzwerks und der Systeme des Unternehmens. Es ermutigt Sie dazu, die Infrastruktur Ihres Unternehmens aus einer anderen Perspektive zu betrachten, um:
Schwachstellen und Verwundbarkeiten zu entdecken
Schwachstellen aufzudecken, die durch neue Prozesse oder Technologien entstanden sind
zu ermitteln, wie Ihre bestehenden Lösungen funktionieren
Ihr aktuelles System zu verbessern.
Es ist wichtig, eine Prüfung gemäß den AWS-Sicherheits-Audit-Richtlinien durchzuführen und sich mit einem Experten zusammenzutun, da der Prozess beim ersten Mal eine Herausforderung sein kann. Hier finden Sie zum Beispiel einige Richtwerte und Empfehlungen, die bei Ihrem AWS-Sicherheitsaudit hilfreich sein können:
Sicherheitsaudits können auch von einem unabhängigen Drittanbieter, wie DataArt, durchgeführt werden. Wir bewerten Ihre Cloud-Infrastruktur und Sicherheitskontrollen und empfehlen Verbesserungen.
Warum ein AWS-Sicherheitsaudit durchführen?
Das AWS-Sicherheitsaudit wird durchgeführt, um sicherzustellen, dass das System und die Infrastruktur eines Unternehmens vor bekannten Schwachstellen geschützt sind. Es hilft den Beteiligten, Sicherheitslücken in ihrer AWS-Umgebung zu erkennen, indem alle Sicherheitskonfigurationen überprüft werden, und sicherzustellen, dass alle notwendigen Schritte zum Schutz der Daten unternommen wurden.
Cloud-Sicherheitsbewertungen sollten regelmäßig durchgeführt werden. Wir empfehlen, eine jährliche Cloud-Sicherheitsprüfung einzuplanen. Zumindest sollte ein Unternehmen ein Audit durchführen, wenn sich eine wesentliche Änderung auf seine Cloud-Sicherheitsumgebung auswirkt. Bei wesentlichen Änderungen oder der Entdeckung von Sicherheitsverstößen empfehlen wir, sofort ein Sicherheitsaudit durchzuführen.
Erstellen und pflegen Sie eine vollständige Liste der Assets
Ein AWS-Asset kann alles sein, das eine entsprechende Kennung hat: Rollen, Server, Richtlinien, Dateien oder Verzeichnisse. Sie müssen eine Liste dieser Assets erstellen, um zu bestimmen, wie diese Ressourcen zu schützen sind.
Sicheres IAM
Identitäts- und Zugriffsmanagement (IAM) ist die Sicherheitsdisziplin, die die Identitäten der Benutzer, Rollen und Richtlinien sowie die Zugriffsberechtigungen definiert. Unternehmen benötigen IAM, um das Prinzip der geringsten Privilegien und der gemeinsamen Verantwortung umzusetzen. Gegenstand von IAM sind Mitarbeiter, die die Cloud oder diese Dienste innerhalb oder außerhalb der Cloud verwalten und auf Daten und Ressourcen innerhalb Ihrer Cloud zugreifen müssen.
Das Prinzip der geringsten Privilegien soll die Auswirkungen von Benutzern verringern, die das Informationssystem, zu dem sie rechtmäßigen Zugang haben, versehentlich oder absichtlich missbrauchen könnten.
IAM-Richtlinien definieren die Grundsätze für den Zugriff auf bestimmte Ressourcen innerhalb der Cloud. Wie kann man also IAM sichern?
Verwenden Sie keine Root-Benutzer mehr. Kein einziges Benutzerkonto sollte unbegrenzte Berechtigungen und Zugriff auf Ihre Systeme haben.
Stellen Sie sicher, dass Sie eine starke Passwortrichtlinie für interaktive Anmeldungen konfigurieren. Die aktuellen Empfehlungen von Cloud-Anbietern lauten, Passwörter mit mindestens 14 Zeichen zu verwenden.
Erzwingen Sie eine Multi-Faktor-Authentifizierung (MFA). Sie muss für alle Benutzer mit Zugriff auf die Cloud-Konsole aktiviert sein. Es ist einfach, Soft-Tokens mit Anwendungen wie Google Authenticator auf einem mobilen Gerät zu verwenden, um alle 30 Sekunden temporäre Codes zu generieren und Ihnen einen zweiten Faktor zu geben. Alternativ können Sie auch Hardware-Tokens wie RSA SecureID verwenden.
Verwenden Sie das Prinzip der geringsten Privilegien. Dies ist ein wesentlicher Sicherheitsgrundsatz. Gewähren Sie Ihren Mitarbeitern keinen übermäßig freizügigen Zugang. Die gleiche Praxis sollte gelten, wenn Sie Berechtigungen für Cloud-Mitarbeiter oder Anwendungsdienste erteilen.
Verwenden Sie Instanzrollen. Programmieren Sie die Zugriffsschlüssel oder andere Anmeldeinformationen für eine Cloud-Anwendung nicht fest. Alle Clouds verfügen über einen Mechanismus, mit dem Ihre Anwendungen einen temporären Zugriffsschlüssel auf der Grundlage der zugewiesenen Rolle erhalten. Nutzen Sie diese Funktion und stellen Sie sicher, dass die Anwendung nur die Berechtigungen erhält, die sie benötigt.
Machen Sie es sich zur Gewohnheit, inaktive Anmeldedaten zu deaktivieren. Alles, was in den letzten 90 Tagen nicht verwendet wurde, untergräbt die Berechtigung. Es ist einfach, ein Lambda zu schreiben oder ein User Lifecycle Management zu implementieren, das sich um die Bereitstellung und Pflege von Benutzern kümmert.
Stellen Sie sicher, dass Sie die Zugangsdaten rotieren, insbesondere diejenigen, die an verschiedenen Stellen offengelegt werden können. So sind beispielsweise Schlüssel für den Fernzugriff auf Cloud-Ressourcen anfällige Endpunkte und sollten regelmäßig aktualisiert werden.
Stellen Sie sicher, dass das Cloud Audit Log global aktiviert ist
Jede Cloud verfügt über mehrere Arten der Protokollierung. Die erste Art sind die Cloud-Protokolle. Sie protokollieren Ressourcenänderungen, wie das Hinzufügen von VMs, Änderungen an Ressourceneinstellungen und Richtlinien usw. Die zweite Art sind Zugriffsprotokolle. Sie verfolgen Anfragen an Ihre Ressourcen, wie z.B. Regionsdateien, aus dem S3-Bucket namens Web API. Stellen Sie sicher, dass beide in allen Regionen weltweit aktiviert sind. Wenn Sie mehrere Cloud-Konten haben, ist es ratsam, ein weiteres Cloud-Konto mit eingeschränktem Zugriff einzurichten, in dem Sie dann alle Protokolle speichern würden.
Schutz von Sicherheitsereignissen
Die Integrität, Vollständigkeit und Verfügbarkeit der Protokolle sind für die Forensik und für erste Zwecke entscheidend. Deshalb müssen Sie die Protokollverschlüsselung, Integritätsprüfungsmechanismen und MFA-Löschung aktivieren. Konfigurieren Sie außerdem die Zugriffsrichtlinie, um sicherzustellen, dass nur vertrauenswürdige Mitarbeiter auf diese Protokolle zugreifen können.
Aktivieren Sie Alarme für verdächtige Ereignisse
Andernfalls bemerken Sie vielleicht nie, wenn etwas Unerwünschtes mit Ihrem Konto geschieht. Beispiele für Ereignisse, die Alarme auslösen sollten, sind die Verwendung von Root-Benutzern, Änderungen von IAM-Richtlinien, Änderungen von Audit-Protokollregeln, Änderungen von Alarmregeln, Änderungen von Sicherheitsgruppen und Änderungen von kritischen Cloud-Ressourcen.
Streamen Sie Protokolle zur langfristigen Aufbewahrung an SIEM
Standardmäßig kann die Cloud einige Protokolle nach einer kurzen Zeit löschen. Um die Vollständigkeit und Integrität Ihrer Aufzeichnungen zu gewährleisten, stellen Sie sicher, dass dies nicht mit Ihrem Konto geschieht, indem Sie eine langfristige Aufbewahrung einrichten.
Schützen Sie Ihren Speicher
Es ist nicht verwunderlich, dass eine schwache Konfiguration der Datenspeicherung die meisten Datenlecks verursacht. Um zu vermeiden, dass Sie selbst zum Opfer werden, müssen Sie ein paar Dinge überprüfen:
Verhindern Sie den Zugriff der Öffentlichkeit und stellen Sie sicher, dass der uneingeschränkte Zugriff deaktiviert ist.
Erzwingen Sie sichere Verbindungen, z.B. TLS.
Aktivieren Sie die transparente Datenverschlüsselung, um Ihre Daten zu schützen.
Wenden Sie die gleichen Sicherheitskontrollen für alle Backups und Snapshots an.
Wenn möglich, verschlüsseln Sie alle wichtigen Daten. Es bietet eine zusätzliche Ebene der Zugriffskontrolle, da Sie Beschränkungen für die Schlüsselverwendung einrichten können. Wenn Sie diese Zugriffskontrollen nicht proaktiv einrichten, gelten die Standardeinstellungen - und diese werden einen böswilligen Mitarbeiter nicht daran hindern, auf vertrauliche Daten zuzugreifen.
Konfigurieren Sie die erweiterte Protokollierung und Prüfung.
Native AWS-Tools zum Schutz Ihrer Umgebung
Native AWS-Sicherheits-Audit-Tools helfen Ihnen, Ihre Umgebung zu schützen und kontinuierliche Bewertungen durchzuführen. Sie helfen bei der Erreichung von Sicherheitszielen, indem sie es Benutzern ermöglichen, Schlupflöcher im System zu überwachen und zu vermeiden. Es sei darauf hingewiesen, dass AWS-Tools nicht alle Sicherheitsbedrohungen abdecken können. Sie dienen als Schutz, um Sie vor verdächtigem Verhalten oder Ereignissen zu warnen, aber Sie müssen Ihr System dennoch proaktiv konfigurieren, indem Sie die oben erwähnten bewährten Verfahren anwenden.
In diesem Artikel werden wir kurz die AWS-Sicherheits-Audit-Tools beschreiben, die Sie für Audits hilfreich finden könnten. Die folgenden nativen AWS-Tools und -Services decken zentrale Kategorien der Cloud-Sicherheit ab:
Protokollierung: AWS CloudTrail, AWS CloudWatch.
Schutz von Infrastruktur und Daten: AWS Firewall Manager, AWS Macie, AWS Shield.
Audit-Protokolle, auch Audit-Trails genannt, verfolgen die Benutzeraktivitäten auf einem bestimmten System. Durch die Überprüfung von Audit-Protokollen erhalten Systemadministratoren die nötigen Einblicke, um Probleme oder anormale Ereignisse zu erkennen, bevor sie sich negativ auf Ihr Unternehmen auswirken können.
Schutz von Infrastruktur und Daten
Wir schützen uns selbst vor den meisten Angriffen von außen und blockieren externe Kanäle, über die Angriffe erfolgen können.
Bewertung der Sicherheit
Um die Konfiguration der kontinuierlichen Bewertung sicherzustellen, empfehlen wir, einmal im Jahr ein manuelles Audit durchzuführen. Gleichzeitig sollten Sie jedoch bedenken, dass es Tools gibt, die dies bis zu einem gewissen Grad automatisch im kontinuierlichen Modus durchführen können.
Bei DataArt verwenden wir auch kostenlose Multi-Cloud-Sicherheits- und Open-Source-Auditing-Tools, um Bewertungen, Audits und eine kontinuierliche Überwachung durchzuführen. Sie können diese Tools auf Ihrem Computer starten; sie führen eine Reihe von Tests durch und liefern einen Bericht darüber, was verbessert werden sollte.
Solche Tools sollten durch jährliche oder halbjährliche manuelle Sicherheitsprüfungen ergänzt werden. Wie bei jedem Test kann auch ein Audit falsch positive oder falsch negative Ergebnisse liefern, und tiefgreifende Sicherheitsprobleme erfordern möglicherweise eine gründlichere Untersuchung. So erfordern beispielsweise zu freizügige IAM- oder S3-Bucket-Richtlinien oder Probleme mit Sicherheitsprozessen und -abläufen (wie die fehlende Überprüfung der Lieferantenkette für VM- und Docker-Images, fehlende Disaster-Recovery-Schulungen usw.) eine umfassendere Reaktion, an der mehrere Beteiligte aus dem gesamten Unternehmen beteiligt sind.
Andere bewährte AWS-Sicherheitspraktiken
Wir empfehlen Ihnen auch, die folgenden Best Practices der AWS-Sicherheit zu beachten.
TLS-Richtlinien
Bei der Sicherung von Daten und der Übertragung zu einem öffentlichen Endpunkt innerhalb der Cloud ist eine ordnungsgemäße Kryptographie von entscheidender Bedeutung. Die meisten Cloud-Anbieter stellen Ihnen einen vordefinierten Satz von TLS-Chiffre-Suiten zur Verfügung, die in TLS-Richtlinien zusammengefasst sind. Sie müssen unbedingt sicherstellen, dass Sie die strengste verfügbare TLS-Richtlinie verwenden.
WAF und DDoS-Schutz
Heutzutage reicht es nicht mehr aus, Netzwerke mit klassischen Firewalls zu schützen, denn es gibt zahlreiche Angriffe auf Anwendungsebene, wie z.B. Cross-Site Scripting, SQL-Injection und Cross-Site Request Forgery. Schließlich sollten Sie Ihre Anwendung vor diesen Angriffen schützen, und dafür gibt es einige spezielle Arten von Firewalls, die dafür vorgesehen sind. Sie sind als L7-Firewalls oder Web Application Firewalls bekannt. Sie analysieren den Datenverkehr aus dem Internet und weisen potenziell bösartige Eingaben zurück. Auch der Schutz vor böswilligen netzwerkbasierten Aktivitäten wie Floods oder DDoS-Angriffen ist wichtig.
Sicherer Fernzugriff und Verwaltung
Es ist wichtig, sichere Verwaltungsschnittstellen einzurichten und sie denjenigen zur Verfügung zu stellen, die zu Verwaltungszwecken Zugriff auf die Cloud benötigen.
Content Delivery Network (CDN)
Die meisten Unternehmen verwenden ein CDN, wie AWS Cloud Front. Es ermöglicht auch den Zugriff auf Protokollierung und TLS-Richtlinien. Vergessen Sie nicht, diese zu aktivieren, da sie standardmäßig ausgeschaltet sind.
Tools zur Domainverwaltung
Einige Unternehmen bevorzugen die Verwendung von Domain-Management-Tools von Cloud-Anbietern. Vergessen Sie nicht, die Protokollierung von DNS-Abfragen zu aktivieren und Zonentransfers zu verbieten. Andernfalls könnten Angreifer alle Ihre Domänennamen aufzählen und diese Informationen für zukünftige Angriffe verwenden.
Verwaltung von Schlüsseln und Geheimnissen
AWS Secret Manager hilft Ihnen bei der Verwaltung Ihres wichtigen Materials, das Sie in die Cloud hochgeladen haben, und unterstützt Sie z.B. bei der Einrichtung einer automatischen Rotation der Schlüssel nach einem vordefinierten Zeitplan.
Das Audit konzentriert sich nicht nur auf die primären Ressourcen, die Ihnen helfen, Ihre Umgebung zu schützen, sondern soll auch sicherstellen, dass Unternehmen die AWS-Sicherheits-Audit-Tools richtig einsetzen.
Fazit
Regelmäßig durchgeführte Cloud-Sicherheitsaudits helfen Unternehmen zu überprüfen, ob die Sicherheitskontrollen im Einklang mit den branchenüblichen Best Practices implementiert sind, und ermöglichen es, nicht behobene Sicherheitslücken und Probleme umgehend zu beheben. Die Cybersicherheits-Audit-Services von DataArt umfassen einen Cloud-Sicherheitstest, der die gesamte Cloud-Umgebung auf Sicherheitsverletzungen untersucht, Berichte erstellt und Empfehlungen für künftige Maßnahmen ausspricht.
Sind Sie bereit für ein Audit? Wenden Sie sich an unsere Sicherheitsexperten, um ein AWS-Sicherheitsaudit durchzuführen und Ihr Unternehmen zu schützen, indem Sie Schwachstellen aufdecken, bevor Schaden entsteht.
By clicking 'Accept All Cookies', you agree to the storing of cookies on your device to enhance site navigation, analyze site usage, and assist in our marketing efforts. More information
Privacy Preference Center
When you visit any website, it may store or retrieve information on your browser, mostly in the form of cookies. This information might be about you, your preferences or your device and is mostly used to make the site work as you expect it to. Because we respect your right to privacy, you can choose not to allow some types of cookies. More information
Manage Consent Preferences
Strictly Necessary Cookies
Always Active
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services, such as setting your privacy preferences, logging in or filling in forms. You can set your browser to block or alert you about these cookies, but some parts of the site will not then work. These cookies do not store any personally identifiable information.
Functional Cookies
These cookies enable the website to provide enhanced functionality and personalisation. They may be set by us or by third party providers whose services we have added to our pages. If you do not allow these cookies then some or all of these services may not function properly.
Targeting Cookies
These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites. They do not store directly personal information, but are based on uniquely identifying your browser and internet device. If you do not allow these cookies, you will experience less targeted advertising.
Performance Cookies
These cookies allow us to count visits and traffic sources so we can measure and improve the performance of our site. They help us to know which pages are the most and least popular and see how visitors move around the site. All information these cookies collect is aggregated and therefore anonymous. If you do not allow these cookies we will not know when you have visited our site, and will not be able to monitor its performance.
