Firmen können die Amazon-Cloud durchaus nutzen, um Angriffe auf ihr eigenes Netz zu simulieren, also sogenannte Penetrationstests durchzuführen. Sie sollten Amazon Web Services aber per Validierungsformular über ihr Vorhaben informieren, wie Chief Information Security Officer Steve Schmidt erklärt.
„Für übliche unangemessene Aktivitäten haben wir eine automatische Erkennung. Eine Reihe von Vorgängen können wir als unangemessen identifizieren, unabhängig vom tatsächlichen Vorgehen des Kunden – etwa Port-Scanning und Brute-Force-Angriffe auf SSH-Verbindungen“, sagt Schmidt, der früher eine Abteilung des FBI leitete. Eine typische Reaktion sei es in solchen Fällen, die verfügbare Bandbreite zu drosseln.
Schmidt weiter: „Außerdem gibt es einen Prozess, über den Kunden Ausnahmen von diesen Regeln beantragen können.“ Soasta beispielsweise nutze AWS, um Lasttests für Mobilanwendungen durchzuführen, und Core Security initiiere Penetrationstests in der Amazon-Cloud.
Alle Sicherheitsüberprüfungen lassen sich aber nicht automatisieren, wie der Chief Information Security Officer erklärt. Beispielsweise habe man nach dem Tod von Michael Jackson eine Spitzenbelastung beim Zugriff auf Daten eines bestimmten Kunden beobachtet. Es stellte sich heraus, dass Jacksons Plattenfirma eine Gedenksite eingerichtet hatte. „Gäbe es ein automatisiertes Reaktionssystem für Distributed Denial of Service, hätten wir hier legitimen Traffic unterbunden.“
Auf einer Veranstaltung von AWS klärte Schmidt außerdem über Zuständigkeiten im Sicherheitsbereich auf. AWS kümmere sich um die Sicherheit seiner Anlagen, seiner Netz-Infrastruktur und seiner Virtualisierungsinfrastruktur. Kunden seien für ihre Betriebssysteme, Anwendungen, Netzwerkkonfigurationen, Netzwerk-Zugangslisten (ACLs), Kontenverwaltung und Sicherheitsgruppen zuständig. Schwierig werde es dann, wenn jemand mit Instanzen eines Kunden Aktivitäten ausführe, die AWS als unangemessen einstuft. „Wir wissen dann nicht, ob das ein zulässiges Vorgehen ist. Der Kunde muss es uns sagen.“
[mit Material von Jack Clark, ZDNet UK]
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Bildergalerie
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Amazon Web Services lässt sich für Penetrationstests nutzen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.