re:Invent: Neue Securityservices bei AWS

Angst um die Datensicherheit in der Cloud ist nach wie vor ein Top-Thema. Doch es hat sich bei den Providern viel getan, und das spiegelt sich auch in sinkenden Bedenken wieder. Zu seiner Jahrestagung re:invent 2018 brachte der Hyperscaler AWS mehrere neue Sicherheitsservices, die noch mehr Vertrauen schaffen sollen.

Ist die Public Cloud sicher? Diese Frage treibt jeden Anwender von Cloud-Services um, egal, von wo er oder sie diese Dienste bezieht. Dennoch haben die Bedenken gegen Cloud bemerkenswert abgenommen. So gaben bei einer IDC-Studie zum Thema Hybrid Cloud in Deutschland aus dem Jahr 2016 39 Prozent an, sie misstrauten Public-Cloud-Providern. Das waren bereits 26 Prozent weniger als zwei Jahre zuvor. Inzwischen ist Sicherheit zwar nach wie vor ein sehr wichtiges Thema, das aber mit etwas mehr Gelassenheit betrachtet wird als in den Anfangsjahren der Public Cloud.

Vor vollem Saal kündigt AWS-CEO Andy Jassy Amazon AWS lake Formation an (Bild: AWS).Vor vollem Saal kündigt AWS-CEO Andy Jassy Amazon AWS lake Formation an (Bild: AWS).

Das liegt wohl auch daran, dass die Cloud-Provider längst auf die Bedenken ihrer wertvollen Unternehmenskunden reagiert und umfangreiche Portfolien mit eigenen Sicherheitsservices aufgebaut haben. Bei AWS kommt ein Netzwerk von rund dreißig einschlägigen Sicherheitsanbietern hinzu, deren Produkte sich im Rahmen der AWS-Infrastruktur einsetzen lassen. Zu den Partnern gehören Firmen wie Trend Micro, Sophos, Cisco, Palo Alto und viele weitere. Wer bei AWS im Marktplatz auf Security klickt, erhält Hinweise auf über 700 Services, die teils von den Partnern, teils von AWS selbst bereitgestellt werden. Außerdem werden auch mehrere unterschiedliche Delivery-Methoden angeboten – so gibt es auch 26 freie Services. 200 Services können von den AWS-Kunden mit eigener Lizenz auf der AWS-Infrastruktur betrieben werden. Die meisten, über 500, kommen als Maschinen-Image. Kurzum: die Fülle ist so groß, dass es für Anwender, die viele Services nutzen, schwer fallen dürfte, die Gesamtsituation im Auge zu behalten.

Nun hat AWS auf der jährlichen Anwender- und Nutzerkonferenz re:invent drei neue Services vorgestellt, die das ändern sollen respektive schon beim Aufbau einer Installation die Sicherheit automatisiert im Auge haben. Zwei Dienste– AWS Control Tower und AWS Security Hub – widmen sich dem Überblick über je ein umfassendes Sicherheitsthema, der dritte, AWS Lake Formation, hilft beim Aufbau von Datalakes.

CEO Andy Jassy erklärte das Zustandekommen von AWS Security Hub: „Wir haben festgestellt, dass unsere Kunden zu viel Zeit damit verschwenden, zwischen den Konsolen und Dashboards der unterschiedlichen Security-Tools hin- und her zu schalten. Das wollten wir ändern.“ Security Hub fasst die Alarme und Meldungen sowie sonstigen Befunde aller genutzten Sicherheitsdienste von AWS oder Partnern zusammen, die sich mit der Detektion und Abwehr von Eindringlingen befassen oder diese Funktionen optimieren. Beispiele aus dem AWS-eigenen Portfolio sind etwa Amazon Guard Duty für die Aufdeckung von Eindringversuchen, Verletzlichkeitsprüfungen mit Amazon Inspector, Identifikation sensitiver Daten mit Amazon Macie. Integrierte Dashboards fassen den Status zusammen und heben Ergebnisse und Trends innerhalb der EC2-Instanzen hervor, die wahrscheinlich ein sofortiges Eingreifen verlangen. Das schafft eine zusätzliche Sicherheitsebene über den einzelnen Werkzeugen. Denn vor allem die Priorisierung all der Sicherheitsmeldungen und Alarme ist ein kniffliges Geschäft, bei dem schnell etwas übersehen werden kann. Anwender können zudem selbst kontinuierliche Konfigurations- und Compliance-Tests ablaufen lassen.

Rechtesystem aus einem Guss

Genauso schwierig wie der Überblick über die Security-Werkzeuge ist der Aufbau eines umfassenden, kongruenten Zugangs- und Berechtigungssystems. Diese Aufgabe gewinnt im Zeitalter der DSGVO (Datenschutz-Grundverordnung) an Bedeutung, denn wer die Bestimmungen des Gesetzes einhalten möchte, muss hier strikte Regularien einrichten und ihre Befolgung durchsetzen. Mit AWS Control Tower stellt der Hyperscaler nun einen übergreifenden Service vor, mit dem AWS-Kunden ein solches Berechtigungsmanagement und ein regelbasierendes Governance-System errichten können.

Diese Aufgabe gewinnt im Zeitalter der DSGVO (Datenschutz-Grundverordnung) an Bedeutung, denn wer die Bestimmungen des Gesetzes einhalten möchte, muss hier strikte Regularien einrichten und ihre Befolgung durchsetzen. Mit AWS Control Tower stellt der Hyperscaler nun einen übergreifenden Service vor, mit dem AWS-Kunden ein solches Berechtigungsmanagement und ein regelbasierendes Governance-System errichten können. Weitere Standards neben den bereits eingehaltenen wie ISO, PCI-DSS für bargeldlose Zahlung oder HIPAA, einem Standard für den Medizinbereich, sollen dann implementiert werden, wenn die Nachfrage groß genug ist. Es liegt also an den europäischen Anwendern selbst, so schnell wie möglich diesbezügliche Wünsche bei AWS vernehmlich anzumelden, um von den beiden Angeboten zu profitieren.

Weitere Standards neben den bereits eingehaltenen wie ISO, PCI-DSS für bargeldlose Zahlung oder HIPAA, einem Standard für den Medizinbereich, sollen dann implementiert werden, wenn die Nachfrage groß genug ist. Es liegt also an den europäischen Anwendern selbst, so schnell wie möglich diesbezügliche Wünsche bei AWS vernehmlich anzumelden, um von den beiden Angeboten zu profitieren.

Der neue Service bietet sicher vieles, was den CISO freuen dürfte: man kann mit seiner Hilfe eine sichere und rechtskonforme Multiuser-Umgebung aufbauen, mit der sich zahlreiche Konten, verteilte Teams und Anwendungen verwalten lassen. Definierte Regeln lassen sich erzwingen. Es ist möglich, eine zentralisierte Eingangszone für Zugriffsberechtigte einzurichten, über die sie den Zugang zu allem erhalten, was sie nutzen dürfen, und zwar, indem entweder auf AWS Single Sign-on oder auf Microsoft Active Directory zurückgegriffen wird. Zugriffe werden mit Hilfe von AWS CloudTrail und AWS Config unter Control Tower mitgeschrieben. Der Dienst kommt mit vorkonfigurierten Regeln für Sicherheit, Betrieb und Compliance. Der Service hilft beim Aufbau von Data Lakes. Schon über 10.000 dieser zentralen, S3-basierten Objektspeicherumgebungen wurden bei AWS implementiert, doch bislang war das mit viel Mühe und monatelangem Arbeiten verbunden. Mit Lake Formation soll es nun nur noch Tage dauern, bis der Data Lake funktioniert. Kunden müssen nur die Datenquellen definieren, die sie einlesen wollen, und aus den vorgegebenen Regeln für Sicherheit und Compliance geeignete auswählen. Das meiste andere macht das System allein, insbesondere die Extraktion von Metadaten und die Dublettenbeseitigung, die Optimierung der verwendeten Partitionen und ihre Transformation in Analyse-freundliche Formate.

Interessant ist für Anwender, dass diese Dienste auch auf AWS‘ neuer Box für die Kundenumgebung in der Hybrid Cloud, AWS Outposts, laufen sollen. Alle drei Dienste stehen derzeit als Preview zur Verfügung.

Notfalls vor Gericht

Es gibt freilich Sicherheitsbedrohungen, die sich nicht einfach durch das Zubuchen eines Sicherheitsservices „erledigen“ lassen. Dazu gehört ein derzeit laufendes Gesetzgebungsverfahren, demzufolge in den USA ansässige Unternehmen Daten ihrer Kunden auch dann an die US-Regierung herausgeben müssen, wenn diese auf europäischen Rechenzentren im Geltungsbereich der DSGVO lagern. „Wir raten unseren Kunden dringend, ihre Daten stets verschlüsselt zu halten und die Schlüssel selbst zu verwalten. Denn dann sind wir gar nicht in der Lage, auf die Daten zuzugreifen, selbst wenn wir das wollten.“

Damit landet die Verantwortung für die Sicherheit der eigenen Daten letztlich beim AWS-Kunden, was nicht nur eine schlechte Nachricht ist. Denn immerhin gibt es diverse Verschlüsselungsmöglichkeiten, und Schmidt beteuert, für Hintertüren sei man nicht offen. Gegen übergriffige Gesetze, so versichert AWS-CISO Stephen Schmidt, werde man gegebenenfalls zusammen mit anderen IT- und Cloud-Riesen klagen, mit denen AWS zusammenarbeitet.

Themenseiten: AWS, Cloud-Computing, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu re:Invent: Neue Securityservices bei AWS

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *