Mehr Sicherheit für die Cloud Landing Zone auf AWS

Wie können Unternehmen ihre AWS Cloud Landing Zone sicherer machen? 10 Maßnahmen, die beachtet werden sollten:

Sicherheit ist eines der zentralen Themen, das Unternehmen - nicht nur aktuell - beschäftigt. Für Cloud Services gilt dies natürlich in gleicher Weise, wie für On-Premise Rechenzentren. Der Vorteil ist jedoch, dass die Hyperscaler bereits viele Werkzeuge als Services anbieten, die genutzt werden können, um die Sicherheit signifikant zu erhöhen und aufrechtzuerhalten. Leider werden diese Mittel häufig von Unternehmen nicht oder nur unzureichend genutzt. Ein Grund dafür ist, dass Security in den meisten Unternehmen historisch im Umfeld Netzwerk angesiedelt ist, Cloud Services jedoch oft bei den Infrastruktur-Teams. Daher ist es notwendig, Cloud Security übergreifend in der Organisation zu verankern.

In diesem Beitrag haben wir 10 Maßnahmen zusammengestellt, die die Sicherheit Ihrer AWS Cloud Landing Zone erhöhen. In einem anderen Beitrag schauen wir uns an, wie man Microsoft Azure sicherer machen kann.

1. Implementieren Sie strenge IAM-Richtlinien (Identity and Access Management)

• „Prinzip der geringsten Rechte“: Stellen Sie sicher, dass Benutzer, Rollen und Dienste nur über die Berechtigungen verfügen, die sie zum Ausführen ihrer Aufgaben benötigen. Überprüfen und verfeinern Sie die Berechtigungen regelmäßig, um die Gefährdung zu minimieren. Etablieren Sie dazu einen verlässlichen Prozess, der die regelmäßige Prüfung sicherstellt.
• MFA (Multi-Faktor-Authentifizierung): Erzwingen Sie MFA für alle IAM-Benutzer, insbesondere für privilegierte Konten, um eine zusätzliche Sicherheitsebene hinzuzufügen. MFA sollte der Standard sein – wie übrigens ebenfalls im privaten Bereich bei der Nutzung von Social Media und Bezahldiensten.

2. AWS-Sicherheitsgruppen und Netzwerk-ACLs effektiv nutzen

• Eingehenden und ausgehenden Datenverkehr einschränken: Nur notwendigen Datenverkehr über Sicherheitsgruppen zulassen. Verwenden Sie Netzwerk-ACLs für eine zusätzliche Kontrollebene auf Subnetzebene.
• Zero-Trust-Architektur: Standardmäßig wird der gesamte Datenverkehr abgelehnt und nur die wichtigen Ports geöffnet, wobei alle offenen Ports genau überwacht werden. Das Setzen entsprechender Alarme bei ungewöhnlichen Aktivitäten auf offenen Ports ermöglicht eine schnelle Reaktion. Noch besser geschützt ist man durch Einsatz einer Security information and event management (SIEM) Lösung. Beispiel dafür ist z.B. Splunk als weitverbreitete Lösung. Haben Sie neben AWS auch Azure als Public Cloud im Einsatz, können Sie auch Azure Sentinel einsetzen, um Ereignisse in der AWS Umgebung zu sammeln, auszuwerten und zu alarmieren.

3. Daten im Ruhezustand (in-Rest) und während der Übertragung (in-Transit) verschlüsseln

• Verschlüsselung aktivieren: Verwenden Sie AWS Key Management Service (KMS), um in S3, EBS-Volumes, RDS und anderen AWS-Diensten gespeicherte Daten zu verschlüsseln.
• TLS für Daten während der Übertragung: Stellen Sie sicher, dass alle über das Netzwerk übertragenen Daten mit TLS (Transport Layer Security) verschlüsselt sind.
  Für die Verschlüsselung können eigene Schlüssel verwendet, aber auch mit dem AWS Key Management Service erstellt und verwaltet werden.

4. Protokollierung und Überwachung aktivieren

• AWS CloudTrail: Aktivieren Sie CloudTrail in allen Regionen, um alle API-Aktivitäten zu protokollieren und einen umfassenden Prüfpfad zu führen.
• Amazon CloudWatch: Richten Sie CloudWatch-Alarme und -Protokolle ein, um AWS-Ressourcen zu überwachen und anomale Aktivitäten zu erkennen.
• VPC-Flow Logs: Erfassen Sie Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer VPC geht.
  Wie oben beschrieben, können Sie die Protokolle von Cloudtrail, Cloudwatch und VPC-Flow Logs in einem SIEM verarbeiten und Alarme bei ungewöhnlichen Vorkommnissen auslösen.

5. Best Practices für die Sicherheit von S3-Buckets implementieren

• Bucket-Richtlinien: Stellen Sie sicher, dass S3-Bucket-Richtlinien dem Prinzip der geringsten Rechte folgen, und sperren Sie die den öffentlichen Zugriff auf Buckets, sofern dies nicht unbedingt erforderlich ist.
• Objektsperre und Versionierung: Aktivieren Sie die S3-Object Lock und -Versionierung, um Daten vor versehentlichem oder böswilligem Löschen zu schützen.

6. AWS Web Application Firewall (WAF) verwenden

• WAF-Regeln: Richten Sie AWS WAF ein, um Webanwendungen vor häufigen Angriffen wie SQL-Injection und Cross-Site Scripting (XSS) zu schützen.
• Shield für DDoS-Schutz: Verwenden Sie AWS Shield zum Schutz vor DDoS-Angriffen und ziehen Sie Shield Advanced für einen umfassenderen Schutz in Betracht.

7. Regelmäßig patchen und aktualisieren

• Automatisiertes Patchen: Verwenden Sie AWS Systems Manager, um das Patch-Management für EC2-Instanzen zu automatisieren und sicherzustellen, dass die gesamte Software auf dem neuesten Stand ist.
• Amazon Inspector: Scannen Sie mit Amazon Inspector regelmäßig nach Schwachstellen in EC2-Instanzen und anderen Diensten.

Das Prinzip der „shared responsibility” bedeutet, dass sich der Hyperscaler um die Sicherheit der Cloud Services kümmert - der Nutzer sich jedoch um die Sicherheit IN der Cloud. Also der Infrastruktur und Anwendungen, die das Unternehmen in der Cloud aufbaut. Damit ist es weiterhin - wie im On-Premise Betrieb – notwendig, bei Instanzen, auf denen ein Betriebssystem und Anwendungen installiert sind den Update-Prozess aktiv zu managen.

8. Datensicherungs- und Notfallwiederherstellungspläne implementieren

• Automatisierte Sicherungen: Verwenden Sie AWS Backup, um Sicherungsprozesse für AWS-Dienste zu automatisieren und sicherzustellen, dass Daten regelmäßig gesichert werden und für die Wiederherstellung verfügbar sind.
• Regionsübergreifende Replikation: Denken Sie über regionsübergreifende Replikation für kritische Daten nach, um die Möglichkeiten der Notfallwiederherstellung zu verbessern. Dies ist eine mögliche Maßnahme für Unternehmen, die ohnehin AWS Services in mehreren Regionen nutzen. Denn hierdurch wird Netzwerklast zwischen Regionen erzeugt, die sich auf die Kosten niederschlägt. Wird nur eine Region genutzt, ist eine Replikation in weitere Availability Zones (AZs) eine ausreichende Maßnahme.

9. Verwenden Sie AWS Config für Compliance- und Sicherheitsaudits

• Konfigurationsmanagement: Richten Sie AWS Config ein, um Konfigurationen in Ihrer AWS-Umgebung zu überwachen und auszuwerten und so die Einhaltung interner Richtlinien sowie behördlicher Standards sicherzustellen.
• Conformance Packs: Verwenden Sie Conformance Packs, um automatisch die Konformität Ihrer Umgebung mit Best Practices und Sicherheits-Frameworks zu überprüfen.

10. Automatisierung der Reaktion auf Vorfälle implementieren

• Automatisierte Reaktion: Verwenden Sie AWS Lambda und CloudWatch Events, um Reaktionen auf Vorfälle zu automatisieren, z. B. die automatische Isolierung kompromittierter Instanzen oder die Benachrichtigung von Sicherheitsteams.
• Runbooks und Playbooks: Entwickeln und aktualisieren Sie regelmäßig Runbooks und Playbooks, um Ihr Team durch Sicherheitsvorfälle zu führen und Standardverfahren zu automatisieren.

Wenn Sie diese Empfehlungen befolgen, können Sie die Sicherheitslage Ihrer AWS-Umgebung erheblich stärken und sicherstellen, dass Ihre Cloud-Infrastruktur sowohl gegen interne als auch externe Bedrohungen widerstandsfähig ist. Die Implementierung dieser Maßnahmen ist nicht immer einfach und kann im Zusammenspiel recht schnell komplex werden. Unsere Teams helfen Ihnen dabei, die richtigen Maßnahmen für Sie festzulegen und umzusetzen und führen Sie dahin, nachhaltige Prozesse einzurichten, um die Sicherheit kontinuierlich zu verbessern.