Datensicherheit und gemeinsame Verantwortung in Amazon Web Services (AWS)

Die AWS-Plattform ist immer wieder Cyberattacken ausgesetzt. Meist sind dies Sicherheitslücken einzelner Kunden. Wir zeigen, was zu beachten ist.

Amazon Web Services (AWS) ist eine sichere Cloud-Plattform und hat seit 2011 keine Sicherheitsvorfälle zu verzeichnen....

Allerdings haben viele Anbieter, die AWS nutzen, signifikante Sicherheitsprobleme festgestellt, inklusive der Nutzung von AWS selbst für Sicherheitsangriffe. Fälle von öffentlichem Datenmissbrauch, wie zum Beispiel bei MongoHQ, waren die Folge unzureichender Sicherheitsmaßnahmen auf Anbieterebene.

Daneben gab es einen Vorfall, bei dem Hacker AWS nutzten, um eine Cyberattacke zu starten. Im Jahr 2011 hat AWS interne Sicherheitsprobleme beseitigt, die das System sogenanntem Signature Wrapping und Cross-Site Scripting ausgesetzt haben. Dabei fanden unter anderem auch Wissenschaftler der Ruhr-Universität Bochum Sicherheitslücken in den Cloud-Angeboten von AWS. Unternehmen müssen also die gemeinsame Verantwortung bei der Arbeit mit dem AWS-System verstehen.

Die Daten einer Firma sind lediglich so sicher, wie sie diese macht. Auch wenn die Public Cloud genutzt wird, ist es sicher, dass Daten durch Programmierungsfehler oder der Konfiguration von Sicherheitsfunktionen kompromittiert werden können. Firmen müssen dies einplanen und ihre Daten sichern, um sie vor Security-Problemen zu schützen und ihren Sicherheits-Code darauf prüfen, ob er die nötigen Funktionen bietet.

Die Planung umfasst die Definition von Sicherheitsmaßnahmen und Policies innerhalb des Codes selbst und die Absicherung der Endpunkte sowie aller anderen offenen Verbindungen. Unternehmen können außerdem eine externe Sicherheitsfirma mieten, um das System zu testen und Problemzonen zu beseitigen.

Sicherheit innerhalb von AWS

AWS bietet eine skalierbare, zuverlässige Plattform für die schnelle Bereitstellung von Daten und Anwendungen. Benutzerdaten und Anwendungssicherheit liegen in der Hand der Nutzer. Amazon ist lediglich für die Plattform-Sicherheit verantwortlich und Anwender haben eine gemeinsame Verantwortung, um ihre eigenen Produkte zu sichern.

Amazon Web Services bietet eine Vielzahl von Tools, Konfigurationen, Funktionen und Dokumente, einschließlich eines Blogs, der sich Sicherheitsfragen widmet und Anwender unterstützen soll, ihrer Sicherheitsverantwortung nachzukommen. In dem Sicherheits-Blog werden bekannte Security-Konfigurationsfehler diskutiert und er gibt Anregungen, wo und wie sich Nutzerdaten und Anwendungen absichern lassen. AWS bietet unter anderem folgende Services für Nutzer an, um Daten und Anwendungen zu sichern:

  1. Sicherung von API-Endpunkten, die HTTPS verwenden;
  2. Sicherung der Kommunikations-Sessions mit AWS-Services, die SSL nutzen;
  3. Kontrolle von Firewall-Einstellungen;
  4. Kontrolle der Einstellungen innerhalb eines VPC Subnetzes für Aus- und Zugang;
  5. Identity Management, um den Infrastruktur-Zugriff zu kontrollieren;
  6. Multifaktor-Authentifizierung sowohl für das AWS-Firmenkonto als auch die Konten innerhalb der Anwendungsbasis eines Unternehmens;
  7. private Subnetze; IPsec und VPN-Tunnel zwischen Firmennetzwerk und AWS VPC;
  8. Verschlüsselter Data Storage;
  9. Sicherheitsprotokolle für Daten und über alle Benutzeraktivitäten innerhalb eines AWS-Kontos.

Die AWS-Plattform umfasst mehrer Compliance-Standards für Entwickler, die auf der Website der Amazon Web Services aufgelistet sind. Die Infrastruktur erfüllt zudem die Bedürfnisse verschiedener öffentlicher Akteure und Regierungsbehörden.

Die Rechenzentren von Amazon sind weltweit geclustert und immer mit Disaster Recovery (DR) und vollständigen Backups der Anwendungen online. Unternehmens-Applikationen und Daten sind somit nicht vom Ausfall eines Data Centers betroffen. 

Die Daten werden während der Übertragung und Speicherung von individuellen Endpunkten verschlüsselt. Amazon hat Sicherheitssysteme, um Änderungen in der Redundanz der gespeicherten Daten zu erkennen und bietet die Möglichkeit, Daten zu reparieren. Das Dateisystem erkennt beschädigte Daten und protokolliert den Netzwerkverkehr rund um die Uhr.

Gemeinsame Verantwortung

Das Problem mit allen Standard-Sicherheitssystemen bleibt aber bestehen – nämlich, dass sie konfigurierbar sind und menschlichen Fehlern unterliegen. Für fast jedes Standard-Sicherheitssystem innerhalb von AWS gibt es verschiedene Einstellungsoptionen, die Anwender wählen können und sollten. 

Die sogenannte „gemeinsame Verantwortung“ in AWS bedeutet, dass Unternehmen dafür verantwortlich sind, Betriebssystem, Daten und Anwendungen innerhalb des Systems zu sichern. Unternehmen benötigen ein Sicherheitsverständnis, Wissen, Expertise und dedizierte Ressourcen, um mit Veränderungen Schritt zu halten und die Auswirkungen von Konfigurationseinstellungen zu verstehen.

Sicherung der Daten und Kundeninformationen

Es gibt Tools, die dafür geschaffen wurden, Mängel in der Standard-Infrastruktur von AWS zu finden. Diese Schwachstellen existieren aufgrund von Fehlern, die bei der Konfiguration der Plattform für eine Applikation entstehen. Diese Mängel sind Programmierfehler, die meist von einer Nutzeranwendung stammen.

Die Tools haben gezeigt, dass viele AWS-Konten nicht gewartet werden und so sensible Daten bei der Speicherung enthüllen. AWS hat den oben genannten Sicherheits-Blog gestartet, nachdem ein Security-Anbieter Tausende von Dateien mit sensiblen Informationen fand, die öffentlich sichtbar waren. 

In diesem Fall war es aber kein Fehler der AWS-Plattform, sondern ein Kunde hatte vernachlässigt, seine Daten zu verwalten und abzusichern. Der Zweck des AWS-Security-Blogs ist die Vermittlung von Best Practices bei der Sicherheit und Konfiguration sowie der Bedeutung von Systemwartungen.

Unabhängige Sicherheitsexperten haben Sicherheitslücken in AWS-Konten gefunden, die Authentifizierungs- und Verschlüsselungs-Keys mit selbst erstellten Sicherheitsanwendungen nutzten. Schwachstellen wurde außerdem bei schlecht konfigurierten oder offenen API-Endpunkten gefunden, die Daten für Applikationen über diese API-Endpunkte übertrugen und unbefugten Nutzern Zugriff darauf boten. 

Diese Schwachstellen ermöglichten Hackern den Zugriff auf die Authentifizierung, um den Zugangscode zu umgehen, so dass sie Malware einschleusen und Daten löschen konnten.

Einer dieser AWS-Kunden war ein Unternehmen mit dem Namen Code Spaces, deren AWS-Konto im Rahmen einer Erpressung kompromittiert wurde. Der Hauptteil ihrer Daten wurde innerhalb von zwölf Stunden zerstört, inklusive Apache Subversion Repository und Elastic Block Storage. Code Spaces musste daraufhin schließen und nahezu alle Kunden- und Unternehmensdaten waren gelöscht.

Der Angriff geschah auf der AWS-Plattform, doch es war die gemeinsame Verantwortung des Anbieters, seine Anwendungen und Daten zu sichern. Es ist im eigenen Interesse eines Unternehmens, seine Daten und Anwendungen, die auf der AWS-Plattform laufen, abzusichern.

Eine Methode für die Absicherung ist die Überprüfung und Umsetzung der OWASP-Richtlinien. Eine weitere Option ist das Mieten einer Drittanbieter-Sicherheitsfirma, um die Security zu testen. Ohne ein geeignetes Sicherheitssystem könnte ein Unternehmen Daten-, Zugriffs- oder Code-Schwachstellen haben, die eine ernste Bedrohung sind und finanzielle Vertragsstrafen nach sich ziehen können.

Folgen Sie SearchEnterpriseSoftware.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Anwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close