twobee - Fotolia

Zugriffskontrollen für Amazon Web Services (AWS) richtig konfigurieren

Zugangsbeschränkungen und Berechtigungen sind solide Praktiken für den Aufbau einer sicheren AWS-Verbindung. AWS liefert hilfreiche die Tools hierfür.

Amazon Simple Storage Service (S3) unterstützt verschiedene Mechanismen, die Cloud-Anwendern die Flexibilität bieten, zu kontrollieren, wer, wie, wann und wo auf ihre Daten zugreifen kann. Ein zentraler Kontrollmechanismus sind Zugriffskontrolllisten – in der Amazon-Terminologie Access Control Lists (ACLs) genannt. Mit ACLs können Nutzer bestimmten Objekten selektiv Zugriffsrechte zuweisen. Geht es in AWS um die Verwaltung dieser Zugriffskontrolllisten, ist die AWS Management Console einer der besten Startpunkte.

Als AWS die Konsole eingeführt hat, präsentierte es keine besonders starken Sicherheitsmechanismen, um Firewall-Regeln auf Webservern zur Verfügung zu stellen, erklärt Ali Hussain, CTO und Mitbegründer des IT-Beratungshauses Flux7 Labs. „Unternehmen mussten selbst für die Implementierung besserer Sicherheitstechnologien sorgen – entweder mit einer benutzerdefinierten Installation oder einem Drittprodukt“, sagt Hussain.

Das hat sich inzwischen geändert: Mit der Einführung der AWS Web Application Firewall (WAF) brauchen Anwender keine Produkte mehr von Drittanbietern. AWS WAF hilft dabei, Webanwendungen vor üblichen Exploits zu schützen.

Darüber hinaus starten Amazon S3 Ressourcen im privaten Modus – bezogen auf den Eigentümer und das AWS-Konto. Andere Benutzer bekommen nur Zugriff, wenn der Eigentümer eine Cloud Access Control Policy schreibt. In diesem Fall teilt das Subjekt ressourcenbasierte Richtlinien von Benutzerrichtlinien. Ressourcenbasierte Richtlinien und Cloud Access Control Policies gelten für Buckets und Objekte. Cloud Access Control Policies können zusätzlich mit Benutzern in Ihrem Konto verknüpft werden.

Wenn ein Administrator die Erlaubnis gibt, legt er fest, welchem Anwender oder welcher Gruppe die Erlaubnis erteilt wird, und auf welche der S3-Ressourcen diese zugreifen können. Ein Administrator kann auch festlegen, welche Aktionen für diese Ressourcen nicht zulässig sind.

AWS ACLs beschränken den Zugriff

Cloud-Administratoren können Access Control Lists (ACLs) verwenden, um grundlegende Lese-/Schreibberechtigungen für andere AWS-Konten zu gewähren. Allerdings gibt es Grenzen bei der Verwaltung der Berechtigungen mit ACLs. Wenn Sie zum Beispiel Berechtigungen für andere AWS-Konten gewähren, können Sie weder Berechtigungen für Benutzer in Ihrem eigenen Konto gewähren, noch können Sie bedingte Berechtigungen erteilen oder Berechtigungen ausdrücklich verweigern. Wenn jedoch der Besitzer eines Buckets es anderen AWS-Konten erlaubt, Objekte hochzuladen, können die Berechtigungen für diese Objekte über ein Object ACL durch den Object-Eigentümer verwaltet werden.

AWS WAF erlaubt es Ihnen, die AWS Management Console zu verwenden, um Regeln zu erstellen, die einen potenziell schädlichen Datenverkehr anzeigen. Dieser Datenverkehr kann dann blockiert werden. AWS WAF könnte zum Beispiel verwendet werden, um Versuche zu blockieren, aus Ländern auf Ihren Cloud Service zuzugreifen, von denen nicht erwartet wird, dass sie Ihren Dienst nutzen.

Außerdem kann AWS WAF dafür eingesetzt werden, den Zugang zu den Admin-Seiten aus dem öffentlichen Internet zu blockieren. Das gleiche gilt für URLs mit fehlerhaftem Text, der auf einen Angriff hinweisen könnte, erklärt Hussain. Schließlich können Administratoren auch Whitelist-Regeln erstellen, und alle Anfragen ablehnen, die dem Muster nicht entsprechen. „Der größte Vorteil dieses Cloud-Service ist aber, dass Administratoren den Beschaffungsprozess vereinfachen können, da dieser direkt über Amazon erfolgt und damit die Anzahl der Anbieter reduziert“, fügt er hinzu.

Zusätzliche Sicherheitsmaßnahmen

Die AWS Management Console bietet zusätzliche Sicherheitsoptionen. Zum Beispiel enthält der Properties-Bereich in der Benutzeroberfläche eine Registerkarte Permissions, die den Prozess des Erteilens von Berechtigungen vereinfacht und die erteilten Berechtigungen anzeigt. Das Hinzufügen und Entfernen von Berechtigungen erfolgt einfach durch Aktivierung oder Deaktivierung entsprechender Check-Boxen.

„Dies in der Management-Konsole zu erledigen, macht es einfach, die gewünschte Sicherheitskonfiguration umzusetzen“, erklärt Hussain. Über AWS Key Management Service stehen verschiedene zusätzliche Steuerungsmöglichkeiten zur Verfügung, die ebenfalls bei der Zutrittskontrolle helfen.

Mehr zum Thema AWS:

Herausforderungen beim Einsatz von Oracle-Anwendungen in der AWS-Cloud.

AWS Lambda: Wie Entwickler Funktionen richtig einrichten und konfigurieren.

Kostenloses E-Handbook für IT-Entscheider: Kostenkontrolle in der AWS-Cloud.

Wie beeinflusst ereignisgesteuertes Computing mit AWS Lambda Softwaretests?

DevOps in AWS: So automatisieren Sie die Softwarebereitstellung.

Bei der Verwaltung der Cloud-Zutrittskontrolle mit AWS ist es auch wichtig, die Vorteile von AWS Identity and Access Management (IAM) zu nutzen, sagt Manoj Chaudhary, CTO und Vice President of Engineering bei Loggly, einem in San Francisco beheimateten Anbieter von Cloud-basierten Log-Management Tools. „IAM ermöglicht es Administratoren nicht nur, den kritischen Business-Services ein Kontroll-Level hinzufügen, sondern führt auch zu einem schlankeren, internen Prozess“, sagt er.

AWS-Nutzer sollten in jedem Fall ihre Sicherheit erhöhen, indem sie nur Lesezugriffe durch IAM erlauben. Das Einrichten gruppenspezifischer Zugriffsrichtlinien ist nur ein Beispiel. Langfristig ist es wichtig, permanente Überprüfungen zu machen, fügt Chaudhary hinzu. Administratoren müssen sicherstellen, dass Zugangskontrollen mit wechselnden Rollen und Verantwortlichkeiten immer aktuell gehalten werden.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software-Entwicklung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close