IaaS Security
AWS-Dienste richtig absichern
Viele Unternehmen nutzen den IaaS-Dienst Amazon Web Services (AWS), um eine flexible und agile Infrastruktur aufzubauen. In puncto Sicherheit bedeutet das geteilte Verantwortung. Hier kommen acht Tipps, wie ein Cloud Access Security Broker (CASB) dabei helfen kann.
Infrastructure as a Service (IaaS) ist der beliebteste Sektor in der Public Cloud. Gartner prognostiziert, dass er in den nächsten fünf Jahren schneller weiterwachsen wird als Platform as a Service (PaaS) und Software as a Service (SaaS). Auch Cyberkriminelle haben diesen Trend erkannt und nehmen zunehmend Dienste der Public Cloud ins Visier. Für Sicherheitsverantwortliche bedeutet das: Sie müssen ihre Security-Konzepte neu überdenken und auf IaaS-Strukturen ausweiten. Denn für den Schutz von sensiblen Daten in der Cloud-Umgebung sind Unternehmen selbst zuständig. Die folgenden acht Tipps zeigen, wie sich AWS-Dienste mit einem CASB richtig absichern lassen.
1. Identifizieren Sie gefährliche S3-Buckets Ihrer Partner
Der AWS-Dienst S3 arbeitet mit Speichercontainern, sogenannten Buckets. In ihnen können Unternehmen Daten ablegen und über die Cloud zur Verfügung stellen. Ist ein solcher Bucket fehlkonfiguriert, gefährdet er alle Systeme, die darauf zugreifen. Das bedeutet: Unternehmen, die mit Dienstleistern und Zulieferern zusammenarbeiten, müssen sich auch vor risikobehafteten S3-Buckets ihrer Partner schützen. Uneingeschränkte Lese- und Schreibrechte ermöglichen es Cyberkriminellen zum Beispiel, Inhalte unbemerkt zu verändern oder Malware einzuschleusen. Ein CASB kann alle S3-Buckets im Netzwerk identifizieren, ihre Konfiguration überprüfen und gegebenenfalls den Zugriff auf gefährdete Speichercontainer blockieren.
2. Überprüfen Sie die Konfiguration Ihrer eigenen S3-Buckets
Gartner geht davon aus, dass 99 Prozent aller Fälle von Datenverlust auf interne Fehlkonfigurationen der IT-Infrastruktur zurückzuführen sind und nicht auf Attacken von außen. Wenn AWS-Buckets zum Beispiel uneingeschränkten Lesezugriff erlauben, sind sensible Daten darin öffentlich zugänglich und können in falsche Hände gelangen. Viele Unternehmen sind sich dessen nicht bewusst und gehen mit der Konfiguration ihrer S3-Buckets nachlässig um. Zudem fällt es schwer, bei einer großen Zahl von Speichercontainern den Überblick über alle Einstellungen zu behalten. Um Schaden zu vermeiden, sollten Sie die Konfiguration Ihrer S3-Buckets regelmäßig überprüfen. Ein CASB kann dies automatisiert durchführen und auf Gefahren hinweisen.
3. Setzen Sie Data Loss Prevention (DLP) um
Wissen Sie, wo in Ihrer IaaS-Umgebung sensible Daten gespeichert sind? Und sind diese vor unbefugten Zugriffen geschützt? Ein CASB kann sensible Daten anhand von zuvor definierten Kriterien in strukturierten und unstrukturierten Datenquellen innerhalb der AWS-Umgebung aufspüren, zum Beispiel in S3-Buckets, RDS (Amazon Relational Database Service), Data Lakes oder Hadoop. Anschließend kann er DLP-Policies umsetzen und zum Beispiel Daten verschlüsseln. DLP lässt sich auch einsetzen, um Ressourcen zu überwachen, die als öffentlich konfiguriert sind und unverschlüsselte Daten enthalten. Versucht jemand, sensible Daten in einen solchen Bucket hochzuladen, wird der Upload blockiert und die Security-Abteilung informiert.
- AWS-Dienste richtig absichern
- Weitere Tipps
Lesen Sie mehr zum Thema
