IaaS Security
AWS-Dienste richtig absichern
Fortsetzung des Artikels von Teil 1
Weitere Tipps
4. Überwachen Sie alle IaaS-Aktivitäten
Wer genau weiß, was in seinen IaaS-Diensten passiert, kann Sicherheitsrisiken schnell erkennen und Schaden vermeiden. AWS bietet dafür die Cloud-Trail-Funktion. Sie zeichnet alle API-Zugriffe und Konsolen-Kommandos aller Nutzer und Services von Drittanbietern auf. Damit stellt sie einen umfangreichen Datenschatz zur Verfügung. Aus ihm geht hervor, wer was wann und wie in der Cloud getan hat. Ein CASB unterstützt dabei, diese Daten zu verstehen und auszuwerten. Er kategorisiert sie automatisiert in Rubriken wie Administration, Download, Datenzugriff, Löschen, Download, Updates oder erfolgreicher Login. Zudem ermöglicht die Dokumentation der Cloud-Aktivitäten einen detaillierten Audit-Trail. Er kann herangezogen werden, um Vorfälle nachzuvollziehen.
5. Decken Sie ungewöhnliche Verhaltensmuster auf
Aktivitäten, die von den üblichen Verhaltensmustern innerhalb einer IaaS-Umgebung abweichen, deuten häufig auf Sicherheitsvorfälle hin. Deshalb ist es wichtig, solche Auffälligkeiten frühzeitig zu entdecken. Ein CASB kann die Aktivitäten, die im AWS Cloud Trail aufgezeichnet sind, mit gängigen Verhaltensmustern abgleichen. Er setzt künstliche Intelligenz ein, um IaaS-spezifische Anomalien zu identifizieren und die größten Risiken zu priorisieren. Dadurch wissen Sicherheitsverantwortliche sofort, wo sie handeln müssen. Verdächtige Aktivitäten sind zum Beispiel, wenn ein anonymer Nutzer auf große Mengen an S3-Objekten zugreift oder EC2-Server bucht (Elastic Compute Cloud). Auch wenn ein nicht autorisierter IAM-Nutzer (Identity and Access Management) versucht, Ressourcen zu löschen, deutet dies auf einen Sicherheitsvorfall hin.
6. Machen Sie den Netzwerkverkehr sichtbar
AWS bietet mit VCP Flow Logs und Network Flow Logs native Funktionen, um den Netzwerkverkehr zu erfassen. Ein CASB kann diese Logfiles gemeinsam mit anderen Daten aufbereiten, sodass er ein ganzheitliches Bild aller Netzwerkaktivitäten innerhalb der AWS-Umgebung ermöglicht. Dazu gehört zum Beispiel auch eine Analyse der Sicherheitsgruppen, um festzustellen, ob diese richtig konfiguriert sind. Welche Ressourcen sind im öffentlichen Internet und welche nur für Backend-Services verfügbar? Welche Ports nutzen diese Ressourcen? Der CASB kann auch analysieren, welcher Netzwerkverkehr erlaubt ist oder blockiert wird und ob Policies angepasst werden müssen. Sicherheitsverantwortliche ersparen sich damit die Arbeit, die Zugangskontrolllisten von Sicherheitsgruppen innerhalb von AWS zu studieren. Sie können das Netzwerk besser absichern und Risiken mindern.
7. Decken Sie Schatten-Nutzung Ihrer IaaS-Umgebung auf
Um die IaaS-Umgebung richtig abzusichern und Kosten zu reduzieren, müssen IT-Verantwortliche den Überblick darüber behalten, welche Applikationen darin gehostet sind. Ein CASB kann alle Services innerhalb der AWS-Infrastruktur aufdecken und die damit verbundenen Aktivitäten kontrollieren. Er überwacht zum Beispiel Datenverkehrs-Muster, Up- und Download-Muster oder Details zu den Nutzern, die diese Aktivitäten ausführen. Anhand von Policies kann er Aktivitäten zulassen oder blockieren. Außerdem ist er in der Lage, ungenutzte Applikationen zu identifizieren. Diese können dann auf andere IaaS-Plattformen ausgelagert werden, um Kosten zu sparen.
Schwachstellen identifizieren und Risiken minimieren
Wer IaaS nutzt, muss sich auch um entsprechende Sicherheitsvorkehrungen kümmern. Vor dem Hintergrund der neuen europäischen Datenschutzgrundverordnung DSGVO wird das zur drängenden Herausforderung. Denn ab dem 25. Mai 2018 können Datenschutzverletzungen teuer werden. Die wichtigsten Maßnahmen bestehen darin, Sicherheitslücken in der Konfiguration der IaaS-Umgebung zu schließen, alle Aktivitäten in der Cloud transparent zu machen und DLP-Richtlinien umzusetzen. Mit einem CASB gelingt dies komfortabel und automatisiert. So sparen Sicherheitsverantwortliche Zeit, können Schwachstellen schnell identifizieren und Risiken minimieren.
Daniel Wolf ist Regional Director DACH bei Skyhigh Networks
- AWS-Dienste richtig absichern
- Weitere Tipps
Lesen Sie mehr zum Thema
