Security-Neuerungen bei AWS
Cloud-Ressourcen besser schützen
Fortsetzung des Artikels von Teil 1
Überblick über Sicherheitswarnungen
AWS Security Hub wiederum dient dazu, einer IT-Organisation einen umfassenden Überblick über Sicherheitswarnungen und die Sicherheitslage aller unternehmenseigenen AWS-Konten zu liefern (siehe Bild Seite 1). Die Funktion dient als zentrale Anlaufstelle, die Sicherheitswarnungen und -erkenntnisse aus mehreren AWS-Diensten aggregiert, organisiert und priorisiert. Zu diesen Services zählen Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie Partnerlösungen.
Neu ist laut AWS-Bekunden eine bessere Integration von Security Hub in die anderen AWS-Dienste und die über 50 Partnerlösungen. Für die Reaktion auf Sicherheitsvorfälle empfiehlt AWS die Nutzung von Amazon Detective sowie der Event-Regeln von CloudWatch, um die Ergebnisse externe Lösungen wie Ticketing- und SIEM-Systeme (Security-Information- und Event-Management), SOAR-Lösungen (Security Orchestration, Automation, and Response) oder Incident-Management-Tools zu senden.
Security Hub ist laut AWS-Angaben in 22 Regionen erhältlich. Er ist mit einer kostenlosen 30-Tage-Testversion und einer dauerhaft kostenlosen Version verfügbar, die auf 10.000 Ergebnisse pro Monat und Region limitiert ist.
Schutz sensibler Daten
Amazon Macie schließlich ist ein vollständig verwalteter Dienst für Datensicherheit und Datenschutz, der maschinelles Lernen (ML) und Pattern Matching (Musterabgleich) nutzt, um sensible Daten in AWS aufzuspüren und zu schützen. Der Service automatisiert laut AWS-Angaben die Erkennung vertraulicher Daten in großem Maßstab und soll so die Kosten für den Schutz der Daten senken. Er automatisiere die Bestandsaufnahme der Amazon-S3-Buckets und führe unverschlüsselte Buckets ebenso auf wie öffentlich zugängliche oder solche, die mit AWS-Konten außerhalb der definierten Bereiche gemeinsam genutzt werden. Warnungen oder Erkenntnisse könne man in der AWS Management-Konsole durchsuchen, filtern oder für die Einbindung in Workflow- oder Event-Management-Systeme an Amazon EventBridge senden.
Neu ist hier, dass die Ergebnisse von Macie jetzt Informationen zur Lokalisierung sensibler Daten – zum Beispiel Seitenzahl, Zeilennummer etc. – enthalten, die der Dienst in gescannten S3-Objekten gefunden hat. Dies erleichtere es, den genauen Standort der von Macie identifizierten sensiblen Daten in verschiedenen Dateitypen zu bestimmen.
Zudem zeige die Macie-Konsole nun eine Kostenschätzung für die Bewertung ausgewählter Buckets an. Dabei würden unterstützte Objekttypen, alle komprimierten Dateien und die Macie-Volumenrabatt-Preisstufen berücksichtigt.
Ebenfalls neu ist die Möglichkeit, Aufträge zur Erfassung sensibler Daten vorübergehend zu unterbrechen. Man könne also S3-Buckets mit großen Datenmengen zur Evaluierung einreichen, das Scannen für einen bestimmten Zeitraum laufen lassen und dann den Auftrag vorübergehend stoppen, um die Ausgabenhöhe und die Ergebnisse zu evaluieren.
Weitere Informationen finden sich unter https://aws.amazon.com.
- Cloud-Ressourcen besser schützen
- Überblick über Sicherheitswarnungen
Lesen Sie mehr zum Thema
