Interview mit Mark Ryland von AWS
Der Weg zur sicheren Cloud
Fortsetzung des Artikels von Teil 1
Geteilte Verantwortung
LANline: Wie sieht das Modell der „Shared Responsibility“ (geteilten Verantwortung) bei AWS Outposts aus, und was bedeutet das aus der Sicherheitsperspektive?
Mark Ryland: Es gibt eigentlich keine großen Unterschiede. Natürlich gibt es einen oder mehrere abgeschlossene Racks, die in der eigenen Umgebung laufen. Diese Ausrüstung muss mit Strom und Netzwerkfunktionalität versorgt sowie physisch abgesichert werden. AWS-Kunden sind jedoch nicht für die Wartung oder Instandhaltung dieser Geräte verantwortlich, auch die gesamte logische Kontrolle erfolgt über die Cloud. Selbst für die Sicherheit im Sinne der Vertraulichkeit – im Gegensatz zur Verfügbarkeit – ist größtenteils AWS Outposts zuständig. Da der Dienst über starke kryptografische Kontrollen sowie über sowohl in der Cloud als auch über lokal verwaltete Schlüsselspeicher verfügt, ist es extrem unwahrscheinlich, dass jemand physisch auf die Geräte zugreift und dabei unverschlüsselte Daten offenlegt. AWS Outposts wurde ja gerade im Hinblick auf die Bedrohung durch unerlaubte physische Zugriffe entwickelt, das Schutzniveau ist also sehr hoch. Aber abgesehen davon, dass die Geräte mit Strom und Netzwerkfunktionalität versorgt und vor Eindringlingen geschützt werden müssen, bleibt das Modell der geteilten Verantwortung bei lokal ausgeführten Cloud-Diensten bestehen.
LANline: Viele Unternehmen kämpfen derzeit mit der Bedrohung durch Erpressungstrojaner, also Ransomware. Inwieweit sind – oder wären – in der Public Cloud gehostete Anwendungen besser vor Ransomware geschützt als in einer On-Premises-Umgebung?
Mark Ryland: Hier gibt es gleich mehrere Vorteile: Anders als im Rechenzentrum oder Unternehmensnetzwerk ist es in der Cloud sehr einfach, nicht oder nur leicht verwandte Systeme und Arbeitslasten auf Netzwerkebene zu isolieren. Das ermöglichen Technologien wie VPC (Virtual Private Cloud, d.Red.) und PrivateLink sowie die Sicherheitsgruppen. Und mit der sogenannten Mikrosegmentierung lässt sich die Wahrscheinlichkeit einer Seitwärtsbewegung beim Eindringen von Malware erheblich verringern. Ein weiterer Vorteil sind die integrierten Versionierungs-, Backup- und Point-in-Time-Recovery-Funktionen für Cloud-Speicher und Datenbankdienste. Möglich ist zudem, Sicherungskopien mit Schreib-, aber ohne Lese- und Löschrechten aus der Quellumgebung in ein separates Backup-Konto zu erstellen. Selbst wenn ein privilegierter Benutzer oder ein System in der Quellumgebung kompromittiert wird, lassen sich frühere Backups nicht verändern oder löschen. Einen zusätzlichen Schutz für lokale oder Cloud-Umgebungen bietet die „Zero-Trust-Architektur“. Hier werden bei den Abwehrmaßnahmen nicht nur Netzwerkperimeter, sondern auch identitäts- und zugriffskontrollbasierte logische Grenzen berücksichtigt.
LANline: Welche zusätzlichen oder zunehmenden Bedrohungen für die Cloud-Sicherheit erwarten Sie im Laufe dieses Jahres?
Mark Ryland: Wir können nicht sagen, welche Bedrohungen die Zukunft bringt. Aber bei AWS hat das Thema Sicherheit oberste Priorität, daher haben wir einen Zehn-Punkte-Plan für unsere Kunden erstellt, um für alle Fälle bestens gerüstet zu sein: In Punkt eins geht es, darum, die Unternehmemssicherheit mittels des AWS Organizations Service skalierbar zu machen und Cloud-Umgebungen zentral zu verwalten und zu steuern. Zweitens: Die Cloud-Nutzung muss nachvollziehbar sein. Denn es ist unmöglich, einen Zustand zu verbessern, ohne ihn vorher gemessen zu haben. Der dritte Punkt appelliert an die Nutzung von Verschlüsselungsdiensten: Wird auf Daten missbräuchlich zugegriffen, ist Verschlüsselung ein wesentlicher Bestandteil von „Defense in Depth“- und „Wenn alles andere fehlschlägt“-Strategien. Viertens empfehlen wir die Bündelung von Anwenderzugriffen durch Technologien wie Identity Federation, denn dadurch muss ein Unternehmen die Identitäten in der Cloud nicht neu erstellen. In Punkt 5 empfehlen wir die Verwendung von Amazon S3 Block Public Access für alle Konten. Diese Funktion ermöglicht es, den S3-Zugriff voreingestellt für ein ganzes Konto oder mehrere Konten zu schließen und vereinfacht damit den sicheren Umgang mit Cloud-Speichern. Punkt 6 weist darauf hin, sich vor externen Angriffen am Edge des Netzwerks zu schützen. „Edge“ bezeichnet hier Technologien und Anwendungen in der Architektur, die sich nahe am Internet befinden. Siebtens: Unternehmen sollten Systeme regelmäßig mit Patches aktualisieren und deren Durchführung überwachen. Automatisierung erleichtert das Patchen und erhöht die Sichtbarkeit von Systemen, die Patches benötigen. Achtens: Es reicht nicht aus, sich nur auf die Netzwerkperimeter zu verlassen. Moderne Perimeter beinhalten neben dem Netzwerkkonzept auch ein Identity- und Access-Management-Konzept. Im nächsten Punkt geht es um Transparenz und Führung auf allen Ebenen. Eine starke Sicherheitskultur verlangt Verantwortungsbewusstsein. Das heißt: Wenn etwas schiefläuft, sollte man sich das jeweilige Problem zu eigen machen und dann entscheiden und planen, wie es sich lösen lässt. Und Punkt 10 betrifft die Diversität beim Recruiting sowie in der Aus- und Weiterbildung: Jede Organisation sollte die Unterschiedlichkeit ihrer Mitarbeiter widerspiegeln und auch fördern. Denn wenn nicht alle gleich denken, entstehen dadurch oft neue und kreative Gedanken.
LANline: Herr Ryland, vielen Dank für das Gespräch.
- Der Weg zur sicheren Cloud
- Geteilte Verantwortung
Lesen Sie mehr zum Thema
