Security & Compliance mit AWS

Dez 7, 2020 | Cloud

Viele Schweizer Firmen äussern aktuell noch Bedenken vor dem Schritt in die Cloud. Diese sei zu unbekannt und zu unsicher. Wir möchten diese Bedenken ausräumen und aufzeigen, dass Sie Ihre Anwendungen sicher in der Cloud betreiben können.

Die Vorteile der AWS Security & Compliance sind zahlreich:

  • AWS-Infrastruktur erfüllt Anforderungen von sicherheitssensitivsten Organisationen
  • Akkreditierungen & Zertifizierungen
  • Weltklasse Security Teams
  • Elastizität & Agilität, hohe Resilienz
  • Globale Verfügbarkeit
  • Managed Services
  • Im Rampenlicht weltweiter Organisationen & Öffentlichkeit

Die Sicherheit mit AWS erfolgt nach dem Shared Responsibility Model. Der Kunde sorgt für die Security in der Cloud (Daten, Applikation, IAM, etc.), AWS ist verantwortlich für die Security der Cloud an sich (Infrastruktur, Software, Hardware):

Mit dieser Zusammenarbeit sind viele sicherheitsrelevante Zertifizierungen wie PCI DSS, ISO 27001, HIPAA usw. möglich. Eine abschliessende Liste ist hier zu finden: https://aws.amazon.com/de/compliance/programs/

Security-Grundlagen von AWS

Die Sicherheitsgrundlagen der physischen Security setzen sich aus zahlreichen Massnahmen zusammen. So sind die Zutritte in die Datacenter durch eine Zugangskontrolle streng geregelt. Es erfolgt eine strikte Gästeidentifikation und alle Mitarbeiter der Cloud Provider durchlaufen ein Mitarbeiterscreening mit Background-Checks. Es ist lediglich ein Temporär-Zutritt möglich. Die Gebäude sind zudem eingezäunt, feuergeschützt sowie einbruchgesichert und werden von Sicherheitspersonal geschützt. Weiter überwacht ein Global Security Operations Center die mehrfach redundanten Datacenter akribisch auf Security Events und Incidents und leitet bei Bedarf entsprechende Massnahmen ein. Die Sicherheitsmassnahmen werden jährlich durch externe Auditoren überprüft.

Weiter besteht eine Region in der Regel aus drei Verfügbarkeitszonen. Diese sind vollständig isoliert, mehrfach redundant, verfügen über weniger als 10 Millisekunden Latenzzeit und sind ausreichend weit auseinander, jedoch nicht mehr als 100 Kilometer. Zudem sorgen Edge Locations für ein schnelles Caching. Alles in allem schafft AWS auf mit dieser Grundlage höchste Verfügbarkeit und Sicherheit für Ihre Daten und Anwendungen.

Endlose Möglichkeiten nach Bedarf

AWS stellt eine riesige Palette an Services zur Verfügung, um Ihre Security zu erhöhen und Compliance-Richtlinien zu erfüllen:

  • AWS Artifact: Self-Service Portal für Compliance-Informationen, Reports, Zertifizierungen, Vereinbarungen und Non-Disclosure Agreements.
  • AWS Nitro System: Auslagerung von Hypervisor-Funktionen an dedizierte Hardware-Module, welche keine administrativen Zugriffe erlaubt (weder Kunde noch AWS).
  • AWS Identity und Access Management: Verwaltung von Usern, Gruppen, Rollen und entsprechenden Policies mit integrierten Multifactor-Authentifizierungs-Service.
  • AWS Organisations: Zentrale Umgebungsverwaltung zur Erweiterung und Skalierung von Ressourcen und Workflows.
  • AWS Single Sign-On (SSO): Identity Federation, die SAML und OpenID Connect unterstützt und als Source eine Active Directory verwendet.
  • AWS Directory Services / Amazon Cognito: On-Prem Active Directory und User Directory & Authentisierung, Authentisierung für Web- und Mobileapplikationen
  • Amazon Route 53 / AWS WAF / Amazon CloudFront: Frontline Security Services, DNS-Funktionen, Web Application Firewall Policies und Content Delivery Network.
  • AWS Network Firewall: Automatisch skalierende Managed Firewall mit Web-Filter, Intrusion Prevention und Alerting.
  • API Gateway: Skalierbarer, ausfallsicherer API Gateway, der RESTful und Websocket APIs für Applikationen, Dashboards und Web Apps unterstützt.
  • Network Security: Mittels vier hochverfügbaren Load Balancers (Classic, Application, Network, Gateway) werden Anwendungen fehlertolerant betrieben. Security Groups und NACLs sorgen für den Schutz von Komponenten via Firewalling.
  • AWS Key Management Service / AWS CloudHSM: Encryption für Objekte, Datenbanken, Volumen etc. mittels Multi-Tenant HSM oder dediziertem HSM.
  • AWS Certificate Manager: Integration von SSL- und TLS-Zertifikaten auf CloudFront, Load Balancers oder API Gateway. Betrieb einer eigenen PKI Umgebung möglich.
  • AWS Inspector: API-basierter Vulnerability Assessment-Dienst zum Aufspüren von Sicherheitslücken, Schwachstellen und Abweichungen von Best Practices.
  • Amazon GuardDuty: Threat Intelligence & Detection Service zur Erkennung von Bedrohungen.
  • Amazon Macie: Machine Learning-basierter Dienst zur Data Leakage Prevention (DLP) unabhängig der Datenmenge.
  • AWS Secrets Manager: Zentrale Verwaltung zur Hinterlegung von Keys, Passwörtern und DB-Anmeldeinformationen via API-Zugriff.
  • AWS Security Hub: Holistische Sicht auf verschiedene Security Services, Alerts, und automatisierte Checks.
  • Security Operations & Cyber Defense: Monitoring, Dashboards, Operations, SIEM, Search, Threat Hunting, Analytics.

Es zeigt sich, dass einer lückenlosen Security sowie der Erfüllung Ihrer Compliance-Anforderungen nichts mehr im Wege steht. Falls Sie Beratung wünschen, steht Ihnen Marc Zimmermann sehr gerne zur Verfügung.