Encrypt Everything – Leicht gemacht dank AWS

Jan 6, 2021 | Cloud

Gemäss Ponemon-Studie „2020 Global Encryption Study“ haben lediglich 48% der Unternehmen eine Verschlüsselungsstrategie, die im gesamten Unternehmen einheitlich angewendet wird. Aber warum nur knapp die Hälfte? Die Herausforderungen sind vielfältig:

  • Encryption Key Management
  • Integration
  • Komplexität
  • Verständnisprobleme
  • Performance
  • Operationeller Aufwand
  • Fehleranfälligkeit

Auch die Bedrohungen der sensitiven Daten sind zahlreich. So gehören unabsichtliche Fehler von Mitarbeitenden, gefolgt von Prozess- und Systemfehlern sowie Hacker zu den grössten Gefahren. Aber auch temporäre Mitarbeiter und Dienstleister oder Insider mit bösen Absichten bergen ein Schadenspotenzial. Deshalb empfiehlt es sich: Encrypt Everything! Die Grundlage dafür ist ein sauberes Identity & Access Management (IAM) sowie das Befolgen des Least Privilege-Prinzips. Das heisst, jeder verfügt nur über diejenigen Rechte, die er effektiv benötigt. Es gibt keine Admin-Rollen für Services, auch nicht, um „nur schnell etwas zu testen“. Gibt es Verstösse gegen diese Grundsätze, ist auch die Verschlüsselung nicht effektiv.

Die meisten AWS Services haben eine Built-In-Integration. Das heisst, die Verschlüsselung ist so leicht wie noch nie zu vollziehen. Im Rahmen des Shared Responsibility Models von AWS heisst das konkret, dass der Kunde für die Encryption und Konfiguration als auch die korrekte IAM-Umsetzung samt Policies verantwortlich ist. Um dies zu vereinfachen, gibt es auf AWS eine Fülle an Services und Tools:

  • Physical Network Encryption: Alle Links, welche nicht unter AWS-Kontrolle sind, sind mittels MACsec Layer 2 Encryption und/oder Optical Encryption mit AES 256 verschlüsselt. Inter-Region Traffic wird über den AWS Backbone gerouted.
  • VPC Encryption: E2E Encryption in Transit zwischen EC2 Instanzen im selben VPC oder zwischen gepeerten VPCs.
  • AWS Certificate Manager (ACM): Zentrale Verwaltung von öffentlichen und privaten SSL/TLS Zertifikaten, welche den manuellen Prozess ablöst und die Integration in gängige AWS Services wie Load Balancer, CloudFront und API Gateway erlaubt.
  • AWS ACM Private Certificate Authority: Hochverfügbare, private Zertifikatsausgabestelle mit vollständiger CA-Hierarchie, welche den FIPS 140-2 Level 3-Sicherheitsnormen entspricht.
  • Amazon s2n: AWS-eigene Implementierung des TLS/SSL-Protokolls auf Open-Source-Basis mit Fokus auf Security und verbesserter Performance.
  • AWS Key Management Service (KMS): Skalierbare Verwaltung von kryptografischen Schlüsseln zur Einhaltung der gesetzlichen Compliance-Anforderungen für fast alle AWS Services. Die Zugriffskontrolle erfolgt granular via Key Policy und IAM.
  • Envelope Encryption: Teil des KMS, bei dem Klartext-Daten mit einem Data Encryption Key verschlüsselt werden. Anschliessend wird dieser Data Encryption Key mit dem sogenannten Customer Master Key verschlüsselt, und zusammen mit dem verschlüsselten Datensatz abgelegt.
  •  S3 Encryption: Server-Side Encryption mit Amazon S3-Managed Keys, Customer Master Keys und Customer-Provided Keys sowie Client-Side Encryption.
  • AWS CloudHSM: Cloud-basiertes, skalierbares Hardware-Sicherheitsmodul zurVerwaltung von Schlüsseln auf FIPS 140-2 Level 3 ohne Zugriff von AWS für folgende Use Cases:
    • Verschlüsselung von sehr sensitiven Daten
    • Regulatorische Anforderungen (Single Tenant)
    • Offload SSL/TLS
    • Certificate Authority (CA)
    • Transparent Data Encryption (TDE) für Oracle-Datenbanken
    • Dokument- & Code-Signierung
    • Digital Rights Management (DRM)

Wir beraten Sie gerne und helfen Ihnen bei der Umsetzung und Konfiguration dieser Tools. Für ein unverbindliches Gespräch steht Ihnen Marc Zimmermann sehr gerne zur Verfügung.