Security Essentials

Wenn Sie ein AWS-Konto erstellen, beginnen Sie mit dem sogenannten Root-Benutzer. Dies ist der erste AWS-Benutzer, der innerhalb Ihres AWS-Kontos existiert. AWS empfiehlt, dieses Konto nicht für den täglichen Betrieb zu verwenden, da es vollen Zugriff und volle Kontrolle über das Konto hat und die empfohlenen Best Practices zum Schutz des Root-Benutzers befolgen sollte. Dazu müssen Sie Ihre Root-Benutzerzugriffsschlüssel sperren, ein sicheres Passwort verwenden, die AWS-Multifaktor-Authentifizierung aktivieren und einen IAM-Benutzer für den Zugriff auf Ihr Konto erstellen. Dieses Konto kann mit Administratorrechten ausgestattet werden und sollte in Zukunft für alle administrativen Aufgaben verwendet werden.

Als nächstes sollten Sie Ihrem Konto alternative Sicherheitskontakte zuweisen. Der alternative Sicherheitskontakt erhält sicherheitsrelevante Benachrichtigungen, einschließlich Benachrichtigungen des AWS Trust & Safety Teams. Weitere Informationen darüber, wie wichtig es ist, diese Kontaktinformationen zu Beginn Ihrer Kontoeinrichtung festzulegen, finden Sie im Blogbeitrag Aktualisieren Sie den alternativen Sicherheitskontakt für Ihre AWS-Konten, um zeitnahe Sicherheitsbenachrichtigungen zu erhalten.

Nachdem Sie Ihre Sicherheitskontakte bestätigt haben, sollten Sie die AWS-Regionen berücksichtigen, in denen Ihre Workloads ausgeführt werden sollten, und die Regionen, in denen sie nicht ausgeführt werden sollten. Anschließend können Sie die ungenutzten Regionen sperren, um sicherzustellen, dass keine Workloads von diesen Regionen aus ausgeführt werden können. Das hilft nicht nur bei der Kostenoptimierung, sondern auch bei der Sicherheit. Wie das? Indem Sie die Regionen, in denen Sie keine Workloads erwarten, sperren, können Sie Ihre Überwachungsbemühungen auf die Regionen konzentrieren, die Sie aktiv nutzen.

Zu diesem Zeitpunkt haben Sie den Root-Benutzer gesichert, einen oder mehrere IAM-Benutzer erstellt, Sicherheitskontakte zugewiesen und die Regionen gesperrt, in denen Workloads ausgeführt werden können. Lassen Sie uns als Nächstes überlegen, wie Benutzer mit AWS-Ressourcen interagieren werden. Es gibt zwei primäre Interaktionsmethoden: die AWS-CLI und die AWS-Managementkonsole. Es wird empfohlen, Single Sign-On für die AWS-CLI und die Konsole einzurichten. Weitere Informationen zur zentralen Verwaltung des Zugriffs mit AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) finden Sie im Artikel Konfiguration der AWS-CLI für die Verwendung von AWS IAM Identity Center.

Der nächste Schritt zur Sicherung Ihres Kontos besteht darin, AWS-IAM-Benutzergruppen einzurichten, um den Zugriff zu kontrollieren. Anstatt den Zugriff einzelner Benutzer zu kontrollieren, indem Sie Richtlinien direkt für den Benutzer festlegen, ist es am besten, eine Gruppe zu erstellen, ihr die erforderlichen Berechtigungen zuzuweisen und dann der Gruppe Benutzer zuzuordnen. Die Benutzer erben die Berechtigungen dieser Gruppe. Dies bietet eine skalierbarere Möglichkeit, vielen Benutzern die Zugriffskontrolle zu ermöglichen. Es ist wichtig, IAM- und IAM-Gruppen zu verstehen, da sie sich über mehrere Dienste erstrecken. IAM ist ein Service, der bis zu einem gewissen Grad mit allen AWS-Services interagiert. Nehmen Sie sich also Zeit, um sich mit IAM vertraut zu machen.

Wenn Sie diese Praktiken von Anfang an befolgen, können Sie einen sicheren Zugriff auf Ihre AWS-Ressourcen gewährleisten. Als Nächstes besprechen wir, wie Sie die Infrastruktur, die Sie auf AWS aufbauen, sichern können.

Beim Aufbau Ihrer Cloud-Infrastruktur erstellen Sie zunächst eine Amazon Virtual Private Cloud (Amazon VPC). Dies ist ein virtuelles Netzwerk, das Sie definieren (ein Standardnetzwerk wird in jeder Region erstellt, wenn Sie Ihr Konto einrichten) und das es Ihnen ermöglicht, Ressourcen zu starten. Eine VPC ähnelt einem herkömmlichen Netzwerk, da ihr ein CIDR-IP-Adressbereich zugewiesen ist, und sie wird unterteilt, indem Subnetze erstellt werden. Ihre Subnetze können verwendet werden, um verschiedene Gruppen von Ressourcen zu isolieren. Subnetze können entweder öffentlich oder privat sein. Öffentliche Subnetze haben eine Route zu einem Internet-Gateway, haben über dieses Gateway Zugriff auf das Internet und können vom Internet aus erreicht werden, sofern die entsprechenden Zugriffskontrollen dies zulassen. Private Subnetze haben ebenfalls eine Routingtabelle, aber keine Route zu einem Internet-Gateway, sodass sie das Internet standardmäßig nicht erreichen können und auch nicht über das Internet erreicht werden können. Damit Ressourcen in einem privaten Subnetz auf das Internet zugreifen können, ist ein NAT-Gateway erforderlich. Auf Subnetzebene erlaubt oder verweigert eine Netzwerkzugriffskontrollliste (ACL) bestimmten eingehenden oder ausgehenden Verkehr. Sie können die Standard-Netzwerk-ACL für Ihre VPC verwenden oder eine benutzerdefinierte Netzwerk-ACL für Ihre VPC erstellen. Netzwerk-ACLs sind nummerierte Listen, die in der Reihenfolge von oben nach unten verarbeitet werden und zustandslos sind. Das bedeutet, dass Sie eine eingehende und ausgehende Netzwerk-ACL-Regel benötigen, um bidirektionalen Datenverkehr zuzulassen.

Wenn Sie EC2-Ressourcen in Ihrer VPC bereitstellen, ordnen Sie ihnen eine Sicherheitsgruppe zu. Eine Sicherheitsgruppe kontrolliert den eingehenden und ausgehenden Datenverkehr, der die EC2-Ressourcen erreichen kann. Sicherheitsgruppen ähneln einer Firewall, aber anstatt nur eine Liste oder einen Bereich von IP-Adressen zu verwenden, können sie auf eine sogenannte Ressourcenreferenz verweisen. Eine Ressourcenreferenz ist eine benannte Gruppe, die eine aktualisierte Liste von IP-Adressen verwaltet, die jeder Ressource in der Gruppe zugewiesen sind. Wenn Sie beispielsweise eine Autoscaling-Gruppe erstellen, um Amazon EC2-Instances hochzufahren, wird jeder Instance beim Start eine neue IP zugewiesen. Indem Sie diesen Instances eine Sicherheitsgruppe hinzufügen, können Sie über die Sicherheitsgruppen-ID der EC2-Instances Zugriff auf die Sicherheitsgruppe Ihres Datenbankservers gewähren, und jede neu gestartete EC2-Instance hat Zugriff auf die Datenbank, ohne ihre IP-Adresse zur Liste der zulässigen Instanzen hinzufügen zu müssen.

Sicherheitsgruppenregeln ähneln Netzwerk-ACLs, da sie bei der Erstellung auf Port, Protokoll und Adressen abgestimmt werden, aber sie sind zustandsbehaftet – ähnlich wie eine zustandsbehaftete Firewall. Wenn Sie einen Eintrag erstellen, um eine bestimmte Art von Datenverkehr zuzulassen, brauchen Sie keine Regel zu erstellen, die dem Rückverkehr entspricht; da der Rückverkehr zustandsabhängig ist, wird er zugelassen. Um besser zu verstehen, wie Sicherheitsgruppen und ACLs interagieren, ist dieser Vergleich hilfreich.

Um eine zusätzliche Ebene der Infrastruktursicherheit hinzuzufügen, können Sie die AWS-Netzwerkfirewall bereitstellen. Die Network Firewall ist ein verwalteter Service, der Schutz für Ihre Amazon VPC bereitstellt. Sie bietet einen feiner abgestuften Schutz als Sicherheitsgruppen, da sie den Kontext von Verkehrsflüssen, wie die Verfolgung von Verbindungen und die Protokollidentifizierung, einbeziehen kann, um Richtlinien durchzusetzen, z. B. um zu verhindern, dass Ihre VPCs über ein nicht autorisiertes Protokoll auf Domänen zugreifen. Dies erfolgt durch die Konfiguration benutzerdefinierter Suricata-Regeln. Beispielsweise können Sie die Netzwerk-Firewall so konfigurieren, dass sie vor Malware-Angriffen schützt. Wenn Sie noch einen Schritt weiter gehen, können Sie einen weiteren verwalteten Service, AWS Shield Advanced, bereitstellen, um sich vor DDoS-Bedrohungen zu schützen.

Bei der Erstellung von Ressourcen in AWS sollten Sie darauf achten, dass Sie die empfohlenen bewährten Sicherheitsmethoden für die Art der Ressource, mit der Sie arbeiten, befolgen. Bei EC2-Instances beginnt die Sicherheit mit der Steuerung des Netzwerkzugriffs auf Ihre Instances, z. B. durch die Konfiguration Ihrer VPC und Sicherheitsgruppen. (Weitere Informationen finden Sie unter „Amazon-VPC-Sicherheit“ im Abschnitt „Sicherung der von Ihnen erstellten Infrastruktur“.)

Ein weiterer Aspekt der Instance-Sicherheit ist die Verwaltung der Anmeldeinformationen, die für die Verbindung zu Ihren Instances verwendet werden. Dies beginnt mit den IAM-Benutzerberechtigungen, die Sie zuweisen, erstreckt sich aber auch auf die zugewiesene Gruppe. Dies bietet ein gewisses Maß an Sicherheit für den Benutzer, der mit der EC2-Instance arbeitet, jedoch nicht für die Instance selbst. Sie sollten auch IAM-Rollen konfigurieren, die der Instance zugeordnet sind, und die diesen Rollen zugewiesenen Berechtigungen. Um auf eine EC2-Instance zuzugreifen, sollten Sie EC2 Instance Connect verwenden, anstatt den Port für SSH zu öffnen oder einen Bastion/Jump-Host einzurichten.

Sie sollten sicherstellen, dass das Gastbetriebssystem und die auf der Instance bereitgestellte Software mit allen Betriebssystemupdates und Sicherheitspatches auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Sicherheit in Amazon EC2.

Die Sicherung Ihrer Datenbank ist ein wichtiger Aspekt Ihres Sicherheitsansatzes. Wie im Abschnitt zur Amazon VPC-Sicherheit erwähnt, wird empfohlen, Datenbanken in einem privaten Subnetz bereitzustellen, um den Zugriff externer Parteien über das Internet zu verhindern. AWS bietet 15 speziell entwickelte Datenbanken. Jedes ist unterschiedlich gesichert, aber alle haben Folgendes gemeinsam.

Für den Zugriff auf eine Datenbank ist irgendeine Form der Authentifizierung erforderlich. Dies kann in Form eines Benutzernamens und eines Passworts erfolgen, die regelmäßig geändert werden sollten. Sie können alternativ Amazon RDS Proxy verwenden, um IAM-Rollen zu nutzen, um den Zugriff auf die Datenbank für Sie zu verwalten. Einige Datenbankdienste, wie Amazon DynamoDB, verwenden IAM-Rollen, um Zugriff zu gewähren, sodass Sie keine Anmeldeinformationen selbst verwalten müssen.

SSH ist eine der gebräuchlichsten Methoden zur Verwaltung Ihrer EC2-Instances. Mit Amazon EC2 Instance Connect können Sie SSH verwenden, um sich mit einmaligen SSH-Schlüsseln direkt in der Konsole mit Ihren EC2-Instances zu verbinden. Die folgenden Artikel bieten eine schrittweise Anleitung zur Aktivierung von Amazon EC2 Instance Connect und erläutern den typischen Anwendungsfall. Sie können auch SSH-Schlüssel generieren, wenn Sie Ihre EC2-Instance erstellen, sie lokal herunterladen und sie verwenden, um eine Verbindung zu Ihrer Instance herzustellen. Das bedeutet jedoch, dass Sie diese Schlüssel schützen und sicherstellen müssen, dass sie an einem Ort aufbewahrt werden, an dem Sie den Zugriff nicht verlieren, und dass Sie sich nur von einem Rechner aus mit Ihrer Instance verbinden können, der diese Schlüssel heruntergeladen hat. EC2 Instance Connect bietet denselben SSH-Zugriff, sicher, von der Konsole aus, maschinenübergreifend und auf benutzerfreundliche Weise.

Es ist eine empfohlene bewährte Methode, den Zugriff auf Ihre Datenbank nur auf Dienste und Infrastruktur zu beschränken, für die Zugriff erforderlich ist. Dazu können Sie Sicherheitsgruppen für Ihre RDS-Instances, Amazon Neptune-Datenbanken oder Amazon Redshift-Cluster einrichten.

Backups und Testwiederherstellungen

Die Sicherung Ihrer Daten und häufige Wiederherstellungen zur Überprüfung der korrekten Funktion der Sicherungen sollten Priorität haben. Mit AWS Backup können Sie Backups für bestimmte AWS-Services wie Amazon RDS, DynamoDB, Neptune und mehr einfach konfigurieren und verwalten.

Für serverlose Sicherheit sollten Sie mit AWS Lambda, Amazon API Gateway, Amazon DynamoDB, Amazon SQS sowie IAM vertraut sein. Bei der Serverless-Sicherheit übernimmt AWS im Vergleich zum Modell der geteilten Verantwortung eine größere Verantwortung, aber es gibt immer noch eine Kundenverantwortung, der man sich bewusst sein muss. In einer Serverless-Umgebung verwaltet AWS die Infrastruktur, die Rechenleistung, die Ausführungsumgebung und die Laufzeitsprache. Der Kunde ist für den Funktionscode und die Bibliotheken des Kunden, die Ressourcenkonfiguration sowie das Identitäts- und Zugriffsmanagement verantwortlich, wie in der Abbildung gezeigt.

In den folgenden Abschnitten finden Sie Einzelheiten zu den Sicherheitsmethoden, die in der Verantwortung des Kunden liegen. Weitere Informationen finden Sie unter Sicherheit in AWS Lambda.

AWS Lambda bietet Laufzeiten, die Ihren Funktionscode in einer Amazon-Linux-basierten Ausführungsumgebung ausführen. Wenn Sie jedoch zusätzliche Bibliotheken mit Ihrer Funktion verwenden, sind Sie für die Aktualisierung der Bibliotheken verantwortlich. Wenn Sie sicherstellen, dass Ihre Bibliotheken auf dem neuesten Stand sind, können Sie Ihre Sicherheitslage aufrechterhalten.

AWS Lambda lässt sich in verschiedene AWS-Ressourcen wie Amazon DynamoDB, Amazon EventBridge und Amazon Simple Notification Service (Amazon SNS) integrieren. Die Einhaltung der empfohlenen Sicherheitsverfahren für jeden Dienst, den Sie im Rahmen Ihrer Funktion verwenden, trägt zur Verbesserung Ihrer Sicherheitslage bei. Die Dokumentation für jeden Dienst enthält zusätzliche Anleitungen.

Für die Ausführung von Lambda-Funktionen sind möglicherweise bestimmte IAM-Berechtigungen und -Rollen erforderlich. Weitere Informationen finden Sie im Abschnitt Berechtigungen im AWS Lambda Developer Guide.

Ihre Sicherheitsstrategie sollte auch Überwachung, Protokollierung und Konfigurationsmanagement umfassen. Viele Unternehmen ermöglichen beispielsweise die Abrechnung ihrer Geräte über das TACACS+-Protokoll, RADIUS oder Active Directory-Protokolle. Auf diese Weise wird sichergestellt, dass für alle administrativen Aktivitäten ein Prüfpfad erstellt wird. Innerhalb der AWS-Cloud kann dies mit AWS CloudTrail erfolgen. CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. Das AWS Serverless Application Repository, das es Entwicklern und Unternehmen erleichtert, serverlose Anwendungen in der AWS-Cloud schnell zu finden, bereitzustellen und zu veröffentlichen, ist in AWS CloudTrail integriert. Weitere Informationen finden Sie im AWS Serverless Application Repository Developer Guide.

Sie müssen dennoch einen gewissen DoS- und Infrastrukturschutz für Ihre Serverless-Umgebungen bereitstellen, was mit AWS Shield und AWS Shield Advanced möglich ist. Die Überwachung und Erkennung von Bedrohungen wird im Abschnitt „Überwachung Ihrer Umgebung“ näher behandelt.

Bei AWS werden die Daten in Amazon S3 gespeichert, das über mehrere Kontrollen zum Schutz der Daten verfügt. Der Artikel Top 10 der besten Sicherheitsmethoden für den Schutz von Daten in Amazon S3 behandelt die grundlegendsten Techniken. Dazu gehören das Sperren öffentlicher S3-Buckets auf Unternehmensebene, die Verwendung von Bucket-Richtlinien, um sicherzustellen, dass alle gewährten Zugriffe beschränkt und spezifisch sind, sowie die Verschlüsselung und der Schutz von Daten.

Für die Verschlüsselung können Sie mit AWS Key Management Service (AWS KMS) Schlüssel erstellen und kontrollieren, die zum Verschlüsseln oder digitalen Signieren Ihrer Daten verwendet werden. Wenn Sie Ihre Daten auf AWS verschlüsseln möchten, haben Sie einige Möglichkeiten. Die erste besteht darin, serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) zu verwenden. Bei dieser Methode erfolgt die Verschlüsselung, nachdem die Daten mithilfe von Schlüsseln, die von AWS verwaltet werden, an AWS gesendet wurden.

Die zweite Option besteht darin, die Daten zu verschlüsseln, sobald sie sich in AWS befinden. Anstatt jedoch Schlüssel zu verwenden, die von AWS erstellt und verwaltet werden, können Sie eine serverseitige Verschlüsselung mit Kundenmasterschlüsseln (CMKs) durchführen, die in AWS KMS (SSE-KMS) gespeichert sind.

Die dritte Option zum Speichern verschlüsselter Daten auf AWS ist die Verwendung der clientseitigen Verschlüsselung. Bei diesem Ansatz werden die Daten verschlüsselt, bevor sie an AWS übertragen werden.

Ein Beispiel dafür, wie Kunden sowohl von der clientseitigen als auch von der serverseitigen Verschlüsselung profitieren, ist auf dem Bild zu sehen.

VPNs können mehrere Technologien umfassen. Die Idee hinter einem VPN ist, dass Ihre Daten bei der Übertragung ihre Integrität bewahren und sicher zwischen zwei Parteien ausgetauscht werden können. AWS bietet mehrere Technologien, mit denen Sie Ihre Daten während der Übertragung schützen können. Eines davon ist AWS PrivateLink, das verschlüsselte, private Konnektivität zwischen VPCs, AWS-Services und Ihren lokalen Netzwerken bietet. Dies geschieht, ohne dass Ihr Datenverkehr dem öffentlichen Internet ausgesetzt wird. Auch dies könnte als ein virtuelles privates Netz betrachtet werden.

In den meisten Fällen dreht sich die Diskussion um VPN jedoch um die Verwendung von Datenverschlüsselung. Abhängig von den Umständen müssen Sie möglicherweise eine Verschlüsselung zwischen einem Client und Ihren AWS-Cloud-Ressourcen bereitstellen. In dieser Situation wäre AWS Client VPN erforderlich. Andererseits übertragen Sie möglicherweise Daten zwischen Ihrem Rechenzentrum oder Ihrer Niederlassung und Ihren AWS-Ressourcen. Sie können dies mithilfe von IPSec-Tunneln zwischen Ihren On-Premises-Ressourcen und Ihren Amazon VPCs oder AWS Transit Gateway erreichen. Diese sichere Konnektivität wird als Site-to-Site VPN bezeichnet.

Und schließlich bietet die Verwaltung Ihrer Cloud-Ressourcen über die AWS-Managementkonsole ebenfalls eine verschlüsselte Datenübertragung. Obwohl Sie die Verbindung zur Konsole normalerweise nicht als VPN bezeichnen würden, verwendet Ihre Sitzung TLS-Verschlüsselung (Transport Layer Security). Daher werden Ihre Konfigurationen vertraulich behandelt, während Sie Ihre sichere Architektur erstellen. TLS wird auch mit der AWS-API verwendet.

AWS bietet verschiedene verwaltete Services zur Unterstützung bei der Überwachung Ihrer Umgebung sowie Self-Service-Optionen. Beispielsweise können Sie VPC Flow Logs verwenden, um Netzwerkverkehrsflüsse zu protokollieren und anzuzeigen, oder Sie können Amazon CloudWatch verwenden, um AWS-WAF-Protokolle zu analysieren oder sogar Alarme für EC2-Instances zu erstellen. In diesem Workshop erfahren Sie mehr über Amazon CloudWatch.

Darüber hinaus überwacht und zeichnet AWS CloudTrail die Kontoaktivitäten in Ihrer AWS-Infrastruktur auf, sodass Sie die Kontrolle über Speicher-, Analyse- und Abhilfemaßnahmen haben. Dies ist unerlässlich, um einen administrativen Prüfpfad zu erstellen, Sicherheitsvorfälle zu identifizieren und betriebliche Probleme zu beheben.

Schließlich kann Amazon GuardDuty für die Erkennung von Bedrohungen verwendet werden und sogar, um noch einen Schritt weiter zu gehen, indem die veröffentlichten Ergebnisse veranlasst werden, automatische Abhilfemaßnahmen in Ihrer AWS-Umgebung einzuleiten.

Wenn Sie sich mit jedem dieser operativen Bereiche befassen, sind Sie auf dem besten Weg, wesentliche Sicherheitsfunktionen für Ihre Cloud-Umgebung zu etablieren.