AWS Shared Security Model

Unternehmen, die ihre Geschäftsvorgänge effizienter gestalten wollen, um wettbewerbsfähig zu bleiben, wenden sich Cloud-Dienstleistern wie Amazon Web Services zu, um ihre IT-Infrastruktur zu verwalten.

Dieser Schritt kann durchaus als riskant wahrgenommen werden - besteht der Mehrwert von AWS doch darin, dass Benutzer die Kontrolle über die zugrunde liegende Infrastruktur aufgeben. Doch Cloud-Dienstleister wie AWS investieren weiterhin erheblich in die Sicherheit ihrer Services mit dem Ziel, Cloud-Dienste sicherer zu machen als eine lokale Infrastruktur.

Amazon bietet eine vielschichtige Palette von Services, um die Sicherheit bestimmter Bereitstellungen zu gewährleisten. Damit Benutzer diese Services konzeptionell nachvollziehen können, gibt das gemeinsame Sicherheitsmodell von AWS vor, welche Sicherheitskontrollen in der Verantwortung von AWS liegen und welche beim Kunden.

Sicherheitsaufgaben von AWS Security

Im Allgemeinen sieht es AWS als seine Verantwortung, die Sicherheit der Cloud als Ganzes zu gewährleisten, während Kunden für die Sicherheit ihrer spezifischen Instanzen verantwortlich bleiben.

• AWS Hardware/globale Infrastruktur: Dies umfasst regionale, verfügbare und Edge-Zonen der Cloud-Infrastruktur von Amazon und erfolgt durch physische Schutzmaßnahmen und ständige IT-Wartung.
• AWS Software (Verarbeitung, Speicherung, Datenbank, Netzwerk): Amazon garantiert für alle seine Services eine sichere Softwareplattform. Dieser Aspekt der Verantwortung von Amazon bezieht sich auch auf AWS-Sicherheitsservices, die von Amazon für Kunden entwickelt wurden. Dazu gehören Verschlüsselungsschlüssel, Netzwerküberwachungstools, Datenbankschutz und mehr.

Sicherheitsaufgaben des Kunden

Die Verantwortung von Kunden hinsichtlich Sicherheit ergibt sich aus dem jeweiligen AWS-Cloud-Service, den sie wählen. Entscheidet sich ein Kunde für einen von Amazons „Infrastructure-as-a-Service“-Diensten (EC2, VPC, S3), muss der Kunde sämtliche notwendigen Sicherheitskonfigurationen und Verwaltungsaufgaben selbst durchführen. Dazu gehören Folgende:

• Kundendaten: Schutz der Geschäftsdaten auf Netzwerkseite, wenn diese im Cloud-Service eintreffen und diesen verlassen.
• Plattform-, Anwendungs-, Identitäts- und Zugriffsverwaltung: Der Kunde ist für die Verwaltung und den Schutz der in der Cloud ausgeführten Plattform verantwortlich sowie aller Aspekte, die sich daraus ergeben. Ein Kunde, der beispielsweise einen Online-Bekleidungsshop führt, muss den Schutz der Identitäten und Konten der Käufer gewährleisten.
• Client-seitige Datenverschlüsselung: Dies erfolgt entweder über einen von AWS verwalteten Verschlüsselungsschlüssel oder über einen persönlichen Schlüssel, der nicht von AWS bereitgestellt wird.
• Dateisystemverschlüsselung: Beim Schutz von inaktiven Daten können Kunden ein unabhängiges Schutzsystem oder einen von AWS bereitgestellten Dateisystemschutz einsetzen.
• Schutz von Netzwerk-Traffic: Kunden müssen die Sicherheit des gesamten Traffics zum und vom Server gewährleisten.
• Schutz von Services und Kommunikation: Kunden sind für das Routing und Zoning von Daten in bestimmten Sicherheitsumgebungen verantwortlich.

Gemeinsame Sicherheitsaufgaben

AWS stellt die Anforderungen für die Infrastruktur bereit und Kunden müssen im Rahmen ihrer Nutzung von AWS Services ihre eigenen Kontrollen implementieren:

• IT-Kontrollen: AWS und seine Kunden teilen sich nicht nur IT-Vorgänge, sondern auch die Verwaltung und den Betrieb dieser Kontrollen. Dabei kann AWS Kunden bei Sicherheitsverfahren wie Firewall-Wartung und Verschlüsselung auf Netzwerkebene entlasten und gleichzeitig die Bereitstellung von IT-Kontrollen betreuen, damit die ordnungsgemäße Einhaltung der AWS-Sicherheitsbestimmungen sichergestellt ist.
• Patch-Management: AWS ist für das Patchen und Beheben von Fehlern in der Infrastruktur verantwortlich. Kunden sind jedoch für das Patchen ihres Gastbetriebssystems und ihrer Anwendungen zuständig.
• Konfigurationsverwaltung: AWS verwaltet die Konfiguration der eigenen Infrastrukturgeräte. Kunden sind hingegen für die Konfiguration ihrer eigenen Gastbetriebssysteme, Datenbanken und Anwendungen verantwortlich.
• Sensibilisierung und Schulung: AWS schult AWS-Mitarbeiter. Kunden müssen ihre Mitarbeiter selbst schulen.
• Kundenspezifische Aspekte: Hierbei geht es um Kontrollen, für die ausschließlich Kunden verantwortlich sind. Dies basiert auf den von ihnen jeweils in AWS-Services bereitgestellten Anwendungen.
• Schutz von Services und Kommunikation: Auch als Zonensicherheit bezeichnet, bei der Kunden Daten in bestimmten Sicherheitsumgebungen routen oder Zonen zuordnen müssen.

Das AWS-Modell der geteilten Verantwortung wurde entwickelt, um das Sicherheitsniveau der Cloud-Infrastruktur von Amazon insgesamt zu erhöhen. Das Aufklären von Kunden darüber, wie die Verwaltung und Aufrechterhaltung eines starken Schutzes ihrer Geschäftsvorgänge möglich ist, kann Kunden von Amazon und Web Services das Gefühl geben, besser geschützt zu sein. Die gemeinsame Sicherheit hat Vorzüge für beide Seiten: Amazon gibt es die Gewissheit, dass nicht jeder Sicherheitsaspekt direkt verwaltet werden muss. Kunden gibt es das Gefühl, dass sich Amazon an ihre spezifischen Sicherheitsanforderungen anpassen kann. Für den Erfolg eines Sicherheitsmodells bei geteilter Verantwortung ist das Bewusstsein der Kunden von entscheidender Bedeutung. Doch auch ein genaues Verständnis der Risiken, die mit dem Vertrauen in Dritte verbunden sind, darf nicht fehlen.

Die Befreiung von der alleinigen Verantwortung kann erheblich dazu beitragen, dass Kosten gesenkt und die Sicherheitsqualität gesteigert werden können.

Zugehörige Begriffe

• Sicherheit in AWS
• Azure Security

Weiterführende Ressourcen

• Blog: Barracuda erlangt AWS Security Competency
• Datenblatt: Barracuda Email Security Gateway for AWS
• Datenblatt: Barracuda Firewall Control Center for AWS

Wie Barracuda Sie unterstützen kann

Barracuda bietet zwei Produkte, um AWS-Umgebungen abzusichern:

Die Barracuda CloudGen Firewall for AWS liefert AWS und Hybridnetzwerken nativen Netzwerkschutz. Sie sorgt dafür, dass auf Anwendungen und Daten in AWS zuverlässig zugegriffen werden kann und unterstützt dabei vollständig die automatische Skalierung und getaktete Abrechnung.

Die Barracuda CloudGen WAF für AWS schützt von AWS gehostete Websites und Anwendungen vor Tausenden Arten von Cyberangriffen, bindet Sicherheit automatisch in Ihre Anwendungs-Deployments ein und beschleunigt die Bereitstellung von Anwendungen.

Haben Sie weitere Fragen zum Modell der geteilten Verantwortung für AWS? Wir freuen uns auf Ihre Nachricht!