Interview mit Mark Ryland von AWS

Der Weg zur sicheren Cloud

04. Mai 2021, 12:00 Uhr   |  Wilhelm Greiner

Der Weg zur sicheren Cloud
© Wolfgang Traub

Das Thema Cloud-Sicherheit ist ein weites Feld: Es reicht von der grundlegenden Aspekten der Identitäts- und Zugriffsverwaltung über die Absicherung von Cloud-Instanzen am Netzwerkrand (Edge) und dem Schutz der Datenbestände bis hin zu Strategien zur Abwehr von Ransomware-Angriffen. Hyperscaler wie Amazon Web Services (AWS) können inzwischen auf jahrzehntelange Erfahrungen mit dem Thema zurückblicken und ihren Anwenderunternehmen mittels Best Practices Hilfestellung leisten. LANline befragte dazu Mark Ryland, Director des Office of the CISO bei AWS.

LANline: Herr Ryland, was sind die häufigsten kritischen Fehler, die Unternehmen bei der Einrichtung Cloud-nativer oder containerisierter Anwendungen machen?
Mark Ryland: Häufig wird das Identitäts- und Zugriffs-Management in einer Cloud-Umgebung nicht sorgfältig genug definiert. Ein großer Fehler, denn mit diesen grundlegenden Kontrollmechanismen lässt sich festlegen, auf welche Daten Entwickler, Administratoren und Sicherheitsexperten jeweils zugreifen dürfen. Entscheidend ist auch, dass alle relevanten Sicherheitsprotokolle und Auditing-Funktionen aktiviert sind. Denn dadurch lassen sich die Datenströme umfassend überwachen und so sicherstellen, dass alle Systeme so funktionieren, wie sie sollen. Diese Maßnahmen gelten für alle Kunden, die eine sichere Cloud-Umgebung aufbauen und betreiben – auch für Nutzer Cloud-nativer Technologien.

LANline: Wie vermitteln Sie das Ihren Anwendern?
Mark Ryland: Wir haben für AWS-Anwender unsere „Top-Ten-Liste“ mit den wichtigsten Sicherheitsmaßnahmen zusammengestellt: Darin geht es zum einen darum, Kontoinformationen korrekt zu verwalten, eine Multi-Faktor-Authentifizierung, also MFA, für Benutzer zu aktivieren und niemals geheime Schlüssel oder Passwörter im Code zu verwenden. Wichtig ist zudem, die Netzwerk-Sicherheitsgruppen einzugrenzen und sorgfältig zu verwalten. Auch bei der Erstellung der Datenrichtlinien ist richtiges Augenmaß gefragt. Weitere Maßnahmen auf unserer Liste sind zentrale CloudTrail-API-Protokolle sowie das Validieren von IAM-Rollen (Identity- und Access-Management, d.Red.). Finden kryptografische Schlüssel Verwendung, sollte man diese regelmäßig rotieren. Entscheidend ist natürlich auch, auf alle Sicherheitslücken oder -vorfälle sofort zu reagieren. Und der zehnte und letzte Punkt besteht darin, die IT-Sicherheitsteams in den Lebenszyklus der Softwareentwicklung einzubeziehen.

Rät den Unternehmen zur strikten Umsetzung von Security Best Practices: Mark Ryland, Director des Office of the CISO bei AWS.
© Amazon Web Services

Rät den Unternehmen zur strikten Umsetzung von Security Best Practices: Mark Ryland, Director des Office of the CISO bei AWS.

LANline: Was wären neben der korrekten Konfiguration die wichtigsten oder effektivsten zusätzlichen Sicherheitsmaßnahmen?
Mark Ryland: Dazu gehört erstens, solide Identitäten zu implementieren, dabei das Prinzip der geringsten Privilegien anzuwenden und die Aufgabenbereiche möglichst voneinander abzugrenzen. Zweitens gilt es, die Nachverfolgung zu aktivieren, um Aktionen und Änderungen an der Umgebung in Echtzeit überwachbar und nachvollziehbar zu machen. Die Sicherheitsfunktionen und -kontrollen sollte man zudem in alle Entwicklungs- und Betriebsprozesse integrieren. Wichtig sind auch Prozesse und Tools, mit denen sich direkte Datenzugriffe sowie eine manuelle Datenbearbeitung reduzieren lassen. Wir empfehlen zudem, alle Sicherheitsmechanismen, die nicht direkt in die Entwicklungsprozesse integriert sind, zu automatisieren, denn dadurch lassen sich Anwendungen und Systeme sicher, schnell und kostengünstig skalieren. Diese Maßnahmen sollten auf allen Ebenen greifen, idealerweise in Form eines Defense-in-Depth-Ansatzes (Verteidigung in der Tiefe, d.Red.) mit mehreren Sicherheitskontrollen. Ein entscheidender Kontrollmechanismus besteht im Verschlüsseln von Daten und Anwendungen. Damit sind Informationen in Cloud- sowie in On-Premises-Umgebungen umfassend geschützt – sowohl während der Übertragung als auch bei der Speicherung. Wichtig ist zudem, die Daten zu klassifizieren, um Prioritäten zu setzen, denn schließlich lässt sich nicht alles auf einmal verbessern. Und um auf Sicherheitsvorfälle vorbereitet zu sein, braucht es natürlich entsprechende Richtlinien und Prozesse, die es regelmäßig zu testen gilt. Denn nur dann besteht die Gewissheit, dass sie im Ernstfall auch funktionieren.

LANline: Eine beliebte Variante ist das Hosting von VMware-Umgebungen auf der AWS-Infrastruktur. Welche Sicherheitsvor- und -nachteile sehen Sie beim Betrieb einer VMware-Umgebung in AWS im Vergleich zu Cloud-nativen Anwendungsumgebungen?
Mark Ryland: Der Betrieb von VMware in AWS ist nahezu identisch mit dem On-Premises-Betrieb. Das zahlt sich aus, wenn die Mitarbeiter VMware-spezifisch organisiert sind. Dann kann die Umgebung als Expansions- oder Migrationsmodell dienen, mit dem das Unternehmen von einigen Cloud-Vorteilen profitiert, ohne die bestehenden Systeme dafür grundlegend umgestalten oder Mitarbeiter umschulen zu müssen. Aus der Sicherheitsperspektive sehe ich hier keinen direkten Nachteil. Allerdings fehlt der Zugang zu einer Vielzahl moderner Tools und Funktionen, die bei einem Cloud-nativen Ansatz verfügbar wären. Längerfristig kommt man an einem Wechsel zu modernen Infrastructure-as-Code- und Anwendungskonzepten nicht vorbei. Erst damit kommen die Vorteile der Cloud voll zum Tragen – auch in puncto Sicherheit.

Seite 1 von 2

1. Der Weg zur sicheren Cloud
2. Geteilte Verantwortung

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Amazon Web Services Germany GmbH, AWS

AWS

Cloud Security