Geteilte Verantwortung 7 Einstellungen, die AWS-Konten sicherer machen

Wenn Sie gerade Ihr Amazon Web Services (AWS)-Konto eingerichtet haben und sich Sorgen um die Datensicherheit machen, gibt es dafür gute Gründe: Oftmals setzen ungewisse unternehmensweite Einstellungen oder einfache Fehlkonfigurationen die Daten einem hohen Risiko aus. Mit ein paar einfachen Schritten kann man jedoch die AWS-Sicherheit deutlich erhöhen.

Der aktuelle SaaS-Datenrisiko-Report zeigt, dass in einem durchschnittlichen Unternehmen 157.000 sensitive Datensätze durch SaaS-Freigabefunktionen für jeden im Internet zugänglich sind. Amazon Web Services stellt seinen Kunden Tools und Services zur Verfügung, die sie bei der Sicherung ihrer Umgebung unterstützen. Letztendlich liegt es jedoch in der Verantwortung der Anwendenden, diese Services korrekt zu konfigurieren und routinemäßig auf Lücken oder Probleme zu überwachen.

AWS basiert in hohem Maße auf rollenbasierter Zugriffskontrolle. Standardmäßig haben Services und User (mit Ausnahme des Root-Benutzers) sehr wenig bis gar keinen Zugriff. Entsprechend betreffen die wichtigsten Schritte zur Verbesserung der AWS-Sicherheit die Benutzerverwaltung und Standardrichtlinien.

1. Erstellen Sie ein Administratorkonto

Das Least Privilege-Prinzip ist ein bewährtes Sicherheitskonzept, das den Zugriff eines Benutzers auf das beschränkt, was für die Ausführung seiner Aufgaben erforderlich ist. Hat ein User also sowohl Lese- als auch Schreibzugriff auf einen S3-Bucket, obwohl nur ein Lesezugriff erforderlich ist, widerspricht dies diesem Ansatz. Root-Accounts bieten unbegrenzten Zugriff auf ein Konto und alle seine Ressourcen. Vor diesem Hintergrund wird deutlich, warum der Root-Zugriff nur selten erforderlich ist.

Stattdessen sollten Sie IAM-(Identity and Access Management)-Benutzer und -Rollen mit eingeschränkten Rechten verwenden. Es ist eine gängige Praxis, einen einzelnen Administrator-Benutzer für die tägliche Kontoadministration zu erstellen. AWS hat speziell für diesen Zweck eine Rolle (mit einer Untergruppe der Root-Zugriffskontrolle) erstellt.

Ähnlich wie man den Administrator-Benutzer anlegt, um den Root-Zugriff zu verhindern, sollte man weitere Benutzer in ähnlicher Weise anlegen, um die Verwendung des Admin-Benutzers zu verhindern, wenn dieser nicht benötigt wird. Alle weiteren Benutzer und Rollen sollten streng nach dem Least Privilege-Prinzip angelegt werden. Das Root-Konto sollte nur in seltenen Fällen für Aktivitäten wie die Aktualisierung von Rechnungsdaten, die Aktivierung des AWS-Marktplatzes oder des AWS-Supports oder die Kündigung des AWS-Kontos verwendet werden.

2. Passen Sie den Root-Zugriff an

Nachdem ein Admin-Konto erstellt wurde, ist es an der Zeit, die Aktivitäten des Root-Benutzers auf die Aufgaben der Kontoverwaltung auf höchster Ebene zu beschränken. Generieren Sie niemals Zugriffsschlüssel für einen Root-Benutzer. Verwenden Sie stattdessen ein sicheres Passwort und aktivieren Sie sofort die Multi-Faktor-Authentifizierung (MFA), um einen Missbrauch zu verhindern.

MFA ist allerdings kein Ersatz für sichere Passwörter. Verwenden Sie ein randomisiertes Passwort mit Buchstaben, Ziffern und Sonderzeichen. Um nicht Gefahr zu laufen, das Passwort zu verlegen oder zu vergessen, sollte ein Passwort-Manager verwendet werden.

3. Richten Sie die notwendigen AWS-Konten ein

Administrator-Konten sollten nur für Administrator-Aufgaben verwendet werden. Für andere Tätigkeiten müssen entsprechend weitere AWS-Benutzer erstellt werden. Am einfachsten geschieht dies mit Hilfe von Gruppen. Auf diese Weise kann der Zugriff mehrerer Benutzer auf einmal geändert werden. Dies ist nützlich, wenn eine bestimmte Gruppe plötzlich Zugriff auf einen neuen Service benötigt oder der Zugriff auf einen anderen nicht mehr erforderlich ist. Dabei muss darauf geachtet werden, dass die User nicht dieselben Anmeldedaten verwenden, da dies die Nachvollziehbarkeit und Verantwortlichkeit erschwert.

Auf den ersten Blick kann es schwierig sein, eine Richtlinie zu bestimmen, die genau Ihren Anforderungen entspricht. Wählen Sie in diesem Fall die am besten geeignete Option aus und erstellen Sie später eine benutzerdefinierte Richtlinie, die zu dieser Gruppe hinzugefügt werden kann. Die Minimierung des Zugriffs und das Führen von Aufzeichnungen darüber, wer auf was Zugriff hat, ist für die Sicherheit Ihres AWS-Kontos von entscheidender Bedeutung und hilft auch bei der Einhaltung von Compliance- und rechtlichen Vorgaben wie der DSGVO.

4. Sichern Sie den Zugriff mit MFA

Nachdem nun Benutzer und Gruppen erstellt wurden, ist es an der Zeit, den Zugriff dieser Benutzer über MFA zu sichern. Bei Verwendung eines virtuellen Geräts für MFA, wie z. B. Google Authenticator, sollten die Codes sofort nach der Erstellung übermittelt werden, um sicherzustellen, dass das MFA-Gerät synchronisiert ist. Experten wie die Direktorin der US-amerikanischen Cybersicherheitsbehörde CISA Jen Easterly gehen davon aus, dass sich rund 99 Prozent der Konto-Kompromittierungen durch MFA verhindern lassen können.

5. Legen Sie Standard-Passwortrichtlinien fest

Mit Passwortrichtlinien kann sichergestellt werden, dass die Passwörter den Unternehmens- und ggf. den gesetzlichen Standards entsprechen. Hierbei kommt es auf ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit an. Wenn beispielsweise die User-Passwörter jeden Tag ablaufen, wird dies schnell zu einem logistischen Albtraum – von der mangelnden Akzeptanz seitens der Mitarbeitenden ganz abgesehen. Die Kombination aus Passwort und MFA ist deutlich unsicherer, wenn einer dieser Komponenten vernachlässigt wird. So kann bei einem kompromittierten MFA-Token ein starkes Passwort dafür sorgen, dass Angreifer mit Brute-Force-Attacken keinen Erfolg haben werden.

6. Erstellen Sie benutzerdefinierte Richtlinien

Beim Zuweisen von Richtlinien zu Gruppen wird Ihnen aufgefallen sein, dass AWS eine umfangreiche Bibliothek mit vorgefertigten Richtlinien bereitstellt. Diese decken viele Standardanwendungsfälle ab, aber es ist wichtig, dass Sie Ihre eigenen Policies definieren, wenn die Standardrichtlinien Ihren Benutzern immer noch zu viel Zugriff gewähren. Dies ist ein kontinuierlicher Prozess, mit dem früh begonnen werden muss, da diese Richtlinien die Grundlage einer sicheren AWS-Architektur bilden.

Auch hier greift das Least-Privilege-Prinzip: Reduzieren Sie potenzielle Angriffsvektoren, indem Sie die Richtlinie so einschränken, dass sie nur erforderliche Aktionen für erforderliche Ressourcen zulässt.

7. Sichern Sie die EC2-Nutzung

Sobald die Richtlinien und Verfahren eingerichtet wurden, können einzelne Dienste auf der Service-Ebene gesperrt werden. Ein Beispiel hierfür ist Elastic Compute Cloud (EC2): EC2 ermöglicht es Benutzern, Recheninstanzen mit Prozessoren, Speichertypen und Betriebssystemen ihrer Wahl zu erstellen. Dies ist eine enorme Hilfe für Entwickler, gleichzeitig birgt der Dienst aber auch enorme Risiken, wenn er nicht hinreichend abgesichert ist. Einer der einfachsten Schritte zur Sicherung der EC2-Nutzung ist die Beschränkung der Benutzer auf vorab genehmigte, gekennzeichnete Amazon Machine Images (AMI), ein von AWS unterstütztes und gepflegtes Image.

Die Verwendung einer unsicheren EC2-Instanz macht das Unternehmen anfällig für komplexe Angriffe. Sollten Cyberkriminelle Zugang zu dieser Instanz erhalten, können sie ihre Rolle übernehmen und auf alle entsprechenden Ressourcen zugreifen.

Selbstverantwortung nicht außer Acht lassen!

Die sichere Einrichtung eines AWS-Kontos ist nur der erste Schritt zur sicheren Nutzung. SaaS-Security ist ein fortlaufender Prozess, bei dem die Zugriffsrechte (insbesondere auf sensitive Daten) eine zentrale Rolle spielen. Entsprechend sollten die Daten auch im Zentrum einer ganzheitlichen Sicherheitsstrategie, die auch lokale Speicher einbezieht, stehen.

Über den Autor

Michael Scheffler ist Country Manager DACH von Varonis Systems.

(ID:48960251)