Sicherheit – AWS Well-Architected Framework

Am sichersten sind Applikationen, wenn diese keinen Zugriff gewähren. Doch dafür werden sie nicht entwickelt.

Es besteht immer ein Kompromiss zwischen Sicherheit und Nutzbarkeit. Genau damit beschäftigt sich die Sicherheitssäule des Well-Architected Frameworks. Sie betrachtet Maßnahmen, die es uns ermöglichen unsere Architekturen sicher zu gestalten und Angriffe auf unsere Infrastruktur zu erkennen.

Bei unseren Workloads sollten Sicherheitsmechanismen auf allen Ebenen etabliert werden. Das können beispielsweise Securitygroups und NACLs auf Netzwerkebene oder Web Application Firewalls (WAF) auf Anwendungsebene sein. Auch regelmäßige Sicherheitsupdates der Betriebssysteme gehören hierzu. Wenn wir in jeder Ebene der Applikation an mögliche Absicherungen denken, können ggf. einzelne Konfigurationslücken durch andere Sicherheitsmechanismen abgesichert werden.

AWS bietet vielfältige Möglichkeiten der Automatisierung von Sicherheitsprüfungen. Mit Amazon Macie können sensitive Informationen aufgespürt werden, mit Amazon Inspector können Schwachstellen gescannt werden und mit AWS Config können Compliancevorgaben auf Ressourcenebene geprüft und durchgesetzt werden. Dies sind nur einige der vielfältigen Automatisierungstools.

Durch die kontinuierliche Überwachung und Nachverfolgung von Änderungen unserer Infrastruktur, können wir Schlüsse daraus ziehen, ob es Unregelmäßigkeiten oder Auffälligkeiten gibt. AWS bietet mittlerweile Werkzeuge für die automatisierte Erkennung von Abweichungen des Normalverhaltens einer Ressource mittels Machine Learning Algorithmen an. Diese können wir uns mit geringem Aufwand zunutze machen.

Die korrekte Konfiguration von Identity- and Accessmanagement (IAM) kann komplex sein. Hier sollten wir auf die Einhaltung des Least-Privilege Principles achten. Weiterhin ist die konsequente Verwendung von Service Control Policies und Ressource Policies wichtig. Hier schließt sich der Kreis zu der zuvor genannten Praxis, welche die Sicherheit auf allen Ebenen etabliert.

Menschen machen Fehler und Menschen sind bei komplexen IT-Systemen die größte Sicherheitslücke. Aus diesem Grund sollte der direkte Datenzugriff verhindert werden. Zugriff sollte nur über Automatismen oder vorgeschaltete Services erfolgen. Hierdurch kann die Datenintegrität gewährleistet werden und grobe Fehler können antizipiert werden.

Kein System ist zu 100% sicher. Daher benötigen wir einen Plan für den schlimmsten Fall. Dies können Runbooks, Maßnahmenpläne, Automatismen und organisatorische Abläufe sein. Selbstverständlich sollten diese vor Eintritt eines Ereignisses testweise ausgeführt werden. So wie wir Brandschutzübungen durchführen, sollten wir auch Sicherheitsvorfälle üben.

Wann immer du so weit bist, dies sind die Arten, wie wir dich unterstützen können:

  1. Führe unseren kostenlosen Cloud-Reifegrad Self-Check durch und erhalte eine Einschätzung deiner aktuellen Cloud-Architektur.
  2. Wir verhelfen unseren Kunden zu einer erfolgreichen Cloud-Migration und -Optimierung. Wenn du Unterstützung benötigst, lass uns reden!
  3. Du möchtest wissen, wie es um deine Cloud-Infrastruktur steht? Dann ist ein Architektur-Review für dich interessant!
Teile diesen Beitrag:

Verwandte Beiträge