Sicherheit – AWS Well-Architected Framework

Hendric Jabs

27.04.2023
, Blog

Am sichersten sind Applikationen, wenn diese keinen Zugriff gewähren. Doch dafür werden sie nicht entwickelt.

Es besteht immer ein Kompromiss zwischen Sicherheit und Nutzbarkeit. Genau damit beschäftigt sich die Sicherheitssäule des Well-Architected Frameworks. Sie betrachtet Maßnahmen, die es uns ermöglichen unsere Architekturen sicher zu gestalten und Angriffe auf unsere Infrastruktur zu erkennen.

Bei unseren Workloads sollten Sicherheitsmechanismen auf allen Ebenen etabliert werden. Das können beispielsweise Securitygroups und NACLs auf Netzwerkebene oder Web Application Firewalls (WAF) auf Anwendungsebene sein. Auch regelmäßige Sicherheitsupdates der Betriebssysteme gehören hierzu. Wenn wir in jeder Ebene der Applikation an mögliche Absicherungen denken, können ggf. einzelne Konfigurationslücken durch andere Sicherheitsmechanismen abgesichert werden.

AWS bietet vielfältige Möglichkeiten der Automatisierung von Sicherheitsprüfungen. Mit Amazon Macie können sensitive Informationen aufgespürt werden, mit Amazon Inspector können Schwachstellen gescannt werden und mit AWS Config können Compliancevorgaben auf Ressourcenebene geprüft und durchgesetzt werden. Dies sind nur einige der vielfältigen Automatisierungstools.

Durch die kontinuierliche Überwachung und Nachverfolgung von Änderungen unserer Infrastruktur, können wir Schlüsse daraus ziehen, ob es Unregelmäßigkeiten oder Auffälligkeiten gibt. AWS bietet mittlerweile Werkzeuge für die automatisierte Erkennung von Abweichungen des Normalverhaltens einer Ressource mittels Machine Learning Algorithmen an. Diese können wir uns mit geringem Aufwand zunutze machen.

Die korrekte Konfiguration von Identity- and Accessmanagement (IAM) kann komplex sein. Hier sollten wir auf die Einhaltung des Least-Privilege Principles achten. Weiterhin ist die konsequente Verwendung von Service Control Policies und Ressource Policies wichtig. Hier schließt sich der Kreis zu der zuvor genannten Praxis, welche die Sicherheit auf allen Ebenen etabliert.

Menschen machen Fehler und Menschen sind bei komplexen IT-Systemen die größte Sicherheitslücke. Aus diesem Grund sollte der direkte Datenzugriff verhindert werden. Zugriff sollte nur über Automatismen oder vorgeschaltete Services erfolgen. Hierdurch kann die Datenintegrität gewährleistet werden und grobe Fehler können antizipiert werden.

Kein System ist zu 100% sicher. Daher benötigen wir einen Plan für den schlimmsten Fall. Dies können Runbooks, Maßnahmenpläne, Automatismen und organisatorische Abläufe sein. Selbstverständlich sollten diese vor Eintritt eines Ereignisses testweise ausgeführt werden. So wie wir Brandschutzübungen durchführen, sollten wir auch Sicherheitsvorfälle üben.

Sie möchten mithilfe der Cloud durchstarten? Dann kann ich Ihnen auf dreierlei Weise meine Unterstützung anbieten:

Sie möchten auf dem aktuellen Stand bleiben? Mein Well-Informed Newsletter erscheint alle zwei Wochen.
Sie betreiben bereits Workloads in der Cloud? Dann lassen Sie uns ein AWS Well-Architected Review durchführen!
Sie möchten eine zweite Meinung für Ihr Vorhaben einholen?
Dann helfe ich Ihnen gerne in einem persönlichen Beratungsgespräch weiter.

Sie benötigen noch mehr Informationen? Nehmen Sie gerne direkt Kontakt mit mir auf.

Hendric Jabs

Ich bin Wirtschaftsinformatiker (M. Sc.) und AWS Cloud Solutions Architect. Seit 2014 beschäftige ich mich leidenschaftlich mit Amazon Web Services und habe bereits seit 2015 einer Vielzahl von Kunden zu einer erfolgreichen Cloud Nutzung verholfen. Im Jahr 2021 habe ich für das Digital Career Institute den ersten AWS re/Start Kurs in Deutschland als leitender Dozent durchgeführt.