AWS Shared Security Model

Amazon bietet eine vielschichtige Palette von Services, um die Sicherheit bestimmter Bereitstellungen zu gewährleisten. Damit Benutzer diese Services konzeptionell nachvollziehen können, gibt das gemeinsame Sicherheitsmodell von AWS vor, welche Sicherheitskontrollen in der Verantwortung von AWS liegen und welche beim Kunden.

Unternehmen, die ihre Geschäftsvorgänge effizienter gestalten wollen, um wettbewerbsfähig zu bleiben, wenden sich Cloud-Dienstleistern wie Amazon Web Services zu, um ihre IT-Infrastruktur zu verwalten.

Dieser Schritt kann durchaus als riskant wahrgenommen werden - besteht der Mehrwert von AWS doch darin, dass Benutzer die Kontrolle über die zugrunde liegende Infrastruktur aufgeben. Doch Cloud-Dienstleister wie AWS investieren weiterhin erheblich in die Sicherheit ihrer Services mit dem Ziel, Cloud-Dienste sicherer zu machen als eine lokale Infrastruktur.

Sicherheitsaufgaben von AWS Security

Im Allgemeinen sieht es AWS als seine Verantwortung, die Sicherheit der Cloud als Ganzes zu gewährleisten, während Kunden für die Sicherheit ihrer spezifischen Instanzen verantwortlich bleiben.

• AWS Hardware/Globale Infrastruktur: Dazu gehören regionale, verfügbare und Edge-Zonen der Cloud-Infrastruktur von Amazon. Dies erfolgt durch physische Sicherheitsmaßnahmen und konstante IT-Wartung.
• AWS Software (Berechnung, Speicherung, Datenbank, Netzwerk): Amazon garantiert für alle seine Services eine sichere Softwareplattform. Dieser Aspekt der Verantwortung von Amazon bezieht sich auch auf die AWS Security Services, die von Amazon für die Nutzung durch Kunden entwickelt wurden. Dazu können Verschlüsselungsschlüssel, Netzwerküberwachungstools, Datenbankschutz und mehr gehören.

Sicherheitsaufgaben des Kunden

Die Verantwortung von Kunden hinsichtlich Sicherheit ergibt sich aus dem jeweiligen AWS-Cloud-Service, den sie wählen. Entscheidet sich ein Kunde für einen von Amazons „Infrastructure-as-a-Service“-Diensten (EC2, VPC, S3), muss der Kunde sämtliche notwendigen Sicherheitskonfigurationen und Verwaltungsaufgaben selbst durchführen. Dazu gehören Folgende:

• Kundendaten: Schutz der Geschäftsdaten auf Netzwerkseite, wenn diese in den Cloud-Service gelangen und ihn verlassen.
• Management von Plattform, Anwendungen, Identität und Zugriff: Der Kunde ist für die Wartung und den Schutz der in der Cloud ausgeführten Plattform und aller dazugehörigen Aspekte verantwortlich. Ein Kunde, der beispielsweise einen Online-Bekleidungsshop betreibt, muss den Schutz der Identitäten und Konten der Käufer gewährleisten.
• Client-seitige Datenverschlüsselung: Entweder über einen von AWS verwalteten Verschlüsselungsschlüssel oder über einen persönlichen Schlüssel, der nicht von AWS bereitgestellt wird.
• Dateisystemverschlüsselung: Beim Schutz von inaktiven Daten können Kunden ein unabhängiges Schutzsystem oder einen von AWS bereitgestellten Dateisystemschutz verwenden.
• Schutz des Netzwerkverkehrs: Kunden müssen die Sicherheit des gesamten Datenverkehrs, der auf dem Server ein-und ausgeht, gewährleisten.
• Schutz von Services und Kommunikation: Kunden sind für das Routing und Zoning von Daten in bestimmten Sicherheitsumgebungen verantwortlich.

Gemeinsame Sicherheitsaufgaben

AWS stellt die Anforderungen für die Infrastruktur bereit und Kunden müssen im Rahmen ihrer Nutzung von AWS Services ihre eigenen Kontrollen implementieren:

• IT-Kontrollen: AWS und seine Kunden teilen sich nicht nur den IT-Betrieb, sondern auch das Management und den Betrieb dieser Kontrollen. Dabei kann AWS Kunden bei Sicherheitsmethoden wie Firewall-Wartung und Verschlüsselung auf Netzwerkebene entlasten und gleichzeitig die Bereitstellung von IT-Kontrollen überwachen, um die ordnungsgemäße Einhaltung der AWS Security-Vorschriften zu gewährleisten.
• Patch Management: AWS ist für Patchen und Fehlerbehebung innerhalb der Infrastruktur verantwortlich. Kunden sind jedoch für das Patchen ihrer Gastbetriebssysteme und deren Anwendungen verantwortlich.
• Konfigurationsmanagement: AWS ist für die Aufrechterhaltung der Konfiguration seiner eigenen Infrastruktur-Geräte verantwortlich. Kunden sind jedoch für die Konfiguration ihrer eigenen Gastbetriebssysteme, Datenbanken und Anwendungen verantwortlich.
• Bewusstsein und Schulung: AWS schult AWS-Mitarbeiter. Kunden müssen ihre Mitarbeiter selbst schulen.
• Kundenspezifisch: Kontrollen, für die ausschließlich Kunden verantwortlich sind, basierend auf den von ihnen innerhalb von AWS Services bereitgestellten Anwendungen.
• Schutz von Services und Kommunikation: Auch als Zonensicherheit bezeichnet, für die ein Kunde möglicherweise Daten in bestimmten Sicherheitsumgebungen weiterleiten oder Zonen zuordnen muss.

Das AWS-Modell der geteilten Verantwortung wurde entwickelt, um das Sicherheitsniveau der Cloud-Infrastruktur von Amazon insgesamt zu erhöhen. Das Aufklären von Kunden darüber, wie die Verwaltung und Aufrechterhaltung eines starken Schutzes ihrer Geschäftsvorgänge möglich ist, kann Kunden von Amazon und Web Services das Gefühl geben, besser geschützt zu sein. Die gemeinsame Sicherheit hat Vorzüge für beide Seiten: Amazon gibt es die Gewissheit, dass nicht jeder Sicherheitsaspekt direkt verwaltet werden muss. Kunden gibt es das Gefühl, dass sich Amazon an ihre spezifischen Sicherheitsanforderungen anpassen kann. Für den Erfolg eines Sicherheitsmodells bei geteilter Verantwortung ist das Bewusstsein der Kunden von entscheidender Bedeutung. Doch auch ein genaues Verständnis der Risiken, die mit dem Vertrauen in Dritte verbunden sind, darf nicht fehlen.

Die Befreiung von der alleinigen Verantwortung kann erheblich dazu beitragen, dass Kosten gesenkt und die Sicherheitsqualität gesteigert werden können.