Amazon Web Services Sicherheitsprozesse im Überblick November 2009

Transkript

1 Amazon Web Services Sicherheitsprozesse im Überblick November 2009 (Die aktuelle Version finden Sie unter 1

2 Amazon Web Services (AWS) stellt eine hochgradig skalierbare, Cloud-basierte Computing-Plattform mit hoher Verfügbarkeit und Zuverlässigkeit zur Verfügung, die flexibel genug ist, Kunden die Entwicklung einer breiten Palette von Anwendungen zu ermöglichen. Für AWS ist es äußerst wichtig, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Daten seiner Kunden sicherzustellen sowie das Vertrauen der Kunden zu erhalten. Ziel dieses Dokuments ist die Beanwortung von Fragen wie Wie kann AWS mir dabei helfen, die Sicherheit meiner Daten zu gewährleisten? Dabei werden vor allem die physischen und betrieblichen AWS-Sicherheitsverfahren für das von AWS verwaltete Netzwerk und die verwaltete Infrastruktur sowie dienstspezifische Sicherheitsimplementierungen beschrieben. Das vorliegende Dokument bietet eine Übersicht über die Sicherheit in folgenden, für AWS relevanten Bereichen: Zertifizierungen und Zulassungen Grundlagen für sicheres Design Physische Sicherheit Sicherungskopien Netzwerksicherheit AWS-Sicherheit Amazon Virtual Private Cloud (Amazon VPC) Amazon Elastic Compute Cloud (Amazon EC2) - Sicherheit Amazon Simple Storage Service (Amazon S3) - Sicherheit Amazon SimpleDB-Sicherheit Amazon Relational Database Service (Amazon RDS) - Sicherheit Amazon Simple Queue Service (Amazon SQS) - Sicherheit Amazon CloudFront - Sicherheit Amazon Elastic MapReduce - Sicherheit Amazon-Konto - Zugangsberechtigung Zertifizierungen und Zulassungen Amazon Web Services hat erfolgreich eine SAS70-Prüfung (Statement on Auditing Standards No. 70) des Typs II abgeschlossen und kann positive Bewertungen von unabhängigen Prüfern vorweisen. Mit SAS70 wird zertifiziert, dass ein Dienstleister umfassend auf seine Kontrollabläufe (inklusive Kontrollziele und Kontrollaktivitäten) hin geprüft wurde. Im Fall von AWS bezieht sich diese Zertifizierung auf die Betriebsleistung und die Sicherheit bei der Aufbewahrung von Kundendaten. AWS wird auch weiterhin alles daran setzen, die branchenweit strengsten Zertifizierungen zu erhalten und damit immer wieder das eigene Engagement um eine sichere, weltweit führende Cloud-Computing-Umgebung unter Beweis zu stellen. Darüber hinaus gestatten die Flexibilität und Benutzerfreundlichkeit der AWS-Plattform eine Bereitstellung von Lösungen, die branchenspezifischen Zertifizierungsanforderungen genügen. So haben manche Kunden beispielsweise HIPAA-konforme Anwendungen für den Gesundheitssektor mit AWS eingerichtet. Grundlagen für sicheres Design Die Entwicklung bei AWS folgt den in der Praxis am besten bewährten Prozessen der Entwicklung sicherer Software. 2

3 Dazu gehören formale Design-Prüfungen durch unser internes AWS-Sicherheitsteam, die Modellierung von Sicherheitsrisiken, die Durchführung einer Risiko- sowie einer statischen Code-Analyse und wiederholte Eindringversuchs-Tests durch sorgfältig ausgewählte Branchenexperten. Unsere Risikoanalysen beginnen bereits während der Entwurfsphase und werden bis zur Versionseinführung und auch im Anschluss daran durchgeführt. Physische Sicherheit AWS blickt auf viele Jahre Erfahrung beim Entwurf, bei der Konstruktion und beim Betrieb großer Rechenzentren zurück. Diese Erfahrung wurde auf die AWS-Plattform und -Infrastruktur angewandt. AWS-Rechenzentren sind in unscheinbaren Gebäuden untergebracht. Der physische Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert, sowohl am Geländerand als auch an den Gebäudeeingängen. Dabei werden Videoüberwachung, modernste Systeme zur Erkennung von Angriffen und andere elektronische Einrichtungen eingesetzt. Autorisierte Mitarbeiter müssen mindestens zwei Mal eine Zwei-Faktor-Authentifizierungen durchlaufen, bevor Sie die Rechenzentrumsetagen betreten dürfen. Alle Besucher und Auftragnehmer müssen sich ausweisen und registrieren und werden stets von autorisierten Mitarbeitern begleitet. AWS gestattet den Zutritt zum Rechenzentrum nur Mitarbeitern und Auftragnehmern, die einen legitimen Geschäftsgrund dafür haben. Hat ein/e Mitarbeiter/in keinen Grund mehr für diesen Zutritt, werden seine bzw. ihre Zutrittsberechtigungen sofort widerrufen, selbst wenn er oder sie weiterhin als Mitarbeiter von Amazon oder Amazon Web Services tätig ist. Der Zutritt zu den Rechenzentren durch Mitarbeiter von AWS wird protokolliert und regelmäßig überprüft. Laut der Richtlinien von AWS wird für Mitarbeiter, die potenziellen Zugriff auf Kundendaten haben, eine umfassende Hintergrundüberprüfung (soweit gesetzlich zugelassen) durchgeführt. Diese hängt von der jeweiligen Position des Mitarbeiters und seiner Zugriffsberechtigung für Daten ab. AWS weiß, dass die Sicherheit und der Schutz Ihrer vertraulichen Daten von größter Wichtigkeit für Sie sind. Sicherungskopien In Amazon S3, Amazon SimpleDB oder Amazon Elastic Block Store gespeicherte Daten werden redundant an mehreren physischen Orten gespeichert. Dies gehört zur normalen Vorgehensweise für diese Dienste und ist kostenfrei. Amazon S3 und Amazon SimpleDB verlängern die Lebensdauer von Objekten, indem sie diese beim ersten Schreibvorgang mehrfach über mehrere Rechenzentren verteilt speichern und sie anschließend aktiv weiter replizieren, falls ein Gerät nicht verfügbar ist oder falls ein Daten-Schaden erkannt wird. Die Amazon EBS-Replikation wird in derselben Availability Zone und nicht über mehrere Zonen verteilt gespeichert. Es wird deshalb dringend empfohlen, dass die Kunden regelmäßig Speicherauszüge erstellen und auf Amazon S3 speichern, um die Lebensdauer der Daten zu verlängern. Speicherauszüge von Amazon EBS können ohne Stilllegung des Dateisystems erstellt werden eine wichtige Funktion für alle Benutzer, die Amazon EBS für Datenbanken verwenden. AWS erstellt keine Sicherungskopien von Daten, die auf virtuellen Festplatten verwaltet werden, die mit auf Amazon EC2 ausgeführten Instanzen verbunden sind. Netzwerksicherheit Das AWS-Netzwerk bietet umfassenden Schutz vor traditionellen Netzwerk-Sicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche Sicherheitsmaßnahmen implementieren. Nachfolgend sind einige Beispiele aufgeführt: Distributed Denial Of Service-(DDoS-)Angriffe: AWS Application Programming Interface-(API-)Endpunkte werden auf einer großen, hochwertigen Internet-Scale-Infrastruktur gehostet, die auf demselben entwicklungstechnischen Fachwissen basiert, das auch Amazon zum weltweit größten Online- Einzelhandelsunternehmen gemacht hat. Es werden proprietäre Verfahren zur Reduzierung der Anzahl von 3

4 DDoS-Angriffen eingesetzt. Darüber hinaus handelt es sich bei den Netzwerken von AWS um Multi-Homed- Netzwerke, d. h. der Datenverkehr wird über mehrere Dienstanbieterverbindungen abgewickelt, um verschiedene Internet-Zugänge bereitzustellen. Man-In-the-Middle-(MITM-)Angriffe: Alle AWS-APIs sind über SSL-geschützte Endpunkte verfügbar, die eine Server- Authentifizierung bieten. Amazon EC2 AMIs erstellen beim ersten Boot-Vorgang automatisch neue SSH-Host- Zertifikate. Diese werden in der Instanz-Konsole protokolliert. Die Kunden können dann die sicheren APIs verwenden, um eine Anfrage an die Konsole zu senden und auf die Host-Zertifikate zuzugreifen, bevor sie sich das erste Mal bei der Instanz anmelden. Es wird empfohlen, dass die Kunden SSL für alle Interaktionen mit AWS verwenden. IP-Spoofing: Amazon EC2-Instanzen können keinen gefälschten Netzwerkverkehr senden. Die AWS-gesteuerte, Hostbasierte Firewall-Infrastruktur verhindert, dass Instanzen Datenverkehr mit einer anderen als der eigenen Quell- IP- oder MAC-Adresse senden. Port-Scanning: Nicht autorisierte Port-Scans durch Amazon EC2-Kunden stellen einen Verstoß gegen die Amazon EC2 Acceptable Use Policy (AUP) dar. Verstöße gegen die AUP werden sehr ernst genommen und jeder gemeldete Verstoß wird untersucht. Kunden können mutmaßliche Verstöße an die unter genannte Kontaktadresse senden. Wird ein unautorisierter Port-Scan entdeckt, wird dieser gestoppt und blockiert. Port-Scans von Amazon EC2-Instanzen sind in der Regel erfolglos, da alle Eingangsports der Amazon EC2-Instanzen standardmäßig geschlossen sind und nur vom Kunden geöffnet werden. Eine strikte Verwaltung von Sicherheitsgruppen durch den Kunden kann weiter dazu beitragen, das Risiko von Port-Scans zu verringern. Wenn der Kunde die Sicherheitsgruppe so konfiguriert, dass Datenverkehr von beliebigen Quellen zu einem bestimmten Port zugelassen wird, ist dieser Port anfällig für Port-Scans. In diesem Fall muss der Kunde entsprechende Sicherheitsmaßnahmen ergreifen, um Listening-Dienste zu schützen, die für die jeweilige Anwendung wichtig sind, so dass die Dienste nicht von unautorisierten Port-scans entdeckt werden. Beispiel: Für einen Webserver muss Port 80 (HTTP) offen sein, und der Administrator des Servers muss die Sicherheit der Serversoftware, z. B. Apache, gewährleisten. Packet-Sniffing durch andere Instanzen: Eine virtuelle Instanz, die im Promiscuous-Modus ausgeführt wird, kann keinen Datenverkehr empfangen oder sniffen, der für eine andere virtuelle Instanz bestimmt ist. Kunden können zwar den Promiscuous-Modus für ihre Schnittstellen auswählen, der Hypervisor leitet jedoch keinen Datenverkehr an sie weiter, der nicht an die Schnittstelle adressiert ist. Selbst zwei virtuelle Instanzen desselben Kunden, die auf dem gleichen physischen Host vorhanden sind, können nicht den Verkehr der jeweils anderen Instanz abhören. Angriffe wie ARP-Cache-Poisoning sind in Amazon EC2 nicht wirksam. Obwohl Amazon EC2 umfassenden Schutz vor Kunden bietet, die versehentlich oder böswillig versuchen, die Daten eines anderen Kunden einzusehen, sollte jeder Kunde vertraulichen Datenverkehr standardmäßig verschlüsseln. Amazon Virtual Private Cloud (Amazon VPC) Amazon Virtual Private Cloud (Amazon VPC) stellt eine sichere und nahtlose Brücke zwischen der vorhandenen IT- Infrastruktur eines Unternehmens und der AWS-Cloud dar. Amazon VPC ermöglicht Großunternehmen die Verbindung ihrer vorhandenen Infrastruktur mit isolierten AWS-Rechenressourcen über ein Virtual Private Network (VPN). Außerdem können sie ihre vorhandenen Verwaltungsfunktionen wie Sicherheitsdienste, Firewalls und Erkennungssysteme von Eindringlingen erweitern, um auch die AWS-Ressourcen einzubeziehen. Amazon VPC ist derzeit in Amazon EC2 integriert und wird in Zukunft in weitere AWS-Dienste integriert werden. 4

5 Amazon VPC bietet End-to-End-Netzwerk-Isolierung durch die Verwendung eines vom Kunden bereitgestellten IP- Adressenbereichs sowie die Weiterleitung des gesamten Netzwerkverkehrs zwischen der VPC und dem Rechenzentrum des Kunden über ein nach Branchenstandard verschlüsseltes IPsec-VPN. Auf diese Weise kann der Kunde seine bereits vorhandene Sicherheitsinfrastruktur nutzen. Weitere Informationen zu Amazon VPC finden Sie auf der AWS-Webseite unter ( Konfigurationsmanagement Konfigurationsänderungen in Notfällen sowie nicht routinemäßige und andere Konfigurationsänderungen an der vorhandenen AWS-Infrastruktur werden entsprechend der Branchenstandards für gleichartige Systeme autorisiert, protokolliert, getestet, genehmigt und dokumentiert. Aktualisierungen der AWS-Infrastruktur werden so durchgeführt, dass sie im Großteil aller Fälle keine Auswirkungen auf die Kunden und die von ihnen verwendeten Dienste haben. Falls die Möglichkeit besteht, dass der vom Kunden verwendete Dienst betroffen ist, teilt AWS dies dem Kunden entweder per oder über das AWS Service Health Dashboard ( mit. Amazon Elastic Compute Cloud-(Amazon EC2-)Sicherheit Die Sicherheit in Amazon EC2 wird auf mehreren Ebenen gewährleistet: durch das Betriebssystem des Host-Systems, das Betriebssystem der virtuellen Instanz oder das Gast-Betriebssystem, eine Firewall und signierte API-Anfragen. Jedes dieser Elemente baut auf den Funktionen der anderen Elemente auf. Ziel hierbei ist es, sicherzustellen, dass die in Amazon EC2 enthaltenen Daten nicht von unautorisierten Systemen oder Benutzern abgefangen werden können, und dass die Amazon EC2-Instanzen so sicher wie möglich sind ohne dabei Zugeständnisse bei der von den Kunden geforderten Flexibilität in Bezug auf die Konfiguration zu machen. Mehrere Sicherheitsebenen Host-Betriebssystem: Administratoren, die aus Geschäftsgründen Zugriff auf die Verwaltungsebene benötigen, müssen die Multi-Faktor-Authentifizierung verwenden, um Zugriff auf die speziell entwickelten Verwaltungs-Hosts zu erhalten. Bei diesen Verwaltungs-Hosts handelt es sich um Systeme, die eigens zum Schutz der Verwaltungsebene der Cloud 5

6 entworfen, konstruiert, konfiguriert und gehärtet wurden. Jeder Zugriff wird protokolliert und überprüft. Wenn ein Mitarbeiter keinen Zugriff mehr auf die Verwaltungsebene benötigt, werden die entsprechenden Berechtigungen und der Zugriff auf diese Hosts und die zugehörigen Systemen widerrufen. Gast-Betriebssystem: Die virtuellen Instanzen werden vollständig vom Kunden gesteuert. Die Kunden haben vollständigen Root-Zugriff oder die verwaltungstechnische Kontrolle über Konten, Dienste und Anwendungen. AWS hat keine Zugriffsberechtigungen für Kunden-Instanzen und kann sich nicht beim Gast-Betriebssystem anmelden. AWS empfiehlt eine Reihe in der Praxis am besten bewährter Prozesse für die Sicherheit: Kunden sollten den kennwortbasierten Zugriff auf ihre Hosts deaktivieren und eine Multi-Faktor-Authentifizierung für den Zugriff auf ihre Instanzen verwenden (oder zumindest einen Zertifikats-basierten SSH2-Zugriff). Darüber hinaus sollten Kunden einen Berechtigungs-Eskalationsmechanismus mit Protokollierung auf Benutzerbasis einsetzen. Ist das Gast-Betriebssystem beispielsweise Linux, sollten die Kunden nach der Instanzhärtung ein zertifikatsbasiertes SSH2 für den Zugriff auf die virtuelle Instanz verwenden, die Root-Anmeldung per Fernzugriff deaktivieren, die Befehlszeilenprotokollierung nutzen und "sudo" für die Berechtigungs-Eskalation verwenden. Die Kunden sollten ihre eigenen Schlüsselpaare generieren, um sicherzustellen, dass diese einmalig sind und nicht gemeinsam mit anderen Kunden oder AWS verwendet werden. Firewall: Amazon EC2 stellt eine vollständige Firewall-Lösung bereit. Diese obligatorische Firewall für eingehenden Datenverkehr ist standardmäßig im DENY-Modus konfiguriert, und Amazon EC2-Kunden müssen explizit alle benötigten Ports öffnen, um eingehenden Datenverkehr zuzulassen. Der Datenverkehr kann anhand des Protokolls, des Dienst-Ports und anhand der Quell-IP-Adresse (einzelne IP-Adresse oder Classless Inter-Domain Routing-(CIDR-)Block) beschränkt werden. Die Firewall kann in Gruppen konfiguriert werden, die unterschiedliche Regeln für verschiedene Instanzklassen zulassen. Nehmen wir als Beispiel eine herkömmliche dreistufige Web-Anwendung. Die Gruppe der Web-Server hat Port 80 (HTTP) und/oder Port 443 (HTTPS) offen fürs Internet. Die Gruppe für den Anwendungs-Server würde Port 8000 (Anwendungsspezifisch) als einzigen Zugang zur Web-Server-Gruppe haben. Die Gruppe für die Datenbank würde Port 3306 (MySQL) als einzigen Zugang zur Anwendungs-Server-Gruppe haben. Alle drei Gruppen würden administrativen Zugang über Port 22 (SSH) erlauben, aber nur für das Unternehmensnetzwerk des Kunden. Mit Hilfe dieses wirkungsvollen Mechanismus können hochsichere Anwendungen bereitgestellt werden. Siehe nachfolgendes Diagramm: 6

7 Die Firewall wird nicht über das Gastbetriebssystem gesteuert. Stattdessen sind das X.509-Zertifikat und der Schlüssel des Benutzers erforderlich, um Änderungen zu autorisieren. So wird eine zusätzliche Sicherheitsebene garantiert. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instanzen und in der Firewall. Der Kunde ist deshalb in der Lage, mit Hilfe der Aufgabentrennung zusätzliche Sicherheitsmaßnahmen zu implementieren. Die Sicherheitsstufe der Firewall bestimmt, welche Ports wie lange und für welchen Zweck vom Kunden geöffnet werden. Standardmäßig wird der gesamte eingehende Datenverkehr abgelehnt. Die Kunden sollten deshalb sorgfältig planen, welche Ports beim Erstellen und Sichern ihrer Anwendungen geöffnet werden. Für jede Instanz ist auch weiterhin eine intelligente Verwaltung des Datenverkehrs und eine intelligente Sicherheitsplanung erforderlich. AWS empfiehlt Kunden darüber hinaus die zusätzliche Anwendung Instanz-basierter Filter mit Host-basierten Firewalls wie IPtables oder der Windows Firewall und IPsec. Auf diese Weise kann sowohl der eingehende als auch der ausgehende Datenverkehr für jede Instanz eingeschränkt werden. API: Anfragen zum Starten und Beenden von Instanzen, Ändern von Firewall-Parametern und zur Durchführung anderer Funktionen werden alle mit einem X.509-Zertifikat oder dem Amazon Secret Access Key (geheimer Zugriffsschlüssel) des Kunden signiert. Ohne Zugriff auf den Secret Access Key des Kunden oder das X.509-Zertifikat können keine Amazon EC2-Anfragen für den Kunden durchgeführt werden. Darüber hinaus können API-Anfragen mit Hilfe von SSL verschlüsselt werden, um die Geheimhaltung zu wahren. Amazon empfiehlt, stets SSL-geschützte API-Endpunkte zu verwenden. Der Hypervisor Amazon EC2 verwendet derzeit eine hochgradig angepasste Version des Xen-Hypervisors und nutzt so die Vorteile der Paravirtualisierung (im Falle von Linux-Gästen). Da paravirtualisierte Gäste darauf angewiesen sind, dass der Hypervisor Betriebsabläufe unterstützt, für die normalerweise Zugriffsberechtigungen erforderlich sind, hat das Gast- Betriebssystem keinen erweiterten Zugriff auf die CPU. Die CPU stellt vier separate Berechtigungsmodi zur Verfügung, 0-3, die als Ringe bezeichnet werden. Ring 0 hat die meisten Berechtigungen und Ring 3 die wenigsten. Das Host- Betriebssystem wird in Ring 0 ausgeführt. Anstatt in Ring 0 ausgeführt zu werden, wie der Großteil aller Betriebssysteme, wird das Gast-Betriebssystem in Ring 1 ausgeführt, der über weniger Berechtigungen verfügt. Anwendungen werden in Ring 3 ausgeführt, der die wenigsten Berechtigungen hat. Durch diese explizite Virtualisierung der physischen Ressourcen wird eine klare Trennung von Gast und Hypervisor ermöglicht. Das Ergebnis ist eine zusätzliche Trennung im Sicherheitsbereich zwischen beiden. Isolierung von Instanzen Unterschiedliche Instanzen, die auf demselben Rechner ausgeführt werden, werden durch den Xen-Hypervisor voneinander isoliert. Amazon ist aktives Mitglied der Xen-Community und ist somit stets über die neuesten Entwicklungen auf dem Laufenden. Darüber hinaus ist die AWS-Firewall in der Hypervisor-Schicht zwischen der physischen Netzwerkschnittstelle und der virtuellen Schnittstelle der Instanz angeordnet. Alle Pakete müssen diese Schicht durchlaufen. Die Nachbarn einer Instanz haben deshalb genausowenig Zugriff auf die Instanz wie ein anderer Internet-Host und können so behandelt werden, als ob sie auf einem separaten physischen Host residieren. Der physische Arbeitsspeicher wird mit Hilfe ähnlicher Mechanismen getrennt gehalten. 7

8 Kunden-Instanzen haben keinen Zugriff auf Raw- Festplatten-Geräte. Sie können stattdessen auf virtualisierte Festplatten zugreifen. Die proprietäre Festplatten-Virtualisierungsebene von AWS setzt automatisch jeden vom Kunden genutzten Speicherblock zurück. Dadurch wird sichergestellt, dass die Daten eines Kunden nie unbeabsichtigterweise für einen anderen Kunden sichtbar werden. AWS empfiehlt Kunden, ihre Daten mit Hilfe geeigneter Mittel und Maßnahmen zusätzlich zu schützen. Eine häufig verwendete Lösung besteht darin, ein verschlüsseltes Dateisystem auf dem virtualisierten Festplattengerät auszuführen. Fehlerisolierung Amazon EC2 bietet Kunden die Möglichkeit, Instanzen in mehreren geografischen Regionen sowie über mehrere Availability Zones verteilt zu platzieren. Jede Availability Zone ist so konzipiert, dass sie bei Fehlern isoliert wird. Das bedeutet, dass Availability Zones in einem typischem Großstadtraum physisch getrennt sind, in verschiedenen Hochwasser-Einzugsgebieten, in keinen erdbebengefährdeten Gebieten. Neben einer diskreten unterbrechungsfreien Stromversorgung (USV) und Notstromeinrichtungen vor Ort werden die Zonen jeweils über unterschiedliche Versorgungsnetze unabhängiger Energieversorger mit Strom versorgt, um das Risiko von "Single Points of Failure" weiter zu reduzieren. Sie sind alle redundant mit mehreren Energieversorgern der Stufe 1 verbunden. 8

9 Es ist zu beachten, dass der über private Netzwerke fließende Datenverkehr zwischen Availability Zones in einer Region sich zwar auf einer von AWS kontrollierten Infrastruktur befindet, dass die gesamte Kommunikation zwischen Regionen jedoch über das öffentliche Internet stattfindet, so dass entsprechende Verschlüsselungsmethoden zum Schutz vertraulicher Daten eingesetzt werden sollten. Die Daten werden nicht zwischen den Regionen repliziert, es sei denn der Kunde führt eine Replikation durch. Amazon Simple Storage Service (Amazon S3) - Sicherheit Bei allen gemeinsam genutzten Speichersystem lautet die am häufigsten gestellte Sicherheitsfrage, ob unautorisierte Benutzer vorsätzlich oder versehentlich auf Daten zugreifen können. Um sicherzustellen, dass die Kunden die nötige Flexibilität haben, zu bestimmen, wie, wann und wem sie die in AWS gespeicherten Daten zur Verfügung stellen möchten, bieten die Amazon S3 APIs Zugriffskontrollen sowohl auf Bucket- als auch auf Objektebene, deren Standardeinstellungen nur dem Bucket- und/oder Objektersteller den authentifizierten Zugriff gestatten. Wenn ein Kunde keinen anonymen Zugriff auf seine Daten gewährt, muss der Benutzer zuerst mit Hilfe einer HMAC-SHA1-Signatur der Anforderung, die den privaten Schlüssel des Benutzers verwendet, authentifiziert werden, bevor dieser auf Daten zugreifen kann. Ein authentifizierter Benutzer kann ein Objekt nur lesen, wenn er in einer Zugriffskontrollliste (Access Control Liste, ACL) auf Objektebene Leseberechtigungen erhalten hat. Ein authentifizierter Benutzer kann nur dann Schlüssel auflisten und Objekte in einem Bucket erstellen oder überschreiben, wenn er in der ACL auf Bucket-Ebene Lese- und Schreibberechtig erhalten hat. ACLs auf Bucket- und Objektebene sind voneinander unabhängig. Ein Objekt übernimmt nicht die ACLs seines Buckets. Die Berechtigungen zum Lesen oder Ändern des Buckets oder der Objekt-ACLs werden wiederum mit Hilfe von ACLs gesteuert, deren Standardeinstellung nur dem Ersteller Zugriff bietet. Auf diese Weise behält der Kunde die vollständige Kontrolle darüber, wer Zugriff auf seine Daten hat. Die Kunden können anderen AWS-Benutzern über die AWS-Konto-ID, über oder über die DevPay-Produkt-ID Zugriff auf ihre Amazon S3-Daten gewähren. Darüber hinaus können die Kunden allen AWS-Benutzern oder allen Benutzern (durch Aktivierung des anonymen Zugriffs) Zugriff auf ihre Amazon S3-Daten gewähren. Datenverwaltung Der Zugriff auf Amazon S3 ist über SSL-Endpunkte möglich, um maximale Sicherheit zu gewährleisten. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. So wird eine sichere Datenübertragung in AWS und von und zu externen Quellen sichergestellt. Um nicht genutzte Daten zu schützen, müssen diese physisch gesichert und verschlüsselt werden. Wie bereits unter "Physische Sicherheit" erwähnt, setzt Amazon mehrere Ebenen von physischen Sicherheitsmaßnahmen zum Schutz nicht genutzter Kundendaten ein. Beispielsweise ist der Zutritt zu den Amazon S3-Rechenzentren auf eine Liste von Amazon- 9

10 Mitarbeitern beschränkt, die regelmäßig überprüft wird. Die Verschlüsselung vertraulicher Daten stellt in der Regel eine gute Sicherheitsmaßnahme dar, und Amazon empfiehlt den Benutzern, ihre vertraulichen Daten vor dem Hochladen in Amazon S3 zu verschlüsseln. Wird ein Objekt aus Amazon S3 gelöscht, wird die Zuordnung zwischen dem öffentlichen Namen und dem Objekt sofort gelöscht. Dieser Vorgang wird normalerweise innerhalb weniger Sekunden im gesamten verteilten System durchgeführt. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf das gelöschte Objekt. Der so gewonnene Speicherplatz wird dann wieder vom System verwendet. Außerbetriebnahme von Speichergeräten Zu den AWS-Prozessen gehört u. a. ein Verfahren für die Außerbetriebnahme von Speichergeräten, die das Ende ihrer Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt, dass Kundendaten keinen unautorisierten Personen preisgegeben werden. AWS verwendet die im DoD M ("National Industrial Security Program Operating Manual") oder in NIST ("Guidelines for Media Sanitation") beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme zu zerstören. Amazon SimpleDB - Sicherheit Die Amazon SimpleDB APIs stellen Kontrollfunktionen auf Domänenebene zur Verfügung, die nur dem Ersteller der Domäne den authentifizierten Zugriff ermöglichen. Der Kunde behält somit die vollständige Kontrolle darüber, wer Zugriff auf seine Daten hat. Der Amazon SimpleDB-Zugriff kann auf Basis einer AWS-Konto-ID genehmigt werden. Nach der Authentifizierung hat der Abonnent vollständigen Zugriff auf alle Benutzervorgänge. Der Zugriff auf die einzelnen Domänen wird durch eine unabhängige Zugriffskontrollliste (ACL) gesteuert, die authentifizierte Benutzer ihren eigenen Domänen zuordnet. Der Zugriff auf Amazon SimpleDB ist über SSL-verschlüsselte Endpunkte möglich. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. Die in Amazon SimpleDB gespeicherten Daten werden nicht von AWS verschlüsselt. Der Kunde kann diese jedoch vor dem Hochladen in Amazon SimpleDB verschlüsseln. Diese verschlüsselten Attribute sind nur im Rahmen eines GET-Vorgangs abrufbar. Sie können nicht als Teil einer Abfragefilterbedingung verwendet werden. Durch das Verschlüsseln von Daten vor dem Senden an Amanzon SimpleDB wird sichergestellt, dass niemand, einschließlich AWS, Zugriff auf vertrauliche Kundendaten hat. Datenverwaltung in Amazon SimpleDB Wird eine Domäne aus Amazon SimpleDB gelöscht, wird die Domänenzuordnung sofort gelöscht. Dieser Vorgang wird normalerweise innerhalb weniger Sekunden im gesamten verteilten System durchgeführt. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf die gelöschte Domäne. Werden Element- und Attributdaten in einer Domäne gelöscht, wird die Zuordnung in der Domäne sofort gelöscht und in der Regel innerhalb von wenigen Sekunden abgeschlossen. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf die gelöschten Daten. Der Speicherbereich steht dann nur für Schreibvorgänge zur Verfügung, und die Daten werden durch neu gespeicherte Daten überschrieben. Amazon Relational Database Service (Amazon RDS) - Sicherheit Mit dem Amazon RDS können Sie rasch eine relationale Datenbankinstanz erstellen und die zugehörigen Computing- Ressourcen sowie die Speicherkapazität flexibel skalieren, um sie an die Anwendungsanforderungen anzupassen. Amazon RDS verwaltet die Datenbankinstanz für sie. Dabei werden Sicherungskopien erstellt und die Ausfallsicherung sowie die Datenbanksoftware werden verwaltet. 10

11 Der Zugriff auf die Amazon RDS-Datenbankinstanz wird vom Kunden über Datenbanksicherheitsgruppen gesteuert. Diese entsprechen den Amazon EC2-Sicherheitsgruppen, sind jedoch nicht untereinander austauschbar. Die Datenbanksicherheitsgruppen werden standardmäßig in den Zugriffsmodus "DENYALL" zurückgesetzt, und die Kunden müssen den Netzwerkzugriff speziell autorisieren. Dies kann auf zweierlei Weise geschehen: durch Autorisierung eines Netzwerk-IP-Bereichs oder durch Autorisierung einer vorhandenen Amazon EC2-Sicherheitsgruppe. Datenbank- Sicherheitsgruppen beschränken den Zugriff auf den Port des Datenbankservers (alle anderen Ports werden blockiert). Sie können ohne Neustart der Amazon RDS-Datenbankinstanz aktualisiert werden, so dass die Kunden ihren Datenbankzugriff nahtlos steuern können. Wenn eine API zum Löschen einer Amazon RDS-Datenbankinstanz ausgeführt wurde (DeleteDBInstance), wird die Datenbankinstanz für den Löschvorgang gekennzeichnet. Wird der Status "Wird gelöscht" nicht mehr für die Instanz angezeigt, bedeutet dies, dass sie gelöscht wurde. Zu diesem Zeitpunkt kann nicht mehr auf die Instanz zugegriffen werden. Wenn keine endgültige Kopie in Form eines Speicherauszugs angefordert wurde, kann die Instanz nicht mehr wiederhergestellt werden und wird von keinem der Tools oder APIs aufgelistet. Amazon Simple Queue Service (Amazon SQS) - Sicherheit Amazon SQS ist ein extrem zuverlässiger, skalierbarer Dienst für Nachrichten-Warteschlangen, der eine asynchrone, nachrichtenbasierte Kommunikation zwischen den verteilten Komponenten einer Anwendung ermöglicht. Diese Komponenten können Computer oder Amazon EC2-Instanzen oder eine Kombination aus beiden sein. Mit Hilfe von Amazon SQS können Sie jederzeit und von jeder Komponente eine beliebige Anzahl von Nachrichten an eine Amazon SQS-Warteschlange senden. Die Nachricht kann von derselben oder einer anderen Komponente abgerufen werden, entweder sofort oder zu einem späteren Zeitpunkt (innerhalb von 4 Tagen). Die Nachrichten sind äußerst langlebig. Jede Nachricht wird persistent in hochverfügbaren und äußerst zuverlässigen Warteschlangen gespeichert. Mehrere Prozesse können gleichzeitig in eine Amazon SQS-Warteschlange schreiben bzw. aus dieser lesen, ohne dass sich die Prozesse gegenseitig behindern. Der Zugriff zu Amazon SQS wird auf Basis einer AWS-Konto-ID genehmigt. Nach der Authentifizierung hat der Benutzer vollständigen Zugriff auf alle Benutzervorgänge. Der Zugriff auf eine Warteschlange ist standardmäßig auf die AWS- Konto-ID beschränkt, die die Warteschlange erstellt hat. Ein Kunde kann jedoch anderen den Zugriff auf eine Warteschlange gestatten. Dies geschieht entweder über eine SQS-generierte oder eine vom Benutzer erstellte Richtlinie. Der Zugriff auf Amazon SQS ist über SSL-verschlüsselte Endpunkte möglich. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. Die in Amazon SQS gespeicherten Daten werden nicht von AWS verschlüsselt. Der Benutzer kann Daten jedoch vor dem Hochladen in Amazon SQS verschlüsseln, vorausgesetzt die Anwendung, die die Warteschlange verwendet, kann die Nachricht nach dem Empfang entschlüsseln. Durch das Verschlüsseln von Nachrichtem vor dem Senden an Amanzon SQS wird sichergestellt, dass niemand, einschließlich AWS, Zugriff auf vertrauliche Kundendaten hat. Amazon CloudFront - Sicherheit Bei Amazon CloudFront muss jede an die entsprechende Steuerungs-API gesendete Anforderung authentifiziert werden. Dadurch wird sichergestellt, dass nur authentifizierte Benutzer ihre Amazon CloudFront-Distributions erstellen, ändern oder löschen können. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssel des Benutzers erstellt wird. Darüber hinaus ist der Zugriff auf die Amazon CloudFront-Steuerungs-API nur über SSL-verschlüsselte Endpunkte möglich. Amazon CloudFront ist derzeit für die Bereitstellung öffentlich verfügbarer Dateien ausgelegt. Die über Amazon CloudFront bereitgestellten Objekte müssen in Amazon S3 gespeichert werden, und zwar mit ACL-Richtlinien, die einen 11

12 öffentlichen Lesezugriff ermöglichen. Desgleichen stehen an den nächstgelegenen Standorten (edge locations) von Amazon CloudFront keine Zugriffskontrollen oder andere Authentifizierungsfunktionen zur Verfügung. Die Langlebigkeit der in den nächstgelegenen Standorten von Amazon CloudFront gespeicherten Daten kann nicht garantiert werden. Der Dienst kann gelegentlich Objekte aus den nächstgelegenen Standorten löschen, wenn diese nicht regelmäßig angefordert werden. Die Lebensdauer der Objekte wird durch Amazon S3 sichergestellt. Dieser Dienst fungiert als Ausgangsserver für Amazon CloudFront und speichert die ursprünglichen definitiven Kopien der von Amazon CloudFront bereitgestellten Objekte. Die Zugriffsprotokolle von Amazon CloudFront enthalten umfassende Informationen über Inhaltsanforderungen. Dazu gehören das angeforderte Objekt, das Datum und die Uhrzeit der Anforderung, der nächstgelegene Standort, der die Anforderung erfüllt, die IP-Adresse des Clients, der Referrer und der Benutzer-Agent. Um Zugriffsprotokolle zu aktivieren, geben Sie bei der Konfiguration Ihrer Amazon CloudFront-Distribution einfach den Namen des Amazon S3- Buckets an, in dem die Protokolle gespeichert werden sollen. Amazon Elastic MapReduce - Sicherheit Bei Amazon Elastic MapReduce muss jede an die entsprechende Steuerungs-API gesendete Anforderung authentifiziert werden. Dadurch wird sichergestellt, dass nur authentifizierte Benutzer ihre Arbeitsabläufe erstellen, danach suchen oder sie beenden können. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssel des Benutzers erstellt wird. Amazon Elastic MapReduce stellt SSL-Endpunkte für den Zugriff auf seine Web-Service-APIs und die Konsole bereit. Beim Starten von Arbeitsabläufen für einen Kunden richtet Amazon Elastic MapReduce eine Amazon EC2- Sicherheitsgruppe des Masterknotens ein, um nur den externen Zugriff über SSH zuzulassen. Der Dienst erstellt eine separate Sicherheitsgruppe der untergeordneten Elemente, die keinen externen Zugriff zulassen. Um die Eingangs- und Ausgangsdatensätze der Kunden zu schützen, verwendet Amazon Elastic MapReduce SSL für die Datenübertragung an und von S3. Amazon-Konto - Zugangsberechtigung AWS stellt eine Reihe von Möglichkeiten zur Identifizierung von Kunden und für den sicheren Zugriff der Kunden auf ihre Konten zur Verfügung. Eine vollständige Liste der von AWS unterstützten Anmeldeinformationen finden Sie auf der Seite mit den Sicherheits-Anmeldeinformationen unter "Mein Konto". AWS bietet außerdem zwei zusätzliche Sicherheitsoptionen, mit denen Kunden ihr Konto und den Zugriff noch besser schützen und kontrollieren können: Die so genannte Multi-Factor Authentication und Key Rotation. AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) ist eine zusätzliche Sicherheitsebene, die eine erweiterte Kontrolle über Ihre AWS-Kontoeinstellungen bietet. Wenn die Kunden diese optionale Kontofunktion aktivieren, müssen Sie einen sechsstelligen, einmal verwendbaren Code zusätzlich zu ihren standardmäßigen AWS-Kontoanmeldeinformationen bereitstellen, bevor der Zugriff auf ihre AWS-Kontoeinstellungen gewährt wird. Den einmalig verwendbaren Code erhalten die Kunden über ein in ihrem Besitz befindliches Authentifizierungsgerät. Dieser Vorgang wird als Multi-Faktor- Authentifizierung bezeichnet, da zwei Faktoren überprüft werden, bevor Zugriff auf ein Konto gewährt wird: Die Kunden müssen sowohl ihre Amazon- -ID und ihr Amazon-Kennwort (der erste "Faktor": etwas, das sie kennen) UND den exakten Code ihres Authentifizierungsgeräts (der zweite "Faktor": etwas, das sie haben) eingeben. Authentifizierungsgeräte können einfach über teilnehmende Drittanbieter beschafft und über die AWS-Website eingerichtet werden. Weitere Informationen zur Multi-Faktor-Authentifizierung finden Sie auf der AWS-Website unter 12

13 ( Schlüsselrotation (Key Rotation) Aus denselben Gründen, aus denen es wichtig ist, dass sich Kennwörter häufig ändern, empfiehlt AWS den Kunden auch, einen regelmäßigen Wechsel ihrer Zugangsschlüssel und Zertifikate. Damit dies ohne Beeinträchtigungen der Verfügbarkeit von Kundenanwendungen möglich ist, unterstützt AWS mehrere gleichlaufende Zugangsschlüssel und Zertifikate. Mit dieser Funktion können die Kunden regelmäßige Wechsel von Schlüsseln und Zertifikaten vornehmen, ohne Ausfallzeiten für ihre Anwendungen in Kauf nehmen zu müssen. So lässt sich das Risiko verlorener oder kompromittierter Zugangsschlüssel oder Zertifikate mindern. 13

14 Änderungen seit der letzten Version (Juni 2009): Änderung des Abschnitts über Zertifizierungen und Zulassungen, um SAS70 zu berücksichtigen Hinzufügung von Amazon Virtual Privat Cloud (Amazon VPC) Hinzufügung des Abschnitts über Sicherheits-Anmeldeinformationen, um die AWS Multi-Factor Authentication und Key Rotation hervorzuheben Hinzufügung von Amazon Relational Database Service (Amazon RDS) - Sicherheit Änderungen seit der letzten Version (Sept. 2008): Hinzufügung der Grundlagen für sicheres Design Aktualisierung der Informationen zur physischen Sicherheit und Hinzufügung von Hintergrundüberprüfungen Aktualisierung des Abschnitts über Sicherungskopien, um diesen in Bezug auf Amazon EBS zu verdeutlichen Aktualisierung des Abschnitts über die Amazon EC2-Sicherheit und Hinzufügung folgender Punkte: Zertifikats-basiertes SSH2 Einzelheiten zu und Diagramme für Sicherheitsgruppen mit mehreren Schichten Hypervisor-Beschreibung und Diagramm für die Isolierung von Instanzen Fehlerisolierung Hinzufügung von Konfigurationsmanagement Aktualisierung des Abschnitts über Amazon S3, um weitere Einzelheiten hinzuzufügen und den Abschnitt zu verdeutlichen Hinzufügung der Außerbetriebnahme von Speichergeräten Hinzufügung von Amazon SQS - Sicherheit Hinzufügung von Amazon CloudFront - Sicherheit Hinzufügung von Amazon Elastic MapReduce - Sicherheit Hinweise Amazon.com, Inc. oder Tochtergesellschaften. Dieses Whitepaper wird nur zu Informationszwecken zur Verfügung gestellt. Amazon Web Services LLC übernimmt keinerlei Haftung für durch die Informationen in diesem Whitepaper entstandene Schäden. Dieses Whitepaper wird wie gesehen und ohne jegliche Garantie, weder ausdrücklich, stillschweigend oder gesetzlich, zur Verfügung gestellt. Keine der Aussagen in diesem Whitepaper stellt die Grundlage für eine Garantie oder eine Stellungnahme von Amazon Web Services LLC, seiner Tochtergesellschaften, Lieferanten oder Lizenzgeber dar. Dieses Whitepaper ändert in keiner Weise die geltenden allgemeinen Geschäftsbedingungen für Ihre Nutzung der Amazon Web Services-Technologien, einschließlich der Amazon Web Services-Website. Das Whitepaper stellt das aktuelle Produktangebot von Amazon Web Services zum Zeitpunkt des Veröffentlichungdatums dieses Dokuments dar. Änderungen bleiben vorbehalten. 14