Amazon Web Services Übersicht über Sicherheitsverfahren Mai 2011

Größe: px
Ab Seite anzeigen:

Download "Amazon Web Services Übersicht über Sicherheitsverfahren Mai 2011"

Transkript

1 Amazon Web Services Übersicht über Sicherheitsverfahren Mai 2011 (Die aktuelle Version finden Sie unter 1

2 Amazon Web Services (AWS) stellt eine hochgradig skalierbare, Cloud-basierte Computing-Plattform mit hoher Verfügbarkeit und Zuverlässigkeit zur Verfügung, die flexibel genug ist, Kunden die Entwicklung einer breiten Palette von Anwendungen zu ermöglichen. Für AWS ist es äußerst wichtig, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Daten seiner Kunden sicherzustellen sowie das Vertrauen der Kunden zu erhalten. Ziel dieses Dokuments ist die Beantwortung von Fragen wie "Wie kann AWS mir dabei helfen, die Sicherheit meiner Daten zu gewährleisten?" Dabei werden vor allem die physischen und betrieblichen AWS-Sicherheitsverfahren für das von AWS verwaltete Netzwerk und die verwaltete Infrastruktur sowie Service-spezifische Sicherheitsimplementierungen beschrieben. Das vorliegende Dokument bietet eine Übersicht über die Sicherheit in folgenden, für AWS relevanten Bereichen: Umgebung der gemeinsamen Zuständigkeiten Übersicht über die Steuerumgebung Grundlagen für sicheres Design Sicherung Überwachung Information und Kommunikation Lebenszyklus der Mitarbeiter Physische Sicherheit Maßnahmen zur Umgebungssicherung Konfigurationsmanagement Business Continuity Management Sicherungskopien Fehlerisolierung Kontosicherheitsfunktionen in Amazon Netzwerksicherheit AWS dienstrelevante Sicherheit Amazon Elastic Compute Cloud (Amazon EC2) Sicherheit Amazon Virtual Private Cloud (Amazon VPC) Amazon Simple Storage Service (Amazon S3) Sicherheit Amazon SimpleDB Sicherheit Amazon Relational Database Service (Amazon RDS) Sicherheit Amazon Simple Queue Service (Amazon SQS) Sicherheit Amazon Simple Notification Service (SNS) Sicherheit Amazon CloudWatch Sicherheit Auto Scaling Sicherheit Amazon CloudFront Sicherheit Amazon Elastic MapReduce Sicherheit 2

3 Umgebung der gemeinsamen Zuständigkeiten Wenn Sie Ihre IT-Infrastruktur in AWS verschieben, entsteht ein Modell der gemeinsamen Zuständigkeit zwischen Kunde und AWS. Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung beim Betrieb, da AWS die Komponenten des Host-Betriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde ist unter anderem für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe zuständig. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von den genutzten Services, von deren Integration in Ihrer IT-Umgebung sowie vom den anwendbaren Rechtsbestimmungen und Vorschriften abhängen. Durch Nutzung von Technologien wie Host-basierten Firewalls, Hostbasierten IDS zur Erkennung und Verhinderung von Angriffen auf Computersysteme, Verschlüsselungsprogrammen und Schlüsselverwaltungssystemen können Kunden die Sicherheit erhöhen und/oder strengere Compliance-Anforderungen erfüllen. Dieses Modell der geteilten Zuständigkeiten sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die die branchenspezifischen Anforderungen für die Zertifizierung erfüllen. Übersicht über die Steuerumgebung AWS verwaltet eine umfassende Steuerungsumgebung, die die erforderlichen Richtlinien, Prozesse und Steueraktivitäten für die Bereitstellung der einzelnen Web-Service-Angebote enthält. Die gesamte Steuerungsumgebung besteht aus erforderlichen Mitarbeitern, Prozessen und der Technologie für die Wartung einer Umgebung. Diese unterstützt die Effizienz bestimmter Steuerelemente und Steuerungsrahmenwerke, für die AWS zertifiziert ist. AWS entspricht den Vorgaben verschiedener Zertifizierungen und Bestätigungen von Dritten. Dazu zählen: SAS 70 Typ II: Dieser Bericht enthält detaillierte Steuerelemente, die AWS nutzt sowie die Beurteilung eines unabhängigen Prüfers zum effizienten Betrieb dieser Steuerelemente. PCI DSS Level 1: AWS wurde von unabhängiger Seite überprüft, ob es den PCI-Datensicherheitsstandard als gemeinsamer Host-Service-Anbieter erfüllt. ISO 27001: AWS hat die ISO Zertifizierung des Information Security Management System (ISMS) in Bezug auf Infrastruktur, Datencenter und Services erhalten. FISMA: Mit AWS können US-Regierungsbehörden die Konformität in Bezug auf den Federal Information Security Management Act (FISMA) erreichen und einhalten. AWS hat die Genehmigung zum Betrieb auf FISMA-Low-Stufe erhalten. Außerdem hat AWS die Implementierung der Kontrollfunktionen abgeschlossen und die für den Betrieb auf FISMA Moderate-Stufe unabhängigen Sicherheitstests und Prüfungen erfolgreich bestanden. AWS hofft aktuell auf die Genehmigung zum Betrieb auf FISMA-Moderate-Stufe von Regierungsbehörden. Kunden haben auf AWS zudem Anwendungen für das Gesundheitswesen erstellt, die mit den Sicherheits- und Datenschutzregeln von HIPPA konform sind. Weitere Informationen zu diesen Zertifizierungen und Drittanbieterbestätigungen erhalten Sie im Whitepaper zu Risiko und Compliance auf der Website Grundlagen für sicheres Design Der Entwicklungsprozess von AWS orientiert sich an den Best Practices für die Entwicklung von sicherer Software. Darunter fallen formale Design-Überprüfungen durch das Sicherheitsteam von AWS, Threat Modeling und die Ausführung von Risikoanalysen. Tools zur statischen Analyse des Codes werden als Teil des Standarderstellungsprozesses betrieben. Sämtliche verwendete Software unterliegt fortwährend Penetrationstests, die von sorgfältig ausgewählten Experten der Branche vorgenommen werden. Unsere Risikoanalysen beginnen bereits während der Entwurfsphase und werden bis zur Versionseinführung und auch im Anschluss daran durchgeführt. 3

4 Überwachung AWS nutzt automatische Überwachungssysteme, um ein Höchstmaß an Leistungsqualität und Verfügbarkeit der Services zu gewährleisten. Sowohl für den internen als auch für den externen Gebrauch steht eine Reihe von Online-Tools für die dynamische Überwachung zur Verfügung.Die Systeme innerhalb von AWS werden umfassend instrumentiert, damit sie die wichtigsten Betriebsgrößen überwachen können. Alarmsignale werden konfiguriert, damit das Betriebspersonal und die Geschäftsleitung benachrichtigt werden, wenn für die wichtigsten Betriebsgrößen die Frühwarnschwellen aktiviert sind. Es wurde ein Rufbereitschaftsdienst eingerichtet, sodass das Personal stets erreichbar ist, um auf Betriebsprobleme zu reagieren. Dazu gehört eine Personenrufanlage (Pager), damit alle Warnmeldungen zuverlässig an das Betriebspersonal weitergeleitet werden. Die erstellten Dokumentationen werden gepflegt und dienen dem Betriebspersonal als Hilfe und Informationsquelle, damit sie besser mit Störfällen und Problemen umgehen können. Falls für die Lösung eines Problems eine Zusammenarbeit vonnöten ist, wird ein Konferenzsystem eingesetzt, das die Kommunikation und Protokollierung unterstützt. Ausgebildetes Fachpersonal steht auf Abruf bereit und erleichtert die Kommunikation und den Ablauf während der Behebung von Betriebsproblemen, die eine Zusammenarbeit erforderlich machen. Nach schwerwiegenden Betriebsproblemen, ungeachtet dessen, ob sie sich auf die Außenwelt auswirken oder nicht, werden Besprechungen anberaumt. Es werden Dokumente zu den Fehlerursachen entworfen (COE), sodass die Grundursache festgehalten und Präventivmaßnahmen für die Zukunft beschlossen werden können. Im Rahmen von wöchentlichen Betriebsversammlungen wird die Umsetzung der Präventivmaßnahmen begutachtet. Information und Kommunikation AWS hat weltweit mehrere Verfahren zur internen Kommunikation eingeführt, um seinen Mitarbeitern dabei zu helfen, ihre individuellen Funktionen und Zuständigkeiten zu verstehen, und um wichtige Ereignisse zügig mitzuteilen. Zu diesen Verfahren gehören Orientierungs- und Schulungsprogramme für neueingestellte Mitarbeiter, regelmäßige Versammlungen der Geschäftsleitung zur Verbesserung der Leistungsfähigkeit und zur Besprechung anderer Angelegenheiten sowie elektronische Hilfsmittel wie Videokonferenzen, s und das Veröffentlichen von Informationen über das Intranet von Amazon. AWS hat ebenfalls mehrere Verfahren zur externen Kommunikation eingeführt, um seinem Kundenstamm und der Community Supportleistungen anbieten zu können. Das Kundensupportteam wird mithilfe von bestimmten Methoden über Betriebsprobleme informiert, die die Kundenzufriedenheit in Mitleidenschaft ziehen. Ein Service Health Dashboard steht zur Verfügung. Es wird von dem Kundensupportteam gepflegt und genutzt, um Kunden auf sämtliche Probleme, die weitreichende Konsequenzen nach sich ziehen könnten, aufmerksam zu machen. Ein Security and Compliance-Center steht ebenfalls zur Verfügung. Alle Kunden erhalten sämtliche Einzelheiten zur Sicherheit und Compliance von AWS über diese eine Plattform. Optional können Kunden verschiedene Premium Support-Leistungen abonnieren. Darunter fällt der direkte Kontakt mit dem Kundensupportteam. Die Kunden können ebenfalls proaktive Warnmeldungen zu Problemen erhalten, die für sie von Belang sind. Lebenszyklus der Mitarbeiter AWS hat offizielle Richtlinien und Verfahren eingeführt, um die Mindeststandards für den logischen Zugriff auf die Plattform von AWS und die Infrastruktur-Hosts festzulegen. Laut der Richtlinien von AWS wird für Mitarbeiter, die potenziellen Zugriff auf Kundendaten haben, eine umfassende Hintergrundüberprüfung (soweit gesetzlich zugelassen) ausgeführt. Diese hängt von der jeweiligen Position des Mitarbeiters und seiner Zugriffsberechtigung für Daten ab. Die Richtlinien bestimmen ebenfalls die Zuständigkeitsbereiche für die Verwaltung des logischen Zugriffs und der Sicherheit. 4

5 Kontobereitstellung Die Zuständigkeit für die Bereitstellung der Konten für Mitarbeiter und Auftragnehmer wird unter der Personalabteilung (HR), der Abteilung Corporate Operations und den Serviceverantwortlichen aufgeteilt. Wenn ein Personalmanager seine Genehmigung erteilt, wird ein Standardkonto mit eingeschränkten Benutzerrechten für Mitarbeiter oder Auftragnehmer angelegt. Dieses Konto ist zu diesem Zeitpunkt noch deaktiviert. Dieses Konto wird automatisch freigeschaltet, sobald der Datensatz des Mitarbeiters im Personalsystem von Amazon aktiviert wurde. Der Zugriff auf weitere Ressourcen einschließlich Services, Hosts, Netzwerkgeräten, Windows und UNIX-Gruppen muss im Benutzerrechteverwaltungssystem von Amazon durch den entsprechenden Verantwortlichen oder Manager ausdrücklich genehmigt werden. Alle Änderungen im Benutzerrechteverwaltungstool werden in einem Audit erfasst. Sobald sich die Funktion eines Mitarbeiters ändert, muss der Zugriff auf die Ressource erneut ausdrücklich genehmigt werden. Andernfalls wird er automatisch aufgehoben. Kontoüberprüfung Jede Zugriffsberechtigung wird alle 90 Tage überprüft. Die erneute Erteilung einer Zugriffsberechtigung bedarf einer ausdrücklichen Genehmigung, andernfalls wird der Zugriff auf die Ressource automatisch aufgehoben. Entzug der Zugriffsberechtigung Der Zugriff wird automatisch aufgehoben, sobald der Datensatz eines Mitarbeiters im Personalsystem von Amazon gelöscht wird. Die Windows- und UNIX-Konten werden deaktiviert und das Rechteverwaltungssystem entfernt den Benutzer aus allen Systemen. Kennwortrichtlinien Der Zugriff auf die Daten und die Verwaltung der logischen Sicherheit für Amazon beruhen auf Benutzer-IDs, Kennwörtern und Kerberos zur Authentifizierung von Benutzern für Services, Ressourcen und Geräte sowie zur Genehmigung einer entsprechenden Zugriffsberechtigung für den Benutzer. Das Sicherheitsteam von AWS hat eine Kennwortrichtlinie verfasst, in der die Zeitabstände für die Konfiguration und den Ablauf der Zugriffsberechtigung festgelegt sind. Physische Sicherheit AWS blickt auf viele Jahre Erfahrung beim Entwurf, bei der Konstruktion und beim Betrieb großer Rechenzentren zurück. Diese Erfahrung wurde auf die AWS-Plattform und -Infrastruktur angewandt. AWS-Rechenzentren sind in unscheinbaren Gebäuden untergebracht. Der physische Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert, sowohl am Geländerand als auch an den Gebäudeeingängen. Dabei werden Videoüberwachung, modernste Systeme zur Erkennung von Angriffen und andere elektronische Einrichtungen eingesetzt. Autorisierte Mitarbeiter müssen mindestens zwei Mal eine Zwei-Faktor-Authentifizierung durchlaufen, bevor Sie die Rechenzentrumsetagen betreten dürfen. Alle Besucher und Auftragnehmer müssen sich ausweisen und registrieren und werden stets von autorisierten Mitarbeitern begleitet. AWS gestattet den Zutritt zum Rechenzentrum nur Mitarbeitern und Auftragnehmern, die einen legitimen Geschäftsgrund dafür haben. Hat ein/e Mitarbeiter/in keinen Grund mehr für diesen Zutritt, werden seine bzw. ihre Zutrittsberechtigungen sofort widerrufen, selbst wenn er oder sie weiterhin als Mitarbeiter von Amazon oder Amazon Web Services tätig ist. Der Zutritt zu den Rechenzentren durch Mitarbeiter von AWS wird protokolliert und regelmäßig überprüft. 5

6 Maßnahmen zur Umgebungssicherung Die AWS-Rechenzentren sind dank des Einsatzes einer innovativen Architektur und der Verfolgung von kreativen Entwicklungsansätzen auf dem neuesten Stand der Technik. Branderkennung und -bekämpfung Zur Verringerung der Brandgefahr wurden Anlagen zur automatischen Branderkennung und -bekämpfung eingerichtet. Die Brandmeldeanlage setzt sich aus folgenden Komponenten zusammen: Rauchmelder, die in allen Räumlichkeiten des Rechenzentrums installiert sind, Räume für die mechanische und elektrische Infrastruktur, Kühlräume und Räume für die Generatoranlage. Diese Bereiche werden entweder durch Nasssprinkleranlagen, doppelt gesicherte vorgesteuerte Sprinkleranlagen oder Trockensprinkleranlagen geschützt. Stromversorgung Die Stromversorgungssysteme des Rechenzentrums wurden so konzipiert, dass sie völlig redundant sind und 24 Stunden pro Tag an sieben Tagen der Woche instandgesetzt werden können, ohne dass dadurch der Betriebsablauf beeinträchtigt wird. Durch eine Unterbrechungsfreie Stromversorgung (USV) ist die sichere Stromversorgung von kritischen und wichtigen Lasten in der Einrichtung während eines Stromausfalls sichergestellt. In den Rechenzentren werden Generatoren eingesetzt, damit für die gesamte Anlage eine Notstromversorgung gewährleistet ist. Klimatisierung und Temperatur Das Klima in den Räumlichkeiten der Rechenzentren muss stets kontrolliert und geregelt werden, um die Betriebstemperatur der Server und anderer Hardwarekomponenten konstant zu halten. Dadurch kann ein Überhitzen der Geräte vermieden und die Gefahr von Ausfällen verringert werden. Die Rechenzentren sind klimatisiert, um die atmosphärischen Bedingungen auf einem optimalen Niveau zu halten. Temperatur und Luftfeuchtigkeit werden in angemessener Weise vom Personal und den technischen Systemen überwacht und geregelt. Verwaltung AWS überwacht alle elektrischen, technischen und Lebenserhaltungssysteme und -einrichtungen, damit alle Probleme unmittelbar nach deren Entstehung erkannt werden. Es werden vorbeugende Wartungen vorgenommen, um eine kontinuierliche Funktionsfähigkeit der Einrichtungen sicherzustellen. Konfigurationsmanagement Konfigurationsänderungen in Notfällen sowie nicht routinemäßige und andere Konfigurationsänderungen an der vorhandenen AWS-Infrastruktur werden entsprechend der Branchenstandards für gleichartige Systeme autorisiert, protokolliert, getestet, genehmigt und dokumentiert. Aktualisierungen der AWS-Infrastruktur werden so durchgeführt, dass sie nur minimale Auswirkungen auf die Kunden und die von ihnen verwendeten Services haben. AWS wird sich mit den Kunden entweder per oder über das Service Health Dashboard (http://status.aws.amazon.com/) in Verbindung setzen, wenn die Nutzung bestimmter Services möglicherweise beeinträchtigt wird. Software AWS verfolgt einen systematischen Ansatz bei der Durchführung von Änderungen. Dadurch werden Änderungen an den Diensten, die sich auf Kunden auswirken, gründlich überprüft, getestet, genehmigt und ordnungsgemäß mitgeteilt. Ziel des Change Management-Verfahrens von AWS ist es, ungewollte Service-Unterbrechungen zu vermeiden und die Integrität der Services gegenüber dem Kunden zu wahren. Zu den Änderungen, die in der Produktionsumgebung vorgenommen werden, gehören: Überprüft: Begutachtung der technischen Aspekte einer Änderung durch Kollegen Getestet: Vorgenommene Änderungen verhalten sich wie erwartet und beeinträchtigen die Leistungsfähigkeit nicht. Genehmigt: Änderung ermöglicht einen angemessenen Überblick und das Verständnis der Auswirkungen auf den Betrieb. 6

7 Änderungen werden für gewöhnlich schrittweise vorgenommen. Dabei wird mit den Bereichen begonnen, die am wenigsten betroffen sind. Die Softwareverteilung wird durch ein einziges System getestet und sorgfältig überwacht, sodass die Auswirkungen bewertet werden können. Den Service-Verantwortlichen steht eine Reihe von konfigurierbaren Software-Metriken zur Verfügung, mit denen sie die Unversehrtheit der Upstream-Kopplung messen können. Diese Metriken werden sorgfältig mithilfe von Schwellenwerten und dem Alarmsystem überwacht. Die Rollback-Verfahren werden im Change Management (CM)-Ticket dokumentiert. Falls möglich werden Änderungen während der regelmäßigen Änderungszeitfenster geplant. Änderungen, die aufgrund von Notfällen an den Herstellungssystemen vorgenommen werden, und bei denen von den standardmäßigen Change- Management-Verfahren abgewichen werden muss, werden mit einem Störfall verbunden und entsprechend protokolliert und genehmigt. In regelmäßigen Abständen führt AWS selbst eine Überprüfung der Änderungen durch, die an den wichtigsten Services vorgenommen wurden. Ziel dieser Selbstüberprüfung ist es, die Qualität zu überwachen, die hohen Qualitätsstandards beizubehalten und eine kontinuierliche Verbesserung des Change Management-Verfahrens zu erleichtern. Sämtliche Ausnahmen werden analysiert, um die Grundursache zu bestimmen. Es werden angemessene Maßnahmen ergriffen, um die Änderungen mit den Richtlinien in Einklang zu bringen oder sie, falls nötig, rückgängig zu machen. Anschließend werden Maßnahmen ergriffen, um Probleme mit dem Verfahren oder den Personen, anzugehen und zu beheben. Infrastruktur Das Team Corporate Applications von Amazon entwickelt und verwaltet die Software zur Automatisierung der IT-Prozesse für UNIX-/Linux-Hosts in den folgenden Bereichen: Lieferung von Drittpartei-Software, intern entwickelte Software und Konfigurationsmanagement. Das Infrastrukturteam pflegt und nutzt ein Rahmenwerk für das Konfigurationsmanagement von UNIX/Linux. Es befasst sich mit der Skalierbarkeit, Verfügbarkeit und der Prüfung von Hardware sowie mit dem Sicherheitsmanagement. Durch automatisierte Prozesse für das Änderungsmanagement ist es möglich, die Hosts zentral zu verwalten. Dadurch ist das Unternehmen in der Lage, die sich gesetzten hohen Ziele in Bezug auf Verfügbarkeit, Wiederholbarkeit, Skalierbarkeit, eine stabile Sicherheit und Notfallwiederherstellung zu erreichen. Die System- und Netzwerkingenieure überwachen den Status dieser automatisierten Tools jeden Tag. Sie prüfen Berichte, in denen es um Hosts geht, die ihre Konfiguration und Software nicht erhalten oder aktualisieren können, und beheben diese Probleme. Die intern entwickelte Konfigurationsmanagement-Software wird installiert, sobald neue Hardware zur Verfügung gestellt wird. Diese Tools werden auf allen UNIX-Hosts betrieben, um zu bestätigen, dass sie konfiguriert sind und die Software gemäß den Standards installiert wurde. Diese Standards hängen von der Funktion ab, die dem Host zugewiesen wurde. Durch diese Konfigurationsmanagement-Software kann ebenfalls sichergestellt werden, dass sämtliche Pakete, die auf dem Host installiert sind, regelmäßig aktualisiert werden. Zugriff auf die zentralen Konfigurationsmanagement-Server haben ausschließlich die Mitarbeiter, die im Benutzerrechteverwaltungssystem dazu berechtigt wurden. Business Continuity Management Die Amazon-Infrastruktur erzielt eine hohe Verfügbarkeit und bietet Kunden die Funktionen zur Bereitstellung einer widerstandsfähigen IT-Architektur. AWS hat seine Systeme so konzipiert, dass bei System- bzw. Hardware-Ausfällen nur geringstmögliche Auswirkungen auf die Kunden entstehen. Die Verwaltung der Datencenter-Betriebskontinuität bei AWS unterliegt den Anweisungen der Amazon Infrastructure Group. Verfügbarkeit Die Rechenzentren wurden in Gruppen in verschiedenen Regionen auf der Welt errichtet. Alle Rechenzentren sind online und sorgen für einen reibungslosen Datenverkehr. Kein Rechenzentrum ist "kalt". Im Falle eines Funktionsausfalls wird der Kundendatenverkehr von dem vom Ausfall betroffenen Bereich zu einem anderen weitergeleitet. Für wichtige 7

8 Anwendungen gilt die N+1-Konfiguration. Kommt es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbliebenen Orte aufgeteilt werden kann. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser Availability Zones ist eine unabhängige Ausfallzone. Das bedeutet, dass Availability Zones physisch in einer gewöhnlichen Metropolregion voneinander getrennt sind und sich in verschiedenen Risikozonen befinden (die Kategorisierung der Risikozonen unterscheidet sich je nach der Region). Neben einer separaten unterbrechungsfreien Stromversorgung (USV) und Notstromeinrichtungen vor Ort werden die Zonen jeweils über unterschiedliche Versorgungsnetze unabhängiger Energieversorger mit Strom versorgt, um das Risiko von "Single Points of Failure" weiter zu reduzieren. Sie sind alle redundant mit mehreren Energieversorgern der Stufe 1 verbunden. Die Kunden sollten ihre AWS-Nutzung so gestalten, dass sie einen Vorteil aus mehreren Regionen und Availability Zones ziehen können. Durch die Verteilung der Anwendungen auf mehrere Availability Zones wirken sich die meisten Ausfallund Störungsfälle, einschließlich Naturkatastrophen oder Systemausfälle, nicht negativ aus. Ein stabiler Betrieb kann aufrecht erhalten werden. Störungsbekämpfung Das Incident Management-Team von Amazon wendet branchenübliche Diagnoseverfahren zur Entwicklung und Umsetzung von Problemlösungen während Ereignissen an, die sich negativ auf den Betrieb auswirken. Mitarbeiter sind das ganze Jahr über 24 Stunden am Tag, 7 Tage in der Woche damit beschäftigt, Störungen festzustellen und deren Auswirkungen einzudämmen und Problemlösungen zu finden. Unternehmensweite Beurteilung durch die Geschäftsleitung Die Internal Audit-Gruppe von AWS hat vor Kurzem die AWS-Pläne zur Aufrechterhaltung des Betriebs überprüft. Diese Pläne werden in regelmäßigen Abständen durch das Senior Executive Team (setzt sich aus leitenden Angestellten zusammen) und durch das Audit Committee (Prüfungskommission) des Vorstands überarbeitet. Beachten Sie, dass EC2 am 21. April 2011 einen Service-Ausfall in der Region USA Ost verzeichnete, der Auswirkungen auf die Kunden hatte. Details zum Service-Ausfall erhalten Sie im Artikel "Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region" (http://aws.amazon.com/message/65648/). Sicherungskopien In Amazon S3, Amazon SimpleDB oder Amazon Elastic Block Store (EBS) gespeicherte Daten werden redundant an mehreren physischen Orten gespeichert. Dies gehört zur normalen Vorgehensweise für diese Services und ist kostenfrei. Amazon S3 und Amazon SimpleDB bieten eine längere Haltbarkeit von Objekten, indem sie diese beim ersten Schreibvorgang mehrfach über mehrere Rechenzentren verteilt speichern und sie anschließend aktiv weiter replizieren, falls ein Gerät nicht verfügbar ist oder falls eine Beschädigung der Daten erkannt wird. Die Amazon EBS-Replikation wird in derselben Availability Zone und nicht über mehrere Zonen verteilt gespeichert. Es wird deshalb dringend empfohlen, dass die Kunden regelmäßig Speicherauszüge erstellen und auf Amazon S3 speichern, um die Haltbarkeit der Daten zu verlängern. Kunden, die eine komplexe Transaktionsdatenbank gestaltet haben, die EBS verwendet, wird empfohlen, dass sie Sicherungskopien durch das Datenbankverwaltungssystem anfertigen und auf Amazon S3 speichern, damit die verteilten Transaktionen und Protokolle überprüft werden können. AWS erstellt keine Sicherungskopien von Daten, die auf virtuellen Festplatten verwaltet werden, die mit auf Amazon EC2 ausgeführten Instances verbunden sind. 8

9 Außerbetriebnahme von Speichergeräten Zu den AWS-Prozessen gehört u. a. ein Verfahren für die Außerbetriebnahme von Speichergeräten, die das Ende ihrer Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt, dass Kundendaten nicht an unautorisierten Personen preisgegeben werden. AWS verwendet die im DoD M ("National Industrial Security Program Operating Manual") oder in NIST ("Guidelines for Media Sanitation") beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme zu zerstören. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. Fehlerisolierung AWS bietet den Kunden die Flexibilität, Instances und Daten in mehreren geografischen Regionen zu speichern. Jede Region ist eine unabhängige Sammlung von AWS-Ressourcen in einer festgelegten geografischen Position. AWS ist gegenwärtig in fünf Regionen verfügbar: USA Ost (Nord-Virginia), USA West (Nord-Kalifornien), EU (Irland), Asien-Pazifik (Singapur) und Asien-Pazifik (Tokio). Zur US-Standardregion von Amazon S3 gehören die Einrichtungen in USA Ost in Nord-Virginia und im westlichen Staat Washington. Die Auswahl einer Region innerhalb eines Raums, dessen Rechtsprechung für den Kunden akzeptabel ist, ist eine solide Grundlage für die Erfüllung der ortsabhängigen Datenschutz- und Compliance-Anforderungen, worunter zum Beispiel die Europäische Datenschutzrichtlinie fällt. Zwischen den Regionen erfolgt keine Replikation der Daten, sofern die Kunden dies nicht selbst dynamisch vornehmen. Hierdurch sind die Kunden in der Lage, je nach Datenplatzierungsart und der verschiedenen Datenschutzanforderungen rechtskonforme Umgebungen einzurichten. Es sollte beachtet werden, dass die gesamte Kommunikation zwischen den Regionen über die öffentliche Internet-Infrastruktur erfolgt. Um vertrauliche Daten zu schützen, sollten angemessene Verschlüsselungsmethoden eingesetzt werden. Innerhalb einer bestimmten Region können die Kunden mit Amazon EC2, Amazon EBS und Amazon Relational Database Service (RDS) Instances und Daten in mehreren Availability Zones speichern. Weitere Informationen erhalten Sie im Abschnitt "Verwaltung der Betriebskontinuität". Amazon S3, Amazon SimpleDB, Amazon Simple Notification Service (SNS) und Amazon Simple Queue Service (SQS) machen das Konzept der Availability Zones für Kunden nicht ersichtlich. Bei diesen Services werden die Daten automatisch auf mehreren Geräten in mehreren Standorten in einer Region gespeichert. Das folgende Diagramm zeigt die Regionen und Availability Zones in jeder Region für Amazon EC2, Amazon EBS und Amazon RDS. 9

10 Region USA Ost (Nord-Virginia) Region Europa (Irland) Availability Zone A Availability Zone C Availability Zone B Availability Zone A Availability Zone B Region USA West (Nord-Kalifornien) APAC-Region (Singapur) APAC-Region (Tokio) Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Kontosicherheitsfunktionen in Amazon AWS stellt eine Reihe von Möglichkeiten zur Identifizierung von Kunden und für den sicheren Zugriff der Kunden auf ihre AWS-Konten zur Verfügung. Eine vollständige Liste der von AWS unterstützten Anmeldeinformationen finden Sie auf der Seite mit den Sicherheits-Anmeldeinformationen unter "Mein Konto". AWS bietet außerdem zusätzliche Sicherheitsoptionen, mit denen Kunden ihr AWS-Konto und den Zugriff darauf noch besser schützen und kontrollieren können: AWS Identity and Access Management (AWS IAM), Multi-Factor Authentication (MFA) und Key Rotation. AWS Identity and Access Management (AWS IAM) Mit AWS Identity and Access Management (AWS IAM) können Kunden, mehrere Benutzer erstellen und deren Berechtigungen innerhalb ihres AWS-Kontos verwalten. Ein Benutzer ist eine Identität (innerhalb Ihres AWS-Kontos) mit eindeutigen Sicherheits-Anmeldeinformationen, die für den Zugriff auf AWS-Services verwendet werden können. Mit AWS IAM ist es nicht mehr notwendig, Kennwörter oder Zugangsschlüssel gemeinsam zu verwenden, und der Benutzerzugriff kann bei Bedarf einfach aktiviert oder deaktiviert werden. AWS IAM ermöglicht Ihnen, bewährte Sicherheitsverfahren wie das Prinzip geringstmöglicher Privilegien zu implementieren, indem Sie jedem Benutzer in Ihrem AWS-Konto eindeutige Anmeldeinformationen zuweisen und den Benutzern nur die Berechtigungen gewähren, die sie für den Zugriff auf die AWS-Services und Ressourcen benötigen, die zur Ausführung ihrer Tätigkeit erforderlich sind. AWS IAM ist standardmäßig sicher; neue Benutzer haben keinen Zugriff auf AWS, bevor explizite Berechtigungen zugewiesen werden. Mit AWS IAM können Kunden die Nutzung ihrer AWS-Konto-Anmeldeinformationen auf 10

11 ein Minimum senken. Stattdessen erfolgen alle Transaktionen mit den AWS-Services und Ressourcen über die AWS IAM Sicherheits-Anmeldeinformationen des Benutzers. Weitere Informationen zu AWS Identity and Access Management (AWS IAM) erhalten Sie auf der AWS-Website: AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) ist eine zusätzliche Sicherheitsebene mit einer erweiterten Kontrolle über Ihre AWS-Kontoeinstellungen und die Verwaltung der vom Konto abonnierten AWS-Services und Ressourcen. Wenn die Kunden diese optionale Funktion aktivieren, müssen Sie zusätzlich zu ihrem gewöhnlichen Benutzernamen und dem Kennwort einen sechsstelligen, einmal verwendbaren Code angeben, bevor der Zugriff auf ihre AWS-Kontoeinstellungen oder auf die AWS-Services und Ressourcen gewährt wird. Den einmalig verwendbaren Code erhalten die Kunden über ein in ihrem Besitz befindliches Authentifizierungsgerät. Dieser Vorgang wird als Multi-Faktor-Authentifizierung bezeichnet, da zwei Faktoren überprüft werden, bevor der Zugriff gewährt wird: Die Kunden müssen sowohl ihren Benutzernamen (beim AWS-Konto ist das die Amazon- -ID) und ihr Kennwort (der erste "Faktor": etwas, das sie kennen) sowie den exakten Code ihres Authentifizierungsgeräts (der zweite "Faktor": etwas, das sie haben) eingeben. Die Kunden können MFA-Geräte für Ihr AWS-Konto sowie für die unter ihren AWS-Konten mit AWS IAM erstellten Benutzer aktivieren. Authentifizierungsgeräte können einfach über teilnehmende Drittanbieter beschafft und über die AWS-Website eingerichtet werden. Weitere Informationen zur Multi-Faktor-Authentifizierung finden Sie auf der AWS-Website unter Schlüsselrotation (Key Rotation) Aus denselben Gründen, aus denen es wichtig ist, dass sich Kennwörter häufig ändern, empfiehlt AWS den Kunden auch, einen regelmäßigen Wechsel ihrer Zugangsschlüssel und Zertifikate. Damit dies ohne Beeinträchtigungen der Verfügbarkeit von Kundenanwendungen möglich ist, unterstützt AWS mehrere gleichlaufende Zugangsschlüssel und Zertifikate. Mit dieser Funktion können die Kunden regelmäßige Wechsel von Schlüsseln und Zertifikaten vornehmen, ohne Ausfallzeiten für ihre Anwendungen in Kauf nehmen zu müssen. So lässt sich das Risiko verlorener oder kompromittierter Zugangsschlüssel oder Zertifikate mindern. Mit den AWS IAM APIs kann ein Kunde die Zugriffsschlüssel für sein AWS-Konto ebenso wie für die darunter mit AWS IAM erstellten Benutzer rotieren. Netzwerksicherheit Das AWS-Netzwerk bietet umfassenden Schutz vor traditionellen Netzwerk-Sicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche Sicherheitsmaßnahmen implementieren. Nachfolgend sind einige Beispiele aufgeführt: Distributed Denial Of Service-(DDoS-)Angriffe AWS Application Programming Interface-(API-) Endpunkte werden auf einer großen, hochwertigen Internet-Scale- Infrastruktur gehostet, die auf demselben entwicklungstechnischen Fachwissen basiert, das auch Amazon zum weltweit größten Online-Einzelhandelsunternehmen gemacht hat. Es werden proprietäre Verfahren zur Reduzierung der Anzahl von DDoS-Angriffen eingesetzt. Darüber hinaus handelt es sich bei den Netzwerken von AWS um Multi-Homed- Netzwerke, d. h. der Datenverkehr wird über mehrere Dienstanbieterverbindungen abgewickelt, um verschiedene Internet-Zugänge bereitzustellen. Man-in-the-middle-Angriffe Sämtliche APIs von AWS sind über SSL-geschützte Endpunkte zugänglich, die für eine Server-Authentifizierung sorgen. Amazon EC2 AMIs erstellen beim ersten Boot-Vorgang automatisch neue SSH-Host-Zertifikate. Diese werden in der Instance-Konsole protokolliert. Die Kunden können dann die sicheren APIs verwenden, um eine Anfrage an die Konsole zu senden und auf die Host-Zertifikate zuzugreifen, bevor sie sich das erste Mal bei der Instance anmelden. Es wird empfohlen, dass die Kunden SSL für alle Interaktionen mit AWS verwenden. 11

12 IP-Spoofing IP-Spoofing: Amazon EC2-Instanzen können keinen gefälschten Netzwerkverkehr senden. Die AWS-gesteuerte, Hostbasierte Firewall-Infrastruktur verhindert, dass Instanzen Datenverkehr mit einer anderen als der eigenen Quell-IP- oder MAC-Adresse senden. Port-Scanning Port-Scanning: Nicht autorisierte Port-Scans durch Amazon EC2-Kunden stellen einen Verstoß gegen die AWS Acceptable Use Policy dar. Verstöße gegen die AWS AUP werden sehr ernst genommen und jeder gemeldete Verstoß wird untersucht. Kunden können mutmaßliche Verstöße an die unter genannte Kontaktadresse senden. Wird ein unautorisierter Port-Scan entdeckt, wird dieser gestoppt und blockiert. Port-Scans von Amazon EC2-Instances sind in der Regel erfolglos, da alle Eingangsports der Amazon EC2-Instances standardmäßig geschlossen sind und nur vom Kunden geöffnet werden. Eine strikte Verwaltung von Sicherheitsgruppen durch den Kunden kann weiter dazu beitragen, das Risiko von Port-Scans zu verringern. Wenn der Kunde die Sicherheitsgruppe so konfiguriert, dass Datenverkehr von beliebigen Quellen zu einem bestimmten Port zugelassen wird, ist dieser Port anfällig für Port-Scans. In diesem Fall muss der Kunde entsprechende Sicherheitsmaßnahmen ergreifen, um Listening-Services zu schützen, die für die jeweilige Anwendung wichtig sind, so dass die Services nicht von unautorisierten Port-Scans entdeckt werden. Beispiel: Für einen Webserver muss Port 80 (HTTP) offen sein, und der Administrator des Servers muss die Sicherheit der Serversoftware, z. B. Apache, gewährleisten. Die Kunden können die Erlaubnis zum Prüfen der Sicherheitslücken beantragen, um ihre besonderen Compliance-Anforderungen zu erfüllen. Diese Scans müssen sich auf die Instances des Kunden beschränken und dürfen die AUP von AWS nicht verletzen. Die erweiterte Genehmigung für diese Prüfungen kann beantragt werden, indem Sie sie über die Website unter https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/awssecuritypentestrequest anfordern. Packet-Sniffing durch andere Instanzen Packet-Sniffing durch andere Instanzen: Eine virtuelle Instanz, die im Promiscuous-Modus ausgeführt wird, kann keinen Datenverkehr empfangen oder sniffen, der für eine andere virtuelle Instanz bestimmt ist. Kunden können zwar den Promiscuous-Modus für ihre Schnittstellen auswählen, der Hypervisor leitet jedoch keinen Datenverkehr an sie weiter, der nicht an die Schnittstelle adressiert ist. Selbst zwei virtuelle Instances desselben Kunden, die auf dem gleichen physischen Host vorhanden sind, können nicht den Verkehr der jeweils anderen Instance abhören. Angriffe wie ARP- Cache-Poisoning sind in Amazon EC2 und Amazon VPC nicht wirksam. Obwohl Amazon EC2 umfassenden Schutz vor Kunden bietet, die versehentlich oder böswillig versuchen, die Daten eines anderen Kunden einzusehen, sollte jeder Kunde vertraulichen Datenverkehr standardmäßig verschlüsseln. Amazon Elastic Compute Cloud (Amazon EC2) Sicherheit Die Sicherheit in Amazon EC2 wird auf mehreren Ebenen gewährleistet: durch das Betriebssystem des Host-Systems, das Betriebssystem der virtuellen Instance oder das Gastbetriebssystem, eine Firewall und signierte API-Anfragen. Jedes dieser Elemente baut auf den Funktionen der anderen Elemente auf. Ziel hierbei ist es, sicherzustellen, dass die in Amazon EC2 enthaltenen Daten nicht von unautorisierten Systemen oder Benutzern abgefangen werden können, und dass die Amazon EC2-Instances so sicher wie möglich sind ohne dabei Zugeständnisse bei der von den Kunden geforderten Flexibilität in Bezug auf die Konfiguration zu machen. Mehrere Sicherheitsebenen Host-Betriebssystem: Administratoren, die aus Geschäftsgründen Zugriff auf die Verwaltungsebene benötigen, müssen die Multi-Faktor-Authentifizierung verwenden, um Zugriff auf die speziell entwickelten Verwaltungs-Hosts zu erhalten. Bei diesen Verwaltungs-Hosts handelt es sich um Systeme, die eigens zum Schutz der Verwaltungsebene der Cloud entworfen, konstruiert, konfiguriert und gehärtet wurden. Jeder Zugriff wird protokolliert und überprüft. Wenn ein Mitarbeiter keinen Zugriff mehr auf die Verwaltungsebene benötigt, werden die entsprechenden Berechtigungen und der Zugriff auf diese Hosts und die zugehörigen Systemen widerrufen. 12

13 Gast-Betriebssystem: Die virtuellen Instanzen werden vollständig vom Kunden gesteuert. Die Kunden haben vollständigen Root-Zugriff oder die verwaltungstechnische Kontrolle über Konten, Dienste und Anwendungen. AWS hat keine Zugriffsberechtigungen für Kunden-Instances und kann sich nicht beim Gastbetriebssystem anmelden. AWS empfiehlt eine Reihe in der Praxis am besten bewährter Prozesse für die Sicherheit: Kunden sollten den kennwortbasierten Zugriff auf ihre Hosts deaktivieren und eine Multi-Faktor-Authentifizierung für den Zugriff auf ihre Instances verwenden (oder zumindest einen Zertifikats-basierten SSH2-Zugriff). Darüber hinaus sollten Kunden einen Berechtigungs-Eskalationsmechanismus mit Protokollierung auf Benutzerbasis einsetzen. Ist das Gastbetriebssystem beispielsweise Linux, sollten die Kunden nach der Instance-Härtung ein zertifikatsbasiertes SSH2 für den Zugriff auf die virtuelle Instance verwenden, die Root-Anmeldung per Fernzugriff deaktivieren, die Befehlszeilenprotokollierung nutzen und "sudo" für die Berechtigungs-Eskalation verwenden. Die Kunden sollten ihre eigenen Schlüsselpaare generieren, um sicherzustellen, dass diese einmalig sind und nicht gemeinsam mit anderen Kunden oder AWS verwendet werden. Firewall: Amazon EC2 stellt eine vollständige Firewall-Lösung bereit. Diese obligatorische Firewall für eingehenden Datenverkehr ist standardmäßig im DENY-ALL-Modus konfiguriert, und Amazon EC2-Kunden müssen explizit alle benötigten Ports öffnen, um eingehenden Datenverkehr zuzulassen. Der Datenverkehr kann anhand des Protokolls, des Service-Ports und anhand der Quell-IP-Adresse (einzelne IP-Adresse oder Classless Inter-Domain Routing-(CIDR-) Block) beschränkt werden. Die Firewall kann in Gruppen konfiguriert werden, die unterschiedliche Regeln für verschiedene Instance-Klassen zulassen. Nehmen wir als Beispiel eine herkömmliche dreistufige Web-Anwendung. Die Gruppe der Web-Server hat Port 80 (HTTP) und/oder Port 443 (HTTPS) offen fürs Internet. Die Gruppe für den Anwendungs-Server würde Port 8000 (Anwendungsspezifisch) als einzigen Zugang zur Web-Server-Gruppe haben. Die Gruppe für die Datenbank würde Port 3306 (MySQL) als einzigen Zugang zur Anwendungs-Server-Gruppe haben. Alle drei Gruppen würden administrativen Zugang über Port 22 (SSH) erlauben, aber nur für das Unternehmensnetzwerk des Kunden. Mit Hilfe dieses wirkungsvollen Mechanismus können hochsichere Anwendungen bereitgestellt werden. Siehe nachfolgendes Diagramm: Die Firewall wird nicht über das Gastbetriebssystem gesteuert. Stattdessen sind das X.509-Zertifikat und der Schlüssel des Benutzers erforderlich, um Änderungen zu autorisieren. So wird eine zusätzliche Sicherheitsebene garantiert. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instances und in der Firewall. Der Kunde ist deshalb in der Lage, mithilfe der Aufgabenteilung zusätzliche Sicherheitsmaßnahmen zu 13

14 implementieren. Die Sicherheitsstufe der Firewall bestimmt, welche Ports wie lange und für welchen Zweck vom Kunden geöffnet werden. Standardmäßig wird der gesamte eingehende Datenverkehr abgelehnt. Die Kunden sollten deshalb sorgfältig planen, welche Ports beim Erstellen und Sichern ihrer Anwendungen geöffnet werden. Für jede Instance ist auch weiterhin eine intelligente Verwaltung des Datenverkehrs und eine intelligente Sicherheitsplanung erforderlich. AWS empfiehlt Kunden darüber hinaus die zusätzliche Anwendung Instance-basierter Filter mit Host-basierten Firewalls wie IPtables oder der Windows Firewall und IPsec. Auf diese Weise kann sowohl der eingehende als auch der ausgehende Datenverkehr für jede Instance eingeschränkt werden. API-Abfragen zum Starten und Beenden von Instances, Ändern von Firewall-Parametern und Ausführen anderer Funktionen werden alle vom Amazon Secret Access Key (geheimer Zugriffsschlüssel), des Kunden signiert. Hierbei kann es sich entweder um den AWS Accounts Secret Access Key oder um den geheimen Zugriffsschlüssel eines mit AWS IAM erstellten Benutzers handeln. Ohne Zugriff auf den Secret Access Key des Kunden oder das X.-Zertifikat können keine Amazon EC2-Anfragen für den Kunden durchgeführt werden. Darüber hinaus können API-Anfragen mithilfe von SSL verschlüsselt werden, um die Geheimhaltung zu wahren. Amazon empfiehlt, stets SSL-geschützte API-Endpunkte zu verwenden. Mit AWS IAM kann ein Kunde zudem steuern, welche APIs ein mit AWS IAM erstellter Benutzer aufrufen darf. Der Hypervisor Amazon EC2 verwendet derzeit eine hochgradig angepasste Version des Xen-Hypervisors und nutzt so die Vorteile der Paravirtualisierung (im Falle von Linux-Gästen). Da paravirtualisierte Gäste darauf angewiesen sind, dass der Hypervisor Betriebsabläufe unterstützt, für die normalerweise Zugriffsberechtigungen erforderlich sind, hat das Gastbetriebssystem keinen erweiterten Zugriff auf die CPU. Die CPU stellt vier separate Berechtigungsmodi zur Verfügung, 0-3, die als Ringe bezeichnet werden. Ring 0 hat die meisten Berechtigungen und Ring 3 die wenigsten. Das Host-Betriebssystem wird in Ring 0 ausgeführt. Anstatt in Ring 0 ausgeführt zu werden, wie der Großteil aller Betriebssysteme, wird das Gastbetriebssystem in Ring 1 ausgeführt, der über weniger Berechtigungen verfügt. Anwendungen werden in Ring 3 ausgeführt, der die wenigsten Berechtigungen hat. Durch diese explizite Virtualisierung der physischen Ressourcen wird eine klare Trennung von Gast und Hypervisor ermöglicht. Das Ergebnis ist eine zusätzliche Trennung im Sicherheitsbereich zwischen beiden. Isolierung von Instances Unterschiedliche Instances, die auf demselben Rechner ausgeführt werden, werden durch den Xen-Hypervisor voneinander isoliert. Amazon ist aktives Mitglied der Xen-Community und ist somit stets über die neuesten Entwicklungen auf dem Laufenden. Darüber hinaus ist die AWS-Firewall in der Hypervisor-Schicht zwischen der physischen Netzwerkschnittstelle und der virtuellen Schnittstelle der Instance angeordnet. Alle Pakete müssen diese Schicht durchlaufen. Die Nachbarn einer Instance haben deshalb genauso wenig Zugriff auf die Instance wie ein anderer Internet-Host und können so behandelt werden, als ob sie auf einem separaten physischen Host residieren. Der physische Arbeitsspeicher wird mit Hilfe ähnlicher Mechanismen getrennt gehalten. 14

15 Kunden-Instanzen haben keinen Zugriff auf Raw- Festplatten-Geräte. Sie können stattdessen auf virtualisierte Festplatten zugreifen. Die proprietäre Festplatten-Virtualisierungsebene von AWS setzt automatisch jeden vom Kunden genutzten Speicherblock zurück. Dadurch wird sichergestellt, dass die Daten eines Kunden nie unbeabsichtigterweise für einen anderen Kunden sichtbar werden. AWS empfiehlt Kunden, ihre Daten mithilfe geeigneter Mittel und Maßnahmen zusätzlich zu schützen. Eine häufig verwendete Lösung besteht darin, ein verschlüsseltes Dateisystem auf dem virtualisierten Festplattengerät auszuführen. Elastic Block Storage (Amazon EBS) Sicherheit Der Zugriff auf die Amazon EBS-Datenträger ist auf die AWS-Konten-ID beschränkt, die den Datenträger erstellt hat, und auf die mit AWS IAM erstellten Benutzer unter dem AWS-Konto, falls diese auf die EPS-Operationen Zugriff haben. Allen anderen Konten wird die Einsicht oder der Zugriff auf den Datenträger verweigert. Ein Kunde kann jedoch einen Amazon S3-Speicherauszug von dem Amazon EBS-Datenträger erstellen und anderen AWS-Konten die Verwendung von gemeinsamen Snapshots als Basis für die Erstellung der eigenen Datenträger ermöglichen. Die Kunden haben ebenfalls die Möglichkeit, die Speicherauszüge der Amazon EBS-Datenträger allen AWS-Konten öffentlich zugänglich zu machen. Der Austausch von Speicherauszügen der Amazon EBS-Datenträger gibt anderen AWS-Konten nicht das Recht, den Originalspeicherauszug zu ändern oder zu löschen, da dieses Recht ausdrücklich dem AWS-Konto vorbehalten ist, das den Datenträger erstellt hat. Ein EBS-Speicherauszug ist eine Blockebenenansicht eines gesamten EBS-Datenträgers. Daten, die über das Dateisystem auf dem Datenträger nicht sichtbar sind was zum Beispiel bei gelöschten Dateien der Fall ist, können im EBS-Speicherauszug vorhanden sein. Kunden, die einen Speicherauszug erstellen möchten, der von anderen genutzt werden soll, müssen sehr sorgfältig arbeiten. Wenn ein Datenträger vertrauliche Daten enthielt oder Dateien von diesem Datenträger gelöscht wurden, sollte ein neuer EBS-Datenträger erstellt werden. Die Daten, die in dem für die gemeinsame Nutzung bestimmten Speicherauszug enthalten sein soll, sollten kopiert und auf den neuen Datenträger übertragen werden. Anschließend sollte ein Speicherauszug von dem neuen Datenträger erstellt werden. Die Amazon-EBS-Datenträger werden den Kunden als unformatierte Raw-Blockgeräte zur Verfügung gestellt, deren Daten gelöscht wurden, bevor die Geräte zur Verwendung bereitgestellt werden. Die Kunden, deren Verfahren es erforderlich machen, dass alle Daten mittels einer bestimmten Methode gelöscht werden, haben auf Amazon EBS die Möglichkeit dazu. Zu diesen Methoden gehören beispielsweise jene, die im DoD M ("National Industrial Security Program Operating Manual") oder in NIST ("Guidelines for Media Sanitization") ausführlich beschrieben werden. Damit sie ihre festgelegten Anforderungen erfüllen, sollten die Kunden einen speziellen Formatierungsvorgang vornehmen, bevor sie den Datenträger löschen. Die Verschlüsselung vertraulicher Daten stellt in der Regel eine gute Sicherheitsmaßnahme dar, und AWS empfiehlt den Benutzern, ihre vertraulichen Daten über einen Algorithmus zu 15

16 verschlüsseln, der mit ihren festgelegten Sicherheitsrichtlinien übereinstimmt. Amazon Virtual Private Cloud (Amazon VPC) Sicherheit Die Sicherheit innerhalb der Amazon Virtual Private Cloud beginnt mit dem grundlegenden Konzept einer VPC und enthält die Sicherheitsgruppen, die Netzwerkzugriffssteuerungslisten (ACLs), das Routing und die externen Gateways. Jedes dieser Elemente trägt zur Bereitstellung eines sicheren isolierten Netzwerks bei, das durch eine selektive Aktivierung des direkten Internet-Zugriffs oder durch eine private Verbindung mit einem anderen Netzwerk erweitert werden kann. Im Folgenden werden die verschiedenen Sicherheitsstufen in der Amazon VPC beschrieben. Es folgt ein Diagramm, indem gezeigt wird, wie die Amazon VPC-Komponenten miteinander in Verbindung stehen. Mehrere Sicherheitsebenen Virtual Private Cloud: Jede VPC ist ein einzelnes, isoliertes Netzwerk innerhalb der Cloud. Zum Zeitpunkt der Erstellung wird ein IP-Adressenbereich für jede VPC vom Kunden ausgewählt. Der Netzwerkverkehr ist innerhalb jeder VPC von allen anderen VPCs isoliert. Daher dürfen mehrere VPCs überlappende (sogar identische) IP-Adressbereiche ohne Verlust dieser Isolation verwenden. Standardmäßig verfügen VPCs über keine externen Verbindungen. Kunden können ein Internet-Gateway, VPN-Gateway oder beides erstellen und anschließen, um eine externe Konnektivität herzustellen. Das hängt von den folgenden Steuerelementen ab. API: Abfragen zum Erstellen und Löschen von VPCs, Ändern des Routing, der Sicherheitsgruppe und der Netzwerk- ACL-Parameter sowie das Ausführen anderer Funktionen werden alle vom Amazon Secret Access Key (geheimer Zugriffsschlüssel) des Kunden signiert. Hierbei kann es sich entweder um den AWS Accounts Secret Access Key oder um den geheimen Zugriffsschlüssel eines mit AWS IAM erstellten Benutzers handeln. Ohne Zugriff auf den Secret Access Key des Kunden können keine Amazon VPC API-Abfragen für den Kunden ausgeführt werden. Darüber hinaus können API- Anfragen mithilfe von SSL verschlüsselt werden, um die Geheimhaltung zu wahren. Amazon empfiehlt, stets SSLgeschützte API-Endpunkte zu verwenden. Mit AWS IAM kann ein Kunde zudem steuern, welche APIs ein neu erstellter Benutzer aufrufen darf. Subnetze: Kunden erstellen ein oder mehrere Subnetze innerhalb jeder VPC. Jede in der VPC gestartete Instance wird mit einem Subnetz verbunden. Herkömmliche Layer 2-Sicherheitsangriffe, einschließlich MAC-Spoofing und ARP- Spoofing werden blockiert. Routing-Tabellen und Routen: Jedem Subnetz in einer VPC wird eine Routing-Tabelle zugewiesen und der gesamte Netzwerkverkehr, der ein Subnetz verlässt, wird von der Routing-Tabelle verarbeitet, um die Ziele zu ermitteln. VPN-Gateway: Ein VPN-Gateway ermöglicht eine private Verbindung zwischen der VPC und einem anderen Netzwerk. Der Netzwerkverkehr innerhalb jedes VPN-Gateways ist von dem Netzwerkverkehr in allen anderen VPN-Gateways isoliert. Die Kunden können VPN-Verbindungen mit dem VPN-Gateway von Gateway-Geräten am Kundenstandort einrichten. Jede Verbindung wird durch einen Pre-Shared-Key gemeinsam mit der IP-Adresse des Kunden-Gateway- Geräts gesichert. Internet Gateway: Ein Internet-Gateway kann an eine VPC angehängt werden, um eine direkte Verbindung mit Amazon S3, anderen AWS-Services und dem Internet herzustellen. Jede Instance, für die dieser Zugriff verfügbar sein soll, muss entweder über eine ihr zugewiesene IP-Adresse verfügen oder den Datenverkehr über eine NAT-Instance leiten. Außerdem müssen Netzwerk-Routen konfiguriert werden (siehe oben), über die der Datenverkehr über das Internet-Gateway geleitet wird. AWS bietet Referenz-NAT-AMIs, die gemäß der Kunden erweitert werden können, um eine Netzwerkprotokollierung, Deep-Packet-Inspection, Filterung der Anwendungsebene oder andere Sicherheitsfunktionen zu übernehmen. 16

17 Dieser Zugriff kann nur geändert werden, wenn die Amazon VPC-APIs aufgerufen werden. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instances und im Internet- Gateway. Der Kunde ist deshalb in der Lage, mithilfe der Aufgabenteilung zusätzliche Sicherheitsmaßnahmen zu implementieren. Amazon EC2-Instances: Amazon EC2-Instances, die gemeinsam mit einer Amazon VPC ausgeführt werden, enthalten alle oben beschriebenen Vorteile in Bezug auf das Host-Betriebssystem, das Gastbetriebssystem, den Hypervisor, die Instance-Isolierung und den Schutz gegen Packet-Sniffing. Tenancy: Die VPC ermöglicht Kunden das Starten von Amazon EC2-Instances, die physisch auf Host-Hardware-Ebene isoliert sind. Diese werden auf Single-Tenant-Hardware ausgeführt. Eine VPC kann mit einer zugeordneten Tenancy erstellt werden. In diesem Fall werden all in der VPC gestarteten Instances diese Funktion verwenden. Alternativ kann eine VPC mit einer Standard-Tenancy erstellt werden. Die Kunden können für bestimmte Instances, die in der VPC gestartet werden jedoch eine zugeordnete Tenancy angeben. Firewall (Sicherheitsgruppen): Wie Amazon EC2 unterstützt die Amazon VPC eine umfassende Firewall-Lösung, die eine Filterung des eingehenden und ausgehenden Datenverkehrs einer Instance ermöglicht. Die Standardgruppe erlaubt eingehenden Datenverkehr von anderen Mitgliedern derselben Gruppe und ausgehenden Datenverkehr an alle Ziele. Der Datenverkehr kann anhand des IP-Protokolls, des Service-Ports und anhand der Quell-/Ziel-IP-Adresse (einzelne IP-Adresse oder Classless Inter-Domain Routing-(CIDR-) Block) beschränkt werden. Die Firewall wird nicht über das Gastbetriebssystem gesteuert und kann nur durch das Aufrufen der Amazon VPC-APIs geändert werden. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instances und in der Firewall. Der Kunde ist deshalb in der Lage, mithilfe der Aufgabenteilung zusätzliche Sicherheitsmaßnahmen zu implementieren. Die Sicherheitsstufe der Firewall bestimmt, welche Ports wie lange und für welchen Zweck vom Kunden geöffnet werden. Für jede Instance ist auch weiterhin eine intelligente Verwaltung des Datenverkehrs und eine intelligente Sicherheitsplanung erforderlich. AWS empfiehlt Kunden darüber hinaus die zusätzliche Anwendung Instance-basierter Filter mit Host-basierten Firewalls, z. B. IPtables oder die Windows Firewall. Netzwerk-Zugriffskontrolllisten (ACL): Sie können in der Amazon VPC eine weitere Sicherheitsebene hinzufügen, indem Sie Netzwerk-Zugriffskontrolllisten konfigurieren. Bei diesen handelt es sich um zustandslose Datenverkehrsfilter, die für den gesamten eingehenden oder ausgehenden Datenverkehr eines Subnetzes in der VPC gelten. Diese ACLs können geordnete Regeln enthalten, die den Datenverkehr je nach dem IP-Protokoll, dem Service-Port sowie der Quell-/Ziel-IP- Adresse erlauben oder verweigern. Wie Sicherheitsgruppen werden Netzwerk-ACLs über die Amazon VPC-APIs verwaltet. Durch die Aufgabenteilung wird eine weitere Schutzfunktion hinzugefügt. Netzwerksicherheit Übersicht Im folgenden Diagramm sehen Sie, wie die obigen Sicherheitselemente voneinander abhängen, flexible Netzwerktopologien ermöglichen und dennoch eine umfassende Kontrolle über den Fluss des Netzwerkdatenverkehrs ermöglichen. 17

18 Amazon Simple Storage Service (Amazon S3) Sicherheit Bei allen gemeinsam genutzten Speichersystemen lautet die am häufigsten gestellte Sicherheitsfrage, ob unautorisierte Benutzer vorsätzlich oder versehentlich auf Daten zugreifen können. Damit die Kunden ganz flexibel bestimmen können, wie, wann und wem sie die in AWS gespeicherten Daten zur Verfügung stellen möchten, bieten die Amazon S3 APIs Zugriffskontrollen sowohl auf Bucket- als auch auf Objektebene, deren Standardeinstellungen nur dem Bucket- und/oder Objektersteller den authentifizierten Zugriff gestatten. Wenn ein Kunde keinen anonymen Zugriff auf seine Daten gewährt, muss der Benutzer (entweder ein AWS-Konto oder ein mit AWS IAM erstellter Benutzer) zuerst mithilfe einer HMAC-SHA1-Signatur der Anforderung, die den privaten Schlüssel des Benutzers verwendet, authentifiziert werden, bevor er auf Daten zugreifen kann. Ein authentifizierter Benutzer kann ein Objekt nur lesen, wenn er in einer Zugriffskontrollliste (Access Control Liste, ACL) auf Objektebene Leseberechtigungen erhalten hat. Ein authentifizierter Benutzer kann nur dann Schlüssel auflisten und Objekte in einem Bucket erstellen oder überschreiben, wenn er in der ACL auf Bucket-Ebene Lese- und Schreibberechtigungen über AWS IAM erhalten hat. ACLs auf Bucket- und Objektebene sind voneinander unabhängig. Ein Objekt übernimmt nicht die ACLs seines Buckets. Die Berechtigungen zum Lesen oder Ändern des Buckets oder der Objekt-ACLs werden wiederum mithilfe von ACLs gesteuert, deren Standardeinstellung nur dem Ersteller Zugriff bietet. Auf diese Weise behält der Kunde die vollständige Kontrolle darüber, wer Zugriff auf seine 18

19 Daten hat. Die Kunden können anderen AWS-Konten über die AWS-Konto-ID, über oder über die DevPay- Produkt-ID Zugriff auf ihre Amazon S3-Daten gewähren. Darüber hinaus können die Kunden allen AWS-Konten oder allen Benutzern (durch Aktivierung des anonymen Zugriffs) Zugriff auf ihre Amazon S3-Daten gewähren. Datenverwaltung Der Zugriff auf Amazon S3 ist über SSL-Endpunkte möglich, um maximale Sicherheit zu gewährleisten. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. So wird eine sichere Datenübertragung in AWS und von und zu externen Quellen sichergestellt. Um nicht genutzte Daten zu schützen, müssen diese physisch gesichert und verschlüsselt werden. Wie bereits unter "Physische Sicherheit" erwähnt, setzt Amazon mehrere Ebenen von physischen Sicherheitsmaßnahmen zum Schutz nicht genutzter Kundendaten ein. Beispielsweise ist der Zutritt zu den Amazon -Rechenzentren auf eine Liste von Amazon- Mitarbeitern beschränkt, die regelmäßig überprüft wird. Die Verschlüsselung vertraulicher Daten stellt in der Regel eine gute Sicherheitsmaßnahme dar, und Amazon empfiehlt den Benutzern, ihre vertraulichen Daten vor dem Hochladen in Amazon S3 zu verschlüsseln. Wird ein Objekt aus Amazon S3 gelöscht, wird die Zuordnung zwischen dem öffentlichen Namen und dem Objekt sofort gelöscht. Dieser Vorgang wird normalerweise innerhalb weniger Sekunden im gesamten verteilten System durchgeführt. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf das gelöschte Objekt. Der so gewonnene Speicherplatz wird dann wieder vom System verwendet. Amazon wurde auf eine Objektzuverlässigkeit von 99, % über ein Jahr ausgelegt. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3 Region redundant gespeichert. Um die Beständigkeit zu gewährleisten, speichert Amazon die Daten mittels S3 PUT- und COPY-Operationen synchron an mehreren Standorten, bevor SUCCESS gemeldet wird. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit Ihrer Objekte durch schnelle Erfassung und Behebung aller Redudanzverluste. Amazon S3 überprüft auch regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. Darüber hinaus berechnet Amazon S3 Prüfsummen des gesamten Netzwerkverkehrs, um beschädigte Datenpakete beim Speichern oder Empfangen von Daten festzustellen. Amazon S3 bietet zusätzlichen Schutz durch Versioning. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Amazon S3 Bucket zu speichern, abzurufen oder wiederherzustellen. Mit Versioning können Sie Daten nach unbeabsichtigten Nutzeraktionen und Anwendungsfehlern im Handumdrehen wiederherstellen. Standardmäßig stellt eine Anforderung die zuletzt gespeicherte Version wieder her. Ältere Versionen eines Objekts können wiederhergestellt werden, wenn die gewünschte Version in der Anforderung spezifiziert wird. Sie können Ihre Versionen noch sicherer machen. Nutzen Sie dazu die MFA-Löschfunktion von Amazon S3. Sobald diese Funktion für einen S3- Bucket aktiviert ist, muss jeder Antrag für die Löschung einer Version den sechsstelligen Code und die Seriennummer von Ihrem Multi-Factor Authentication-Gerät enthalten. Zugriffsprotokollierung Ein Amazon S3 Bucket kann so konfiguriert werden, dass er den Zugriff auf den Bucket und die darin enthaltenen Objekte protokolliert. Das Zugriffsprotokoll enthält Einzelheiten über jede Zugriffsanfrage, einschließlich der Art der Anfrage, der angefragten Ressource, der IP-Adresse der Person, die die Anfrage stellte, sowie Uhrzeit und Datum der Anfrage. Wenn die Protokollfunktion für einen Bucket aktiviert ist, werden in regelmäßigen Abständen Protokolldaten in Protokolldateien gesammelt und an den bestimmten Amazon S3 Bucket verschickt. 19

20 Amazon Simple Data Base (SimpleDB) Sicherheit Die Amazon SimpleDB APIs stellen Kontrollfunktionen auf Domänenebene zur Verfügung, die nur dem Ersteller der Domäne den authentifizierten Zugriff ermöglichen. Der Kunde behält somit die vollständige Kontrolle darüber, wer Zugriff auf seine Daten hat. Der Amazon SimpleDB-Zugriff kann auf Basis einer AWS-Konto-ID genehmigt werden. Nach der Authentifizierung hat das AWS-Konto vollständigen Zugriff auf alle Benutzervorgänge. Der Zugriff auf die einzelnen Domänen wird durch eine unabhängige Zugriffskontrollliste gesteuert, die authentifizierte Benutzer ihren eigenen Domänen zuordnet. Ein mit AWS IAM erstellter Benutzer hat ausschließlich Zugriff auf die Operationen und Domains, für die er über eine Richtlinie eine Berechtigung erhalten hat. Der Zugriff auf Amazon SimpleDB ist über SSL-verschlüsselte Endpunkte möglich. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. Die in Amazon SimpleDB gespeicherten Daten werden nicht von AWS verschlüsselt. Der Kunde kann diese jedoch vor dem Hochladen in Amazon SimpleDB verschlüsseln. Diese verschlüsselten Attribute sind nur im Rahmen eines GET-Vorgangs abrufbar. Sie können nicht als Teil einer Abfragefilterbedingung verwendet werden. Eine Verschlüsselung vor der Übermittlung der Daten an Amazon SimpleDB schützt vor jeglichem Zugriff auf vertrauliche Kundendaten, einschließlich durch AWS. Datenverwaltung in Amazon SimpleDB Wird eine Domäne aus Amazon SimpleDB gelöscht, wird die Domänenzuordnung sofort gelöscht. Dieser Vorgang wird normalerweise innerhalb weniger Sekunden im gesamten verteilten System durchgeführt. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf die gelöschte Domäne. Werden Element- und Attributdaten in einer Domäne gelöscht, wird die Zuordnung in der Domäne sofort gelöscht und in der Regel innerhalb von wenigen Sekunden abgeschlossen. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf die gelöschten Daten. Der Speicherbereich steht dann nur für Schreibvorgänge zur Verfügung, und die Daten werden durch neu gespeicherte Daten überschrieben. Amazon Relational Database Service (Amazon RDS) - Sicherheit Mit dem Amazon RDS können Sie rasch eine relationale Datenbankinstanz erstellen und die zugehörigen Computing- Ressourcen sowie die Speicherkapazität flexibel skalieren, um sie an die Anwendungsanforderungen anzupassen. Amazon RDS verwaltet die Datenbankinstanz für sie. Dabei werden Sicherungskopien erstellt und die Ausfallsicherung sowie die Datenbanksoftware werden verwaltet. Der Zugriff auf die Amazon RDS-Datenbankinstanz wird vom Kunden über Datenbanksicherheitsgruppen gesteuert. Diese entsprechen den Amazon EC2-Sicherheitsgruppen, sind jedoch nicht untereinander austauschbar. Die Datenbanksicherheitsgruppen werden standardmäßig in den Zugriffsmodus "DENYALL" zurückgesetzt, und die Kunden müssen den Netzwerkzugriff speziell autorisieren. Dies kann auf zweierlei Weise geschehen: durch Autorisierung eines Netzwerk-IP-Bereichs oder durch Autorisierung einer vorhandenen Amazon EC2-Sicherheitsgruppe. Datenbank- Sicherheitsgruppen beschränken den Zugriff auf den Port des Datenbankservers (alle anderen Ports werden blockiert). Sie können ohne Neustart der Amazon RDS-Datenbankinstanz aktualisiert werden, so dass die Kunden ihren Datenbankzugriff nahtlos steuern können. Mit AWS IAM kann der Kunde den Zugriff auf seine RDS DB-Instances noch weiter steuern. Mit AWS IAM kann ein Kunde steuern, welche RDS-Operationen die einzelnen AWS IAM-Benutzer aufrufen dürfen. 20

21 Amazon RDS generiert ein SSL-Zertifikat für jede Datenbankinstanz, wodurch Kunden ihre DB-Instance-Verbindungen verschlüsseln können, um für mehr Sicherheit zu sorgen. Wenn eine API zum Löschen einer Amazon RDS-Datenbankinstanz ausgeführt wurde (DeleteDBInstance), wird die Datenbankinstanz für den Löschvorgang gekennzeichnet. Wird der Status "Wird gelöscht" nicht mehr für die Instance angezeigt, bedeutet dies, dass sie gelöscht wurde. Zu diesem Zeitpunkt kann nicht mehr auf die Instance zugegriffen werden. Wenn keine endgültige Kopie in Form eines Speicherauszugs angefordert wurde, kann die Instance nicht mehr wiederhergestellt werden und wird von keinem der Tools oder APIs aufgelistet. Amazon Simple Queue Service (Amazon SQS) - Sicherheit Amazon SQS ist ein extrem zuverlässiger, skalierbarer Service für Nachrichten-Warteschlangen, der eine asynchrone, nachrichtenbasierte Kommunikation zwischen den verteilten Komponenten einer Anwendung ermöglicht. Diese Komponenten können Computer oder Amazon EC2-Instances oder eine Kombination aus beiden sein. Mithilfe von Amazon SQS können Sie jederzeit und von jeder Komponente eine beliebige Anzahl von Nachrichten an eine Amazon SQS-Warteschlange senden. Die Nachricht kann von derselben oder einer anderen Komponente abgerufen werden, entweder sofort oder zu einem späteren Zeitpunkt (innerhalb von 4 Tagen). Die Nachrichten sind äußerst langlebig. Jede Nachricht wird persistent in hochverfügbaren und äußerst zuverlässigen Warteschlangen gespeichert. Mehrere Prozesse können gleichzeitig in eine Amazon SQS-Warteschlange schreiben bzw. aus dieser lesen, ohne dass sich die Prozesse gegenseitig behindern. Der Zugriff auf Amazon SQS wird auf der Grundlage eines AWS-Kontos oder für einen AWS IAM erstellten Benutzer gewährt. Nach der Authentifizierung hat das AWS-Konto vollständigen Zugriff auf alle Benutzervorgänge. Ein AWS IAM-Benutzer hat jedoch nur Zugriff auf die Operationen und Warteschlangen, für die er aufgrund einer Richtlinie Berechtigungen erhalten hat. Der Zugriff auf eine Warteschlange ist standardmäßig auf das AWS-Konto beschränkt, das die Warteschlange erstellt hat. Ein Kunde kann jedoch anderen den Zugriff auf eine Warteschlange gestatten. Dies geschieht entweder über eine SQS-generierte oder eine vom Benutzer erstellte Richtlinie. Der Zugriff auf Amazon SQS ist über SSL-verschlüsselte Endpunkte möglich. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. Die in Amazon SQS gespeicherten Daten werden nicht von AWS verschlüsselt. Der Benutzer kann Daten jedoch vor dem Hochladen in Amazon SQS verschlüsseln, vorausgesetzt die Anwendung, die die Warteschlange verwendet, kann die Nachricht nach dem Empfang entschlüsseln. Eine Verschlüsselung der Nachrichten vor der Übermittlung an Amazon SQS schützt vor Zugriff durch nicht autorisierte Personen auf vertrauliche Kundendaten, einschließlich durch AWS. Amazon Simple Notification Service (Amazon SNS) Sicherheit Amazon Simple Notification Service (Amazon SNS) ist ein Web-Service zum einfachen Einrichten, Handhaben und Versenden von Benachrichtigungen über die Cloud. Er bietet Entwicklern eine hochgradig skalierbare, flexible und kosteneffektive Plattform zur Veröffentlichung von Nachrichten aus einer Anwendung und ihrer unmittelbaren Übermittlung an Abonnenten und andere Anwendungen. Über die benutzerfreundliche Web-Service-Oberfläche von Amazon SNS können Sie Themen zur Benachrichtigung von Anwendungen (oder Personen) erstellen, Client-Abonnements für diese Themen einrichten, Nachrichten veröffentlichen und diese über das gewünschte Client-Protokoll (d. h. HTTP, usw.) übermitteln. Amazon SNS übermittelt Benachrichtigungen mittels eines Push-Mechanismus an Clients, sodass auf Seite der Clients nicht mehr regelmäßig neue Informationen oder Updates abgerufen werden müssen. Mit Unterstützung von Amazon SNS lassen sich hochgradig zuverlässige, ereignisgesteuerte Workflows und Nachrichtenanwendungen erstellen, ohne dass hierfür komplexe Middleware und Anwendungsverwaltung erforderlich sind. Potenzielle Anwendungsbereiche für Amazon SNS sind die 21

22 Anwendungsüberwachung, Workflow-Systeme, zeitkritische Informations-Updates, mobile Anwendungen und vieles mehr. Wie bei allen Amazon Web Services fallen keine Vorabkosten an, und Sie zahlen nur für die Ressourcen, die Sie tatsächlich nutzen. Amazon SNS bietet Zugriffskontrollmechanismen, mit denen sichergestellt werden kann, dass Themen und Nachrichten vor nicht autorisierten Zugriffsversuchen geschützt sind. Eigentümer von Themen können Richtlinien aufstellen, mit denen festgelegt wird, wer Nachrichten für ein bestimmtes Thema veröffentlichen oder abonnieren kann. Darüber hinaus können die Eigentümer von Themen Benachrichtigungen verschlüsseln, indem sie HTTPS als Übertragungsmethode wählen. Der Zugriff auf Amazon SNS wird auf der Grundlage eines AWS-Kontos oder für einen mit AWS IAM erstellten Benutzer gewährt. Nach der Authentifizierung hat das AWS-Konto vollständigen Zugriff auf alle Benutzervorgänge. Ein AWS IAM- Benutzer hat jedoch nur Zugriff auf die Operationen und Themen, für die er aufgrund einer Richtlinie Berechtigungen erhalten hat. Der Zugriff auf eine einzelnes Thema ist standardmäßig auf das AWS-Konto beschränkt, das es erstellt hat. Ein Kunde kann jedoch anderen den Zugriff auf eine Warteschlange gestatten. Dies geschieht entweder über eine SNSgenerierte oder eine vom Benutzer erstellte Richtlinie. Amazon CloudWatch Sicherheit Der Web-Service Amazon CloudWatch bietet die Überwachung von AWS Cloud-Ressourcen und beginnt dabei mit Amazon EC2. Sie erhalten Einsicht in die Ressourcenauslastung, betriebliche Leistung sowie allgemeine Anforderungsmuster. Dazu zählen auch Kennzahlen wie die CPU-Auslastung, Lese- und Schreibvorgänge auf Speichermedien und der Netzwerkverkehr. Amazon CloudWatch erfordert, wie alle AWS-Services, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer auf CloudWatch zugreifen und es verwalten. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Darüber hinaus ist der Zugriff auf die Amazon CloudWatch-Steuerungs-API nur über SSL-verschlüsselte Endpunkte möglich. Ein Kunde kann den Zugriff auf Amazon CloudWatch noch weiter steuern, indem er Benutzer unter seinem AWS-Konto mithilfe von AWS IAM erstellt und festlegt, welche CloudWatch-Operationen diese Benutzer aufrufen dürfen. Auto Scaling Sicherheit Mit Auto Scaling können Kunden ihre Amazon EC2-Kapazitäten nach oben oder unten skalieren, je nach den von ihnen festgelegten Bedingungen. So wird die Anzahl der genutzten Amazon EC2-Instances nahtlos nach oben skaliert, sobald bei Spitzen die Nachfrage steigt und die Leistung bleibt erhalten. Bei geringerer Nachfrage wird nach unten skaliert, um die Kosten zu senken. Auto Scaling erfordert, wie alle AWS-Services, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer auf Auto Scaling zugreifen und es verwalten. Die Anforderungen werden mit einer HMAC- SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Ein Kunde kann den Zugriff auf Auto Scaling weiter steuern, indem er Benutzer unter seinem AWS-Konto mithilfe von AWS IAM erstellt und festlegt, welche Auto Scaling-APIs diese Benutzer aufrufen dürfen. 22

23 Amazon CloudFront Sicherheit Amazon CloudFront erfordert, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer ihre eigenen Amazon CloudFront-Distributionen erstellen, ändern oder löschen. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Darüber hinaus ist der Zugriff auf die Amazon CloudFront-Steuerungs-API nur über SSL-verschlüsselte Endpunkte möglich. Die Haltbarkeit der in den nächstgelegenen Standorten von Amazon CloudFront gespeicherten Daten kann nicht garantiert werden. Der Service kann gelegentlich Objekte aus den nächstgelegenen Standorten löschen, wenn diese nicht regelmäßig angefordert werden. Die Haltbarkeit der Objekte wird durch Amazon S3 sichergestellt. Dieser Service fungiert als Ausgangsserver für Amazon CloudFront und speichert die ursprünglichen definitiven Kopien der von Amazon CloudFront bereitgestellten Objekte. Wenn Sie Kontrolle darüber haben möchten, wer Inhalte von Amazon CloudFront herunterladen darf, können Sie die Funktion für private Inhalte dieses Service aktivieren. Diese Funktion hat zwei Komponenten. Die erste Komponente steuert, wie die Edge-Standorte von Amazon CloudFront auf die Objekte in Amazon S3 zugreifen. Die zweite Komponente steuert, wie Inhalte von dem Edge-Standort von Amazon CloudFront zu den Viewern im Internet verschickt werden. Um den Zugriff auf die Originalkopien Ihrer Objekte in Amazon S3 zu regeln, können Sie mit Amazon CloudFront eine oder mehrere Origin Access Identities (Originalzugriffsidentität) erstellen und diese mit den Distributions verbinden. Wenn eine Originalzugriffsidentität mit einer Amazon-CloudFront-Distribution verbunden wird, nutzt die Distribution die Identität, um Objekte von Amazon S3 abzurufen. Sie können dann die ACL-Funktion von Amazon S3 nutzen, die den Zugriff auf diese Originalzugriffsidentität beschränkt, sodass die Originalkopie des Objektes nicht öffentlich lesbar ist. Zur Regelung, wer Objekte von Edge-Standorten von Amazon CloudFront herunterladen darf, nutzt der Dienst ein Prüfsystem mit Signed URL (zeitlich begrenzte URL). Um dieses System zu nutzen, müssen erstens zwei Schlüssel erstellt werden, ein privater und ein öffentlicher Schlüssel. Dann muss der öffentliche Schlüssel zu Ihrem Konto über die Website von Amazon Web Services hochgeladen werden. Zweitens müssen Sie Ihre Amazon-CloudFront-Distribution konfigurieren, um anzugeben, welche Konten Anforderungen unterzeichnen dürfen. Sie können bis zu fünf AWS-Konten bestimmen. Drittens müssen Sie, wenn Sie Anforderungen empfangen, Richtlinien festlegen, in denen Sie angeben, unter welchen Bedingungen Amazon CloudFront Ihre Inhalte bearbeiten soll. Diese Richtlinien können den Namen des Objekts, das angefordert wird, das Datum und die Uhrzeit der Anforderung und die Quell-IP-Adresse (oder den CIDR- Bereich) des Clients, der die Anfrage stellt, näher bestimmen. Sie planen dann die RSA-SHA1-Verschlüsselung Ihrer Richtlinien und unterzeichnen sie mit Ihrem privaten Schlüssel. Viertens binden Sie sowohl die verschlüsselten Richtlinien als auch die Signatur als Abfrageparameter ein, wenn Sie auf Ihre Objekte zugreifen. Wenn Amazon CloudFront eine Anforderung empfängt, wird es die Signatur mithilfe des öffentlichen Schlüssels entschlüsseln. Amazon CloudFront wird nur diejenigen Anforderungen bearbeiten, die über gültige Richtlinien und die damit übereinstimmende Signatur verfügen. Anmerkung: Die Funktion für private Inhalte ist optional und muss aktiviert werden, wenn Sie Ihre CloudFront- Distribution festlegen. Inhalte, die verschickt werden, ohne dass diese Funktion aktiviert ist, sind für jedermann öffentlich lesbar. Amazon CloudFront ermöglicht zudem die Weiterleitung der Inhalte über eine verschlüsselte Verbindung (HTTPS). Dadurch wird der an die Benutzer gelieferte Inhalts authentifiziert. Standardmäßig akzeptiert Amazon CloudFront Anforderungen sowohl über HTTP und HTTPS. 23

24 Wenn Sie möchten, können Sie Amazon CloudFront auch so konfigurieren, dass für alle Anforderungen HTTPS vonnöten ist und Anforderungen über HTTP nicht zugelassen werden. Für Anforderungen über HTTPS nutzt Amazon CloudFront außerdem HTTPS, um Ihre Objekte von Amazon S3 abzurufen, sodass Ihr Objekt jedes Mal, wenn es gesendet wird, verschlüsselt ist. Die Zugriffsprotokolle von Amazon CloudFront enthalten umfassende Informationen über Inhaltsanforderungen. Dazu gehören das angeforderte Objekt, das Datum und die Uhrzeit der Anforderung, der nächstgelegene Standort, der die Anforderung erfüllt, die IP-Adresse des Clients, der Referrer und der Benutzer-Agent. Um Zugriffsprotokolle zu aktivieren, geben Sie bei der Konfiguration Ihrer Amazon CloudFront-Distribution einfach den Namen des Amazon S3-Buckets an, in dem die Protokolle gespeichert werden sollen. Amazon Elastic MapReduce (Amazon EMR) Sicherheit Amazon Elastic MapReduce erfordert, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer ihre eigenen Auftragsabläufe erstellen, suchen oder beenden. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Amazon Elastic MapReduce stellt SSL-Endpunkte für den Zugriff auf seine Web-Service-APIs und die Konsole bereit. Beim Starten von Arbeitsabläufen für einen Kunden richtet Amazon Elastic MapReduce eine Amazon EC2- Sicherheitsgruppe des Masterknotens ein, um nur den externen Zugriff über SSH zuzulassen. Der Service erstellt eine separate Sicherheitsgruppe der untergeordneten Elemente, die keinen externen Zugriff zulassen. Um die Eingangs- und Ausgangsdatensätze der Kunden zu schützen, verwendet Amazon Elastic MapReduce SSL für die Datenübertragung an und von S3. 24

Amazon Web Services Sicherheitsprozesse im Überblick November 2009

Amazon Web Services Sicherheitsprozesse im Überblick November 2009 Amazon Web Services Sicherheitsprozesse im Überblick November 2009 (Die aktuelle Version finden Sie unter http://aws.amazon.com/de/security/.) 1 Amazon Web Services (AWS) stellt eine hochgradig skalierbare,

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Amazon Web Services: Übersicht über die Sicherheitsprozesse Juni 2014

Amazon Web Services: Übersicht über die Sicherheitsprozesse Juni 2014 Amazon Web Services: Übersicht über die Sicherheitsprozesse Juni 2014 (Die neueste Version dieses Dokuments finden Sie unter http://aws.amazon.com/de/security/.) Seite 1 von 79 Inhalt Umgebung mit geteilter

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Eine native 100%ige Cloud-Lösung.

Eine native 100%ige Cloud-Lösung. Eine native 100%ige Cloud-Lösung. Flexibel. Skalierbar. Sicher. Verlässlich. Autotask Endpoint Management bietet Ihnen entscheidende geschäftliche Vorteile. Hier sind fünf davon. Autotask Endpoint Management

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.7 Virtuelle StruxureWare Data Center Expert-Appliance Der StruxureWare Data Center Expert-7.2-Server ist als virtuelle Appliance verfügbar, die auf

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Tableau Online Sicherheit in der Cloud

Tableau Online Sicherheit in der Cloud Tableau Online Sicherheit in der Cloud Autor: Ellie Fields Senior Director Product Marketing, Tableau Software Juni 2013 S. 2 Tableau Software ist sich bewusst, dass Daten zum strategischsten und wichtigsten

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Hochgeschwindigkeits-Ethernet-WAN: Bremst Verschlüsselung Ihr Netzwerk aus?

Hochgeschwindigkeits-Ethernet-WAN: Bremst Verschlüsselung Ihr Netzwerk aus? Hochgeschwindigkeits-Ethernet-WAN: Bremst Verschlüsselung Ihr Netzwerk aus? 2010 SafeNet, Inc. Alle Rechte vorbehalten. SafeNet und das SafeNet-Logo sind eingetragene Warenzeichen von SafeNet. Alle anderen

Mehr

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes Sicherheit 99 9 Sicherheit 7. Ergänzungslieferung 02/2007 Ein ITP-Handbuch 9 Sicherheit 9 Moderne Anwendungen müssen einer Vielzahl von Anforderungen gerecht werden. Mit dem Siegeszug der IT in die Geschäftswelt

Mehr

Sicherheits- Anwendungsprogramm. Benutzerhandbuch V2.13-T04

Sicherheits- Anwendungsprogramm. Benutzerhandbuch V2.13-T04 Sicherheits- Anwendungsprogramm LOCK Benutzerhandbuch V2.13-T04 Inhaltsverzeichnis A. Einführung... 2 B. Allgemeine Beschreibung... 2 C. Leistungsmerkmale... 3 D. Vor der Verwendung des LOCK-Sicherheits-Anwendungsprogramms...

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Informationen zur Lizenzierung von Windows Server 2008 R2

Informationen zur Lizenzierung von Windows Server 2008 R2 Informationen zur Lizenzierung von Windows Server 2008 R2 Produktübersicht Windows Server 2008 R2 ist in folgenden Editionen erhältlich: Windows Server 2008 R2 Foundation Jede Lizenz von, Enterprise und

Mehr

Business SLA (Service Level Agreement) Information

Business SLA (Service Level Agreement) Information Business SLA (Service Level Agreement) Information V1.4 12/2013 Irrtümer und Änderungen vorbehalten Inhalt 1. Begriffe und Definitionen... 3 2. Allgemein... 4 2.1. Rechenzentren... 4 2.2. Service und Support...

Mehr

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager End-to-end, mit hohem Funktionsumfang, anwendungsbasiertes und IP-Adressenverwaltung Optimierung der Verwaltung und Senkung der Verwaltungskosten mit dem Appliance Manager

Mehr

TECHNISCHES WHITE PAPER. Sicherung des Cloud-Service-Desks BMC-Sicherheitsstrategie für die SaaS-Umgebung

TECHNISCHES WHITE PAPER. Sicherung des Cloud-Service-Desks BMC-Sicherheitsstrategie für die SaaS-Umgebung TECHNISCHES WHITE PAPER Sicherung des Cloud-Service-Desks BMC-Sicherheitsstrategie für die SaaS-Umgebung Inhaltsverzeichnis Einführung........................................................1 Datensicherheit....................................................1

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

KURZANLEITUNG CLOUD BLOCK STORAGE

KURZANLEITUNG CLOUD BLOCK STORAGE KURZANLEITUNG CLOUD BLOCK STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung......Seite 03 2. Anlegen eines dauerhaften Block Storage...Seite 04 3. Hinzufügen von Block Storage

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Dunkel Cloud Storage. Der sichere Cloud-Speicher für Unternehmen

Dunkel Cloud Storage. Der sichere Cloud-Speicher für Unternehmen Dunkel Cloud Storage Der sichere Cloud-Speicher für Unternehmen Was ist Dunkel Cloud Storage? Dunkel Cloud Storage (DCS) stellt Ihnen Speicherplatz nach Bedarf zur Verfügung, auf den Sie jederzeit über

Mehr

1 Remotedesktopdienste (ehem. Terminal Services)

1 Remotedesktopdienste (ehem. Terminal Services) Windows Server 2008 (R2): Anwendungsserver 1 Remotedesktopdienste (ehem. Terminal Services) Die Remotedesktopdienste gehören zu den Desktopvirtualisierungsprodukten von Microsoft. Die Remotedesktopdienste

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Installationsanleitung TOPIX WebSolution Server

Installationsanleitung TOPIX WebSolution Server Installationsanleitung TOPIX WebSolution Server WebSolution Version 1.309 TOPIX:8 Ab Version 8.9.3v2 Stand 08/2014 Inhalt 1 Systemvoraussetzungen...3 2 Vorbereitungen für die Installation...4 Die aktuelle

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH Complex Hosting Autor.: Monika Olschewski Whitepaper Version: 1.0 Erstellt am: 14.07.2010 ADACOR Hosting GmbH Kaiserleistrasse 51 63067 Offenbach am Main info@adacor.com www.adacor.com Complex Hosting

Mehr

Mindtime Online Backup

Mindtime Online Backup Mindtime Online Backup S e r v i c e L e v e l A g r e e m e n t Inhaltsangabe Service Definition... 3 1) Datenverschlüsselung... 3 2) Gesicherte Internetverbindung... 3 3) Datencenter... 4 4) Co- Standort...

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Systemvoraussetzungen und Installation

Systemvoraussetzungen und Installation Systemvoraussetzungen und Installation Inhaltsverzeichnis Inhaltsverzeichnis... 2 1. Einleitung... 2 2. Einzelarbeitsplatzinstallation... 3 3. Referenz: Client/Server-Installation... 5 3.1. Variante A:

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Technical Note 30 Endian4eWON einrichten für VPN Verbindung Technical Note 30 Endian4eWON einrichten für VPN Verbindung TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 1 von 21 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2

Mehr

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 ist ein Softwarepaket für Fiery Druckcontroller mit

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Netzwerk- Prüfung Risikobericht

Netzwerk- Prüfung Risikobericht Netzwerk- Prüfung Risikobericht VERTRAULICHE Informationen: Die in diesem Bericht enthaltene Informationen sind ausschließlich für den Gebrauch des oben angegebenen Kunden und enthält unter Umständen vertrauliche,

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Service Level-Programm für Ariba Cloud-Services. Gewährleistung der Zugänglichkeit des Service Sicherheit Verschiedenes

Service Level-Programm für Ariba Cloud-Services. Gewährleistung der Zugänglichkeit des Service Sicherheit Verschiedenes Service Level-Programm für Ariba Cloud-Services Gewährleistung der Zugänglichkeit des Service Sicherheit Verschiedenes 1. Gewährleistung der Zugänglichkeit des Service a. Anwendbarkeit. Die Gewährleistung

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Methoden zur Benutzerüberprüfung im ELMS 1.1

Methoden zur Benutzerüberprüfung im ELMS 1.1 Methoden zur Benutzerüberprüfung im ELMS 1.1 2012-12-21 Kivuto Solutions Inc [VERTRAULICH] INHALTSVERZEICHNIS ÜBERSICHT...1 ÜBERPRÜFUNGSMETHODEN...2 Integrierte Benutzerüberprüfung (IUV)...2 Shibboleth

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

McAfee Security-as-a-Service -

McAfee Security-as-a-Service - Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und

Mehr

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION Bitte verwenden Sie diese Unterlagen, um vorab sicherzustellen, dass alle Voraussetzungen zur Installation des KYOfleetmanager DCA

Mehr

Umfassender Internetfilter für jede Art und Größe von Netzwerken.

Umfassender Internetfilter für jede Art und Größe von Netzwerken. Umfassender Internetfilter für jede Art und Größe von Netzwerken. UMFASSENDE INTERNETFILTERUNG UserGate Web Filter ist eine Gateway-Lösung für die Steuerung der Internetnutzung aller Geräte in einem lokalen

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Migration in die Cloud Migration in fünf Schritten

Migration in die Cloud Migration in fünf Schritten Migration in die Cloud Migration in fünf Schritten Inhaltsverzeichnis Einleitung...3 Gestaltung Ihres virtuellen Rechenzentrums...3 Überprüfung Ihrer vorhandenen Umgebung...4 Aufbau Ihres virtuellen Rechenzentrums...5

Mehr

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James Sicherheitskonzept für externe Datenbank Erstellt von Alt Roman und Schüpbach James Inhaltsverzeichnis 1 Risikoanalyse...3 1.1 Intern...3 1.2 Extern...3 1.3 Physisch...3 2 Risiko Klassifizierung...4 3

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

USB Security Stick. Deutsch. Benutzerhandbuch

USB Security Stick. Deutsch. Benutzerhandbuch USB Security Stick Deutsch Benutzerhandbuch 2 Inhaltsverzeichnis Allgemeines 4 Der mechanische Schreibschutzschalter 4 Verwendung unter Windows 6 Einstellungen 10 Benutzerpasswort ändern 11 Formatieren

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Konfiguration von Sophos Anti-Virus für Windows

Konfiguration von Sophos Anti-Virus für Windows Konfiguration von Sophos Anti-Virus für Windows Diese Konfigurationsanleitung beschreibt die grundlegenden Einstellungen von Sophos Anti-Virus. Bei speziellen Problemen hilft oft schon die Suche in der

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

VIDA-INSTALLATIONSANLEITUNG INHALT

VIDA-INSTALLATIONSANLEITUNG INHALT VIDA INSTALLATIONSANWEISUNGEN VIDA 2015 INHALT 1 EINFÜHRUNG... 3 2 VOR DER INSTALLATION... 4 2.1 Prüfliste zur Installationsvorbereitung... 4 2.2 Produkte von Drittanbietern... 4 2.2.1 Adobe Reader...

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel.(02461) 61-6402 Informationszentrum, Tel. (02461) 61-6400 Verschlüsselung der Festplattendaten unter Windows XP Technische Kurzinformation

Mehr

3 Konfiguration von Windows

3 Konfiguration von Windows Einführung 3 Konfiguration von Windows Vista Sicherheitseinstellungen Lernziele: Die UAC (User Account Control) Der Windows Defender Sicherheit im Internet Explorer 7 Die Firewall Prüfungsanforderungen

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Sicherheitsinformationen

Sicherheitsinformationen Sicherheitsinformationen SMART kapp iq ist mit Datenschutzfunktionen ausgestattet, die speziell darauf ausgelegt sind, Ihre Inhalte auf vorhersehbare Weise unter Kontrolle gehalten werden. Auf dieser Seite

Mehr

Babelprojekt.com Datenschutzhinweise

Babelprojekt.com Datenschutzhinweise Babelprojekt.com Datenschutzhinweise Datenschutzrichtlinie runterladen Letzte Aktualisierung: 24. Apr. 2015 Willkommen zur Webseite des Babelprojekt Kft. Babelprojekt bittet Sie darum, vor der Nutzung

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

-Systemanforderungen:

-Systemanforderungen: Microsoft Windows Server Update Services (WSUS) 3.0 stellt eine umfassende Lösung für das Verwalten von Updates in Ihrem Netzwerk zur Verfügung. In diesem Dokument finden Sie Anweisungen zu grundlegenden

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Produkte und Systeme der Informationstechnologie ENERGIE- MANAGEMENT

Produkte und Systeme der Informationstechnologie ENERGIE- MANAGEMENT Produkte und Systeme der Informationstechnologie ENERGIE- MANAGEMENT Folie 1 VDE-Symposium 2013 BV Thüringen und Dresden Virtualisierung von Leittechnikkomponenten Andreas Gorbauch PSIEnergie-EE Folie

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Azure Site2Site-VPN einrichten mit der Fritzbox 3390

Azure Site2Site-VPN einrichten mit der Fritzbox 3390 Azure Site2Site-VPN einrichten mit der Fritzbox 3390 2014 by Holger Voges, Netz-Weise Freundallee 13 a 30173 Hannover www.netz-weise.de 2 Inhalt Einrichten eines Azure Site2Site VNP mit der Fritzbox 3390...

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie Wolfgang Ginolas Fachhochschule Wedel 21. September 2009 Wolfgang Ginolas (Fachhochschule Wedel) 21. September 2009 1 / 14 Einleitung

Mehr

whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN

whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN CLOUD-ENTWICKLUNG: BESTE METHODEN 1 Cloud-basierte Lösungen sind auf dem IT-Markt immer weiter verbreitet und werden von immer mehr

Mehr