Amazon Web Services Übersicht über Sicherheitsverfahren Mai 2011

Transkript

1 Amazon Web Services Übersicht über Sicherheitsverfahren Mai 2011 (Die aktuelle Version finden Sie unter 1

2 Amazon Web Services (AWS) stellt eine hochgradig skalierbare, Cloud-basierte Computing-Plattform mit hoher Verfügbarkeit und Zuverlässigkeit zur Verfügung, die flexibel genug ist, Kunden die Entwicklung einer breiten Palette von Anwendungen zu ermöglichen. Für AWS ist es äußerst wichtig, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Daten seiner Kunden sicherzustellen sowie das Vertrauen der Kunden zu erhalten. Ziel dieses Dokuments ist die Beantwortung von Fragen wie "Wie kann AWS mir dabei helfen, die Sicherheit meiner Daten zu gewährleisten?" Dabei werden vor allem die physischen und betrieblichen AWS-Sicherheitsverfahren für das von AWS verwaltete Netzwerk und die verwaltete Infrastruktur sowie Service-spezifische Sicherheitsimplementierungen beschrieben. Das vorliegende Dokument bietet eine Übersicht über die Sicherheit in folgenden, für AWS relevanten Bereichen: Umgebung der gemeinsamen Zuständigkeiten Übersicht über die Steuerumgebung Grundlagen für sicheres Design Sicherung Überwachung Information und Kommunikation Lebenszyklus der Mitarbeiter Physische Sicherheit Maßnahmen zur Umgebungssicherung Konfigurationsmanagement Business Continuity Management Sicherungskopien Fehlerisolierung Kontosicherheitsfunktionen in Amazon Netzwerksicherheit AWS dienstrelevante Sicherheit Amazon Elastic Compute Cloud (Amazon EC2) Sicherheit Amazon Virtual Private Cloud (Amazon VPC) Amazon Simple Storage Service (Amazon S3) Sicherheit Amazon SimpleDB Sicherheit Amazon Relational Database Service (Amazon RDS) Sicherheit Amazon Simple Queue Service (Amazon SQS) Sicherheit Amazon Simple Notification Service (SNS) Sicherheit Amazon CloudWatch Sicherheit Auto Scaling Sicherheit Amazon CloudFront Sicherheit Amazon Elastic MapReduce Sicherheit 2

3 Umgebung der gemeinsamen Zuständigkeiten Wenn Sie Ihre IT-Infrastruktur in AWS verschieben, entsteht ein Modell der gemeinsamen Zuständigkeit zwischen Kunde und AWS. Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung beim Betrieb, da AWS die Komponenten des Host-Betriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde ist unter anderem für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe zuständig. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von den genutzten Services, von deren Integration in Ihrer IT-Umgebung sowie vom den anwendbaren Rechtsbestimmungen und Vorschriften abhängen. Durch Nutzung von Technologien wie Host-basierten Firewalls, Hostbasierten IDS zur Erkennung und Verhinderung von Angriffen auf Computersysteme, Verschlüsselungsprogrammen und Schlüsselverwaltungssystemen können Kunden die Sicherheit erhöhen und/oder strengere Compliance-Anforderungen erfüllen. Dieses Modell der geteilten Zuständigkeiten sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die die branchenspezifischen Anforderungen für die Zertifizierung erfüllen. Übersicht über die Steuerumgebung AWS verwaltet eine umfassende Steuerungsumgebung, die die erforderlichen Richtlinien, Prozesse und Steueraktivitäten für die Bereitstellung der einzelnen Web-Service-Angebote enthält. Die gesamte Steuerungsumgebung besteht aus erforderlichen Mitarbeitern, Prozessen und der Technologie für die Wartung einer Umgebung. Diese unterstützt die Effizienz bestimmter Steuerelemente und Steuerungsrahmenwerke, für die AWS zertifiziert ist. AWS entspricht den Vorgaben verschiedener Zertifizierungen und Bestätigungen von Dritten. Dazu zählen: SAS 70 Typ II: Dieser Bericht enthält detaillierte Steuerelemente, die AWS nutzt sowie die Beurteilung eines unabhängigen Prüfers zum effizienten Betrieb dieser Steuerelemente. PCI DSS Level 1: AWS wurde von unabhängiger Seite überprüft, ob es den PCI-Datensicherheitsstandard als gemeinsamer Host-Service-Anbieter erfüllt. ISO 27001: AWS hat die ISO Zertifizierung des Information Security Management System (ISMS) in Bezug auf Infrastruktur, Datencenter und Services erhalten. FISMA: Mit AWS können US-Regierungsbehörden die Konformität in Bezug auf den Federal Information Security Management Act (FISMA) erreichen und einhalten. AWS hat die Genehmigung zum Betrieb auf FISMA-Low-Stufe erhalten. Außerdem hat AWS die Implementierung der Kontrollfunktionen abgeschlossen und die für den Betrieb auf FISMA Moderate-Stufe unabhängigen Sicherheitstests und Prüfungen erfolgreich bestanden. AWS hofft aktuell auf die Genehmigung zum Betrieb auf FISMA-Moderate-Stufe von Regierungsbehörden. Kunden haben auf AWS zudem Anwendungen für das Gesundheitswesen erstellt, die mit den Sicherheits- und Datenschutzregeln von HIPPA konform sind. Weitere Informationen zu diesen Zertifizierungen und Drittanbieterbestätigungen erhalten Sie im Whitepaper zu Risiko und Compliance auf der Website Grundlagen für sicheres Design Der Entwicklungsprozess von AWS orientiert sich an den Best Practices für die Entwicklung von sicherer Software. Darunter fallen formale Design-Überprüfungen durch das Sicherheitsteam von AWS, Threat Modeling und die Ausführung von Risikoanalysen. Tools zur statischen Analyse des Codes werden als Teil des Standarderstellungsprozesses betrieben. Sämtliche verwendete Software unterliegt fortwährend Penetrationstests, die von sorgfältig ausgewählten Experten der Branche vorgenommen werden. Unsere Risikoanalysen beginnen bereits während der Entwurfsphase und werden bis zur Versionseinführung und auch im Anschluss daran durchgeführt. 3

4 Überwachung AWS nutzt automatische Überwachungssysteme, um ein Höchstmaß an Leistungsqualität und Verfügbarkeit der Services zu gewährleisten. Sowohl für den internen als auch für den externen Gebrauch steht eine Reihe von Online-Tools für die dynamische Überwachung zur Verfügung.Die Systeme innerhalb von AWS werden umfassend instrumentiert, damit sie die wichtigsten Betriebsgrößen überwachen können. Alarmsignale werden konfiguriert, damit das Betriebspersonal und die Geschäftsleitung benachrichtigt werden, wenn für die wichtigsten Betriebsgrößen die Frühwarnschwellen aktiviert sind. Es wurde ein Rufbereitschaftsdienst eingerichtet, sodass das Personal stets erreichbar ist, um auf Betriebsprobleme zu reagieren. Dazu gehört eine Personenrufanlage (Pager), damit alle Warnmeldungen zuverlässig an das Betriebspersonal weitergeleitet werden. Die erstellten Dokumentationen werden gepflegt und dienen dem Betriebspersonal als Hilfe und Informationsquelle, damit sie besser mit Störfällen und Problemen umgehen können. Falls für die Lösung eines Problems eine Zusammenarbeit vonnöten ist, wird ein Konferenzsystem eingesetzt, das die Kommunikation und Protokollierung unterstützt. Ausgebildetes Fachpersonal steht auf Abruf bereit und erleichtert die Kommunikation und den Ablauf während der Behebung von Betriebsproblemen, die eine Zusammenarbeit erforderlich machen. Nach schwerwiegenden Betriebsproblemen, ungeachtet dessen, ob sie sich auf die Außenwelt auswirken oder nicht, werden Besprechungen anberaumt. Es werden Dokumente zu den Fehlerursachen entworfen (COE), sodass die Grundursache festgehalten und Präventivmaßnahmen für die Zukunft beschlossen werden können. Im Rahmen von wöchentlichen Betriebsversammlungen wird die Umsetzung der Präventivmaßnahmen begutachtet. Information und Kommunikation AWS hat weltweit mehrere Verfahren zur internen Kommunikation eingeführt, um seinen Mitarbeitern dabei zu helfen, ihre individuellen Funktionen und Zuständigkeiten zu verstehen, und um wichtige Ereignisse zügig mitzuteilen. Zu diesen Verfahren gehören Orientierungs- und Schulungsprogramme für neueingestellte Mitarbeiter, regelmäßige Versammlungen der Geschäftsleitung zur Verbesserung der Leistungsfähigkeit und zur Besprechung anderer Angelegenheiten sowie elektronische Hilfsmittel wie Videokonferenzen, s und das Veröffentlichen von Informationen über das Intranet von Amazon. AWS hat ebenfalls mehrere Verfahren zur externen Kommunikation eingeführt, um seinem Kundenstamm und der Community Supportleistungen anbieten zu können. Das Kundensupportteam wird mithilfe von bestimmten Methoden über Betriebsprobleme informiert, die die Kundenzufriedenheit in Mitleidenschaft ziehen. Ein Service Health Dashboard steht zur Verfügung. Es wird von dem Kundensupportteam gepflegt und genutzt, um Kunden auf sämtliche Probleme, die weitreichende Konsequenzen nach sich ziehen könnten, aufmerksam zu machen. Ein Security and Compliance-Center steht ebenfalls zur Verfügung. Alle Kunden erhalten sämtliche Einzelheiten zur Sicherheit und Compliance von AWS über diese eine Plattform. Optional können Kunden verschiedene Premium Support-Leistungen abonnieren. Darunter fällt der direkte Kontakt mit dem Kundensupportteam. Die Kunden können ebenfalls proaktive Warnmeldungen zu Problemen erhalten, die für sie von Belang sind. Lebenszyklus der Mitarbeiter AWS hat offizielle Richtlinien und Verfahren eingeführt, um die Mindeststandards für den logischen Zugriff auf die Plattform von AWS und die Infrastruktur-Hosts festzulegen. Laut der Richtlinien von AWS wird für Mitarbeiter, die potenziellen Zugriff auf Kundendaten haben, eine umfassende Hintergrundüberprüfung (soweit gesetzlich zugelassen) ausgeführt. Diese hängt von der jeweiligen Position des Mitarbeiters und seiner Zugriffsberechtigung für Daten ab. Die Richtlinien bestimmen ebenfalls die Zuständigkeitsbereiche für die Verwaltung des logischen Zugriffs und der Sicherheit. 4

5 Kontobereitstellung Die Zuständigkeit für die Bereitstellung der Konten für Mitarbeiter und Auftragnehmer wird unter der Personalabteilung (HR), der Abteilung Corporate Operations und den Serviceverantwortlichen aufgeteilt. Wenn ein Personalmanager seine Genehmigung erteilt, wird ein Standardkonto mit eingeschränkten Benutzerrechten für Mitarbeiter oder Auftragnehmer angelegt. Dieses Konto ist zu diesem Zeitpunkt noch deaktiviert. Dieses Konto wird automatisch freigeschaltet, sobald der Datensatz des Mitarbeiters im Personalsystem von Amazon aktiviert wurde. Der Zugriff auf weitere Ressourcen einschließlich Services, Hosts, Netzwerkgeräten, Windows und UNIX-Gruppen muss im Benutzerrechteverwaltungssystem von Amazon durch den entsprechenden Verantwortlichen oder Manager ausdrücklich genehmigt werden. Alle Änderungen im Benutzerrechteverwaltungstool werden in einem Audit erfasst. Sobald sich die Funktion eines Mitarbeiters ändert, muss der Zugriff auf die Ressource erneut ausdrücklich genehmigt werden. Andernfalls wird er automatisch aufgehoben. Kontoüberprüfung Jede Zugriffsberechtigung wird alle 90 Tage überprüft. Die erneute Erteilung einer Zugriffsberechtigung bedarf einer ausdrücklichen Genehmigung, andernfalls wird der Zugriff auf die Ressource automatisch aufgehoben. Entzug der Zugriffsberechtigung Der Zugriff wird automatisch aufgehoben, sobald der Datensatz eines Mitarbeiters im Personalsystem von Amazon gelöscht wird. Die Windows- und UNIX-Konten werden deaktiviert und das Rechteverwaltungssystem entfernt den Benutzer aus allen Systemen. Kennwortrichtlinien Der Zugriff auf die Daten und die Verwaltung der logischen Sicherheit für Amazon beruhen auf Benutzer-IDs, Kennwörtern und Kerberos zur Authentifizierung von Benutzern für Services, Ressourcen und Geräte sowie zur Genehmigung einer entsprechenden Zugriffsberechtigung für den Benutzer. Das Sicherheitsteam von AWS hat eine Kennwortrichtlinie verfasst, in der die Zeitabstände für die Konfiguration und den Ablauf der Zugriffsberechtigung festgelegt sind. Physische Sicherheit AWS blickt auf viele Jahre Erfahrung beim Entwurf, bei der Konstruktion und beim Betrieb großer Rechenzentren zurück. Diese Erfahrung wurde auf die AWS-Plattform und -Infrastruktur angewandt. AWS-Rechenzentren sind in unscheinbaren Gebäuden untergebracht. Der physische Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert, sowohl am Geländerand als auch an den Gebäudeeingängen. Dabei werden Videoüberwachung, modernste Systeme zur Erkennung von Angriffen und andere elektronische Einrichtungen eingesetzt. Autorisierte Mitarbeiter müssen mindestens zwei Mal eine Zwei-Faktor-Authentifizierung durchlaufen, bevor Sie die Rechenzentrumsetagen betreten dürfen. Alle Besucher und Auftragnehmer müssen sich ausweisen und registrieren und werden stets von autorisierten Mitarbeitern begleitet. AWS gestattet den Zutritt zum Rechenzentrum nur Mitarbeitern und Auftragnehmern, die einen legitimen Geschäftsgrund dafür haben. Hat ein/e Mitarbeiter/in keinen Grund mehr für diesen Zutritt, werden seine bzw. ihre Zutrittsberechtigungen sofort widerrufen, selbst wenn er oder sie weiterhin als Mitarbeiter von Amazon oder Amazon Web Services tätig ist. Der Zutritt zu den Rechenzentren durch Mitarbeiter von AWS wird protokolliert und regelmäßig überprüft. 5

6 Maßnahmen zur Umgebungssicherung Die AWS-Rechenzentren sind dank des Einsatzes einer innovativen Architektur und der Verfolgung von kreativen Entwicklungsansätzen auf dem neuesten Stand der Technik. Branderkennung und -bekämpfung Zur Verringerung der Brandgefahr wurden Anlagen zur automatischen Branderkennung und -bekämpfung eingerichtet. Die Brandmeldeanlage setzt sich aus folgenden Komponenten zusammen: Rauchmelder, die in allen Räumlichkeiten des Rechenzentrums installiert sind, Räume für die mechanische und elektrische Infrastruktur, Kühlräume und Räume für die Generatoranlage. Diese Bereiche werden entweder durch Nasssprinkleranlagen, doppelt gesicherte vorgesteuerte Sprinkleranlagen oder Trockensprinkleranlagen geschützt. Stromversorgung Die Stromversorgungssysteme des Rechenzentrums wurden so konzipiert, dass sie völlig redundant sind und 24 Stunden pro Tag an sieben Tagen der Woche instandgesetzt werden können, ohne dass dadurch der Betriebsablauf beeinträchtigt wird. Durch eine Unterbrechungsfreie Stromversorgung (USV) ist die sichere Stromversorgung von kritischen und wichtigen Lasten in der Einrichtung während eines Stromausfalls sichergestellt. In den Rechenzentren werden Generatoren eingesetzt, damit für die gesamte Anlage eine Notstromversorgung gewährleistet ist. Klimatisierung und Temperatur Das Klima in den Räumlichkeiten der Rechenzentren muss stets kontrolliert und geregelt werden, um die Betriebstemperatur der Server und anderer Hardwarekomponenten konstant zu halten. Dadurch kann ein Überhitzen der Geräte vermieden und die Gefahr von Ausfällen verringert werden. Die Rechenzentren sind klimatisiert, um die atmosphärischen Bedingungen auf einem optimalen Niveau zu halten. Temperatur und Luftfeuchtigkeit werden in angemessener Weise vom Personal und den technischen Systemen überwacht und geregelt. Verwaltung AWS überwacht alle elektrischen, technischen und Lebenserhaltungssysteme und -einrichtungen, damit alle Probleme unmittelbar nach deren Entstehung erkannt werden. Es werden vorbeugende Wartungen vorgenommen, um eine kontinuierliche Funktionsfähigkeit der Einrichtungen sicherzustellen. Konfigurationsmanagement Konfigurationsänderungen in Notfällen sowie nicht routinemäßige und andere Konfigurationsänderungen an der vorhandenen AWS-Infrastruktur werden entsprechend der Branchenstandards für gleichartige Systeme autorisiert, protokolliert, getestet, genehmigt und dokumentiert. Aktualisierungen der AWS-Infrastruktur werden so durchgeführt, dass sie nur minimale Auswirkungen auf die Kunden und die von ihnen verwendeten Services haben. AWS wird sich mit den Kunden entweder per oder über das Service Health Dashboard ( in Verbindung setzen, wenn die Nutzung bestimmter Services möglicherweise beeinträchtigt wird. Software AWS verfolgt einen systematischen Ansatz bei der Durchführung von Änderungen. Dadurch werden Änderungen an den Diensten, die sich auf Kunden auswirken, gründlich überprüft, getestet, genehmigt und ordnungsgemäß mitgeteilt. Ziel des Change Management-Verfahrens von AWS ist es, ungewollte Service-Unterbrechungen zu vermeiden und die Integrität der Services gegenüber dem Kunden zu wahren. Zu den Änderungen, die in der Produktionsumgebung vorgenommen werden, gehören: Überprüft: Begutachtung der technischen Aspekte einer Änderung durch Kollegen Getestet: Vorgenommene Änderungen verhalten sich wie erwartet und beeinträchtigen die Leistungsfähigkeit nicht. Genehmigt: Änderung ermöglicht einen angemessenen Überblick und das Verständnis der Auswirkungen auf den Betrieb. 6

7 Änderungen werden für gewöhnlich schrittweise vorgenommen. Dabei wird mit den Bereichen begonnen, die am wenigsten betroffen sind. Die Softwareverteilung wird durch ein einziges System getestet und sorgfältig überwacht, sodass die Auswirkungen bewertet werden können. Den Service-Verantwortlichen steht eine Reihe von konfigurierbaren Software-Metriken zur Verfügung, mit denen sie die Unversehrtheit der Upstream-Kopplung messen können. Diese Metriken werden sorgfältig mithilfe von Schwellenwerten und dem Alarmsystem überwacht. Die Rollback-Verfahren werden im Change Management (CM)-Ticket dokumentiert. Falls möglich werden Änderungen während der regelmäßigen Änderungszeitfenster geplant. Änderungen, die aufgrund von Notfällen an den Herstellungssystemen vorgenommen werden, und bei denen von den standardmäßigen Change- Management-Verfahren abgewichen werden muss, werden mit einem Störfall verbunden und entsprechend protokolliert und genehmigt. In regelmäßigen Abständen führt AWS selbst eine Überprüfung der Änderungen durch, die an den wichtigsten Services vorgenommen wurden. Ziel dieser Selbstüberprüfung ist es, die Qualität zu überwachen, die hohen Qualitätsstandards beizubehalten und eine kontinuierliche Verbesserung des Change Management-Verfahrens zu erleichtern. Sämtliche Ausnahmen werden analysiert, um die Grundursache zu bestimmen. Es werden angemessene Maßnahmen ergriffen, um die Änderungen mit den Richtlinien in Einklang zu bringen oder sie, falls nötig, rückgängig zu machen. Anschließend werden Maßnahmen ergriffen, um Probleme mit dem Verfahren oder den Personen, anzugehen und zu beheben. Infrastruktur Das Team Corporate Applications von Amazon entwickelt und verwaltet die Software zur Automatisierung der IT-Prozesse für UNIX-/Linux-Hosts in den folgenden Bereichen: Lieferung von Drittpartei-Software, intern entwickelte Software und Konfigurationsmanagement. Das Infrastrukturteam pflegt und nutzt ein Rahmenwerk für das Konfigurationsmanagement von UNIX/Linux. Es befasst sich mit der Skalierbarkeit, Verfügbarkeit und der Prüfung von Hardware sowie mit dem Sicherheitsmanagement. Durch automatisierte Prozesse für das Änderungsmanagement ist es möglich, die Hosts zentral zu verwalten. Dadurch ist das Unternehmen in der Lage, die sich gesetzten hohen Ziele in Bezug auf Verfügbarkeit, Wiederholbarkeit, Skalierbarkeit, eine stabile Sicherheit und Notfallwiederherstellung zu erreichen. Die System- und Netzwerkingenieure überwachen den Status dieser automatisierten Tools jeden Tag. Sie prüfen Berichte, in denen es um Hosts geht, die ihre Konfiguration und Software nicht erhalten oder aktualisieren können, und beheben diese Probleme. Die intern entwickelte Konfigurationsmanagement-Software wird installiert, sobald neue Hardware zur Verfügung gestellt wird. Diese Tools werden auf allen UNIX-Hosts betrieben, um zu bestätigen, dass sie konfiguriert sind und die Software gemäß den Standards installiert wurde. Diese Standards hängen von der Funktion ab, die dem Host zugewiesen wurde. Durch diese Konfigurationsmanagement-Software kann ebenfalls sichergestellt werden, dass sämtliche Pakete, die auf dem Host installiert sind, regelmäßig aktualisiert werden. Zugriff auf die zentralen Konfigurationsmanagement-Server haben ausschließlich die Mitarbeiter, die im Benutzerrechteverwaltungssystem dazu berechtigt wurden. Business Continuity Management Die Amazon-Infrastruktur erzielt eine hohe Verfügbarkeit und bietet Kunden die Funktionen zur Bereitstellung einer widerstandsfähigen IT-Architektur. AWS hat seine Systeme so konzipiert, dass bei System- bzw. Hardware-Ausfällen nur geringstmögliche Auswirkungen auf die Kunden entstehen. Die Verwaltung der Datencenter-Betriebskontinuität bei AWS unterliegt den Anweisungen der Amazon Infrastructure Group. Verfügbarkeit Die Rechenzentren wurden in Gruppen in verschiedenen Regionen auf der Welt errichtet. Alle Rechenzentren sind online und sorgen für einen reibungslosen Datenverkehr. Kein Rechenzentrum ist "kalt". Im Falle eines Funktionsausfalls wird der Kundendatenverkehr von dem vom Ausfall betroffenen Bereich zu einem anderen weitergeleitet. Für wichtige 7

8 Anwendungen gilt die N+1-Konfiguration. Kommt es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbliebenen Orte aufgeteilt werden kann. AWS bietet den Kunden ein Höchstmaß an Flexibilität. Es stehen ihnen mehrere geografische Regionen und mehrere Availability Zones innerhalb jeder dieser Regionen zur Verfügung, um Instances anzulegen und Daten zu speichern. Jede dieser Availability Zones ist eine unabhängige Ausfallzone. Das bedeutet, dass Availability Zones physisch in einer gewöhnlichen Metropolregion voneinander getrennt sind und sich in verschiedenen Risikozonen befinden (die Kategorisierung der Risikozonen unterscheidet sich je nach der Region). Neben einer separaten unterbrechungsfreien Stromversorgung (USV) und Notstromeinrichtungen vor Ort werden die Zonen jeweils über unterschiedliche Versorgungsnetze unabhängiger Energieversorger mit Strom versorgt, um das Risiko von "Single Points of Failure" weiter zu reduzieren. Sie sind alle redundant mit mehreren Energieversorgern der Stufe 1 verbunden. Die Kunden sollten ihre AWS-Nutzung so gestalten, dass sie einen Vorteil aus mehreren Regionen und Availability Zones ziehen können. Durch die Verteilung der Anwendungen auf mehrere Availability Zones wirken sich die meisten Ausfallund Störungsfälle, einschließlich Naturkatastrophen oder Systemausfälle, nicht negativ aus. Ein stabiler Betrieb kann aufrecht erhalten werden. Störungsbekämpfung Das Incident Management-Team von Amazon wendet branchenübliche Diagnoseverfahren zur Entwicklung und Umsetzung von Problemlösungen während Ereignissen an, die sich negativ auf den Betrieb auswirken. Mitarbeiter sind das ganze Jahr über 24 Stunden am Tag, 7 Tage in der Woche damit beschäftigt, Störungen festzustellen und deren Auswirkungen einzudämmen und Problemlösungen zu finden. Unternehmensweite Beurteilung durch die Geschäftsleitung Die Internal Audit-Gruppe von AWS hat vor Kurzem die AWS-Pläne zur Aufrechterhaltung des Betriebs überprüft. Diese Pläne werden in regelmäßigen Abständen durch das Senior Executive Team (setzt sich aus leitenden Angestellten zusammen) und durch das Audit Committee (Prüfungskommission) des Vorstands überarbeitet. Beachten Sie, dass EC2 am 21. April 2011 einen Service-Ausfall in der Region USA Ost verzeichnete, der Auswirkungen auf die Kunden hatte. Details zum Service-Ausfall erhalten Sie im Artikel "Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region" ( Sicherungskopien In Amazon S3, Amazon SimpleDB oder Amazon Elastic Block Store (EBS) gespeicherte Daten werden redundant an mehreren physischen Orten gespeichert. Dies gehört zur normalen Vorgehensweise für diese Services und ist kostenfrei. Amazon S3 und Amazon SimpleDB bieten eine längere Haltbarkeit von Objekten, indem sie diese beim ersten Schreibvorgang mehrfach über mehrere Rechenzentren verteilt speichern und sie anschließend aktiv weiter replizieren, falls ein Gerät nicht verfügbar ist oder falls eine Beschädigung der Daten erkannt wird. Die Amazon EBS-Replikation wird in derselben Availability Zone und nicht über mehrere Zonen verteilt gespeichert. Es wird deshalb dringend empfohlen, dass die Kunden regelmäßig Speicherauszüge erstellen und auf Amazon S3 speichern, um die Haltbarkeit der Daten zu verlängern. Kunden, die eine komplexe Transaktionsdatenbank gestaltet haben, die EBS verwendet, wird empfohlen, dass sie Sicherungskopien durch das Datenbankverwaltungssystem anfertigen und auf Amazon S3 speichern, damit die verteilten Transaktionen und Protokolle überprüft werden können. AWS erstellt keine Sicherungskopien von Daten, die auf virtuellen Festplatten verwaltet werden, die mit auf Amazon EC2 ausgeführten Instances verbunden sind. 8

9 Außerbetriebnahme von Speichergeräten Zu den AWS-Prozessen gehört u. a. ein Verfahren für die Außerbetriebnahme von Speichergeräten, die das Ende ihrer Nutzungsdauer erreicht haben. Bei diesem Verfahren wird sichergestellt, dass Kundendaten nicht an unautorisierten Personen preisgegeben werden. AWS verwendet die im DoD M ("National Industrial Security Program Operating Manual") oder in NIST ("Guidelines for Media Sanitation") beschriebenen Verfahren, um Daten im Zuge der Außerbetriebnahme zu zerstören. Falls eine Hardwarekomponente nicht mithilfe dieser Verfahren außer Betrieb genommen werden kann, wird das Gerät entmagnetisiert oder gemäß den branchenüblichen Verfahren zerstört. Fehlerisolierung AWS bietet den Kunden die Flexibilität, Instances und Daten in mehreren geografischen Regionen zu speichern. Jede Region ist eine unabhängige Sammlung von AWS-Ressourcen in einer festgelegten geografischen Position. AWS ist gegenwärtig in fünf Regionen verfügbar: USA Ost (Nord-Virginia), USA West (Nord-Kalifornien), EU (Irland), Asien-Pazifik (Singapur) und Asien-Pazifik (Tokio). Zur US-Standardregion von Amazon S3 gehören die Einrichtungen in USA Ost in Nord-Virginia und im westlichen Staat Washington. Die Auswahl einer Region innerhalb eines Raums, dessen Rechtsprechung für den Kunden akzeptabel ist, ist eine solide Grundlage für die Erfüllung der ortsabhängigen Datenschutz- und Compliance-Anforderungen, worunter zum Beispiel die Europäische Datenschutzrichtlinie fällt. Zwischen den Regionen erfolgt keine Replikation der Daten, sofern die Kunden dies nicht selbst dynamisch vornehmen. Hierdurch sind die Kunden in der Lage, je nach Datenplatzierungsart und der verschiedenen Datenschutzanforderungen rechtskonforme Umgebungen einzurichten. Es sollte beachtet werden, dass die gesamte Kommunikation zwischen den Regionen über die öffentliche Internet-Infrastruktur erfolgt. Um vertrauliche Daten zu schützen, sollten angemessene Verschlüsselungsmethoden eingesetzt werden. Innerhalb einer bestimmten Region können die Kunden mit Amazon EC2, Amazon EBS und Amazon Relational Database Service (RDS) Instances und Daten in mehreren Availability Zones speichern. Weitere Informationen erhalten Sie im Abschnitt "Verwaltung der Betriebskontinuität". Amazon S3, Amazon SimpleDB, Amazon Simple Notification Service (SNS) und Amazon Simple Queue Service (SQS) machen das Konzept der Availability Zones für Kunden nicht ersichtlich. Bei diesen Services werden die Daten automatisch auf mehreren Geräten in mehreren Standorten in einer Region gespeichert. Das folgende Diagramm zeigt die Regionen und Availability Zones in jeder Region für Amazon EC2, Amazon EBS und Amazon RDS. 9

10 Region USA Ost (Nord-Virginia) Region Europa (Irland) Availability Zone A Availability Zone C Availability Zone B Availability Zone A Availability Zone B Region USA West (Nord-Kalifornien) APAC-Region (Singapur) APAC-Region (Tokio) Availability Zone A Availability Zone B Availability Zone A Availability Zone B Availability Zone A Availability Zone B Kontosicherheitsfunktionen in Amazon AWS stellt eine Reihe von Möglichkeiten zur Identifizierung von Kunden und für den sicheren Zugriff der Kunden auf ihre AWS-Konten zur Verfügung. Eine vollständige Liste der von AWS unterstützten Anmeldeinformationen finden Sie auf der Seite mit den Sicherheits-Anmeldeinformationen unter "Mein Konto". AWS bietet außerdem zusätzliche Sicherheitsoptionen, mit denen Kunden ihr AWS-Konto und den Zugriff darauf noch besser schützen und kontrollieren können: AWS Identity and Access Management (AWS IAM), Multi-Factor Authentication (MFA) und Key Rotation. AWS Identity and Access Management (AWS IAM) Mit AWS Identity and Access Management (AWS IAM) können Kunden, mehrere Benutzer erstellen und deren Berechtigungen innerhalb ihres AWS-Kontos verwalten. Ein Benutzer ist eine Identität (innerhalb Ihres AWS-Kontos) mit eindeutigen Sicherheits-Anmeldeinformationen, die für den Zugriff auf AWS-Services verwendet werden können. Mit AWS IAM ist es nicht mehr notwendig, Kennwörter oder Zugangsschlüssel gemeinsam zu verwenden, und der Benutzerzugriff kann bei Bedarf einfach aktiviert oder deaktiviert werden. AWS IAM ermöglicht Ihnen, bewährte Sicherheitsverfahren wie das Prinzip geringstmöglicher Privilegien zu implementieren, indem Sie jedem Benutzer in Ihrem AWS-Konto eindeutige Anmeldeinformationen zuweisen und den Benutzern nur die Berechtigungen gewähren, die sie für den Zugriff auf die AWS-Services und Ressourcen benötigen, die zur Ausführung ihrer Tätigkeit erforderlich sind. AWS IAM ist standardmäßig sicher; neue Benutzer haben keinen Zugriff auf AWS, bevor explizite Berechtigungen zugewiesen werden. Mit AWS IAM können Kunden die Nutzung ihrer AWS-Konto-Anmeldeinformationen auf 10

11 ein Minimum senken. Stattdessen erfolgen alle Transaktionen mit den AWS-Services und Ressourcen über die AWS IAM Sicherheits-Anmeldeinformationen des Benutzers. Weitere Informationen zu AWS Identity and Access Management (AWS IAM) erhalten Sie auf der AWS-Website: AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) ist eine zusätzliche Sicherheitsebene mit einer erweiterten Kontrolle über Ihre AWS-Kontoeinstellungen und die Verwaltung der vom Konto abonnierten AWS-Services und Ressourcen. Wenn die Kunden diese optionale Funktion aktivieren, müssen Sie zusätzlich zu ihrem gewöhnlichen Benutzernamen und dem Kennwort einen sechsstelligen, einmal verwendbaren Code angeben, bevor der Zugriff auf ihre AWS-Kontoeinstellungen oder auf die AWS-Services und Ressourcen gewährt wird. Den einmalig verwendbaren Code erhalten die Kunden über ein in ihrem Besitz befindliches Authentifizierungsgerät. Dieser Vorgang wird als Multi-Faktor-Authentifizierung bezeichnet, da zwei Faktoren überprüft werden, bevor der Zugriff gewährt wird: Die Kunden müssen sowohl ihren Benutzernamen (beim AWS-Konto ist das die Amazon- -ID) und ihr Kennwort (der erste "Faktor": etwas, das sie kennen) sowie den exakten Code ihres Authentifizierungsgeräts (der zweite "Faktor": etwas, das sie haben) eingeben. Die Kunden können MFA-Geräte für Ihr AWS-Konto sowie für die unter ihren AWS-Konten mit AWS IAM erstellten Benutzer aktivieren. Authentifizierungsgeräte können einfach über teilnehmende Drittanbieter beschafft und über die AWS-Website eingerichtet werden. Weitere Informationen zur Multi-Faktor-Authentifizierung finden Sie auf der AWS-Website unter Schlüsselrotation (Key Rotation) Aus denselben Gründen, aus denen es wichtig ist, dass sich Kennwörter häufig ändern, empfiehlt AWS den Kunden auch, einen regelmäßigen Wechsel ihrer Zugangsschlüssel und Zertifikate. Damit dies ohne Beeinträchtigungen der Verfügbarkeit von Kundenanwendungen möglich ist, unterstützt AWS mehrere gleichlaufende Zugangsschlüssel und Zertifikate. Mit dieser Funktion können die Kunden regelmäßige Wechsel von Schlüsseln und Zertifikaten vornehmen, ohne Ausfallzeiten für ihre Anwendungen in Kauf nehmen zu müssen. So lässt sich das Risiko verlorener oder kompromittierter Zugangsschlüssel oder Zertifikate mindern. Mit den AWS IAM APIs kann ein Kunde die Zugriffsschlüssel für sein AWS-Konto ebenso wie für die darunter mit AWS IAM erstellten Benutzer rotieren. Netzwerksicherheit Das AWS-Netzwerk bietet umfassenden Schutz vor traditionellen Netzwerk-Sicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche Sicherheitsmaßnahmen implementieren. Nachfolgend sind einige Beispiele aufgeführt: Distributed Denial Of Service-(DDoS-)Angriffe AWS Application Programming Interface-(API-) Endpunkte werden auf einer großen, hochwertigen Internet-Scale- Infrastruktur gehostet, die auf demselben entwicklungstechnischen Fachwissen basiert, das auch Amazon zum weltweit größten Online-Einzelhandelsunternehmen gemacht hat. Es werden proprietäre Verfahren zur Reduzierung der Anzahl von DDoS-Angriffen eingesetzt. Darüber hinaus handelt es sich bei den Netzwerken von AWS um Multi-Homed- Netzwerke, d. h. der Datenverkehr wird über mehrere Dienstanbieterverbindungen abgewickelt, um verschiedene Internet-Zugänge bereitzustellen. Man-in-the-middle-Angriffe Sämtliche APIs von AWS sind über SSL-geschützte Endpunkte zugänglich, die für eine Server-Authentifizierung sorgen. Amazon EC2 AMIs erstellen beim ersten Boot-Vorgang automatisch neue SSH-Host-Zertifikate. Diese werden in der Instance-Konsole protokolliert. Die Kunden können dann die sicheren APIs verwenden, um eine Anfrage an die Konsole zu senden und auf die Host-Zertifikate zuzugreifen, bevor sie sich das erste Mal bei der Instance anmelden. Es wird empfohlen, dass die Kunden SSL für alle Interaktionen mit AWS verwenden. 11

12 IP-Spoofing IP-Spoofing: Amazon EC2-Instanzen können keinen gefälschten Netzwerkverkehr senden. Die AWS-gesteuerte, Hostbasierte Firewall-Infrastruktur verhindert, dass Instanzen Datenverkehr mit einer anderen als der eigenen Quell-IP- oder MAC-Adresse senden. Port-Scanning Port-Scanning: Nicht autorisierte Port-Scans durch Amazon EC2-Kunden stellen einen Verstoß gegen die AWS Acceptable Use Policy dar. Verstöße gegen die AWS AUP werden sehr ernst genommen und jeder gemeldete Verstoß wird untersucht. Kunden können mutmaßliche Verstöße an die unter genannte Kontaktadresse senden. Wird ein unautorisierter Port-Scan entdeckt, wird dieser gestoppt und blockiert. Port-Scans von Amazon EC2-Instances sind in der Regel erfolglos, da alle Eingangsports der Amazon EC2-Instances standardmäßig geschlossen sind und nur vom Kunden geöffnet werden. Eine strikte Verwaltung von Sicherheitsgruppen durch den Kunden kann weiter dazu beitragen, das Risiko von Port-Scans zu verringern. Wenn der Kunde die Sicherheitsgruppe so konfiguriert, dass Datenverkehr von beliebigen Quellen zu einem bestimmten Port zugelassen wird, ist dieser Port anfällig für Port-Scans. In diesem Fall muss der Kunde entsprechende Sicherheitsmaßnahmen ergreifen, um Listening-Services zu schützen, die für die jeweilige Anwendung wichtig sind, so dass die Services nicht von unautorisierten Port-Scans entdeckt werden. Beispiel: Für einen Webserver muss Port 80 (HTTP) offen sein, und der Administrator des Servers muss die Sicherheit der Serversoftware, z. B. Apache, gewährleisten. Die Kunden können die Erlaubnis zum Prüfen der Sicherheitslücken beantragen, um ihre besonderen Compliance-Anforderungen zu erfüllen. Diese Scans müssen sich auf die Instances des Kunden beschränken und dürfen die AUP von AWS nicht verletzen. Die erweiterte Genehmigung für diese Prüfungen kann beantragt werden, indem Sie sie über die Website unter anfordern. Packet-Sniffing durch andere Instanzen Packet-Sniffing durch andere Instanzen: Eine virtuelle Instanz, die im Promiscuous-Modus ausgeführt wird, kann keinen Datenverkehr empfangen oder sniffen, der für eine andere virtuelle Instanz bestimmt ist. Kunden können zwar den Promiscuous-Modus für ihre Schnittstellen auswählen, der Hypervisor leitet jedoch keinen Datenverkehr an sie weiter, der nicht an die Schnittstelle adressiert ist. Selbst zwei virtuelle Instances desselben Kunden, die auf dem gleichen physischen Host vorhanden sind, können nicht den Verkehr der jeweils anderen Instance abhören. Angriffe wie ARP- Cache-Poisoning sind in Amazon EC2 und Amazon VPC nicht wirksam. Obwohl Amazon EC2 umfassenden Schutz vor Kunden bietet, die versehentlich oder böswillig versuchen, die Daten eines anderen Kunden einzusehen, sollte jeder Kunde vertraulichen Datenverkehr standardmäßig verschlüsseln. Amazon Elastic Compute Cloud (Amazon EC2) Sicherheit Die Sicherheit in Amazon EC2 wird auf mehreren Ebenen gewährleistet: durch das Betriebssystem des Host-Systems, das Betriebssystem der virtuellen Instance oder das Gastbetriebssystem, eine Firewall und signierte API-Anfragen. Jedes dieser Elemente baut auf den Funktionen der anderen Elemente auf. Ziel hierbei ist es, sicherzustellen, dass die in Amazon EC2 enthaltenen Daten nicht von unautorisierten Systemen oder Benutzern abgefangen werden können, und dass die Amazon EC2-Instances so sicher wie möglich sind ohne dabei Zugeständnisse bei der von den Kunden geforderten Flexibilität in Bezug auf die Konfiguration zu machen. Mehrere Sicherheitsebenen Host-Betriebssystem: Administratoren, die aus Geschäftsgründen Zugriff auf die Verwaltungsebene benötigen, müssen die Multi-Faktor-Authentifizierung verwenden, um Zugriff auf die speziell entwickelten Verwaltungs-Hosts zu erhalten. Bei diesen Verwaltungs-Hosts handelt es sich um Systeme, die eigens zum Schutz der Verwaltungsebene der Cloud entworfen, konstruiert, konfiguriert und gehärtet wurden. Jeder Zugriff wird protokolliert und überprüft. Wenn ein Mitarbeiter keinen Zugriff mehr auf die Verwaltungsebene benötigt, werden die entsprechenden Berechtigungen und der Zugriff auf diese Hosts und die zugehörigen Systemen widerrufen. 12

13 Gast-Betriebssystem: Die virtuellen Instanzen werden vollständig vom Kunden gesteuert. Die Kunden haben vollständigen Root-Zugriff oder die verwaltungstechnische Kontrolle über Konten, Dienste und Anwendungen. AWS hat keine Zugriffsberechtigungen für Kunden-Instances und kann sich nicht beim Gastbetriebssystem anmelden. AWS empfiehlt eine Reihe in der Praxis am besten bewährter Prozesse für die Sicherheit: Kunden sollten den kennwortbasierten Zugriff auf ihre Hosts deaktivieren und eine Multi-Faktor-Authentifizierung für den Zugriff auf ihre Instances verwenden (oder zumindest einen Zertifikats-basierten SSH2-Zugriff). Darüber hinaus sollten Kunden einen Berechtigungs-Eskalationsmechanismus mit Protokollierung auf Benutzerbasis einsetzen. Ist das Gastbetriebssystem beispielsweise Linux, sollten die Kunden nach der Instance-Härtung ein zertifikatsbasiertes SSH2 für den Zugriff auf die virtuelle Instance verwenden, die Root-Anmeldung per Fernzugriff deaktivieren, die Befehlszeilenprotokollierung nutzen und "sudo" für die Berechtigungs-Eskalation verwenden. Die Kunden sollten ihre eigenen Schlüsselpaare generieren, um sicherzustellen, dass diese einmalig sind und nicht gemeinsam mit anderen Kunden oder AWS verwendet werden. Firewall: Amazon EC2 stellt eine vollständige Firewall-Lösung bereit. Diese obligatorische Firewall für eingehenden Datenverkehr ist standardmäßig im DENY-ALL-Modus konfiguriert, und Amazon EC2-Kunden müssen explizit alle benötigten Ports öffnen, um eingehenden Datenverkehr zuzulassen. Der Datenverkehr kann anhand des Protokolls, des Service-Ports und anhand der Quell-IP-Adresse (einzelne IP-Adresse oder Classless Inter-Domain Routing-(CIDR-) Block) beschränkt werden. Die Firewall kann in Gruppen konfiguriert werden, die unterschiedliche Regeln für verschiedene Instance-Klassen zulassen. Nehmen wir als Beispiel eine herkömmliche dreistufige Web-Anwendung. Die Gruppe der Web-Server hat Port 80 (HTTP) und/oder Port 443 (HTTPS) offen fürs Internet. Die Gruppe für den Anwendungs-Server würde Port 8000 (Anwendungsspezifisch) als einzigen Zugang zur Web-Server-Gruppe haben. Die Gruppe für die Datenbank würde Port 3306 (MySQL) als einzigen Zugang zur Anwendungs-Server-Gruppe haben. Alle drei Gruppen würden administrativen Zugang über Port 22 (SSH) erlauben, aber nur für das Unternehmensnetzwerk des Kunden. Mit Hilfe dieses wirkungsvollen Mechanismus können hochsichere Anwendungen bereitgestellt werden. Siehe nachfolgendes Diagramm: Die Firewall wird nicht über das Gastbetriebssystem gesteuert. Stattdessen sind das X.509-Zertifikat und der Schlüssel des Benutzers erforderlich, um Änderungen zu autorisieren. So wird eine zusätzliche Sicherheitsebene garantiert. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instances und in der Firewall. Der Kunde ist deshalb in der Lage, mithilfe der Aufgabenteilung zusätzliche Sicherheitsmaßnahmen zu 13

14 implementieren. Die Sicherheitsstufe der Firewall bestimmt, welche Ports wie lange und für welchen Zweck vom Kunden geöffnet werden. Standardmäßig wird der gesamte eingehende Datenverkehr abgelehnt. Die Kunden sollten deshalb sorgfältig planen, welche Ports beim Erstellen und Sichern ihrer Anwendungen geöffnet werden. Für jede Instance ist auch weiterhin eine intelligente Verwaltung des Datenverkehrs und eine intelligente Sicherheitsplanung erforderlich. AWS empfiehlt Kunden darüber hinaus die zusätzliche Anwendung Instance-basierter Filter mit Host-basierten Firewalls wie IPtables oder der Windows Firewall und IPsec. Auf diese Weise kann sowohl der eingehende als auch der ausgehende Datenverkehr für jede Instance eingeschränkt werden. API-Abfragen zum Starten und Beenden von Instances, Ändern von Firewall-Parametern und Ausführen anderer Funktionen werden alle vom Amazon Secret Access Key (geheimer Zugriffsschlüssel), des Kunden signiert. Hierbei kann es sich entweder um den AWS Accounts Secret Access Key oder um den geheimen Zugriffsschlüssel eines mit AWS IAM erstellten Benutzers handeln. Ohne Zugriff auf den Secret Access Key des Kunden oder das X.-Zertifikat können keine Amazon EC2-Anfragen für den Kunden durchgeführt werden. Darüber hinaus können API-Anfragen mithilfe von SSL verschlüsselt werden, um die Geheimhaltung zu wahren. Amazon empfiehlt, stets SSL-geschützte API-Endpunkte zu verwenden. Mit AWS IAM kann ein Kunde zudem steuern, welche APIs ein mit AWS IAM erstellter Benutzer aufrufen darf. Der Hypervisor Amazon EC2 verwendet derzeit eine hochgradig angepasste Version des Xen-Hypervisors und nutzt so die Vorteile der Paravirtualisierung (im Falle von Linux-Gästen). Da paravirtualisierte Gäste darauf angewiesen sind, dass der Hypervisor Betriebsabläufe unterstützt, für die normalerweise Zugriffsberechtigungen erforderlich sind, hat das Gastbetriebssystem keinen erweiterten Zugriff auf die CPU. Die CPU stellt vier separate Berechtigungsmodi zur Verfügung, 0-3, die als Ringe bezeichnet werden. Ring 0 hat die meisten Berechtigungen und Ring 3 die wenigsten. Das Host-Betriebssystem wird in Ring 0 ausgeführt. Anstatt in Ring 0 ausgeführt zu werden, wie der Großteil aller Betriebssysteme, wird das Gastbetriebssystem in Ring 1 ausgeführt, der über weniger Berechtigungen verfügt. Anwendungen werden in Ring 3 ausgeführt, der die wenigsten Berechtigungen hat. Durch diese explizite Virtualisierung der physischen Ressourcen wird eine klare Trennung von Gast und Hypervisor ermöglicht. Das Ergebnis ist eine zusätzliche Trennung im Sicherheitsbereich zwischen beiden. Isolierung von Instances Unterschiedliche Instances, die auf demselben Rechner ausgeführt werden, werden durch den Xen-Hypervisor voneinander isoliert. Amazon ist aktives Mitglied der Xen-Community und ist somit stets über die neuesten Entwicklungen auf dem Laufenden. Darüber hinaus ist die AWS-Firewall in der Hypervisor-Schicht zwischen der physischen Netzwerkschnittstelle und der virtuellen Schnittstelle der Instance angeordnet. Alle Pakete müssen diese Schicht durchlaufen. Die Nachbarn einer Instance haben deshalb genauso wenig Zugriff auf die Instance wie ein anderer Internet-Host und können so behandelt werden, als ob sie auf einem separaten physischen Host residieren. Der physische Arbeitsspeicher wird mit Hilfe ähnlicher Mechanismen getrennt gehalten. 14

15 Kunden-Instanzen haben keinen Zugriff auf Raw- Festplatten-Geräte. Sie können stattdessen auf virtualisierte Festplatten zugreifen. Die proprietäre Festplatten-Virtualisierungsebene von AWS setzt automatisch jeden vom Kunden genutzten Speicherblock zurück. Dadurch wird sichergestellt, dass die Daten eines Kunden nie unbeabsichtigterweise für einen anderen Kunden sichtbar werden. AWS empfiehlt Kunden, ihre Daten mithilfe geeigneter Mittel und Maßnahmen zusätzlich zu schützen. Eine häufig verwendete Lösung besteht darin, ein verschlüsseltes Dateisystem auf dem virtualisierten Festplattengerät auszuführen. Elastic Block Storage (Amazon EBS) Sicherheit Der Zugriff auf die Amazon EBS-Datenträger ist auf die AWS-Konten-ID beschränkt, die den Datenträger erstellt hat, und auf die mit AWS IAM erstellten Benutzer unter dem AWS-Konto, falls diese auf die EPS-Operationen Zugriff haben. Allen anderen Konten wird die Einsicht oder der Zugriff auf den Datenträger verweigert. Ein Kunde kann jedoch einen Amazon S3-Speicherauszug von dem Amazon EBS-Datenträger erstellen und anderen AWS-Konten die Verwendung von gemeinsamen Snapshots als Basis für die Erstellung der eigenen Datenträger ermöglichen. Die Kunden haben ebenfalls die Möglichkeit, die Speicherauszüge der Amazon EBS-Datenträger allen AWS-Konten öffentlich zugänglich zu machen. Der Austausch von Speicherauszügen der Amazon EBS-Datenträger gibt anderen AWS-Konten nicht das Recht, den Originalspeicherauszug zu ändern oder zu löschen, da dieses Recht ausdrücklich dem AWS-Konto vorbehalten ist, das den Datenträger erstellt hat. Ein EBS-Speicherauszug ist eine Blockebenenansicht eines gesamten EBS-Datenträgers. Daten, die über das Dateisystem auf dem Datenträger nicht sichtbar sind was zum Beispiel bei gelöschten Dateien der Fall ist, können im EBS-Speicherauszug vorhanden sein. Kunden, die einen Speicherauszug erstellen möchten, der von anderen genutzt werden soll, müssen sehr sorgfältig arbeiten. Wenn ein Datenträger vertrauliche Daten enthielt oder Dateien von diesem Datenträger gelöscht wurden, sollte ein neuer EBS-Datenträger erstellt werden. Die Daten, die in dem für die gemeinsame Nutzung bestimmten Speicherauszug enthalten sein soll, sollten kopiert und auf den neuen Datenträger übertragen werden. Anschließend sollte ein Speicherauszug von dem neuen Datenträger erstellt werden. Die Amazon-EBS-Datenträger werden den Kunden als unformatierte Raw-Blockgeräte zur Verfügung gestellt, deren Daten gelöscht wurden, bevor die Geräte zur Verwendung bereitgestellt werden. Die Kunden, deren Verfahren es erforderlich machen, dass alle Daten mittels einer bestimmten Methode gelöscht werden, haben auf Amazon EBS die Möglichkeit dazu. Zu diesen Methoden gehören beispielsweise jene, die im DoD M ("National Industrial Security Program Operating Manual") oder in NIST ("Guidelines for Media Sanitization") ausführlich beschrieben werden. Damit sie ihre festgelegten Anforderungen erfüllen, sollten die Kunden einen speziellen Formatierungsvorgang vornehmen, bevor sie den Datenträger löschen. Die Verschlüsselung vertraulicher Daten stellt in der Regel eine gute Sicherheitsmaßnahme dar, und AWS empfiehlt den Benutzern, ihre vertraulichen Daten über einen Algorithmus zu 15

16 verschlüsseln, der mit ihren festgelegten Sicherheitsrichtlinien übereinstimmt. Amazon Virtual Private Cloud (Amazon VPC) Sicherheit Die Sicherheit innerhalb der Amazon Virtual Private Cloud beginnt mit dem grundlegenden Konzept einer VPC und enthält die Sicherheitsgruppen, die Netzwerkzugriffssteuerungslisten (ACLs), das Routing und die externen Gateways. Jedes dieser Elemente trägt zur Bereitstellung eines sicheren isolierten Netzwerks bei, das durch eine selektive Aktivierung des direkten Internet-Zugriffs oder durch eine private Verbindung mit einem anderen Netzwerk erweitert werden kann. Im Folgenden werden die verschiedenen Sicherheitsstufen in der Amazon VPC beschrieben. Es folgt ein Diagramm, indem gezeigt wird, wie die Amazon VPC-Komponenten miteinander in Verbindung stehen. Mehrere Sicherheitsebenen Virtual Private Cloud: Jede VPC ist ein einzelnes, isoliertes Netzwerk innerhalb der Cloud. Zum Zeitpunkt der Erstellung wird ein IP-Adressenbereich für jede VPC vom Kunden ausgewählt. Der Netzwerkverkehr ist innerhalb jeder VPC von allen anderen VPCs isoliert. Daher dürfen mehrere VPCs überlappende (sogar identische) IP-Adressbereiche ohne Verlust dieser Isolation verwenden. Standardmäßig verfügen VPCs über keine externen Verbindungen. Kunden können ein Internet-Gateway, VPN-Gateway oder beides erstellen und anschließen, um eine externe Konnektivität herzustellen. Das hängt von den folgenden Steuerelementen ab. API: Abfragen zum Erstellen und Löschen von VPCs, Ändern des Routing, der Sicherheitsgruppe und der Netzwerk- ACL-Parameter sowie das Ausführen anderer Funktionen werden alle vom Amazon Secret Access Key (geheimer Zugriffsschlüssel) des Kunden signiert. Hierbei kann es sich entweder um den AWS Accounts Secret Access Key oder um den geheimen Zugriffsschlüssel eines mit AWS IAM erstellten Benutzers handeln. Ohne Zugriff auf den Secret Access Key des Kunden können keine Amazon VPC API-Abfragen für den Kunden ausgeführt werden. Darüber hinaus können API- Anfragen mithilfe von SSL verschlüsselt werden, um die Geheimhaltung zu wahren. Amazon empfiehlt, stets SSLgeschützte API-Endpunkte zu verwenden. Mit AWS IAM kann ein Kunde zudem steuern, welche APIs ein neu erstellter Benutzer aufrufen darf. Subnetze: Kunden erstellen ein oder mehrere Subnetze innerhalb jeder VPC. Jede in der VPC gestartete Instance wird mit einem Subnetz verbunden. Herkömmliche Layer 2-Sicherheitsangriffe, einschließlich MAC-Spoofing und ARP- Spoofing werden blockiert. Routing-Tabellen und Routen: Jedem Subnetz in einer VPC wird eine Routing-Tabelle zugewiesen und der gesamte Netzwerkverkehr, der ein Subnetz verlässt, wird von der Routing-Tabelle verarbeitet, um die Ziele zu ermitteln. VPN-Gateway: Ein VPN-Gateway ermöglicht eine private Verbindung zwischen der VPC und einem anderen Netzwerk. Der Netzwerkverkehr innerhalb jedes VPN-Gateways ist von dem Netzwerkverkehr in allen anderen VPN-Gateways isoliert. Die Kunden können VPN-Verbindungen mit dem VPN-Gateway von Gateway-Geräten am Kundenstandort einrichten. Jede Verbindung wird durch einen Pre-Shared-Key gemeinsam mit der IP-Adresse des Kunden-Gateway- Geräts gesichert. Internet Gateway: Ein Internet-Gateway kann an eine VPC angehängt werden, um eine direkte Verbindung mit Amazon S3, anderen AWS-Services und dem Internet herzustellen. Jede Instance, für die dieser Zugriff verfügbar sein soll, muss entweder über eine ihr zugewiesene IP-Adresse verfügen oder den Datenverkehr über eine NAT-Instance leiten. Außerdem müssen Netzwerk-Routen konfiguriert werden (siehe oben), über die der Datenverkehr über das Internet-Gateway geleitet wird. AWS bietet Referenz-NAT-AMIs, die gemäß der Kunden erweitert werden können, um eine Netzwerkprotokollierung, Deep-Packet-Inspection, Filterung der Anwendungsebene oder andere Sicherheitsfunktionen zu übernehmen. 16

17 Dieser Zugriff kann nur geändert werden, wenn die Amazon VPC-APIs aufgerufen werden. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instances und im Internet- Gateway. Der Kunde ist deshalb in der Lage, mithilfe der Aufgabenteilung zusätzliche Sicherheitsmaßnahmen zu implementieren. Amazon EC2-Instances: Amazon EC2-Instances, die gemeinsam mit einer Amazon VPC ausgeführt werden, enthalten alle oben beschriebenen Vorteile in Bezug auf das Host-Betriebssystem, das Gastbetriebssystem, den Hypervisor, die Instance-Isolierung und den Schutz gegen Packet-Sniffing. Tenancy: Die VPC ermöglicht Kunden das Starten von Amazon EC2-Instances, die physisch auf Host-Hardware-Ebene isoliert sind. Diese werden auf Single-Tenant-Hardware ausgeführt. Eine VPC kann mit einer zugeordneten Tenancy erstellt werden. In diesem Fall werden all in der VPC gestarteten Instances diese Funktion verwenden. Alternativ kann eine VPC mit einer Standard-Tenancy erstellt werden. Die Kunden können für bestimmte Instances, die in der VPC gestartet werden jedoch eine zugeordnete Tenancy angeben. Firewall (Sicherheitsgruppen): Wie Amazon EC2 unterstützt die Amazon VPC eine umfassende Firewall-Lösung, die eine Filterung des eingehenden und ausgehenden Datenverkehrs einer Instance ermöglicht. Die Standardgruppe erlaubt eingehenden Datenverkehr von anderen Mitgliedern derselben Gruppe und ausgehenden Datenverkehr an alle Ziele. Der Datenverkehr kann anhand des IP-Protokolls, des Service-Ports und anhand der Quell-/Ziel-IP-Adresse (einzelne IP-Adresse oder Classless Inter-Domain Routing-(CIDR-) Block) beschränkt werden. Die Firewall wird nicht über das Gastbetriebssystem gesteuert und kann nur durch das Aufrufen der Amazon VPC-APIs geändert werden. AWS unterstützt die Genehmigung eines granularen Zugriffs auf verschiedene Verwaltungsfunktionen auf den Instances und in der Firewall. Der Kunde ist deshalb in der Lage, mithilfe der Aufgabenteilung zusätzliche Sicherheitsmaßnahmen zu implementieren. Die Sicherheitsstufe der Firewall bestimmt, welche Ports wie lange und für welchen Zweck vom Kunden geöffnet werden. Für jede Instance ist auch weiterhin eine intelligente Verwaltung des Datenverkehrs und eine intelligente Sicherheitsplanung erforderlich. AWS empfiehlt Kunden darüber hinaus die zusätzliche Anwendung Instance-basierter Filter mit Host-basierten Firewalls, z. B. IPtables oder die Windows Firewall. Netzwerk-Zugriffskontrolllisten (ACL): Sie können in der Amazon VPC eine weitere Sicherheitsebene hinzufügen, indem Sie Netzwerk-Zugriffskontrolllisten konfigurieren. Bei diesen handelt es sich um zustandslose Datenverkehrsfilter, die für den gesamten eingehenden oder ausgehenden Datenverkehr eines Subnetzes in der VPC gelten. Diese ACLs können geordnete Regeln enthalten, die den Datenverkehr je nach dem IP-Protokoll, dem Service-Port sowie der Quell-/Ziel-IP- Adresse erlauben oder verweigern. Wie Sicherheitsgruppen werden Netzwerk-ACLs über die Amazon VPC-APIs verwaltet. Durch die Aufgabenteilung wird eine weitere Schutzfunktion hinzugefügt. Netzwerksicherheit Übersicht Im folgenden Diagramm sehen Sie, wie die obigen Sicherheitselemente voneinander abhängen, flexible Netzwerktopologien ermöglichen und dennoch eine umfassende Kontrolle über den Fluss des Netzwerkdatenverkehrs ermöglichen. 17

18 Amazon Simple Storage Service (Amazon S3) Sicherheit Bei allen gemeinsam genutzten Speichersystemen lautet die am häufigsten gestellte Sicherheitsfrage, ob unautorisierte Benutzer vorsätzlich oder versehentlich auf Daten zugreifen können. Damit die Kunden ganz flexibel bestimmen können, wie, wann und wem sie die in AWS gespeicherten Daten zur Verfügung stellen möchten, bieten die Amazon S3 APIs Zugriffskontrollen sowohl auf Bucket- als auch auf Objektebene, deren Standardeinstellungen nur dem Bucket- und/oder Objektersteller den authentifizierten Zugriff gestatten. Wenn ein Kunde keinen anonymen Zugriff auf seine Daten gewährt, muss der Benutzer (entweder ein AWS-Konto oder ein mit AWS IAM erstellter Benutzer) zuerst mithilfe einer HMAC-SHA1-Signatur der Anforderung, die den privaten Schlüssel des Benutzers verwendet, authentifiziert werden, bevor er auf Daten zugreifen kann. Ein authentifizierter Benutzer kann ein Objekt nur lesen, wenn er in einer Zugriffskontrollliste (Access Control Liste, ACL) auf Objektebene Leseberechtigungen erhalten hat. Ein authentifizierter Benutzer kann nur dann Schlüssel auflisten und Objekte in einem Bucket erstellen oder überschreiben, wenn er in der ACL auf Bucket-Ebene Lese- und Schreibberechtigungen über AWS IAM erhalten hat. ACLs auf Bucket- und Objektebene sind voneinander unabhängig. Ein Objekt übernimmt nicht die ACLs seines Buckets. Die Berechtigungen zum Lesen oder Ändern des Buckets oder der Objekt-ACLs werden wiederum mithilfe von ACLs gesteuert, deren Standardeinstellung nur dem Ersteller Zugriff bietet. Auf diese Weise behält der Kunde die vollständige Kontrolle darüber, wer Zugriff auf seine 18

19 Daten hat. Die Kunden können anderen AWS-Konten über die AWS-Konto-ID, über oder über die DevPay- Produkt-ID Zugriff auf ihre Amazon S3-Daten gewähren. Darüber hinaus können die Kunden allen AWS-Konten oder allen Benutzern (durch Aktivierung des anonymen Zugriffs) Zugriff auf ihre Amazon S3-Daten gewähren. Datenverwaltung Der Zugriff auf Amazon S3 ist über SSL-Endpunkte möglich, um maximale Sicherheit zu gewährleisten. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. So wird eine sichere Datenübertragung in AWS und von und zu externen Quellen sichergestellt. Um nicht genutzte Daten zu schützen, müssen diese physisch gesichert und verschlüsselt werden. Wie bereits unter "Physische Sicherheit" erwähnt, setzt Amazon mehrere Ebenen von physischen Sicherheitsmaßnahmen zum Schutz nicht genutzter Kundendaten ein. Beispielsweise ist der Zutritt zu den Amazon -Rechenzentren auf eine Liste von Amazon- Mitarbeitern beschränkt, die regelmäßig überprüft wird. Die Verschlüsselung vertraulicher Daten stellt in der Regel eine gute Sicherheitsmaßnahme dar, und Amazon empfiehlt den Benutzern, ihre vertraulichen Daten vor dem Hochladen in Amazon S3 zu verschlüsseln. Wird ein Objekt aus Amazon S3 gelöscht, wird die Zuordnung zwischen dem öffentlichen Namen und dem Objekt sofort gelöscht. Dieser Vorgang wird normalerweise innerhalb weniger Sekunden im gesamten verteilten System durchgeführt. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf das gelöschte Objekt. Der so gewonnene Speicherplatz wird dann wieder vom System verwendet. Amazon wurde auf eine Objektzuverlässigkeit von 99, % über ein Jahr ausgelegt. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3 Region redundant gespeichert. Um die Beständigkeit zu gewährleisten, speichert Amazon die Daten mittels S3 PUT- und COPY-Operationen synchron an mehreren Standorten, bevor SUCCESS gemeldet wird. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit Ihrer Objekte durch schnelle Erfassung und Behebung aller Redudanzverluste. Amazon S3 überprüft auch regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. Darüber hinaus berechnet Amazon S3 Prüfsummen des gesamten Netzwerkverkehrs, um beschädigte Datenpakete beim Speichern oder Empfangen von Daten festzustellen. Amazon S3 bietet zusätzlichen Schutz durch Versioning. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Amazon S3 Bucket zu speichern, abzurufen oder wiederherzustellen. Mit Versioning können Sie Daten nach unbeabsichtigten Nutzeraktionen und Anwendungsfehlern im Handumdrehen wiederherstellen. Standardmäßig stellt eine Anforderung die zuletzt gespeicherte Version wieder her. Ältere Versionen eines Objekts können wiederhergestellt werden, wenn die gewünschte Version in der Anforderung spezifiziert wird. Sie können Ihre Versionen noch sicherer machen. Nutzen Sie dazu die MFA-Löschfunktion von Amazon S3. Sobald diese Funktion für einen S3- Bucket aktiviert ist, muss jeder Antrag für die Löschung einer Version den sechsstelligen Code und die Seriennummer von Ihrem Multi-Factor Authentication-Gerät enthalten. Zugriffsprotokollierung Ein Amazon S3 Bucket kann so konfiguriert werden, dass er den Zugriff auf den Bucket und die darin enthaltenen Objekte protokolliert. Das Zugriffsprotokoll enthält Einzelheiten über jede Zugriffsanfrage, einschließlich der Art der Anfrage, der angefragten Ressource, der IP-Adresse der Person, die die Anfrage stellte, sowie Uhrzeit und Datum der Anfrage. Wenn die Protokollfunktion für einen Bucket aktiviert ist, werden in regelmäßigen Abständen Protokolldaten in Protokolldateien gesammelt und an den bestimmten Amazon S3 Bucket verschickt. 19

20 Amazon Simple Data Base (SimpleDB) Sicherheit Die Amazon SimpleDB APIs stellen Kontrollfunktionen auf Domänenebene zur Verfügung, die nur dem Ersteller der Domäne den authentifizierten Zugriff ermöglichen. Der Kunde behält somit die vollständige Kontrolle darüber, wer Zugriff auf seine Daten hat. Der Amazon SimpleDB-Zugriff kann auf Basis einer AWS-Konto-ID genehmigt werden. Nach der Authentifizierung hat das AWS-Konto vollständigen Zugriff auf alle Benutzervorgänge. Der Zugriff auf die einzelnen Domänen wird durch eine unabhängige Zugriffskontrollliste gesteuert, die authentifizierte Benutzer ihren eigenen Domänen zuordnet. Ein mit AWS IAM erstellter Benutzer hat ausschließlich Zugriff auf die Operationen und Domains, für die er über eine Richtlinie eine Berechtigung erhalten hat. Der Zugriff auf Amazon SimpleDB ist über SSL-verschlüsselte Endpunkte möglich. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. Die in Amazon SimpleDB gespeicherten Daten werden nicht von AWS verschlüsselt. Der Kunde kann diese jedoch vor dem Hochladen in Amazon SimpleDB verschlüsseln. Diese verschlüsselten Attribute sind nur im Rahmen eines GET-Vorgangs abrufbar. Sie können nicht als Teil einer Abfragefilterbedingung verwendet werden. Eine Verschlüsselung vor der Übermittlung der Daten an Amazon SimpleDB schützt vor jeglichem Zugriff auf vertrauliche Kundendaten, einschließlich durch AWS. Datenverwaltung in Amazon SimpleDB Wird eine Domäne aus Amazon SimpleDB gelöscht, wird die Domänenzuordnung sofort gelöscht. Dieser Vorgang wird normalerweise innerhalb weniger Sekunden im gesamten verteilten System durchgeführt. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf die gelöschte Domäne. Werden Element- und Attributdaten in einer Domäne gelöscht, wird die Zuordnung in der Domäne sofort gelöscht und in der Regel innerhalb von wenigen Sekunden abgeschlossen. Sobald die Zuordnung gelöscht ist, besteht kein Fernzugriff mehr auf die gelöschten Daten. Der Speicherbereich steht dann nur für Schreibvorgänge zur Verfügung, und die Daten werden durch neu gespeicherte Daten überschrieben. Amazon Relational Database Service (Amazon RDS) - Sicherheit Mit dem Amazon RDS können Sie rasch eine relationale Datenbankinstanz erstellen und die zugehörigen Computing- Ressourcen sowie die Speicherkapazität flexibel skalieren, um sie an die Anwendungsanforderungen anzupassen. Amazon RDS verwaltet die Datenbankinstanz für sie. Dabei werden Sicherungskopien erstellt und die Ausfallsicherung sowie die Datenbanksoftware werden verwaltet. Der Zugriff auf die Amazon RDS-Datenbankinstanz wird vom Kunden über Datenbanksicherheitsgruppen gesteuert. Diese entsprechen den Amazon EC2-Sicherheitsgruppen, sind jedoch nicht untereinander austauschbar. Die Datenbanksicherheitsgruppen werden standardmäßig in den Zugriffsmodus "DENYALL" zurückgesetzt, und die Kunden müssen den Netzwerkzugriff speziell autorisieren. Dies kann auf zweierlei Weise geschehen: durch Autorisierung eines Netzwerk-IP-Bereichs oder durch Autorisierung einer vorhandenen Amazon EC2-Sicherheitsgruppe. Datenbank- Sicherheitsgruppen beschränken den Zugriff auf den Port des Datenbankservers (alle anderen Ports werden blockiert). Sie können ohne Neustart der Amazon RDS-Datenbankinstanz aktualisiert werden, so dass die Kunden ihren Datenbankzugriff nahtlos steuern können. Mit AWS IAM kann der Kunde den Zugriff auf seine RDS DB-Instances noch weiter steuern. Mit AWS IAM kann ein Kunde steuern, welche RDS-Operationen die einzelnen AWS IAM-Benutzer aufrufen dürfen. 20

21 Amazon RDS generiert ein SSL-Zertifikat für jede Datenbankinstanz, wodurch Kunden ihre DB-Instance-Verbindungen verschlüsseln können, um für mehr Sicherheit zu sorgen. Wenn eine API zum Löschen einer Amazon RDS-Datenbankinstanz ausgeführt wurde (DeleteDBInstance), wird die Datenbankinstanz für den Löschvorgang gekennzeichnet. Wird der Status "Wird gelöscht" nicht mehr für die Instance angezeigt, bedeutet dies, dass sie gelöscht wurde. Zu diesem Zeitpunkt kann nicht mehr auf die Instance zugegriffen werden. Wenn keine endgültige Kopie in Form eines Speicherauszugs angefordert wurde, kann die Instance nicht mehr wiederhergestellt werden und wird von keinem der Tools oder APIs aufgelistet. Amazon Simple Queue Service (Amazon SQS) - Sicherheit Amazon SQS ist ein extrem zuverlässiger, skalierbarer Service für Nachrichten-Warteschlangen, der eine asynchrone, nachrichtenbasierte Kommunikation zwischen den verteilten Komponenten einer Anwendung ermöglicht. Diese Komponenten können Computer oder Amazon EC2-Instances oder eine Kombination aus beiden sein. Mithilfe von Amazon SQS können Sie jederzeit und von jeder Komponente eine beliebige Anzahl von Nachrichten an eine Amazon SQS-Warteschlange senden. Die Nachricht kann von derselben oder einer anderen Komponente abgerufen werden, entweder sofort oder zu einem späteren Zeitpunkt (innerhalb von 4 Tagen). Die Nachrichten sind äußerst langlebig. Jede Nachricht wird persistent in hochverfügbaren und äußerst zuverlässigen Warteschlangen gespeichert. Mehrere Prozesse können gleichzeitig in eine Amazon SQS-Warteschlange schreiben bzw. aus dieser lesen, ohne dass sich die Prozesse gegenseitig behindern. Der Zugriff auf Amazon SQS wird auf der Grundlage eines AWS-Kontos oder für einen AWS IAM erstellten Benutzer gewährt. Nach der Authentifizierung hat das AWS-Konto vollständigen Zugriff auf alle Benutzervorgänge. Ein AWS IAM-Benutzer hat jedoch nur Zugriff auf die Operationen und Warteschlangen, für die er aufgrund einer Richtlinie Berechtigungen erhalten hat. Der Zugriff auf eine Warteschlange ist standardmäßig auf das AWS-Konto beschränkt, das die Warteschlange erstellt hat. Ein Kunde kann jedoch anderen den Zugriff auf eine Warteschlange gestatten. Dies geschieht entweder über eine SQS-generierte oder eine vom Benutzer erstellte Richtlinie. Der Zugriff auf Amazon SQS ist über SSL-verschlüsselte Endpunkte möglich. Auf die verschlüsselten Endpunkte kann sowohl über das Internet als auch von Amazon EC2 zugegriffen werden. Die in Amazon SQS gespeicherten Daten werden nicht von AWS verschlüsselt. Der Benutzer kann Daten jedoch vor dem Hochladen in Amazon SQS verschlüsseln, vorausgesetzt die Anwendung, die die Warteschlange verwendet, kann die Nachricht nach dem Empfang entschlüsseln. Eine Verschlüsselung der Nachrichten vor der Übermittlung an Amazon SQS schützt vor Zugriff durch nicht autorisierte Personen auf vertrauliche Kundendaten, einschließlich durch AWS. Amazon Simple Notification Service (Amazon SNS) Sicherheit Amazon Simple Notification Service (Amazon SNS) ist ein Web-Service zum einfachen Einrichten, Handhaben und Versenden von Benachrichtigungen über die Cloud. Er bietet Entwicklern eine hochgradig skalierbare, flexible und kosteneffektive Plattform zur Veröffentlichung von Nachrichten aus einer Anwendung und ihrer unmittelbaren Übermittlung an Abonnenten und andere Anwendungen. Über die benutzerfreundliche Web-Service-Oberfläche von Amazon SNS können Sie Themen zur Benachrichtigung von Anwendungen (oder Personen) erstellen, Client-Abonnements für diese Themen einrichten, Nachrichten veröffentlichen und diese über das gewünschte Client-Protokoll (d. h. HTTP, usw.) übermitteln. Amazon SNS übermittelt Benachrichtigungen mittels eines Push-Mechanismus an Clients, sodass auf Seite der Clients nicht mehr regelmäßig neue Informationen oder Updates abgerufen werden müssen. Mit Unterstützung von Amazon SNS lassen sich hochgradig zuverlässige, ereignisgesteuerte Workflows und Nachrichtenanwendungen erstellen, ohne dass hierfür komplexe Middleware und Anwendungsverwaltung erforderlich sind. Potenzielle Anwendungsbereiche für Amazon SNS sind die 21

22 Anwendungsüberwachung, Workflow-Systeme, zeitkritische Informations-Updates, mobile Anwendungen und vieles mehr. Wie bei allen Amazon Web Services fallen keine Vorabkosten an, und Sie zahlen nur für die Ressourcen, die Sie tatsächlich nutzen. Amazon SNS bietet Zugriffskontrollmechanismen, mit denen sichergestellt werden kann, dass Themen und Nachrichten vor nicht autorisierten Zugriffsversuchen geschützt sind. Eigentümer von Themen können Richtlinien aufstellen, mit denen festgelegt wird, wer Nachrichten für ein bestimmtes Thema veröffentlichen oder abonnieren kann. Darüber hinaus können die Eigentümer von Themen Benachrichtigungen verschlüsseln, indem sie HTTPS als Übertragungsmethode wählen. Der Zugriff auf Amazon SNS wird auf der Grundlage eines AWS-Kontos oder für einen mit AWS IAM erstellten Benutzer gewährt. Nach der Authentifizierung hat das AWS-Konto vollständigen Zugriff auf alle Benutzervorgänge. Ein AWS IAM- Benutzer hat jedoch nur Zugriff auf die Operationen und Themen, für die er aufgrund einer Richtlinie Berechtigungen erhalten hat. Der Zugriff auf eine einzelnes Thema ist standardmäßig auf das AWS-Konto beschränkt, das es erstellt hat. Ein Kunde kann jedoch anderen den Zugriff auf eine Warteschlange gestatten. Dies geschieht entweder über eine SNSgenerierte oder eine vom Benutzer erstellte Richtlinie. Amazon CloudWatch Sicherheit Der Web-Service Amazon CloudWatch bietet die Überwachung von AWS Cloud-Ressourcen und beginnt dabei mit Amazon EC2. Sie erhalten Einsicht in die Ressourcenauslastung, betriebliche Leistung sowie allgemeine Anforderungsmuster. Dazu zählen auch Kennzahlen wie die CPU-Auslastung, Lese- und Schreibvorgänge auf Speichermedien und der Netzwerkverkehr. Amazon CloudWatch erfordert, wie alle AWS-Services, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer auf CloudWatch zugreifen und es verwalten. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Darüber hinaus ist der Zugriff auf die Amazon CloudWatch-Steuerungs-API nur über SSL-verschlüsselte Endpunkte möglich. Ein Kunde kann den Zugriff auf Amazon CloudWatch noch weiter steuern, indem er Benutzer unter seinem AWS-Konto mithilfe von AWS IAM erstellt und festlegt, welche CloudWatch-Operationen diese Benutzer aufrufen dürfen. Auto Scaling Sicherheit Mit Auto Scaling können Kunden ihre Amazon EC2-Kapazitäten nach oben oder unten skalieren, je nach den von ihnen festgelegten Bedingungen. So wird die Anzahl der genutzten Amazon EC2-Instances nahtlos nach oben skaliert, sobald bei Spitzen die Nachfrage steigt und die Leistung bleibt erhalten. Bei geringerer Nachfrage wird nach unten skaliert, um die Kosten zu senken. Auto Scaling erfordert, wie alle AWS-Services, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer auf Auto Scaling zugreifen und es verwalten. Die Anforderungen werden mit einer HMAC- SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Ein Kunde kann den Zugriff auf Auto Scaling weiter steuern, indem er Benutzer unter seinem AWS-Konto mithilfe von AWS IAM erstellt und festlegt, welche Auto Scaling-APIs diese Benutzer aufrufen dürfen. 22

23 Amazon CloudFront Sicherheit Amazon CloudFront erfordert, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer ihre eigenen Amazon CloudFront-Distributionen erstellen, ändern oder löschen. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Darüber hinaus ist der Zugriff auf die Amazon CloudFront-Steuerungs-API nur über SSL-verschlüsselte Endpunkte möglich. Die Haltbarkeit der in den nächstgelegenen Standorten von Amazon CloudFront gespeicherten Daten kann nicht garantiert werden. Der Service kann gelegentlich Objekte aus den nächstgelegenen Standorten löschen, wenn diese nicht regelmäßig angefordert werden. Die Haltbarkeit der Objekte wird durch Amazon S3 sichergestellt. Dieser Service fungiert als Ausgangsserver für Amazon CloudFront und speichert die ursprünglichen definitiven Kopien der von Amazon CloudFront bereitgestellten Objekte. Wenn Sie Kontrolle darüber haben möchten, wer Inhalte von Amazon CloudFront herunterladen darf, können Sie die Funktion für private Inhalte dieses Service aktivieren. Diese Funktion hat zwei Komponenten. Die erste Komponente steuert, wie die Edge-Standorte von Amazon CloudFront auf die Objekte in Amazon S3 zugreifen. Die zweite Komponente steuert, wie Inhalte von dem Edge-Standort von Amazon CloudFront zu den Viewern im Internet verschickt werden. Um den Zugriff auf die Originalkopien Ihrer Objekte in Amazon S3 zu regeln, können Sie mit Amazon CloudFront eine oder mehrere Origin Access Identities (Originalzugriffsidentität) erstellen und diese mit den Distributions verbinden. Wenn eine Originalzugriffsidentität mit einer Amazon-CloudFront-Distribution verbunden wird, nutzt die Distribution die Identität, um Objekte von Amazon S3 abzurufen. Sie können dann die ACL-Funktion von Amazon S3 nutzen, die den Zugriff auf diese Originalzugriffsidentität beschränkt, sodass die Originalkopie des Objektes nicht öffentlich lesbar ist. Zur Regelung, wer Objekte von Edge-Standorten von Amazon CloudFront herunterladen darf, nutzt der Dienst ein Prüfsystem mit Signed URL (zeitlich begrenzte URL). Um dieses System zu nutzen, müssen erstens zwei Schlüssel erstellt werden, ein privater und ein öffentlicher Schlüssel. Dann muss der öffentliche Schlüssel zu Ihrem Konto über die Website von Amazon Web Services hochgeladen werden. Zweitens müssen Sie Ihre Amazon-CloudFront-Distribution konfigurieren, um anzugeben, welche Konten Anforderungen unterzeichnen dürfen. Sie können bis zu fünf AWS-Konten bestimmen. Drittens müssen Sie, wenn Sie Anforderungen empfangen, Richtlinien festlegen, in denen Sie angeben, unter welchen Bedingungen Amazon CloudFront Ihre Inhalte bearbeiten soll. Diese Richtlinien können den Namen des Objekts, das angefordert wird, das Datum und die Uhrzeit der Anforderung und die Quell-IP-Adresse (oder den CIDR- Bereich) des Clients, der die Anfrage stellt, näher bestimmen. Sie planen dann die RSA-SHA1-Verschlüsselung Ihrer Richtlinien und unterzeichnen sie mit Ihrem privaten Schlüssel. Viertens binden Sie sowohl die verschlüsselten Richtlinien als auch die Signatur als Abfrageparameter ein, wenn Sie auf Ihre Objekte zugreifen. Wenn Amazon CloudFront eine Anforderung empfängt, wird es die Signatur mithilfe des öffentlichen Schlüssels entschlüsseln. Amazon CloudFront wird nur diejenigen Anforderungen bearbeiten, die über gültige Richtlinien und die damit übereinstimmende Signatur verfügen. Anmerkung: Die Funktion für private Inhalte ist optional und muss aktiviert werden, wenn Sie Ihre CloudFront- Distribution festlegen. Inhalte, die verschickt werden, ohne dass diese Funktion aktiviert ist, sind für jedermann öffentlich lesbar. Amazon CloudFront ermöglicht zudem die Weiterleitung der Inhalte über eine verschlüsselte Verbindung (HTTPS). Dadurch wird der an die Benutzer gelieferte Inhalts authentifiziert. Standardmäßig akzeptiert Amazon CloudFront Anforderungen sowohl über HTTP und HTTPS. 23

24 Wenn Sie möchten, können Sie Amazon CloudFront auch so konfigurieren, dass für alle Anforderungen HTTPS vonnöten ist und Anforderungen über HTTP nicht zugelassen werden. Für Anforderungen über HTTPS nutzt Amazon CloudFront außerdem HTTPS, um Ihre Objekte von Amazon S3 abzurufen, sodass Ihr Objekt jedes Mal, wenn es gesendet wird, verschlüsselt ist. Die Zugriffsprotokolle von Amazon CloudFront enthalten umfassende Informationen über Inhaltsanforderungen. Dazu gehören das angeforderte Objekt, das Datum und die Uhrzeit der Anforderung, der nächstgelegene Standort, der die Anforderung erfüllt, die IP-Adresse des Clients, der Referrer und der Benutzer-Agent. Um Zugriffsprotokolle zu aktivieren, geben Sie bei der Konfiguration Ihrer Amazon CloudFront-Distribution einfach den Namen des Amazon S3-Buckets an, in dem die Protokolle gespeichert werden sollen. Amazon Elastic MapReduce (Amazon EMR) Sicherheit Amazon Elastic MapReduce erfordert, dass jede Anfrage an seine Steuerungs-API authentifiziert wird. So können nur authentifizierte Benutzer ihre eigenen Auftragsabläufe erstellen, suchen oder beenden. Die Anforderungen werden mit einer HMAC-SHA1-Signatur unterzeichnet, die auf Basis der Anforderung und des privaten Schlüssels des Benutzers erstellt wird. Amazon Elastic MapReduce stellt SSL-Endpunkte für den Zugriff auf seine Web-Service-APIs und die Konsole bereit. Beim Starten von Arbeitsabläufen für einen Kunden richtet Amazon Elastic MapReduce eine Amazon EC2- Sicherheitsgruppe des Masterknotens ein, um nur den externen Zugriff über SSH zuzulassen. Der Service erstellt eine separate Sicherheitsgruppe der untergeordneten Elemente, die keinen externen Zugriff zulassen. Um die Eingangs- und Ausgangsdatensätze der Kunden zu schützen, verwendet Amazon Elastic MapReduce SSL für die Datenübertragung an und von S3. 24