Die AWS-Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Geboten wird eine überaus anpassbare und zuverlässige Plattform, auf der Kunden Anwendungen und Daten schnell und sicher bereitstellen können.

  • Einführung in die Cloud-Sicherheit

    twitter_amazon-workspaces_lightblue

    Cloud-Ressourcen können schnell gestartet werden und haben eine hohe Verfügbarkeit. Wie unterscheidet sich jedoch die Verwaltung ihrer Sicherheit von der Verwaltung lokaler Ressourcen? Weitere Informationen >

  • AWS-Sicherheitsfunktionen

    AWS Products and Services

    Um die Sicherheit Ihrer Daten und Systeme in der Cloud zu gewährleisten, bietet AWS eine große Bandbreite an Sicherheitsfunktionen und -tools. Weitere Informationen >

  • Gemeinsame Verantwortung

    homepage_global-infrastructure-map

    Wenn Sie sich für die Cloud entscheiden, ist die Sicherheitsverantwortung geteilt. AWS sichert die darunter liegende globale Infrastruktur und Sie sichern Ihre Inhalte auf AWS. Weitere Informationen >

Die AWS-Cloud-Infrastruktur befindet sich in den sehr sicheren AWS-Datenzentren, die mit hochmoderner elektronischer Überwachung und Multifaktor-Zugriffskontrollsystemen arbeiten. In den Rechenzentren arbeiten geschulte Sicherheitsbedienstete rund um die Uhr und der Zugang wird streng nach dem Prinzip der geringsten Rechte autorisiert. Alle Mitarbeiter werden geprüft, wenn sie Bereiche verlassen, die Kundendaten enthalten. Umweltüberwachungssysteme in den Datenzentren sind so ausgelegt, dass die Auswirkungen von Betriebsunterbrechungen minimiert werden. Und durch eine Verteilung auf mehrere geografische Regionen und Availability Zones wirken sich die meisten Ausfall- und Störungsfälle, einschließlich Naturkatastrophen oder Systemausfälle, nicht negativ auf den Betrieb aus.

Benefit_Integration_Orange

Die AWS-Infrastruktur wurde so konzipiert, dass eine optimale Verfügbarkeit bei gleichzeitig vollständiger Absicherung und Isolierung von Kundendaten gewährleistet ist. Eine umfassende Auflistung aller in der Infrastruktur, den Plattformen und Services der AWS-Cloud integrierten Sicherheitsmaßnahmen finden Sie in unserem Whitepaper Amazon Web Services – Sicherheitsprozesse im Überblicke.

Die AWS-Infrastruktur wird durch ein umfassendes Netzwerk und Systeme zur Sicherheitsüberwachung geschützt. Diese Systeme bieten grundlegende, jedoch wirksame Sicherheitsmaßnahmen, z. B. Schutz vor DDoS- (Distributed Denial of Service) oder Passwort-Brute-Force-Angriffen auf AWS-Konten. Außerdem werden die Komponenten der AWS-Infrastruktur fortlaufend gescannt und getestet. Während manche Organisationen Ihre Ressourcen einmal pro Quartal oder einmal monatlich auf ihre Anfälligkeit überprüfen, führen wir Scans mehrmals täglich durch. Und unsere Scans decken jeden Winkel ab: aus derselben Region wie die gescannte Ressource sowie aus allen AZs und Regionen.

Benefit_Check-Logs_Blue

Das AWS-Produktionsnetzwerk wird getrennt vom Unternehmensnetzwerk von Amazon betrieben. Außerdem sind dafür getrennte Anmeldedaten für den Zugriff erforderlich, die aus einer SSH-Authentifizierung mit öffentlichem Schlüssel über einen Bastion-Host mit MFA-Token bestehen. Dieser Zugriff wird täglich von den AWS-Sicherheitsmanagern überwacht und geprüft.

Wir verfügen bei AWS nicht nur über eine große Anzahl an Sicherheitsexperten, sondern auch über viele Tools und Systeme zur Automatisierung kleiner und großer Sicherheitsaufgaben. Dies beinhaltet alle Aufgaben von der Verwaltung der Anmeldedaten hin zur Überwachung der Server- und Netzwerknutzung, dem Port-Scanning, der Anwendungsnutzung und nicht autorisierter Eindringungsversuche.

Benefit_Gears_Red

Wir erstellen die meisten dieser Sicherheitstools selbst, da wir sie an unsere einzigartige Umgebung und Skalierbarkeit anpassen. Unser Programm zum automatischen Scanvorgang alleine reduziert die Zeit, die Sicherheitsingenieure für die Überprüfung benötigen, pro Scan von Stunden auf Minuten. Gleichzeitig wird die Scan-Geschwindigkeit von Dutzenden Hosts pro Tag auf Tausende Hosts pro Tag erhöht.

Mit diesen automatisierten Tools können wir wichtige Sicherheitsprinzipien programmatisch erzwingen, etwa das Prinzip der geringsten Rechte oder die Rollentrennung. Wir können dann benutzerdefinierte Schwellenwerte für Leistungsmetriken einrichten und die entsprechenden Sicherheitsexperten automatisch benachrichtigen oder die erforderliche Aktion durchführen. So können unsere Sicherheitsexperten sich auf wirklich wichtige Probleme konzentrieren, die Folgen für unsere Kunden haben könnten.

Wir ersetzen fehlerhafte Hardware nicht nur konstant, sondern verbessern unsere Infrastruktur stets. Wir ersetzen Hardware am Ende des Lebenszyklus durch die neuesten Prozessoren, die nicht nur die Leistung verbessern, sondern auch Sicherheitstechnologien beinhalten, etwa die neuesten Anweisungen für die Beschleunigung von kryptografischen Vorgängen (z. B. Intel AES-NI-Anweisung für AES-Algorithm, Intel RDRAND für die zufällige Zahlengenerierung) und den Trusted Platform Module-Chip für die Aktivierung Hardware-basierter Sicherheitsfunktionen wie den Sicherheitsspeicher oder die Host-Software-Überprüfung.

Benefit_Code-Quality_LightBlue

Da wir wissen, dass einige Sicherheitsmerkmale sich auf die Systemleistung auswirken, suchen wir auch nach Möglichkeiten, Reibungsverluste bei vorhandenen Sicherheitsprozessen und -services zu verringern. In diesem Jahr wurden Amazon CloudFront beispielsweise SSL-Sitzungs-Tickets hinzugefügt, wodurch Informationen zur SSL-Aushandlung zwischen Client und Server wegfallen. Dadurch wird der Aushandlungsprozess beschleunigt, wenn die Verbindung fortgesetzt oder neu gestartet werden soll. Diese Abläufe erfolgen im Hintergrund, ohne dass Sie etwas konfigurieren müssen. Dennoch werden dadurch wichtige Sicherheitsfunktionen beschleunigt.

AWS errichtet seine Datenzentren in verschiedenen geografischen Regionen sowie in verschiedenen Availability Zones in der jeweiligen Region. Jede dieser Availability Zones ist als unabhängige Ausfallzone angelegt. Dies bedeutet, dass Availability Zones innerhalb einer Region physisch voneinander getrennt sind und sich in Gebieten mit geringem Risiko befinden. Wie werden je aus unterschiedlichen Netzwerken von unabhängigen Energieversorgern gespeist, um das Risiko einzelner Ausfallstellen weiter zu reduzieren. Availability Zones sind alle redundant mit mehreren Energieversorgern der Stufe 1 verbunden.

Benefit_Available_Green

Für das unwahrscheinliche Eintreten eines Funktionsausfalls wird der Kundendatenverkehr von dem vom Ausfall betroffenen Bereich auf einen anderen umgeleitet. Für wichtige Anwendungen gilt die N+1-Konfiguration. Kommt es in einem Rechenzentrum zu einem Funktionsausfall, stehen genügend Kapazitäten zur Verfügung, damit der Datenverkehr auf die verbleibenden Standorte aufgeteilt werden kann.

AWS bietet Kunden, die bestimmte Sicherheitsstandards oder -vorschriften erfüllen müssen, Zertifizierungsberichte an, in denen beschrieben wird, wie die AWS-Cloud-Infrastruktur die von diesen Standards vorgeschriebenen Kontrollen erfüllt. AWS erfüllt die Compliance-Vorgaben auf einer langen Liste globaler Sicherheitsstandards, darunter ISO 27001, SOC, den PCI-Datensicherheitsstandard, das australische Signals Directorate (ASD) Information Security Manual sowie den singapurischen Multi-Tier Cloud Security Standard (MTCS SS 584). Wir haben außerdem zwei getrennte FedRAMP Agency ATOs erhalten: einen für die AWS GovCloud (USA) und den anderen für AWS (USA Ost und West). Wir sind zudem der einzige Anbieter einer öffentlichen Cloud mit einer vorläufigen Autorisierung für die Stufen 1–5 von DoD CSM.

Benefit_Check_Yellow

Jede Zertifizierung bedeutet, dass eine Prüfstelle bestätigt hat, dass die jeweiligen spezifischen Sicherheitskontrollen vorhanden sind und wie vorgesehen funktionieren. Wenn Sie die entsprechenden Compliance-Berichte einsehen möchten, wenden Sie sich an Ihren AWS-Kundenbetreuer. Weitere Informationen zu Sicherheitsvorschriften und Normen, die AWS befolgt, finden Sie auf der Webseite zur AWS Compliance.

Wir haben einen signierten PGP-Schlüssel für besonders vertrauliche Nachrichten entwickelt, die Sie ggf. senden müssen. Sie können hier darauf zugreifen.