Die AWS-Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Geboten wird eine überaus anpassbare und zuverlässige Plattform, auf der Kunden Anwendungen und Daten schnell und sicher bereitstellen können.

Mit der AWS-Cloud werden nicht nur Infrastrukturprobleme aus dem Weg geräumt, sondern auch viele der damit einhergehenden Sicherheitsprobleme. Die erstklassigen, überaus sicheren Rechenzentren von AWS arbeiten mit hochmoderner elektronischer Überwachung und Multifaktor-Zugriffskontrollsystemen. In den Rechenzentren arbeiten geschulte Sicherheitsbedienstete rund um die Uhr und der Zugang wird streng nach dem Prinzip der geringsten Rechte autorisiert. Umweltüberwachungssysteme sind so ausgelegt, dass die Auswirkungen von Betriebsunterbrechungen minimiert werden. Und durch eine Verteilung auf mehrere geografische Regionen und Availability Zones wirken sich die meisten Ausfall- und Störungsfälle, einschließlich Naturkatastrophen oder Systemausfälle, nicht negativ auf den Betrieb aus.

Die virtuelle AWS-Infrastruktur wurde so konzipiert, dass eine optimale Verfügbarkeit bei gleichzeitiger vollständiger Absicherung und Isolierung von Kundendaten gewährleistet ist. Eine umfassende Auflistung aller in die Kerninfrastruktur, -plattformen und -Services der AWS-Cloud integrierten Sicherheitsmaßnahmen finden Sie in unserem Whitepaper Amazon Web Services – Sicherheitsprozesse im Überblicke.

Ihre Anwendungen und Daten werden nicht nur in einer überaus sicheren Anlageninfrastruktur, sondern auch durch umfangreiche Netzwerk- und Sicherheitsüberwachungssysteme geschützt. Diese Systeme bieten grundlegende, aber wirksame Sicherheitsmaßnahmen, z. B. Schutz vor DDoS- (Distributed Denial of Service) oder Brute-Force-Angriffen auf AWS-Konten. Zu den weiteren Sicherheitsmaßnahmen zählen u. a.:

  • Sicherer Zugriff – Kundenzugangspunkte (auch API-Endpunkte genannt) ermöglichen einen sicheren HTTP-Zugriff (HTTPS), sodass Sie mit SSL geschützte Kommunikationsverbindungen mit Ihren AWS-Services einrichten können.
  • Integrierte Firewalls – Über die Konfiguration integrierter Firewalls können Sie den Zugriff auf Ihre Instances steuern, von komplett öffentlich bis komplett privat oder auf eine Stufe dazwischen. Wenn Ihre Instances sich in einem VPC-Subnetz (Virtual Private Cloud) befinden, können Sie sowohl den Ausgang als auch den Zugang kontrollieren.
  • Eindeutige Benutzerkonten – Über den Service AWS Identity and Access Management (IAM) können Sie den Grad des Zugriffs steuern, den Ihre eigenen Benutzer auf Ihre AWS-Infrastrukturservices haben. Bei AWS IAM kann jeder Benutzer über eindeutige Anmeldeinformationen verfügen, sodass Kennwörter oder Schlüssel nicht gemeinsam genutzt werden müssen. Zudem werden die bewährten Sicherheitsmethoden der Trennung von Rollen und das Prinzip der geringsten Rechte befolgt.
  • Multifaktor-Authentifizierung (MFA) – AWS bietet eine integrierte Unterstützung der Multifaktor-Authentifizierung (MFA) für den Einsatz mit AWS-Konten sowie individuellen IAM-Benutzerkonten.
  • Private Subnetze – Der Service AWS Virtual Private Cloud (VPC) lässt das Hinzufügen einer weiteren Netzwerksicherheitsebene zu Ihren Instances zu, indem private Subnetze eingerichtet oder sogar ein IPsec VPN-Tunnel zwischen Ihrem lokalen Netzwerk und Ihrer AWS VPC hinzugefügt wird.
  • Verschlüsselte Datenspeicherung – Kunden können die Daten und Objekte, die sie in Amazon S3, Glacier, Redshift und Oracle RDS speichern, automatisch mit Advanced Encryption Standard (AES) 256 verschlüsseln lassen, einem sicheren symmetrischen Verschlüsselungsstandard mit 256 Bit-Schlüsseln.
  • Option einer dedizierten Verbindung – Der Service AWS Direct Connect ermöglicht Ihnen, eine dedizierte Netzwerkverbindung zwischen Ihrem Standard und AWS herzustellen. Diese Verbindung verwendet VLANs gemäß dem Branchenstandard 802.1q und kann in mehrere logische Verbindungen partitioniert werden, um Ihnen den Zugriff sowohl auf öffentliche als auch auf private IP-Umgebungen innerhalb Ihrer AWS-Cloud zu ermöglichen.
  • Sicherheitsprotokolle – AWS CloudTrail bietet Protokolle der gesamten Benutzeraktivität in Ihrem AWS-Konto. Sie können erkennen, welche Aktionen von wem auf Ihre AWS-Ressourcen angewendet wurden.
  • Isolierte Region GovCloud – Kunden, die zum Einhalten der US-amerikanischen Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) weitere Maßnahmen benötigen, bietet AWS eine vollständig isolierte Region mit dem Namen AWS GovCloud (USA). In dieser Region können Kunden ITAR-konforme Anwendungen ausführen und es werden spezielle Endpunkte geboten, die ausschließlich die Verschlüsselung FIPS 140-2 verwenden.
  • CloudHSM – Kunden, die zum Speichern kryptografischer Schlüssel HSM-Appliances (Hardware-Sicherheitsmodul) verwenden müssen, bietet AWS CloudHSM eine überaus sichere und komfortable Möglichkeit zum Speichern und Verwalten von Schlüsseln.
  • Trusted AdvisorTrusted Advisor wird automatisch bereitgestellt, wenn Sie Premium Support buchen. Dieser Service ist eine bequeme Möglichkeit zum Erkennen, ob Sie ein wenig mehr Sicherheit gebrauchen könnten. Der Service überwacht AWS-Ressourcen und alarmiert Sie bei Lücken in der Sicherheitskonfiguration wie z. B. zu wenig geschütztem Zugriff auf bestimmte Ports einer EC2-Instance und S3-Speicher-Buckets, minimaler Verwendung der Rollentrennung über IAM sowie unsicheren Kennwortrichtlinien.

Da die AWS-Cloud-Infrastruktur derart viele integrierte Sicherheitsmerkmale bietet, kann Ihr Hauptaugenmerk der Sicherheit Ihres Gastbetriebssystems und den Anwendungen gelten. AWS-Sicherheitsfachleute und -Lösungsarchitekten haben Whitepaper und Checklisten für den Betrieb entwickelt, um Sie bei der Wahl der geeignetsten Optionen für Ihre Anforderungen zu unterstützen. Außerdem empfehlen sie bewährte Methoden für die Sicherheit, z. B. für das sichere Speichern und regelmäßige Ändern von Schlüsseln und Kennwörtern.

Wir wissen, dass es für Sie wichtig ist, mit den Sicherheitsmaßnahmen vertraut zu sein, die dem Schutz der AWS-Cloud-Infrastruktur dienen. Doch wie können Sie, da Sie die Server nicht physisch berühren oder die Rechenzentren begehen können, sicher sein, dass die ordnungsgemäßen Sicherheitskontrollen eingerichtet sind?

Als Antwort dienen die unabhängigen Zertifizierungen und Überprüfungen, denen sich AWS unterzogen hat. AWS hat die DIN ISO/IEC 27001-Zertifizierung erhalten und wurde für den Datensicherheitsstandard der Kreditkartenbranche (DSS/PCI) als Level 1 Service-Anbieter bestätigt. Wir unterziehen uns jährlich SOC 1-Überprüfungen und wurden erfolgreich auf der Stufe "Moderate" für US-Behördensysteme und auf der DIACAP-Stufe 2 für DoD-Systeme bestätigt.

Jede Zertifizierung bedeutet, dass eine Prüfstelle bestätigt hat, dass die jeweiligen spezifischen Sicherheitskontrollen vorhanden sind und wie vorgesehen funktionieren. Wenn Sie die entsprechenden Compliance-Berichte einsehen möchten, wenden Sie sich an Ihren AWS-Kundenbetreuer. Weitere Informationen zu den Sicherheitsvorschriften und -standards, die AWS erfüllt, finden Sie auf der Webseite zur Compliance von AWS und im AWS-Whitepaper Risiko und Compliance.

Da Sie Systeme aufbauend auf der AWS-Cloud-Infrastruktur entwickeln, werden die Zuständigkeiten für die Sicherheit geteilt: AWS ist für die zugrunde liegende Infrastruktur verantwortlich, während Sie für die Sicherheit aller Elemente zuständig sind, die Sie in der Infrastruktur nutzen. Dazu zählen Ihre AWS EC2-Instances und alles, was Sie in ihnen installieren, sämtliche Konten, die auf Ihre Instances zugreifen, die Sicherheitsgruppe, die den externen Zugriff auf Ihre Instances zulässt, das VPC-Subnetz, in dem sich die Instances befinden (sofern Sie diese Option gewählt haben), der externe Zugriff auf Ihre S3-Buckets usw.

Dies bedeutet, dass Sie hinsichtlich der Sicherheit mehrere Entscheidungen treffen und Kontrollen konfigurieren müssen. Weitere Informationen zur Konfiguration eines bestimmten AWS-Service finden Sie in der Dokumentation des jeweiligen Service. Weitere Tipps und bewährte Methoden für die Sicherheit von AWS-Ressourcen finden Sie im Abschnitt mit den Sicherheitsressourcen auf unserer Website.

Wir haben einen signierten PGP-Schlüssel für besonders vertrauliche Nachrichten entwickelt, die Sie ggf. senden müssen. Sie können hier darauf zugreifen.