Die AWS-Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Geboten wird eine überaus anpassbare und zuverlässige Plattform, auf der Kunden Anwendungen und Daten schnell und sicher bereitstellen können.


Die AWS-Cloud-Infrastruktur befindet sich in den sehr sicheren AWS-Datenzentren, die mit hochmoderner elektronischer Überwachung und Multifaktor-Zugriffskontrollsystemen arbeiten. In den Rechenzentren arbeiten geschulte Sicherheitsbedienstete rund um die Uhr und der Zugang wird streng nach dem Prinzip der geringsten Rechte autorisiert. Alle Mitarbeiter werden geprüft, wenn sie Bereiche verlassen, die Kundendaten enthalten. Umweltüberwachungssysteme in den Rechenzentren sind so konzipiert, dass die Auswirkungen von Unterbrechungen des Betriebs minimiert werden. Durch eine Verteilung auf mehrere geografische Regionen und Availability Zones wirken sich die meisten Ausfall- und Störungsfälle, einschließlich Naturkatastrophen oder Systemausfälle, nicht negativ auf den Betrieb aus.

Die AWS-Infrastruktur wurde so konzipiert, dass eine optimale Verfügbarkeit bei gleichzeitig vollständiger Absicherung und Isolierung von Kundendaten gewährleistet ist. Der Netzwerkverkehr zwischen AWS-Regionen, Availability Zones und einzelnen Rechenzentren wird standardmäßig über private Netzwerksegmente abgewickelt. Diese privaten Netzwerksegmente sind vom öffentlichen Internet klar getrennt und können nicht extern geroutet werden. AWS-Ressourcen können so konfiguriert werden, dass sie ausschließlich in isolierten AWS-Netzwerksegmenten liegen und die Nutzung von öffentlichen IP-Adressen oder das Routing über das öffentliche Internet vermieden wird. Eine umfassende Auflistung aller in der Infrastruktur, den Plattformen und Services der AWS-Cloud integrierten Sicherheitsmaßnahmen finden Sie in unserem Whitepaper Amazon Web Services – Sicherheitsprozesse im Überblick.

blank-logo
blank-logo
linkedin_globe_blue
trendmicro_thumb

"Als wir nach einem Technologieanbieter suchten…mussten wir nicht weit suchen, um zu erkennen, welcher Plattformanbieter Hochverfügbarkeit und ein Sicherheitssystem bietet, das unsere unternehmenswichtigen Anforderungen erfüllt." – JD Sherry, Leiter Technologie, Trend Micro

Ihre Anwendungen und Daten werden nicht nur in einer überaus sicheren Anlageninfrastruktur, sondern auch durch umfangreiche Netzwerk- und Sicherheitsüberwachungssysteme geschützt. Diese Systeme bieten grundlegende, aber wirksame Sicherheitsmaßnahmen, z. B. Schutz vor DDoS- (Distributed Denial of Service) oder Brute-Force-Angriffen auf AWS-Konten. Zu den weiteren Sicherheitsmaßnahmen zählen u. a.:

  • Sicherer Zugriff – Kundenzugangspunkte (auch API-Endpunkte genannt) ermöglichen einen sicheren HTTP-Zugriff (HTTPS), sodass Sie mit SSL/TLS geschützte Kommunikationsverbindungen mit Ihren AWS-Services einrichten können.
  • Integrierte Firewalls – Über die Konfiguration integrierter Firewalls können Sie den Zugriff auf Ihre Instances steuern, von komplett öffentlich bis komplett privat oder auf eine Stufe dazwischen. Wenn Ihre Instances sich in einem VPC-Subnetz (Virtual Private Cloud) befinden, können Sie sowohl den Ausgang als auch den Zugang kontrollieren.
  • Eindeutige Benutzerkonten – Über den Service AWS Identity and Access Management (IAM) können Sie den Grad des Zugriffs steuern, den Ihre eigenen Benutzer auf Ihre AWS-Infrastrukturservices haben. Bei AWS IAM kann jeder Benutzer über eindeutige Anmeldeinformationen verfügen, sodass Kennwörter oder Schlüssel nicht gemeinsam genutzt werden müssen. Zudem werden die bewährten Sicherheitsmethoden der Trennung von Rollen und das Prinzip der geringsten Rechte befolgt.
  • Multifaktor-Authentifizierung (MFA) – AWS bietet eine integrierte Unterstützung der Multifaktor-Authentifizierung (MFA) für den Einsatz mit Ihrem AWS-Stammkonto sowie untergeordneten individuellen IAM-Benutzerkonten.
  • Private Subnetze – Der Service AWS Virtual Private Cloud (VPC) lässt das Hinzufügen einer weiteren Netzwerksicherheitsebene zu Ihren Instances zu, indem private Subnetze eingerichtet oder sogar ein IPsec VPN-Tunnel zwischen Ihrem lokalen Netzwerk und Ihrer AWS VPC hinzugefügt wird.
  • Verschlüsselte Datenspeicherung – Kunden können die Daten und Objekte, die sie in Amazon EBS, Amazon S3, Glacier, Redshift, Oracle und SQL Server RDS speichern, automatisch mit Advanced Encryption Standard (AES) 256 verschlüsseln lassen, einem sicheren symmetrischen Verschlüsselungsstandard mit 256 Bit-Schlüsseln.
  • Option einer dedizierten Verbindung – Der Service AWS Direct Connect ermöglicht Ihnen, eine dedizierte Netzwerkverbindung zwischen Ihrem Standard und AWS herzustellen. Diese Verbindung verwendet VLANs gemäß dem Branchenstandard 802.1q und kann in mehrere logische Verbindungen partitioniert werden, um Ihnen den Zugriff sowohl auf öffentliche als auch auf private IP-Umgebungen innerhalb Ihrer AWS-Cloud zu ermöglichen.
  • Perfect Forward Secrecy – Für einen noch stärkeren Schutz der Kommunikation bieten mehrere AWS-Services wie Elastic Load Balancer und Amazon CloudFront neue, stärkere Chiffrensammlungen. Diese Chiffrensammlungen ermöglichen SSL/TLS-Clients das Verwenden von Perfect Forward Secrecy, einer Methode, bei der kurzlebige Schlüssel verwendet werden, die nirgends gespeichert werden. Dies verhindert die Decodierung erfasster Daten, selbst wenn die Sicherheit des geheimen langfristigen Schlüssels selbst gefährdet ist.
  • Sicherheitsprotokolle – AWS CloudTrail bietet Protokolle der gesamten Benutzeraktivität in Ihrem AWS-Konto. Sie können erkennen, welche Aktionen von wem auf Ihre AWS-Ressourcen angewendet wurden. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften.
  • Ressourcenbestimmung und -konfiguration – Mit dem Service AWS Config können Sie sofort alle Ihre AWS-Ressourcen bestimmen und deren Konfiguration anzeigen. Sie können zu jeder Konfigurationsänderung eine Benachrichtigung erhalten und den Konfigurationsverlauf detailliert durchforsten, um eine Vorfallanalyse vorzunehmen.
  • Zentrale Schlüsselverwaltung – Für Kunden, die umfassend mit Verschlüsselung arbeiten und eine strenge Kontrolle ihrer Schlüssel benötigen, bietet der AWS Key Management Service eine komfortable Verwaltungsoption zum Erstellen und Verwalten der Schlüssel, die zum Verschlüsseln Ihrer gespeicherten Daten dienen.
  • Isolierte Region GovCloud – Kunden, die zum Einhalten der US-amerikanischen Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) weitere Maßnahmen benötigen, bietet AWS eine vollständig isolierte Region mit dem Namen AWS GovCloud (USA). In dieser Region können Kunden ITAR-konforme Anwendungen ausführen und es werden spezielle Endpunkte geboten, die die Verschlüsselung FIPS 140-2 verwenden.
  • CloudHSM – Kunden, die zum Speichern kryptografischer Schlüssel HSM-Appliances (Hardware-Sicherheitsmodul) verwenden müssen, bietet AWS CloudHSM eine überaus sichere und komfortable Möglichkeit zum Speichern und Verwalten von Schlüsseln.
  • Trusted AdvisorTrusted Advisor wird automatisch bereitgestellt, wenn Sie Premium Support buchen. Dieser Service ist eine bequeme Möglichkeit zum Erkennen, ob Sie ein wenig mehr Sicherheit gebrauchen könnten. Der Service überwacht AWS-Ressourcen und alarmiert Sie bei Lücken in der Sicherheitskonfiguration wie z. B. zu wenig geschütztem Zugriff auf bestimmte Ports einer EC2-Instance und S3-Speicher-Buckets, minimaler Verwendung der Rollentrennung über IAM sowie unsicheren Kennwortrichtlinien.

Da die AWS-Cloud-Infrastruktur derart viele integrierte Sicherheitsmerkmale bietet, kann Ihr Hauptaugenmerk der Sicherheit Ihres Gastbetriebssystems und den Anwendungen gelten. AWS-Sicherheitsfachleute und -Lösungsarchitekten haben Whitepaper und Checklisten für den Betrieb entwickelt, um Sie bei der Wahl der geeignetsten Optionen für Ihre Anforderungen zu unterstützen. Außerdem empfehlen sie bewährte Methoden für die Sicherheit, z. B. für das sichere Speichern und regelmäßige Ändern von Schlüsseln und Kennwörtern.

Da wir wissen, dass einige Sicherheitsmerkmale sich auf die Systemleistung auswirken, suchen wir nach Möglichkeiten, Reibungsverluste bei vorhandenen Sicherheitsprozessen zu verringern. In diesem Jahr wurden Amazon CloudFront beispielsweise SSL-Sitzungs-Tickets hinzugefügt, wodurch Informationen zur SSL-Aushandlung zwischen Client und Server wegfallen. Dadurch wird der Aushandlungsprozess beschleunigt, wenn die Verbindung fortgesetzt oder neu gestartet werden soll.

Wir haben außerdem OCSP Stapling eingeführt, wodurch der Aufwand auf dem Client zum Überprüfen der Zertifizierungsstelle während der SSL-Aushandlungen verringert wird. Diese Abläufe erfolgen im Hintergrund, ohne dass Sie etwas konfigurieren müssen. Dennoch werden dadurch wichtige Sicherheitsfunktionen beschleunigt.

Und wir suchen weiter nach Möglichkeiten, die Sicherheitsprozesse zu optimieren, denen Sie bereits vertrauen. Wir haben beispielsweise mehreren Services die Option für erweiterte Chiffresammlungen hinzugefügt, die das ECDHE-Protokoll (Elliptic Curve Diffie-Hellman Ephemeral) verwenden. ECDHE ermöglicht SSL/TLS-Clients das Verwenden von Perfect Forward Secrecy, einer Methode, bei der kurzlebige Schlüssel verwendet werden, die nirgends gespeichert werden. Dies verhindert die Decodierung von nicht befugten Dritten erfassten Daten, selbst wenn die Sicherheit des geheimen langfristigen Schlüssels selbst gefährdet ist.

Mit keiner dieser neuen Funktionen verdienen wir Geld. Aber sie machen unsere Kunden zufriedener.

Wir wissen, dass es für Sie wichtig ist, mit den Sicherheitsmaßnahmen vertraut zu sein, die dem Schutz der AWS-Cloud-Infrastruktur dienen. Doch wie können Sie, da Sie die Server nicht physisch berühren oder die Rechenzentren begehen können, sicher sein, dass die ordnungsgemäßen Sicherheitskontrollen eingerichtet sind?

Als Antwort dienen die unabhängigen Zertifizierungen und Überprüfungen, denen sich AWS unterzogen hat. AWS hat die DIN ISO/IEC 27001-Zertifizierung erhalten und wurde für den Datensicherheitsstandard der Kreditkartenbranche (DSS/PCI) als Level 1 Service-Anbieter bestätigt. Wir unterziehen uns jährlich SOC 1-Überprüfungen und wurden erfolgreich auf der Stufe "Moderate" für US-Behördensysteme und auf der DIACAP-Stufe 2 für DoD-Systeme bestätigt.

Jede Zertifizierung bedeutet, dass eine Prüfstelle bestätigt hat, dass die jeweiligen spezifischen Sicherheitskontrollen vorhanden sind und wie vorgesehen funktionieren. Wenn Sie die entsprechenden Compliance-Berichte einsehen möchten, wenden Sie sich an Ihren AWS-Kundenbetreuer. Weitere Informationen zu den Sicherheitsvorschriften und -standards, die AWS erfüllt, finden Sie auf der Webseite zur Compliance von AWS und im AWS-Whitepaper Risiko und Compliance.

Wir haben einen signierten PGP-Schlüssel für besonders vertrauliche Nachrichten entwickelt, die Sie ggf. senden müssen. Sie können hier darauf zugreifen.