von Anthony Liguori, übersetzt von Tobias Nitzsche -:- Anthony Liguori ist AWS VP und Distinguished Engineer für EC2.

Kunden:innen aus der ganzen Welt vertrauen darauf, dass AWS ihre Daten sicher aufbewahrt; Die Sicherheit und Vertraulichkeit ihrer Workloads bildet die Grundlage unseres Handelns. Seit der Gründung von AWS haben wir unermüdlich an Sicherheits- und Datenschutztools und -praktiken gearbeitet, um die Erwartungen unserer Kunden:innen zu erfüllen und sogar zu übertreffen.

Das AWS Nitro System ist die zugrundeliegende Plattform für alle modernen AWS-Compute-Instanzen und ermöglicht es uns, die Datentrennung, Leistung, Kosten und den Innovationsgrad zu liefern, die unsere Kunden:innen benötigen. Es handelt sich dabei um ein wegweisendes Design aus spezialisierter Hard- und Software, das Code und Daten unserer Kunden:innen vor unbefugtem Zugriff während der Verarbeitung schützt.

Als wir das Nitro System im Jahr 2017 einführten, stellten wir eine einzigartige Architektur bereit, die den Zugriff jeglicher Betreiber:innen auf Kundendaten einschränkt. Dies bedeutet, dass niemand, auch kein Dienst oder Mitarbeiter von AWS, auf Daten zugreifen kann, wenn sie in einer Amazon EC2-Instanz verwendet werden. Wir wussten, dass das Design des Systems auf diese Weise für uns mehrere architektonische und betriebliche Herausforderungen mit sich bringen würde. Wir wussten auch, dass der Schutz der Kundendaten auf diesem Wege die beste Wahl war, den Bedürfnissen unserer Kunden:innen gerecht zu werden.

Als AWS letztes Jahr seine Digital Sovereignty Pledge (Verpflichtung zur digitalen Souveränität) [EN/DE] abgab, verpflichteten wir uns, unseren Kunden:innen mehr Transparenz und Sicherheit darüber zu bieten, wie AWS-Dienste, insbesondere im Hinblick auf die Handhabung von Kundendaten, konzipiert und betrieben werden. Im Rahmen dieser erhöhten Transparenz beauftragten wir die NCC Group [EN, Extern], eine führende Cybersicherheitsberatungsfirma mit Sitz in Großbritannien, mit einer unabhängigen Architekturbewertung des Nitro Systems, sowie den Sicherheitszusagen, die wir unseren Kunden:innen machen. NCC hat nun einen Bericht veröffentlicht, in welchem all unsere Behauptungen bestätigt werden.

Der Bericht besagt: „Aufgrund des Designs hat die NCC Group keine Lücken im Nitro System gefunden, die die Sicherheitsbehauptungen von AWS kompromittieren könnten.“ Insbesondere bestätigt der Bericht folgende Aussagen über unsere Production Nitro System Hosts:

1. Es gibt keinen Mechanismus, mit dem ein:e Mitarbeiter:in des Cloud-Service-Anbieters sich in den zugrundeliegenden Host einloggen kann.
2. Keine administrative API kann auf Kundeninhalte auf dem zugrundeliegenden Host zugreifen.
3. Es gibt keinen Mechanismus, mit dem ein:e Mitarbeiter:in des Cloud-Service-Anbieters auf Kundeninhalte zugreifen kann, die auf Instance Storage und verschlüsselten EBS-Volumes gespeichert sind.
4. Es gibt keinen Mechanismus, mit dem ein:e Mitarbeiter:in des Cloud-Service-Anbieters auf verschlüsselte Daten zugreifen kann, die über das Netzwerk übertragen werden.
5. Der Zugang zu administrativen APIs erfordert immer Authentifizierung und Autorisierung.
6. Der Zugang zu administrativen APIs wird immer protokolliert.
7. Hosts können nur getestete und signierte Software ausführen, die von einem authentifizierten und autorisierten Bereitstellungsdienst bereitgestellt wird. Kein:e Mitarbeiter:in des Cloud-Service-Anbieters kann direkt Code auf Hosts bereitstellen.

Der Bericht beschreibt im Detail die Analyse der NCC zu jeder dieser Behauptungen. Weitere Details über den Umfang, die Methodik und die Schritte, die die NCC zur Bewertung der Behauptungen verwendet hat, finden Sie ebenfalls im Bericht.

Wie das Nitro System Kundendaten schützt

Bei AWS wissen wir, dass unsere Kunden:innen, insbesondere diejenigen, die sensiblere oder vertrauliche Daten verwalten, Bedenken haben könnten, diese Daten in der Cloud zu speichern. Aus diesem Grund haben wir das Nitro System so konzipiert, dass Ihre vertraulichen Informationen so sicher wie möglich sind. Wir tun dies auf mehrere Arten:

Es gibt keinen Mechanismus, mit dem irgendein System oder eine Person sich in die Amazon EC2-Server einloggen, den Speicher der EC2-Instanzen lesen oder auf Daten auf verschlüsselten Amazon Elastic Block Store (EBS) Volumes zugreifen kann.

Wenn ein:e AWS-Mitarbeiter:in, einschließlich derjenigen mit den höchsten Privilegien, Wartungsarbeiten an einem EC2-Server durchführen muss, kann dies nur mit einem streng begrenzten Satz von authentifizierten, autorisierten und geprüften administrativen APIs erfolgen. Entscheidend ist, dass keine dieser APIs in der Lage ist, auf die Kundendaten zuzugreifen, welche auf dem betroffenen EC2-Server gespeichert sind. Diese Beschränkungen sind in das Nitro System selbst eingebaut, und kein:e AWS-Mitarbeiter:in kann diese Kontrollen und Schutzmaßnahmen umgehen.

Das Nitro System schützt Kund:innen auch vor AWS-Systemsoftware durch das innovative Design unseres leichtgewichtigen Nitro Hypervisors. Dieser verwaltet Speicher- und CPU-Zuweisungen. Herkömmliche kommerzielle Hypervisoren bieten Administrator:innen vollen Zugriff auf das System. Mit unserem Nitro System ist die einzige Schnittstelle, die Mitarbeiter:innen nutzen können, eine eingeschränkte API. Dies bedeutet, dass Kund:innen und Mitarbeiter:innen nicht auf ungenehmigte Art und Weise mit dem System interagieren können und es kein Äquivalent zu einem „root“-Benutzer gibt. Dieser Ansatz verbessert die Sicherheit und ermöglicht es AWS Systeme im Hintergrund zu aktualisieren, Systemfehler zu beheben, die Leistung zu überwachen und sogar Upgrades durchzuführen, ohne die Kund:innen-Operationen oder Kundendaten beeinträchtigen zu müssen. Kund:innen sind somit während der System-Upgrades unbetroffen, und ihre Daten bleiben stets geschützt.

Schließlich kann das Nitro System den Kund:innen auch eine zusätzliche Datenschutzschicht gegenüber ihren eigenen Mitarbeiter:innen und Software bieten. AWS hat AWS Nitro Enklaven geschaffen, die eine isolierte Rechenumgebungen bereitstellen. Dies ist ideal für Organisationen, die persönlich identifizierbare Informationen (PII) sowie Gesundheits-, Finanz- oder geistiges Eigentum innerhalb ihrer Compute-Instanzen verarbeiten müssen. Diese Enklaven teilen weder Speicher noch CPU-Kerne mit der Kundeninstanz. Darüber hinaus verfügen Nitro Enklaven über kryptographische Beglaubigungsfähigkeiten, die es den Kund:innen ermöglichen, zu überprüfen, dass alle eingesetzten Software validiert und nicht kompromittiert wurde.

All diese Aspekte der Sicherheits- und vertraulichen Rechenfähigkeiten des Nitro Systems erforderten von AWS Investitionen in Form von Zeit und Ressourcen, welche für den Aufbau der Systemarchitektur genutzt wurden. Wir haben dies getan, da wir sicherstellen möchten, dass unsere Kund:innen uns sicher ihre sensibelsten und vertraulichsten Daten anvertrauen können, und wir arbeiten stetig daran, uns dieses Vertrauen weiterhin zu verdienen. Dies ist nur ein Schritt, den AWS unternimmt, um die Transparenz darüber zu erhöhen, wie unsere Dienste konzipiert und betrieben werden. Wir sind noch nicht fertig, und wir werden weiterhin Innovationen vorantreiben und einzigartige Funktionen bereitstellen, die die Sicherheit unserer Kund:innen weiter erhöhen werden, ohne Kompromisse in Funktionalität oder Leistung.

Mehr erfahren:

Sehen Sie in diesem Video [EN], wie Anthony über die Sicherheit des AWS Nitro Systems spricht.

• Lesen Sie den NCC-Bericht [EN].
• Lesen Sie dieses Whitepaper [EN] über das Sicherheitsdesign des AWS Nitro Systems.
• Besuchen Sie diese Webseite um mehr über unser fortwährendes Engagement für digitale Souveränität zu erfahren.
• Lesen Sie Matt Garmans Blog über den NCC-Bericht [EN].
• Wir freuen uns über Ihre Gedanken und Rückmeldungen [Mail]