AWS re:Invent 2023: Rückblick zu Sicherheit, Identität und Compliance

von Nisha Amthul, Marshall Jones und Himanshu Verma, übersetzt durch Tobias Nitzsche.

In diesem Beitrag teilen wir die wichtigsten Ankündigungen im Bereich Sicherheit, Identität und Compliance der AWS re:Invent 2023 [EN]. Zudem bieten wir Details dazu, wie Sie sich die On-Demand-Videos der Sessions [EN] und relevante Blogbeiträge ansehen können.

Die AWS re:Invent kehrte im November 2023 nach Las Vegas zurück und umfasste über 2.250 Sessions und hands-on Labs mit über 52.000 Teilnehmenden in fünf Tagen. Falls Sie nicht persönlich dabei sein konnten oder die Ankündigungen und On-Demand-Sessions zu Sicherheit, Identität und Compliance noch einmal ansehen möchten, finden Sie hier alle wichtigen Informationen.

Auf der re:Invent 2023 und in den Ankündigungen der AWS-Sicherheitsdienste gab es zentrale Themen, die die Herausforderungen im Bereich Sicherheit unterstreichen. AWS begegnet diesen durch den Wissensaustausch und die kontinuierliche Weiterentwicklung der nativen Sicherheitsdienste. Die Hauptthemen waren: die Unterstützung bei der Architektur für Zero Trust, skalierbares Identitäts- und Zugriffmanagement, die frühzeitige Integration von Sicherheit in den Entwicklungszyklus, die Verbesserung der Containersicherheit und der Einsatz generativer Künstlicher Intelligenz (KI), um Sicherheitsdienste zu verbessern und die durchschnittliche Zeit zur Behebung zu verkürzen.

Wichtige Ankündigungen

Um Ihnen die effiziente Verwaltung von Identitäten und Zugriffen im großen Maßstab zu erleichtern, haben wir mehrere neue Funktionen vorgestellt:

• Eine Woche vor der re:Invent kündigten wir zwei neue Funktionen von Amazon Verified Permissions an:
  • Batch-Autorisierung: Diese neue Funktion ermöglicht es Ihnen, Autorisierungsentscheidungen innerhalb Ihrer Anwendung im Batch-Modus zu verarbeiten. Mit der neuen API können Sie bis zu 30 Autorisierungsentscheidungen für eine einzelne Prinzipalrolle oder Ressource in einem einzigen API-Aufruf verarbeiten. Dies kann Ihnen helfen, mehrere Anfragen in Ihrer Benutzeroberfläche (UX) für Berechtigungen zu optimieren.
  • Visueller Schema-Editor: Dieser neue visuelle Editor bietet eine Alternative zur direkten Bearbeitung von Policies im JSON-Editor. Sie können Beziehungen zwischen Entitätstypen anzeigen, Prinzipalrollen und Ressourcen visuell verwalten und die Aktionen überprüfen, die auf Prinzipalrollen- und Ressourcentypen für Ihr Anwendungsschema zutreffen.
• Wir haben zwei neue Funktionen für AWS Identity and Access Management (IAM) Access Analyzer [EN] eingeführt:
  • Ungenutzter Zugriff: Der neue Analyzer überwacht kontinuierlich IAM-Rollen und -Benutzer in Ihrer AWS-Organisation oder innerhalb von AWS-Konten. Er identifiziert ungenutzte Berechtigungen, Zugriffschlüssel und Passwörter. Diese Funktion bietet ein Dashboard, das Ihnen hilft, Prioritäten zu setzen und zu erkennen, welche Konten aufgrund übermäßiger Berechtigungen und ungenutztem Zugriff Aufmerksamkeit benötigen. Sie können automatisierte Benachrichtigungsworkflows einrichten, indem Sie IAM Access Analyzer in Amazon EventBridge [EN] integrieren. Zudem können Sie diese Erkenntnisse über ungenutzten Zugriff mit Ihren bestehenden AWS Security Hub-Erkenntnissen zusammenführen.
  • Benutzerdefinierte Richtlinienprüfungen: Diese Funktion hilft Ihnen, bereits vor der Bereitstellung, bei der Überprüfung von IAM-Richtlinien gemäß Ihrer Sicherheitsstandards. Sie nutzt die Leistungsfähigkeit des automatisierten Reasonings, einer Sicherheitsgarantie, welche von mathematischen Beweisen gestützt wird. Ihre Sicherheitsteams können so nicht konforme Richtlinienaktualisierungen proaktiv erkennen. Sie können AWS-Anwendungen schneller von der Entwicklung in die Produktion bringen, indem Sie Richtlinienprüfungen in Continuous Integration and Continuous Delivery (CI/CD)-Pipelines automatisieren. Sicherheitsteams automatisieren Richtlinienprüfungen vor Bereitstellungen, indem sie mit Entwicklern zusammenarbeiten und benutzerdefinierte Prüfungen in AWS CodePipeline, AWS CloudFormation Hooks, GitHub Actions und Jenkins Jobs konfigurieren.
• Wir haben die vertrauenswürdige Identitätsübertragung von AWS IAM Identity Center angekündigt, um den Zugriff auf AWS Analytics-Dienste wie Amazon QuickSight, Amazon Redshift, Amazon EMR, AWS Lake Formation und Amazon Simple Storage Service (Amazon S3) über S3 Access Grants zu verwalten und zu auditieren. Diese neue Funktion von IAM Identity Center vereinfacht das Datenzugriffsmanagement für Benutzer und erhöht die Granularität der Überwachung. Zudem verbessert sie die Anmeldeoberfläche für Analytics-Benutzer über mehrere AWS Analytics-Anwendungen hinweg.

Um Ihre Sicherheitsergebnisse mit generativer KI und automatisiertem Reasoning zu verbessern, haben wir die folgenden neuen Funktionen vorgestellt:

• Amazon Inspector erweitert das AWS Lambda-Code-Scanning mit generativer KI-gestützter Problembehebung – Damit können Sie Ihren benutzerdefinierten AWS Lambda-Code auf Sicherheitsprobleme wie Injection-Schwachstellen und Datenlecks überprüfen. Diese Funktion liefert umsetzbare Sicherheitserkenntnisse, einschließlich betroffener Code-Ausschnitte und Vorschläge zur Behebung, um Ihnen die Aktualisierung von anfälligem Code zu vereinfachen.
• Amazon CodeWhisperer bietet Code-Vorschläge, um identifizierte Sicherheits- und Code-Qualitätsprobleme in Ihrem Anwendungscode zu beheben. Mit dieser Funktion können Sie Korrekturen schnell und sicher prüfen und beheben. Die Sicherheitsüberprüfung ist für Java, Python, JavaScript, TypeScript, C#, CloudFormation (YAML und JSON), AWS CDK (TypeScript und Python), sowie HashiCorp Terraform verfügbar.
• Amazon Detective führt Zusammenfassungen von Erkenntnisgruppen mit Hilfe generativer KI ein. Mit den Amazon Detective Zusammenfassungen können Sie wichtige Einblicke in verdächtige Aktivitäten, die in Erkenntnisgruppen identifiziert wurden, schneller in natürlicher Sprache finden und überprüfen. Dies vereinfacht die Untersuchung und das Verständnis ungewöhnlicher oder verdächtiger Aktivitäten.
• AWS Config startet die generative KI-gestützte Abfrage in natürlicher Sprache (Vorschau). Mit dieser Funktion können Sie Ihre Untersuchung und Suche nach AWS-Ressourcenkonfigurationen und Compliance-Metadaten vereinfachen.

AWS Control Tower hat einen Satz von 65 zweckgebundenen Kontrollen [EN] eingeführt, die Ihnen dabei helfen sollen, Ihre Anforderungen an die digitale Souveränität zu erfüllen. Im November 2022 starteten wir das AWS Digital Sovereignty Pledge – unser Engagement, den fortschrittlichsten Satz von Souveränitätskontrollen und -funktionen in der Cloud für alle AWS-Kunden anzubieten. Die Einführung dieser AWS Control Tower-Kontrollen zur Unterstützung der digitalen Souveränität ist ein weiterer Schritt auf unserem Fahrplan für Fähigkeiten in den Bereichen Datenresidenz, granulare Zugriffsbeschränkung, Verschlüsselung und Resilienz. Mit AWS Control Tower erhalten Sie eine konsolidierte Übersicht über die aktivierten Kontrollen, Ihren Compliance-Status und die Kontrollevidenzen über mehrere AWS-Konten hinweg.

Wir haben zwei neue Funktionserweiterungen für Amazon GuardDuty angekündigt, um die breiteste Bedrohungserkennung zu bieten:

• GuardDuty ECS Runtime Monitoring [EN]: Diese Erweiterung führt die Laufzeitbedrohungserkennung für Amazon Elastic Container Service (Amazon ECS) Workloads ein, einschließlich serverloser Containerworkloads auf AWS Fargate. Mit dieser Funktion bietet GuardDuty nun die umfassendste Containerüberwachung, die für die Ausführung von Containerworkloads auf AWS verfügbar ist.
• GuardDuty Runtime Monitoring für Amazon EC2 (Vorschau): Diese Erweiterung führt die Laufzeitbedrohungserkennung für Amazon Elastic Compute Cloud (Amazon EC2) Workloads ein. Dadurch vertieft GuardDuty die Bedrohungserkennungsabdeckung für Amazon EC2-Workloads.

Wir haben zwei neue Funktionen für Amazon Inspector eingeführt, zusätzlich zur Amazon Inspector-Code-Behebung für Lambda-Funktionen. Diese Funktionen sollen Ihnen die Erkennung von Softwareschwachstellen im großen Maßstab erleichtern:

• Verbesserte Container-Image-Sicherheit: Amazon Inspector integriert sich jetzt in Entwicklungswerkzeuge und führt eine neue Reihe von Open-Source-Plugins sowie eine API ein. Mit dieser neuen Funktion können Sie Ihre Container-Images direkt aus Ihren CI/CD-Pipelines auf Softwareschwachstellen überprüfen. Dies funktioniert während diese erstellt werden (Build time) und unabhängig davon, wo diese ausgeführt werden.
• Agentlose Schwachstellenbewertungen von Amazon Inspector für Amazon EC2 (Vorschau) [EN]: Amazon Inspector kann Ihre Amazon EC2-Instanzen kontinuierlich auf Schwachstellen überwachen, ohne dass Sie einen Agenten oder zusätzliche Software installieren müssen.

Wir haben vier neue Funktionen in AWS Security Hub eingeführt, um Ihnen dabei zu helfen, Sicherheitslücken in Ihrer gesamten Organisation zu beheben, die Benutzererfahrung für Sicherheitsteams zu verbessern, sowie die Sichtbarkeit zu erhöhen:

• Zentrale Konfiguration [EN]: Vereinfachen und optimieren Sie die Einrichtung und Verwaltung von Security Hub in Ihren Multi-Account- und Multi-Region-Organisationen. Mit der zentralen Konfiguration können Sie das delegierte Administratorkonto als zentrale Konsole nutzen, um Sicherheitserkenntnisse zu erhalten und die Konfigurationen Ihrer Organisation in Security Hub zu verwalten.
• Anpassung von Sicherheitskontrollen: Jetzt können Sie die von Security Hub überwachten Best Practices verfeinern, um spezifischere Sicherheitsanforderungen zu erfüllen. Security Hub-Kontrollen unterstützen nun kundenspezifische Eingaben, sodass Sie die Überwachung Ihrer Sicherheitsaufstellung auf AWS anpassen können.
• Metadatenanreicherung für Erkenntnisse: Diese Funktion fügt Ressourcen-Tags, einen neuen AWS-Anwendungs-Tag und Kontonameninformationen zu jeder in Security Hub aufgenommenen Erkenntnis hinzu. Dies umfasst Erkenntnisse aus AWS-Sicherheitsdiensten wie GuardDuty, Amazon Inspector und IAM Access Analyzer sowie eine wachsende Liste von AWS Partner Network (APN)-Lösungen. Dadurch können Sie Ihre Sicherheitserkenntnisse besser kontextualisieren, priorisieren und darauf reagieren.
• Dashboard-Verbesserungen [EN]: Sie können nun Ihre Dashboard-Ansichten filtern und anpassen sowie auf neue, sorgfältig ausgewählte Widgets zugreifen. Diese stellen die moderne Cloud-Sicherheitsbedrohungslandschaft sowie potenzielle Bedrohungen und Schwachstellen in Ihrer AWS-Cloud-Umgebung nun besser dar. Diese Verbesserung erleichtert es Ihnen sich auf Risiken zu konzentrieren, die Ihre Aufmerksamkeit erfordern und bietet somit eine umfassendere Übersicht über Ihre Cloud-Sicherheit.

Wir haben drei neue Funktionen für Amazon Detective eingeführt, zusätzlich zu den Amazon Detective Erkenntnisgruppenzusammenfassungen. Diese Funktionen sollen den Sicherheitsuntersuchungsprozess vereinfachen:

• Detective-Untersuchungen für IAM: Mit dieser Funktion können Sie IAM-Objekte wie Benutzer und Rollen auf Indikatoren für Kompromittierung ( indicators of compromise – IoCs) untersuchen. Diese Funktion hilft dabei, eine mögliche Beteiligung an bekannten Taktiken aus dem MITRE ATT&CK-Framework [EN, Extern] zu ermitteln.
• Sicherheitsuntersuchungen für GuardDuty ECS Runtime Monitoring: Sie können jetzt die neuen Laufzeitbedrohungserkennungen von GuardDuty zusammen mit den erweiterten Visualisierungen und zusätzlichen Kontextinformationen für Erkennungen in Amazon ECS von Detective nutzen. Dadurch können Sie die Erkennung und Reaktion auf potenzielle Bedrohungen in Ihren Containerworkloads verbessern.
• Protokollabruf aus Amazon Security Lake: Detective integriert sich in Security Lake, sodass Sie in Security Lake gespeicherte Protokolle abfragen und abrufen können. Nutzen Sie diese Integration, um bei Sicherheitsuntersuchungen in Detective zusätzliche Informationen aus in Security Lake gespeicherten AWS CloudTrail-Logs und Amazon Virtual Private Cloud (Amazon VPC) Flow Logs zu erhalten.

Wir haben den Batch-Abruf von Secrets für AWS Secrets Manager eingeführt. Mit dieser neuen Funktion können Sie eine Gruppe von Secrets für Ihre Anwendung mit einem einzigen API-Aufruf identifizieren und abrufen. Die neue API BatchGetSecretValue bietet mehr Einfachheit für gängige Entwicklerworkflows, insbesondere wenn Sie mehrere Secrets in Ihre Anwendung einbinden möchten.

Wir haben eng mit AWS-Partnern zusammengearbeitet, um Angebote zu schaffen, die es Ihnen erleichtern, Ihre Cloud-Workloads zu schützen:

• AWS Built-in Competency: Partner-Lösungen mit der AWS Built-in Competency helfen Ihnen die Zeit zu minimieren, die Sie benötigen um die besten AWS-Dienste für Ihre Anforderungen zu finden. Diese Lösungen decken viele verschiedene Anwendungsfälle und Kategorien ab.
• AWS Cyber Insurance Competency: Wir haben eng mit führenden Cyber-Versicherungspartnern [EN] zusammengearbeitet, um den Prozess der Erlangung einer Cyber-Versicherung zu vereinfachen. Dadurch können Sie einfacher und erschwinglicher Versicherungspolizen von AWS-Partnern finden, die ihre Sicherheitsaufstellung nahtlos durch ein benutzerfreundliches Erlebnis mit Security Hub integrieren.

Erleben Sie Inhalte auf Abruf

Falls Sie nicht persönlich dabei sein konnten oder eine Session noch einmal ansehen möchten, stehen Ihnen viele On-Demand-Sessions [EN] zur Verfügung.

Keynotes, Innovationsvorträge und Leadership-Sessions

Sehen Sie sich die AWS re:Invent 2023 Keynote [EN, Extern] an, in der AWS CEO Adam Selipsky seine Perspektive auf die Cloud-Transformation teilt und exklusive Einblicke in AWS-Innovationen in den Bereichen generative KI, Machine Learning, Daten und Infrastruktur-Fortschritte gibt. Zudem können Sie die anderen AWS re:Invent 2023 Keynotes [EN, Extern] noch einmal ansehen.

Durch die Anpassung von Organisationen und Adaption neuer Technologien entwickelt sich auch die Sicherheitslandschaft weiter. In einem Innovationsvortrag erfahren Sie mehr über die AWS-Vision für Sicherheit, die die Geschäftsagilität vorantreibt. Streamen Sie diesen Vortrag [EN, Extern] des Amazon Chief Security Officers Steve Schmidt und des AWS Chief Information Security Officers Chris Betz, um Einblicke in Schlüsselthemen wie Zero Trust, Entwicklersicherheitserfahrung und generativer KI zu erhalten.

Bei AWS arbeiten wir eng mit Kunden zusammen, um ihre Anforderungen an kritische Workloads zu verstehen. Unsere Arbeit mit der Smart Nation and Digital Government Group (SNDGG) [EN, Extern] der Regierung von Singapur, um beim Aufbau einer Smart Nation für ihre Bürger und Unternehmen zu helfen, veranschaulicht diesen Ansatz. Sehen Sie sich die Leadership-Session [EN, Extern] mit Max Peterson, Vice President of Sovereign Cloud bei AWS, und Chan Cheow Hoe, Government Chief Digital Technology Officer von Singapur, an. In dieser Session wird beleuchtet, wie AWS Singapur’s Cloud-Reise zur Schaffung einer Smart Nation unterstützt.

Breakout-Sessions und Talks zu Neuankündigungen

Streamen Sie Breakout-Sessions und Talks zu Neuankündigungen auf Abruf [EN, Extern], um mehr über folgende Themen zu erfahren:

• Erfahren Sie wie AWS, Kunden und Partner zusammenarbeiten um ihre Sicherheitsaufstellung mit AWS-Infrastruktur und -Diensten zu verbessern.
• Lernen Sie die Trends im Identitäts- und Zugriffmanagement, der Erkennung und Reaktion, der Netzwerk- und Infrastruktursicherheit, dem Schutz und der Privathaltung ihrer Daten sowie der Governance, Risiko und Compliance kennen.
• Tauchen Sie tiefer in unsere Ankündigungen ein! Erfahren Sie von Sicherheitsexperten mehr über die neuesten Ankündigungen und entdecken Sie, wie neue Dienste und Lösungen Ihnen dabei helfen können, zentrale Sicherheits- und Compliance-Anforderungen zu erfüllen.

Erwägen Sie bei kommenden Informationsveranstaltung zum Thema Sicherheit persönlichen mit dabei zu sein. Merken Sie sich den Termin für die AWS re:Inforce 2024 [EN] vom 10. bis 12. Juni in Philadelphia, Pennsylvania vor. Wir würden uns freuen, Sie dort zu sehen!

Wenn Sie besprechen möchten, wie Ihnen diese neuen Ankündigungen dabei helfen können, die Sicherheitsaufstellung Ihrer Organisation zu verbessern, steht Ihnen AWS gerne zur Seite. Kontaktieren Sie noch heute Ihr AWS-Account Team!

Bei Fragen zu diesem Beitrag wenden Sie sich bitte sich an den AWS-Support.

Möchten Sie weitere AWS-Sicherheitsnachrichten erhalten? Folgen Sie uns auf X (ehemals Twitter) [EN, Extern]!

Über die Autoren

	Nisha Amthul ist Senior Product Marketing Managerin bei AWS Security und spezialisiert auf Erkennungs- und Reaktionslösungen. Sie verfügt über eine solide Grundlage im Produktmanagement und Produktmarketing in den Bereichen Informationssicherheit und Datenschutz. Abseits der Arbeit findet man sie beim Kuchenverzieren, Krafttraining und auf der Jagd nach ihren beiden energiegeladenen Kindern, während sie die Freuden der Mutterschaft genießt.
	Himanshu Verma ist Worldwide Specialist für AWS-Sicherheitsdienste. Er leitet die Markteinführung und Umsetzung für AWS-Sicherheitsdienste, die Schulung vor Ort und die strategische Kundenberatung. Zuvor hatte er Führungsrollen im Produktmanagement, in der Entwicklung und Technik inne und arbeitete an verschiedenen Identitäts-, Informationssicherheits- und Datenschutztechnologien. Er liebt es, über disruptive Ideen zu brainstormen, Zeit im Freien zu verbringen, zu fotografieren und neue Restaurants auszuprobieren.
	Marshall Jones ist Worldwide Security Specialist Solutions Architect bei AWS. Er verfügt über Erfahrung in der AWS-Beratung und Sicherheitsarchitektur mit Fokus auf verschiedenen Sicherheitsbereichen wie Edge, Bedrohungserkennung und Compliance. Heute konzentriert er sich darauf, Unternehmenskunden von AWS dabei zu unterstützen, AWS-Sicherheitsdienste einzuführen und zu operationalisieren, um die Sicherheitseffektivität zu erhöhen und Risiken zu reduzieren.