Dropbox nutzt mehrere AWS-Sicherheitsservices, um den Schutz seines Signaturservice zu skalieren

Das für Cloud-basierten Dateispeicher und intelligente Arbeitsbereiche bekannte Unternehmen Dropbox erwarb 2019 die elektronische Signatur- und Speicherlösung HelloSign. HelloSign wuchs im Jahr 2021 schnell auf mehr als 80 000 Kunden an und erkannte, wie wichtig es ist, die persönlich identifizierbaren Informationen (PII) sowie die Zahlungskarteninformationen seiner Kunden zu schützen. Um seinen Service sowohl sicher als auch hochverfügbar zu machen, musste das Unternehmen seine Services vor Distributed-Denial-of-Service (DDoS) und anderen Sicherheitsereignissen schützen.

Da das Unternehmen bereits Amazon Web Services (AWS) für viele seiner Infrastrukturanforderungen nutzte, entschied es sich, die Nutzung von AWS auszuweiten, um seinen Sicherheitsstatus zu verbessern. In nur sechs Monaten optimierte HelloSign seine Sicherheit durch den Einsatz einer Reihe skalierbarer, maßgeschneiderter Sicherheitstools von AWS. Darüber hinaus implementierte das Unternehmen Best Practices, beschleunigte die Entwicklung, verbesserte die Reaktionszeit bei Sicherheitsvorfällen und wendete Sicherheitsereignisse ab.

Dropbox ist ein intelligenter Arbeitsbereich mit Funktionen zum Synchronisieren und Teilen von Dateien, um Arbeitsabläufe zu optimieren. Durch den Erwerb von HelloSign können Dropbox-Kunden Dokumente nun online versenden, signieren und speichern, ohne Dropbox zu verlassen. HelloSign beschloss, seinen Sicherheitsstatus zu verbessern. Dazu gehörte unter anderem, Einblicke in die Sicherheit der eigenen Webanwendungen zu gewinnen sowie gespeicherte persönlich identifizierbare Informationen proaktiv zu identifizieren, um zu ermitteln, an welchen Stellen zusätzliche Kontrollen erforderlich sind.

HelloSign strebte eine skalierbare, robuste Option an, bei der keine Daten in eine Drittanbieterlösung ausgelagert werden müssen. Denn dadurch könnten externe Unternehmen unter Umständen Zugang zu persönlich identifizierbaren Informationen erlangen, was wiederum zeitaufwendige Sicherheitsüberprüfungen erfordern würde. HelloSign vertraute bei seiner Infrastruktur bereits auf AWS und speicherte verschlüsselte Daten mithilfe von Amazon Simple Storage Service (Amazon S3) – ein Objektspeicher für den Abruf beliebiger Datenmengen von jedem Ort aus. Anstatt Sicherheitsservices nach und nach einzuführen, integrierte HelloSign in kürzester Zeit eine Reihe von AWS-Sicherheitsservices in seinen internen Workflow.

Die erste Ebene der Sicherheitslösung von HelloSign bildet Amazon Macie – ein vollständig verwalteter Datensicherheits- und Datenschutzservice mit Machine Learning und Musterabgleich zur Erkennung und zum Schutz von vertraulichen Daten in Amazon-S3-Buckets. Amazon Macie ist skalierbar und erfordert keine Auslagerung von Daten an Dritte. Beim Schwachstellenmanagement setzt HelloSign auf Amazon Inspector. Dieser Service untersucht in AWS bereitgestellte Anwendungen auf Schwachstellen und sucht nach unbeabsichtigten Netzwerkzugriffsmöglichkeiten, um die Sicherheit und Compliance zu verbessern. „Wir nutzen die Ergebnisse von Amazon Inspector im Rahmen unseres Automatisierungsprozesses für die Patch-Verwaltung und können dadurch viel Zeit und Ressourcen bei der Aktualisierung unserer Software und Systeme sparen“, erklärt Kirtika Dommeti, Senior Security Engineer bei HelloSign. Zur Verbesserung der Sicherheitstransparenz nutzt HelloSign Amazon GuardDuty. Hierbei handelt es sich um einen Service zur Erkennung von Bedrohungen, der die Umgebung kontinuierlich auf böswillige Aktivitäten und unbefugtes Verhalten überwacht, um AWS-Konten, Workloads und in Amazon S3 gespeicherte Daten zu schützen. Zum besseren Verständnis der Ursache von Sicherheitsergebnissen aus Amazon GuardDuty evaluiert das Unternehmen derzeit Amazon Detective. Dieser Service nutzt Machine Learning, statistische Analysen und Graphentheorie, um einen verknüpften Datensatz zu erstellen, mit dem Benutzer mühelos schnellere und effizientere Sicherheitsuntersuchungen durchführen können.

Zur Überwachung des AWS-Sicherheitsstatus und zur Erstellung entsprechender Berichte nutzt HelloSign AWS Security Hub. Dieser Service fasst alle von ihm gewonnen Sicherheitserkenntnisse zusammen und überprüft den Einsatz bewährter Sicherheitsmethoden in der gesamten AWS-Bereitstellung. Dieser umfassende Blick auf Sicherheitswarnungen und den Sicherheitsstatus trägt zur Unterstützung der Compliance bei. HelloSign nutzt beispielsweise Amazon Macie für die Erkennung von persönlich identifizierbaren Daten und Zahlungskarteninformationen sowie die umfassenden Sicherheitsstatusprüfungen von AWS Security Hub, um CIS-Benchmarks (Center for Internet Security) und den Payment Card Industry Data Security Standard zu erfüllen.

HelloSign verwaltet die Erkenntnisse mithilfe einer proprietären Verarbeitungslogik sowie mithilfe von Services wie AWS Lambda (ein Serverless-Compute-Service mit dem Benutzer Code ausführen können, ohne Server bereitzustellen oder zu verwalten) und Amazon DynamoDB (eine Schlüssel-Wert- und Dokumentdatenbank, die unabhängig vom Umfang eine Leistung im einstelligen Millisekundenbereich bietet). Die internen Teams von HelloSign behandeln dann alle Probleme über den Ticket- und Vorfallreaktions-Workflow des Unternehmens.

Zur Behandlung von Sicherheitsereignissen in Webanwendungen verwendet das Unternehmen AWS Web Application Firewall (AWS WAF). Dieser Service schützt Webanwendungen und APIs vor verbreiteten Webangriffen sowie vor Bots, die die Verfügbarkeit oder die Sicherheit beeinträchtigen bzw. zu einer übermäßigen Ressourcenauslastung führen können. Mithilfe von AWS WAF kann HelloSign den Datenverkehr filtern, bevor er die Webserver des Unternehmens erreicht. Dadurch kann HelloSign Vorfälle in nur 15 bis 30 Minuten behandeln, Regeln anpassen, die gängige Muster von Sicherheitsereignissen proaktiv blockieren, und geografische oder länderspezifische Sperren auf Gebiete anwenden, für die US-Sanktionen gelten. Dank AWS WAF konnte HelloSign 12 DDoS-Sicherheitsereignisse und andere Sicherheitsbedrohungen abwenden, die das System des Unternehmens andernfalls zum Erliegen gebracht hätten. HelloSign verwendet auch AWS Shield Advanced. Hierbei handelt es sich um einen verwalteten DDoS-Schutzservice zum Schutz von Anwendungen, die in AWS ausgeführt werden. Für Ressourcen, die mit AWS Shield Advanced geschützt werden, erhalten Kunden AWS WAF und AWS Firewall Manager (ein Service zur Sicherheitsverwaltung) ohne zusätzliche Kosten. „Nun können wir intelligente Entscheidungen treffen und ermitteln, welche Kunden von woher kommen“, sagt Kirtika Dommeti.

HelloSign hat seinen Authentifizierungsprozess mithilfe von AWS Single Sign-On (AWS SSO) verbessert. Dieser Service ermöglicht eine einfache und zentrale Verwaltung des Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen und bietet Benutzern zentralen SSO-Zugriff auf alle ihnen zugewiesenen Konten und Anwendungen. Die Automatisierung von Sicherheitsfunktionen innerhalb von drei Monaten hat den Workflow optimiert und zeitaufwendige Aufgaben reduziert. Insgesamt haben diese Maßnahmen die Effizienz gesteigert und HelloSign rund 120 Arbeitsstunden pro Woche gespart. „Da die Services intuitiv sind, konnten wir sie mühelos in Betrieb nehmen und neues Personal problemlos in die Verwaltung der Services einführen“, erklärt Kirtika Dommeti.

Dank der einfachen Nutzung und Integration der AWS-Sicherheitsservices konnte HelloSign ein Sicherheitsniveau erreichen, das über den Branchenstandard hinausgeht. „Mithilfe von AWS konnten wir unser Sicherheitsmodell weiterentwickeln und manuelle Prozesse automatisieren“, sagt Mark Dorsi, Director of Security bei HelloSign. „Wir haben pro Jahr etwa eine Million Dollar an Testzeit für Sicherheitsabläufe sowie an Personal- und Lizenzkosten gespart.“