Der Volkswagen Konzern verwaltet zentral Sicherheitsbedrohungen auf AWS mit Amazon GuardDuty

Der Volkswagen Konzern (Volkswagen), der mehr als 650 000 Mitarbeiter beaufsichtigt, benötigt eine starke Sicherheit, um seinen Betrieb zu unterstützen. Der globale Automobilhersteller nutzt On-Premises- und cloudbasierte Lösungen, einschließlich Anwendungen powered by Amazon Web Services (AWS). Volkswagen hat bei seinem Streben nach weiterer Optimierung seines Sicherheitsstatus Amazon GuardDuty bereitgestellt – ein Service zur Erkennung von Bedrohungen, der kontinuierlich auf böswillige Aktivitäten und unbefugtes Verhalten überwacht, um AWS-Konten, -Workloads und -Daten der Organisation zu schützen. Mit den Sicherheitsservices von AWS hat das Unternehmen eine zentrale Ansicht auf seine AWS-Konten erhalten und kann automatisch auf Bedrohungen reagieren.

Volkswagen, 1937 gegründet und mit Firmensitz in Deutschland, betreibt 118 Fertigungsanlagen in 20 europäischen Ländern. Das Unternehmen stellt Produkte für 10 Automarken her, darunter Volkswagen-Pkws, Audi, SEAT, ŠKODA, Bentley, Bugatti, Lamborghini, Porsche, Ducati, und Volkswagen-Nutzfahrzeuge. Volkswagen benötigte eine Möglichkeit, seine Projekte zu skalieren, damit das Unternehmen Anwendungen in der gesamten Organisation hosten konnte. Im Jahr 2016 begann das Unternehmen, AWS zur Skalierung von Großprojekten zu verwenden, beispielsweise für eine Anwendung zur Konsolidierung der Steuerungen für seine Elektrofahrzeuge. „Nachdem wir mit der Nutzung von AWS-Services zur Skalierung des modularen Projekts für die Matrix von elektrischen Fahrzeugen begonnen hatten, hat sich die Nachfrage für das Hosting von Anwendungen gesteigert“, sagt Sachin Patil, Product Owner for AWS Cloud Foundational Services bei Volkswagen. „Anschließend haben wir begonnen, intensiv mit AWS zu arbeiten, um diese Projekte zu unterstützen.“

Volkswagen verwendet mehr als 200 AWS-Services, einschließlich Amazon Elastic Compute Cloud (Amazon EC2), ein Webservice, der sichere, größenveränderbare Rechenkapazität in der Cloud bietet. Da das Unternehmen AWS-Services weiterhin einführte, wollte es die Sicherheit und die Schwachstellenerkennung in allen AWS-Konten stärken. Um dieses Ziel zu erreichen, entwickelte Volkswagen eine Lösung mit Amazon GuardDuty zusammen mit seinem On-Premises-Sicherheits- und Eventmanagement-Service powered by Splunk, einer Software-Lösung, die Daten in nahezu Echtzeit in einer durchsuchbaren Schnittstelle erfasst, indiziert und korreliert.

Volkswagen stellte Amazon GuardDuty mit einem Kontobereitstellungssystem bereit, das intern entwickelt wurde. Jedoch war dieser Prozess zeitaufwändig und Volkswagen erkannte, dass die Anpassung der Sicherheitskontrolle an einzelne AWS-Konten für die gesamte Organisation umständlich war. Nachdem das Unternehmen diese Erkenntnis AWS während eines vierteljährlichen Geschäftsentwicklungsberichts mitgeteilt hat, fügte das AWS-Team Support für AWS Organizations an Amazon GuardDuty hinzu. AWS Organizations ist ein Service, der den Unternehmen dabei hilft, ihre AWS-Umgebungen zentral zu verwalten und zu steuern, während sie wachsen und skalieren. Mit AWS Organizations kann Volkswagen Amazon GuardDuty bereitstellen, sobald es ein AWS-Konto erstellt hat. „Da Amazon GuardDuty AWS Organizations unterstützt, müssen wir nicht Amazon GuardDuty in jedem einzelnen Konto aktivieren. Standardmäßig wird jedes von uns erstellte Konto damit ausgestattet“, sagt Sachin. „AWS ist ein kundenorientiertes Unternehmen und das AWS-Team hört unseren Anliegen zu. AWS Organizations für Amazon GuardDuty hat uns viel Zeit gespart.“ Durch die Verwendung von AWS Organizations für Amazon GuardDuty hat Volkswagen die Konto-Bereitstellungszeit um 5–7 Minuten pro Batch reduziert.

Volkswagen verwendet AWS Organizations auch, um AWS Security Hub zu implementieren, einen Service, der eine umfassende Ansicht von Sicherheitswarnungen und Sicherheitsstatus in allen AWS-Konten bietet, damit Kontobesitzer zentralisiert auf Sicherheitsbedrohungen und -Ergebnisse zugreifen können. Mit AWS Organizations zur Aktivierung von AWS Security Hub und anderen Services auf Organisationsebene hat Volkswagen seine Kontobereitstellungszeit insgesamt um zusätzlich 15–20 Minuten pro Batch reduziert. Der Service kann auch Bedrohungen zum Zeitpunkt der Kontoerstellung erkennen. Dadurch wir die Sicherheit verbessert. Wenn das System eine Bedrohung erkennt, fließen seine Ergebnisse in das Splunk-Instance für das Sicherheitsinformations- und Ereignismanagement von Volkswagen ein. Dadurch wird der Security Operations Center (SOC, Sicherheitsoperationszentrum) von Volkswagen zum Handeln aufgefordert.

Volkswagen hat auch den Prozess der Bedrohungserkennung automatisiert, um die Workloads der Mitarbeiter zu erleichtern. Wenn Amazon GuardDuty beispielsweise eine Amazon-EC2-Instance erkennt, die möglicherweise mit einem Rootkit-Virus infiziert ist, leitet das Programm einen Workflow ein, der eine E-Mail an den Kontobesitzer sendet. Außerdem fügt es das Ergebnis an AWS Security Hub hinzu. Dadurch wird das SOC-Team alarmiert. Anschließend kann ein Teammitglied das Ergebnis in Amazon GuardDuty überprüfen und Behebungsmaßnahmen durchführen, wie beispielsweise die Stillegung der Amazon-EC2-Instance und die Erstellung einer Kopie im SOC-AWS-Konto. Dieses Konto enthält Tools, die zur Analyse der Ursache und für Behebungsmaßnahmen verwendet werden. Sobald das Problem behoben und als gelöst markiert wurde, warnt Amazon GuardDuty das Konto, um die Sicherheitsergebnisse im AWS Security Hub anzuzeigen. Bei besonders kritischen Problemen erhalten das SOC-Team und die Kontobesitzer Warnungen, die automatisch die betroffene Anwendung oder das betroffene Konto sofort blockieren können. Dadurch wird verhindert, dass die Bedrohung andere Teile des Volkswagen-Systems schädigt.

Volkswagen verwendet AWS Organizations auch zur Durchsetzung von Service-Kontrollrichtlinien und zur Verwaltung von Berechtigungen bei allen AWS-Konten. Beispielsweise verwaltet das SOC-Team eine Liste von genehmigten AWS-Regionen, die Kontobesitzer nutzen dürfen. Wenn ein Mitarbeiter ein Projekt beginnt, genehmigt das Team bestimmte AWS-Regionen auf Grundlage der Bedürfnisse, des Zwecks und den anwendbaren Vorschriften des Projekts. Diese Richtlinien verleihen dem SOC-Team die Einblick in potenzielle Sicherheitsprobleme und verhindern, dass Mitarbeiter Ressourcen außerhalb der genehmigten AWS-Regionen bereitstellen und darauf zugreifen. Während des Kontobereitstellungsprozesses wendet Volkswagen automatisch die Service-Kontrollrichtlinien an. Dadurch wird verhindert, dass individuelle Konten Amazon GuardDuty oder AWS Security Hub modifizieren. Durch Implementierung von zentralisierten und präventive Richtlinien kann Volkswagen potenzielle Fehler reduzieren und sich auf die Innovation konzentrieren. „Wenn unsere Benutzer über die Verwendung von AWS-Services für die Sicherheit nachdenken, sind sie bereits vorhanden. Sie müssen keine Lösung von Grund auf neu erstellen“, sagt Sachin. „Das wiederum spart viel Zeit, weil die Benutzer wissen, dass die Lösung sicher ist und dem Standard von Volkswagen entspricht. Sie können sich auf die Entwicklung von Anwendung und die Verbindung mit Fahrzeugen konzentrieren.“

Mit Amazon GuardDuty, AWS Security Hub und AWS Organizations kann Volkswagen automatisch Sicherheitsbedrohungen erkennen und schnell Lösungen bereitstellen, um seine AWS-Konten, Geschäftsanwendungen und Infrastruktur zu schützen. Volkswagen wird AWS-Services weiterhin in Anspruch nehmen, um innovative Lösungen wie Firestarter zu entwickeln – eine Anwendung, die auf Amazon API Gateway bereitgestellt wird und auf der Open-Source-JavaScript-Bibliothek React basiert. Volkswagen wird Firestarter auf Amazon API Gateway bereitstellen, einem vollständig verwalteten Service, der das Erstellen, Veröffentlichen, Warten, Überwachen und Sichern von APIs in beliebigem Umfang vereinfacht. Mit Firestarter wird Volkswagen für neue Kunden das Onboarding in seine AWS-Umgebung streamen und beschleunigen.

Volkswagen hat auch von dem Support durch das AWS-Team profitiert. „Der kundenorientierte Ansatz bei AWS ist spürbar“, sagt Anurag Agrawal, Basic Plattform Owner bei Volkswagen. „Es gibt viele Dinge, die wir von AWS gelernt haben und die Teil unserer Organisation geworden sind.“