Betreiberzugriff auf AWS

Viele der AWS-Kernsysteme und -Services sind so konzipiert, dass kein Bediener darauf zugreifen kann, darunter AWS Key Management Service (AWS KMS), Amazon EC2 (über das AWS Nitro System), AWS Lambda, Amazon Elastic Kubernetes Service (Amazon EKS) und AWS Wickr. Diese Services verfügen über keinerlei technische Mittel, mit denen AWS-Bediener auf Kundendaten zugreifen können. Stattdessen werden Systeme und Services über Automatisierung und sichere APIs verwaltet, die Kundendaten vor versehentlicher oder sogar erzwungener Offenlegung schützen.

AWS hat schon immer ein Modell der geringsten Berechtigungen verwendet, um die Anzahl der Personen zu minimieren, die Zugriff auf Systeme haben, die Kundendaten verarbeiten. Das bedeutet, dass wir sicherstellen, dass jeder Amazonianer nur auf die Mindestanzahl von Systemen zugreifen kann, die für die Erfüllung seiner zugewiesenen Aufgabe oder Verantwortung erforderlich sind, und zwar nur für die Zeit, in der diese Berechtigung benötigt wird. Jeder Zugriff auf Systeme, die Kundendaten oder Metadaten speichern oder verarbeiten, wird protokolliert, auf Anomalien überwacht und geprüft. AWS schützt vor allen Aktionen, die diese Kontrollen deaktivieren oder umgehen würden.

Wir wenden auch das Prinzip der geringsten Berechtigung auf die Haltung von AWS-Systemen und -Services an. AWS übertrifft in diesem Bereich die Branchenstandards. AWS Identity and Account Management (IAM) ermöglicht es Kunden, mithilfe von IAM-Rollen differenzierte Berechtigungen zu erteilen. So können Kunden genau steuern, wer auf was Zugriff hat. Wir fügen außerdem eine zusätzliche, einzigartige Sicherheitsebene hinzu, die als Forward Access Sessions (FAS) aufgerufen wird und sicherstellt, dass sensible Berechtigungen kryptografisch von der Autorisierung des Kunden abhängig sind. AWS-Services wie Amazon EC2 und Amazon Simple Storage Service (Amazon S3) ermöglichen es Kunden außerdem, ihre Daten zu verschlüsseln, sodass selbst AWS die Verschlüsselungsschlüssel des Kunden nicht ohne direkte Autorisierung des Kunden verwenden kann. Dies wird durch FAS erzwungen, das nachweist, dass der Kunde diesen Vorgang autorisiert hat. Darüber hinaus werden diese Aktionen, die als „On-Behalf-of“-Service-Vorgänge (im Namen von… ) bezeichnet werden, protokolliert und für Kunden in AWS CloudTrail sichtbar gemacht. Es gibt standardmäßig keinen Superuser-Schlüssel, der es AWS-Services ermöglicht, ohne deren implizite Autorisierung auf Kundenressourcen in einem anderen Service zuzugreifen.

Um zu verhindern, dass nicht überwachte Bediener auf Systeme zugreifen, die Kundendaten enthalten, hat AWS seine Systeme so konzipiert, dass alle administrativen Vorgänge zentral protokolliert und überwacht werden. Alle Bedieneraktionen können bis hin zu dem Menschen, der die Aktion ausführt, detailliert nachverfolgt werden. Es gibt keine gemeinsamen Teamkonten, die Anonymität bieten. Der Zugriff wird in Echtzeit auf ungewöhnliche Aktivitäten überwacht, einschließlich potenzieller Fehler oder verdächtiger Aktivitäten, und die Manager und Führungsteams der AWS-Bediener sowie die unabhängige AWS-Sicherheitsorganisation erhalten regelmäßig Zusammenfassungen aller derartigen Aktivitäten. Diese Überwachung erfolgt auf mehreren Ebenen, einschließlich On-Host-Protokollierungsagenten, die lokale Ereignisse schnell vom Host auf ein zentrales Protokollaggregationssystem übertragen, das vom AWS-Sicherheitsteam betrieben wird, sowie Echtzeit-Warnmeldungen, wenn der On-Host-Agent aus irgendeinem Grund nicht mehr funktioniert. Ergänzt wird dies durch Überwachung auf Netzwerkebene, Überwachung des Bastion-Service und andere Kontrollen.

Die AWS-Mitarbeitenden führen alle Vorgänge über sichere Schnittstellen aus, die sicherstellen, dass die Bediener über aktuelle und sichere Workstations und FIPS-validierte Hardware-Sicherheitstoken verfügen und korrekt authentifiziert sind. Diese Schnittstellen stellen den AWS-Bedienern temporäre, kurzlebige Anmeldeinformationen zur Verfügung und überwachen außerdem alle Aktivitäten mithilfe von Mechanismen, die nicht außer Kraft gesetzt oder umgangen werden können. Diese sicheren Schnittstellen für Bediener erlauben nur eingeschränkte Vorgänge, bei denen keine Kundendaten offengelegt werden, und setzen für sensible Vorgänge eine Genehmigung durch mehrere Personen voraus.

Wenn es notwendig wird, auf interne Ressourcen zuzugreifen, in denen Kundendaten gespeichert oder verarbeitet werden, beispielsweise zur Fehlerbehebung oder Behebung eines Problems im Zusammenhang mit einem Service, fügen wir eine zusätzliche Kontrollebene hinzu, um den Zugriff der Bediener einzuschränken, zu bewerten und zu überwachen.

AWS-Supportmitarbeiter, die Kunden bei ihren Supportanfragen unterstützen, haben keinen Zugriff auf Kundendaten. Alle AWS IAM-Berechtigungen, die für Supportzwecke verwendet werden, sind vollständig dokumentiert und der Zugriff erfolgt über dedizierte Rollen, die von jedem AWS-Kunden deaktiviert werden können. Jede Verwendung dieser dedizierten Rollen wird auch in AWS CloudTrail protokolliert.

AWS betreibt sichere Rechenzentren, um das Risiko von Netzwerkabgriffen, Diebstahl oder anderen physischen Angriffen zu reduzieren. Wir wenden das Prinzip der geringsten Berechtigung an, um Zugriffsanfragen zu überprüfen. In diesen Anfragen muss angegeben werden, auf welche Ebene des Rechenzentrums die Person zugreifen möchte, und sie sind zeitlich begrenzt. Elektronische Speichermedien dürfen die AWS-Rechenzentren nur verlassen, wenn sie entweder physisch zerstört oder kryptografisch gelöscht wurden, wobei die in NIST 800-88 beschriebenen Techniken zum Einsatz kommen. AWS-Services und -Systeme unterstützen eine permanente Verschlüsselung für Netzwerk, Speicher und Datenspeicher. In vielen Fällen gibt es zwei oder mehr Schichten permanenter Verschlüsselung, die sicherstellen, dass nur die Systeme auf Daten zugreifen können, die für die Verarbeitung dieser Daten für Kunden verantwortlich sind.

AWS setzt organisatorische und technische Kontrollmechanismen ein, um sicherzustellen, dass kein sicherheitsrelevantes Ereignis unentdeckt bleibt und keine Einzelperson oder Gruppe wichtige Sicherheitskontrollen umgehen kann. Die Zugriffskontroll- und Zugriffsüberwachungssysteme von AWS sind bewusst unabhängig und werden von separaten Teams betrieben.

Wir haben AWS mit tiefgreifenden Sicherheitsmaßnahmen entwickelt, darunter Änderungskontrollen, unveränderliche Protokollierungsfunktionen, Aufgabentrennung, Genehmigungen durch mehrere Parteien, bedingte Autorisierungsmechanismen und automatische operative Tools. Diese Sicherheitsmaßnahmen gehen über die üblichen Sicherheitspraktiken hinaus, sodass die von AWS-Bedienern ergriffenen Maßnahmen sicher, transparent, protokolliert und überprüft sind.

Wir haben Berechtigungsgruppen implementiert, um den Zugriff auf Ressourcen zuzuweisen, ein Tool für Berechtigungen, um die Mitgliedschaft in Berechtigungsgruppen zu verwalten, und sichere Tools, mit denen autorisierte Bediener Systemwartungen und Fehlerbehebungen durchführen können, ohne direkt auf Service-Ressourcen zugreifen zu müssen. Wir aktualisieren auch automatisch die Mitgliedschaft, wenn Mitarbeiter die Rolle wechseln oder das Unternehmen verlassen.