Nachweisbare Sicherheit mit Zelkova & Tiros

AWS: IT-Sicherheitssysteme automatisieren und skalieren

Werner Vogels

© Shutterstock / ranjith ravindran

 

Sicherheitsaspekte spielen bei Cloud-Lösungen eine zentrale Rolle. Amazon CTO Werner Vogels beschreibt in diesem Beitrag die beiden Technologien Zelkova und Tiros, die bei AWS automatisiert dafür sorgen sollen, dass Cloud-Systeme sicher sind.

IT-Sicherheitssysteme automatisieren und skalieren

Wie kann ein Unternehmen wie Amazon Web Services (AWS) immer mehr Cloud-Lösungen anbieten, ohne bei der Sicherheit Abstriche machen zu müssen? Schließlich setzt das Unternehmen auf das Konzept der geteilten Verantwortung: Der Cloud-Betreiber ist für die technischen Maßnahmen rund um die Sicherheit zuständig. Der Anwender kümmert sich darum, dass Sicherheitsfunktionen auch tatsächlich genutzt und korrekt konfiguriert werden.

Dabei handelt es sich um die Technologie des „Automated Reasoning“, eine Klasse von algorithmischen Techniken, die nach mathematischen Beweisen für die Richtigkeit komplexer Systeme suchen. So können diese Werkzeuge Richtlinien und Konfigurationen der Netzwerkarchitektur analysieren und das Fehlen unbeabsichtigter Konfigurationen nachweisen, die möglicherweise sensible Daten gefährden könnten. AWS nennt dieses Vorgehen „nachweisbare Sicherheit“. Es bietet die höchstmögliche Sicherheit für kritische Sicherheitsmerkmale der Cloud, wie Zugriffskontrollrichtlinien oder die Netzwerksicherheit der Amazon Elastic Compute Cloud (Amazon EC2).

Im Folgenden geht es vermehrt um verschiedene Facetten der nachweisbaren Sicherheit und die Lösungen Zelkova und Tiros. Diese sorgen ohne menschliche Hilfe dafür, dass Systeme sicher sind. AWS selbst wendet nachweisbare Sicherheit auf seine Web-Services an. Dadurch soll auch beim Ausbau des Angebotes das höchstmögliche Sicherheitsniveau gewährleistet werden. Dadurch, dass der AWS-Code so gut wie möglich geschützt ist, profitieren die Kunden, die auf entsprechende Sicherheitsdienste zugreifen, aber auch AWS als Betreiber.

Zelkova

Zelkova ist eine Technologie, die Kunden einen kontinuierlichen Überblick über ihre Zugriffsberechtigungen gibt und sie jederzeit benachrichtigt, wenn ein Verstoß gegen Best Practices für Sicherheit vorliegt.

Dazu analysiert Zelkova sämtliche Richtlinien, wie sie beispielsweise für AWS Identity and Access Management (IAM) und Amazon Simple Storage Service (Amazon S3) verwendet werden. Diese legen fest, welche Berechtigungen ein einzelner Nutzer hat und welche nicht. Zelkova übersetzt dabei die Richtlinien in eine präzise mathematische Sprache und überprüft sie selbstständig.

Zu diesen Tools gehören automatisierte Reasoner, sogenannte Satisfiability-Modulo-Theories-(SMT-)Löser, die Formeln über Konstanten, Zeichenketten, reguläre Ausdrücke, Daten und IP-Adressen aus den Richtlinien automatisch prüfen oder widerlegen. Zelkova kann umfassende Aussagen über alle Ressourcenanforderungen treffen, da sie auf Mathematik und Beweisen statt auf Heuristiken, einem Musterabgleich oder Simulationen basiert.

Zelkova kommt beispielsweise bei Amazon S3 zum Einsatz. Die Sicherheitslösung überprüft jede Bucket-Richtlinie und warnt Kunden, wenn ein nicht autorisierter Benutzer einen Bucket einsehen kann oder dort Schreibrechte besitzt. Wenn ein Bucket auf „öffentlich“ gestellt ist, kann auf einen solchen Bucket zugegriffen werden. Wenn ein Bucket „nicht öffentlich“ ist, werden alle öffentlichen Anfragen abgelehnt. Auf diese Weise können Probleme beim Zugriffsmanagement erkannt werden, bevor sie eintreten.

Als weiteres Beispiel unterstützt Zelkova die Funktion Amazon S3 Block Public Access. Block Public Access deaktiviert öffentliche Access Control Lists (ACLs) auf Buckets und Objekten in Amazon S3. Das verhindert außerdem Bucket-Richtlinien, die den öffentlichen Zugriff ermöglichen würden.

Zelkova wird auch bei folgenden Lösungen eingesetzt:

  • AWS Config: Dieser Dienst ermöglicht es den Benutzern, die Konfigurationen ihrer AWS-Ressourcen zu bewerten, zu auditieren und auszuwerten. AWS Config prüft laufend Konfigurationen von AWS-Ressourcen und enthält nun auch Zelkova-basierte verwaltete Regeln, wie:
    • s3-bucket-public-read-prohibited
    • s3-bucket-public-write-prohibited
    • s3-bucket-server-side-encryption-enabled
    • s3-bucket-ssl-requests only
    • lambda-funktion-public-access prohibited
  • AWS Trusted Advisor: Mit diesem Online-Tool erhalten Benutzer in Echtzeit Hinweise, um Ressourcen gemäß den Best Practices von AWS bereitstellen zu können. AWS Trusted Advisor hilft, die Sicherheit der AWS-Umgebung eines Kunden zu verbessern und dabei Ressourcen-Richtlinien zu analysieren.
  • Amazon Macie: Der Dienst erkennt, klassifiziert und schützt sensible Daten in AWS mithilfe von maschinellem Lernen.
  • Amazon GuardDuty: Ein Bedrohungserkennungsdienst, der kontinuierlich auf böswillige Aktivitäten und unbefugtes Verhalten überwacht, um AWS-Konten und Workloads zu schützen.
  • AWS IoT Device Defender: Die Anwendung unterstützt Kunden dabei, ihre IoT-Geräte zu sichern. Dazu werden laufend die IoT-Konfigurationen des Kunden überprüft, so dass sie nicht von Best Practices für Sicherheit abweichen.

Tiros

Tiros ist ein weiterer Service, der selbstständig für Systemsicherheit sorgt. Er bildet die Verbindungen zwischen Netzwerkmechanismen ab und wie aus dem offenen Internet auf sie zugegriffen werden kann.

Für große Unternehmen ist die Sicherung von sensiblen Daten genauso wichtig wie schwierig. Die manuelle Bestätigung und Kontrolle sämtlicher Wege, die Daten durch ein Unternehmen nehmen dürfen, kann Monate oder sogar Jahre dauern. Tiros dagegen überprüft alle Netzwerkpfade und Datenberechtigungsebenen in Millisekunden. Neben dem Einsatz der Lösung zur Absicherung der AWS-eigenen Infrastruktur wird sie auch bei Produkten für Kunden eingesetzt, etwa im Fall von Amazon Inspector.

Einer der wichtigsten Vorteile von Zelkova und Tiros besteht darin, frühzeitig verhindern zu können, dass Daten öffentlich einsehbar sind. Darüber hinaus arbeiten die Anwendungen selbstständig mit mathematischer Präzision. Dadurch entfallen manuelle menschliche Eingriffe, und eine höhere Skalierbarkeit ist gewährleistet.

Ein Blick in die Zukunft

Sich selbst verwaltende Systeme helfen AWS-Kunden, ihre Umgebungen überall auf der Welt zu schützen. Der Grundstein dazu ist gesetzt. Gleichzeitig arbeitet die Automated Reasoning Group (ARG) von AWS daran, die Cloud-Sicherheit weiter zu verbessern. So treibt die ARG-Group derzeit die Automatisierung der Compliance-Verifizierung voran. So kann auf mathematischer Basis belegt werden, dass es nirgendwo im gesamten System Sicherheitsrisiken gibt.

Mit den bisherigen Tools konnten die Auditoren nicht den gesamten Code in allen möglichen Konfigurationen auswerten, noch konnten sie Fälle bewerten, in denen Schlüssel verwendet wurden. Mit Lösungen für das „Automated Reasoning“ können Kunden ein komplettes System auf einen bestimmten Wert hin untersuchen, dadurch Einblick in dessen Kontext erhalten und Ergebnisse verifizieren. Das schafft einen Sicherheitsstandard, der über rein präventive Kontrollen hinausgeht.

Systeme werden immer komplexer, und Umgebungen mit traditionellen Methoden zu testen, gestaltet sich zusehends schwieriger. Mathematische Ansätze sind in diesem Bereich eine sehr wertvolle Hilfe.

Verwandte Themen:

Geschrieben von
Werner Vogels
Werner Vogels
Werner Vogels ist Chief Technology Officer (CTO) und Vizepräsident von Amazon.com. Werner bloggt unter https://www.allthingsdistributed.com.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: