26. Aug. 2024

Cloud-Sicherheit mit AWS: BSI-Standards effektiv implementieren

Yannic Nevado untersucht die Sicherheitsstandards des BSI, CIS und AWS Well-Architected Frameworks, um den sicheren Aufbau von Cloud-Infrastrukturen gemäß den BSI-Schutzbedarfsdefinitionen zu gewährleisten.
Neu 1066 x 1140 Hidalgo Nevado Yannic

Autor:in

Yannic Nevado

20240827 Cloud Security

In der heutigen digitalen Welt setzen Unternehmen verstärkt auf Cloud-Computing, um ihre IT-Infrastrukturen effizienter und flexibler zu gestalten. Public-Cloud-Anbieter wie Amazon Web Services (AWS) bieten zahlreiche Vorteile, doch die Sicherheit in der Cloud bleibt aufgrund des geteilten Verantwortungsmodells eine zentrale Herausforderung für Kunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Center for Internet Security (CIS) und das Well-Architected Framework von AWS bieten bereits wertvolle Richtlinien für den sicheren Aufbau von Cloud-Infrastrukturen. Yannic Nevado untersucht diese Sicherheitsstandards und deren Umsetzung nach den BSI-Schutzbedarfsdefinitionen, um der wachsenden Bedeutung von IT-Sicherheit und dem zunehmenden Einsatz von Cloud-Technologien zu entsprechen.

Sicherheitsstandards in der Cloud

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat verschiedene Standards, Prozesse und Richtlinien entwickelt, um die Informationssicherheit in Unternehmen zu gewährleisten. Zu den wichtigsten gehören unter anderem: 

  1. IT-Grundschutz 

    Ein umfassendes Konzept, das bewährte Methoden und Maßnahmen zur Sicherung der IT-Infrastruktur beschreibt. Es umfasst Bausteine für verschiedene Bereiche wie Räume, Prozesse, Systeme und Anwendungen. Diese Bausteine sind einheitlich strukturiert und umfassen eine klare Zielsetzung, sowie typische Schadensszenarien und konkrete Maßnahmen zu deren Bewältigung.

     

  2. BSI-Standard 200-2 

    Dieser Standard für den IT-Grundschutz bietet drei Vorgehensweisen zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS): die Basis-Absicherung für den Einstieg, die Standard-Absicherung für einen vollständigen Sicherheitsprozess, und die Kern-Absicherung für die schrittweise Einführung eines ISMS.

     

  3. Schutzbedarfsfeststellung 

    Ein Prozess zur Bestimmung des Schutzbedarfs für die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Es werden drei Schutzbedarfskategorien unterschieden: normal, hoch und sehr hoch. Das BSI bietet verschiedene Vorgaben für die Klassifikation in eine Schutzbedarfskategorie. Die Einstufung des Schutzziels Verfügbarkeit kann dabei anhand quantifizierbarer Kriterien wie etwa tolerierbaren Ausfallzeiten vorgenommen werden. Für die Schutzziele Vertraulichkeit und Integrität können keine quantifizierbaren Werte verwendet werden. An dieser Stelle ist eine unternehmensspezifische Anforderungserhebung erforderlich.

AWS Well-Architected-Framework

Das auf sechs Säulen basierende Well-Architected Framework von AWS unterstützt Anwender:innen beim Aufbau sicherer und zuverlässiger Systeme. Die Säulen umfassen Zuverlässigkeit, Sicherheit, Operative Exzellenz, Leistung und Effizienz, Kostenoptimierung sowie Nachhaltigkeit. Für jede dieser Säulen werden bewährte Methoden und spezifische Designprinzipien beschrieben. Besonders relevante Säulen sind die Zuverlässigkeit, Sicherheit und Operative Exzellenz.

Zuverlässigkeit

Eine unzureichende Automatisierung und Single-Points-of-Failure stellen in Infrastrukturen eine Herausforderung für die Zuverlässigkeit dar. Die Säule der Zuverlässigkeit definiert bewährte Methoden und Grundprinzipien, die zur Gewährleistung der Betriebssicherheit und einer konsistenten Änderungsverwaltung beitragen. Dies sind zum Beispiel: Automatisierte Instandsetzung nach einem Fehler, Instandsetzungsverfahren testen, Analyse verfügbarer Kapazitäten und Nachverfolgung von Anpassungen durch Aktualisierungen.

Sicherheit

Sicherheitsanforderungen an die Infrastruktur und Anwendungen genießen bei vielen Kunden und Anwendern höchste Priorität. Dabei müssen zahlreiche sicherheitsrelevante Aspekte berücksichtigt werden, wie etwa Verschlüsselung, Zugriffsverwaltung, Überwachung sowie die Erkennung und Reaktion auf Sicherheitslücken. Bewährte Ansätze sind zum Beispiel:

  • Der Einsatz einer Identitätsverwaltung anstatt von statischen Zugangsdaten
  • Protokollierung, Auditierung und automatische Alarmierung
  • Automatisierung von Sicherheitsverfahren

Operative Exzellenz

Die operative Exzellenz lässt sich durch Agilität, Zuverlässigkeit und Leistungsfähigkeit bewerten. Abhilfe schaffen hierbei die Infrastruktur als Code zu definieren, sowie regelmäßig kleine Änderung einzuspielen.

Center for Internet Security

Das Center for Internet Security (CIS) bietet bewährte Methoden und Leitfäden zur zuverlässigen Konfiguration von Systemen, die in Zusammenarbeit mit Cybersicherheitsexpert:innen und Fachleuten aus aller Welt entwickelt wurden. Die Empfehlungen des CIS sind nach Technologien und Profilen gegliedert, wodurch Unternehmen die Möglichkeit haben, das für sie passende auszuwählen. Basierend auf den Absicherungsstufen des BSI können die Profile sowohl für eine grundlegende als auch für eine umfassendere Absicherung angewendet werden. Die vom CIS definierten Benchmarks sind dabei den Bausteinen des BSI sehr ähnlich. Die CIS-Benchmarks können unter der nachfolgenden Webseite kostenlos abgerufen werden: https://www.cisecurity.org/cis-benchmarks

Sicherheitsanforderungen in der AWS-Cloud abbilden

Zur Umsetzung der Sicherheitsstandards in einer AWS-Umgebung kann das hier erläuterte Verfahren verwendet werden, welches sich durch die folgenden Schritte gliedern lässt:

Schutzbedarfsfeststellung 

Zunächst muss der Schutzbedarf (normal, hoch und sehr hoch) der zu schützenden Objekte (z.B. Anwendungen, Daten) für die Schutzziele (Verfügbarkeit, Vertraulichkeit und Integrität) bestimmt werden. Dies erfolgt durch die Bewertung der potenziellen Schadensszenarien und deren Auswirkungen. Der Schutzbedarf für das Schutzziel Verfügbarkeit kann zum Beispiel anhand tolerierbarer Ausfallzeiten festgelegt werden. Auf Basis des zugrundeliegenden Schutzbedarfs für ein Schutzziel müssen die passenden Cloud-Services ausgewählt und konfiguriert werden.

Abbildung der Schutzziele  

Die Schutzbedarfe auf die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität werden auf die AWS-Infrastruktur gemappt. Hierbei werden spezifische AWS-Services und -Funktionen genutzt, um die Anforderungen zu erfüllen. Im Folgenden werden einige Aspekte näher erläutert:

  • Verfügbarkeit: Nutzung von AWS-Services wie Load-Balancing und Konfiguration von mehreren Instanzen bei Amazon RDS, um eine bessere Verfügbarkeit und Redundanz sicherzustellen. 
  • Vertraulichkeit: Implementierung von Verschlüsselungsmechanismen wie AWS Key Management Service (KMS) und AWS Identity and Access Management (IAM) zur Verschlüsselung und Kontrolle des Zugriffs auf sensible Daten. 
  • Integrität: Einsatz von AWS CloudTrail und AWS Config, um Änderungen an der Infrastruktur zu überwachen und sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden. Darüber hinaus können mithilfe von AWS CloudTrail Alarmierungen definiert werden, wenn bösartige Aktivitäten vermutet werden. Zum Beispiel bestimmte API-Zugriffe oder das Löschen von KMS-Schlüsseln.

Automatisierung durch Infrastructure as Code (IaC)

Mithilfe von IaC-Tools wie AWS Cloud Development Kit (CDK) oder Terraform können Sicherheitsrichtlinien und -konfigurationen als Code definiert und automatisiert umgesetzt werden. Dies reduziert menschliche Fehler und stellt sicher, dass die Sicherheitsanforderungen konsistent eingehalten werden.

Methodisches Mapping von Sicherheitszielen

Unternehmen setzen zunehmend auf Public-Cloud-Lösungen wie AWS, wobei die Sicherheit der Konfiguration von Kundenseite entscheidend ist. In seiner Masterarbeit hat Yannic Nevado eine Methode zur Abbildung von Schutzbedarfen auf AWS-Infrastrukturen, basierend auf BSI-Schutzzielen, als Self-Service API prototypisch umgesetzt.

Ein Stapel mit Fachzeitschiften aus dem IT-Bereich

Fazit

Durch die Schutzbedarfsfeststellung, das Mapping der Schutzziele und die Automatisierung mittels IaC können Unternehmen ihre Cloud-Infrastruktur sicher und effizient gestalten. Eine prototypische Implementierung mittels einer Self-Service API zeigt praxisnah, wie diese Methodik zur Gewährleistung der Cloud-Sicherheit eingesetzt werden kann. Der Einsatz von Managed Services in der AWS-Cloud erfüllt Anforderungen, die nach BSI-Vorgaben oft erst bei einem erhöhten Schutzbedarf gefordert werden. Allerdings ermöglicht eine rein auf die BSI-Vorgaben fokussierte Betrachtung kein vollständiges Mapping mit der definierten Methodik. Hier müssen zusätzlich Unternehmens- und Cloud-spezifische Anforderungen berücksichtigt werden. Die automatisierte Umsetzung der Maßnahmen zur sicheren Konfiguration von AWS-Cloud-Services bietet den Anwendern zudem eine erhebliche Zeitersparnis.

Weiter Fragen zum sicheren Einsatz von AWS? Wir beraten Sie gerne! 

Mehr zum Thema Cloud bei Accso

Digitalpartner

Cloud

Wir begleiten Sie auf Ihrem Weg in die Cloud – von Beratung über Konzeption bis Umsetzung. Das Ergebnis: zukunfts- und wettbewerbsfähige Systeme in Ihrem Unternehmen.
2024 Cloud Header
academy.A

Infrastructure-as-Code

Was verstehen wir unter Infrastructure-as-Code bei Infrastruktur und Betrieb?

AcademyA_631b_IaC
AccsoNet

Cloud Community

AWS, Azure, Google Cloud Plattform und IONOS SE – die Herzensthemen unserer Cloud-Community. Von der Migration über den effizienten Einsatz von Cloud-Services bis zur Automatisierung, die Community-Mitglieder stehen mit Expertise Kunden und dem Team zur Seite.
2024 Cloud Accso Con Header