AWS und Azure

Amazon für AWS und Microsoft für Azure haben im Lauf der Jahre beachtliche Ressourcen in die Entwicklung eigener Sicherheitsfunktionen investiert. Inzwischen haben sie diese Services im Rahmen ihrer Compliance-Initiativen um APIs erweitert und auf die DSGVO ausgelegt. Die wichtigsten stellen die folgenden Abschnitte vor.

Identitäts- und Zugriffsverwaltung: Die Kontrolle von Benut­zerzugriffen auf Service-APIs und Cloud-Ressourcen hat eine zentrale Bedeutung für die Gewährleistung der Cybersicherheit in Public Clouds und ist grundlegend für DSGVO-Konformität. Amazon AWS und Microsoft Azure haben diese Herausforderung unterschiedlich gelöst. Bei Amazon dient zur Verwaltung von Benutzern und Gruppen ein Dienst namens IAM (Identity and Access Management). IAM respektiert auch die sogenannten föderierten Identitäten anderer Anbieter, darunter Microsoft Active Directory (nicht jedoch Azure Active Directory) und ermöglicht so die Integration der Cloud-Infrastruktur mit anderen Bereichen der Unternehmens-IT.

Für das Identity Management auf Microsoft Azure zeichnet das Azure Active Directory verantwortlich, Microsofts allumfassendes Identitäts- und Zugriffsverwaltungssystem für die Azure-Cloud. Microsoft Active Directory ist demgegenüber für vergleichbare Aufgaben nur auf Systemebene zuständig.

AWS und Azure unterstützen gleichermaßen Features wie detaillierte Zugriffssteuerung, Zwangsrotation von Anmeldeinformationen und Multifaktor-Authentifizierung (MFA). Laut Microsoft führt Azure Active Directory jeden Monat 300 Milliarden Benutzerauthentifizierungen aus; für AWS liegen vergleichbare Zahlen nicht vor.

Zugangsschlüssel: Passwörter sind im Cloud-Zeitalter längst Schlüsselpaaren und sogenannten Secrets gewichen. Zur sicheren Verwaltung dieser Informationen in der Cloud bietet Amazon die Dienste AWS KMS (Key Management Service) sowie in der Premium-Variante AWS CloudHSM und AWS Secrets Manager (für die Sicherung geheimer Zugangsdaten zu Diensten wie Datenbanksystemen). Auf Azure kümmert sich um all diese Aufgaben der Dienst Azure Key Vault.

Dienst- und Ressourcen-Isolierung: Die gemeinsame Nutzung von Cloud-Ressourcen mit anderen Cloud-Nutzern stellt ein Risiko dar. Cloud-Dienstleister offerieren deshalb Unternehmen optional ein Mehr an Dienst- und Ressourcen-Isolierung, üblicherweise gegen einen (schmerzhaften) Aufpreis, für den man als Gegenleistung allerdings einen besseren Schutz und/oder eine erhöhte Performance erhält. Dedizierte Server-In­stanzen auf AWS und Azure sind beispielsweise immun gegen CPU-Cache-Attacken – Angriffe auf die Unternehmens-IT, die von benachbarten Cloud-Instanzen ausgehen. Zur Gewährleistung der Netzwerk-Isolation bietet AWS die Dienste VPC (Virtual Private Cloud) sowie AWS Direct Connect und AWS PrivateLink; auf Azure heißen die Entsprechungen Virtual Network (für virtuelle Dienst-Isolierung) und ExpressRoute (zur Bereitstellung privater Konnektivität).

Ereignisüberwachung: Die Protokollierung von Cloud-Ereignissen ist eine wichtige Voraussetzung für die kontinuierliche Überwachung der Compliance und eine eventuelle Ursachenforschung nach einem Sicherheitsvorfall. Auf AWS sind für diese Aufgabe unter anderem die Dienste CloudWatch und CloudTrail verantwortlich. Benutzern der Microsoft-Cloud stehen hierfür unter anderem Lösungen wie Azure Monitor und Azure Application Insights zur Verfügung.

Automatisierte Kontrollen: Automatisierte Sicherheitskon­trollen und Frühwarnsysteme können die Infrastruktur auf Konfigurationsfehler hin überprüfen (AWS Trusted Advisor und Azure Advisor) beziehungsweise laufenden Anwendungen im Hinblick auf mögliche Verwundbarkeiten auf den Zahn fühlen (AWS Inspector und Azure Security Center).

Mit dem Dienst AWS Config bekommen AWS-Nutzer zudem die Möglichkeit, Richtlinien zur Bereitstellung von AWS-Ressourcen festzulegen und die Einhaltung dieser Vorgaben kontinuierlich zu überwachen (AWS Config rules). So lässt sich etwa sicherstellen, dass Fachabteilungen nur verschlüsselte EBS-Volumes (Elastic Block Store) verwenden dürfen und die Cloud alle relevanten Ereignisse protokolliert.

Frühwarnsysteme und Audit-Dienste: Mit Amazon Guard­Duty, einem verwalteten Dienst für die intelligente Erkennung dynamischer Bedrohungen, kontert der Anbieter die Popularität von Microsofts Azure-Advanced-Threat-Protection-Diensten. Microsoft Azure Advanced Threat Protection (ATP, ursprünglich Azure Active Directory Identity Protection) schützt hybride Umgebungen gegen fortgeschrittene Cyberattacken und böswillige Insider. Beide Dienste können die Cloud-Ressourcen des Unternehmens kontinuierlich auf bösartiges oder unautorisiertes Verhalten hin überprüfen.

Datenverschlüsselung: Ein großes Thema für Public Clouds ist die Datenverschlüsselung im Ruhezustand. AWS-Nutzer können ihre Daten im Objektspeicher S3 sowie einzelne EBS-Volumes im Ruhezustand verschlüsselt aufbewahren, aber nur wenn sie explizit darauf bestehen. Im Gegensatz dazu punktet Microsoft durch das automatische Verschlüsseln aller Daten vor der Sicherung in Azure Storage (durch beliebige Dienste) mit dem Dienst Storage Service Encryption; hier kann der Cloud-Nutzer gar nichts falsch machen.

DSGVO-Konformität: AWS bezeichnet die eigenen Dienste allesamt als „GDPR-konform“, überlässt die Details der Implementierung allerdings dem Kunden. Microsoft auf der anderen Seite fokussiert auf die Bereitstellung von Software-Lösungen fürs Compliance-Management rund um die GDPR. Unter dem Namen Compliance Manager stellt Microsoft Azure Unternehmen zum Beispiel ein Projektmanagement-Werkzeug zur Verfügung, das bei der ständigen Überprüfung und Einhaltung der Konformität mit geltenden Datenschutzrichtlinien hilft (https://servicetrust.microsoft.com).

Gemäß den Bestimmungen der DSGVO muss der Datenverantwortliche dem Datensubjekt, also dem Anwender, auf Anfrage seine Daten bereitstellen oder diese vernichten. Auf Azure lassen sich benutzergenerierte Daten mit dem Secu­­­-rity & Compliance Center (SCC) exportieren. Den Export von Logs übernimmt der Azure-Dienst Data Log Export. Mit dem Azure Active Directory Admin Center kann ein Administrator außerdem einzelne Personen samt ihren Daten aus Azure Active Directory und den zugehörigen Diensten dauerhaft entfernen. Wegen der Wahrung der Datenintegrität lassen sich diese Aufgaben für einige nicht näher spezifizierte personenbezogene Daten allerdings möglicherweise nicht vollständig ausführen, warnt Microsoft auf seiner Webseite.

Penetrationstests: Viele versteckte Sicherheitslücken und Konfigurationsfehler lassen sich durch Penetrationstests aufspüren. Doch anders als bei On-Premise-IT oder Private Clouds setzen solche Maßnahmen, wenn eine Public Cloud einbezogen ist, die ausdrückliche Genehmigung des Cloud-Dienstleisters voraus. Liegt diese im Vorfeld nicht vor, droht dem Cloud-Nutzer die Kontoschließung. In die Bresche springen können unter Umständen KI-gestützte Dienste zur automatischen Bedrohungserkennung.

KI-gestützte Compliance: „Wer personenbezogene Daten von EU-Bürgern handhabt, muss diese Daten wirklich gut verstehen“, kommentiert Bill Shinn, Principal Security Solutions Architect bei AWS in Seattle, die Herausforderung durch die DSGVO für einen Cloud-Betreiber in Europa. Angesichts der Tatsache, dass verschiedene Arten von Daten (auch und gerade im Hinblick auf die DSGVO) in unterschiedliche Risikokategorien fallen, haben Amazon und Microsoft KI-gestützte Dienste für die Risikobewertung von Datenbeständen entwickelt: Azure Information Protection (AIP) und Amazon Macie.

Azure Information Protection hilft Benutzern bei der semantischen Annotation von Daten und setzt zum Schutz vertrau­licher Informationen richtlinienbasierte Sicherheitsmaßnahmen in Kraft. Amazon Macie nutzt maschinelles Lernen, um vertrauliche Daten, darunter personenbezogene im Sinne der DSGVO, automatisiert zu erkennen und zu klassifizieren und Schutzmaßnahmen einzuleiten. Amazon Macie ist derzeit nur in den AWS-Zonen US-East und US-West verfügbar.