valentint - Fotolia
AWS-Sicherheit: Die optimale Firewall-Strategie finden
AWS bietet unterschiedliche Möglichkeiten an, um die Daten zu schützen. Sie reichen von Security Groups, über Network ACLs bis zu AWS WAF und AWS Shield. Ein Überblick.
Wenn Sie Ihre eigene Cloud-Infrastruktur einrichten und dabei eine neue IT-Umgebung für Ihre Geschäftstätigkeiten aufbauen, sollten Sie sich gleichzeitig auch auf die nötigen Sicherheitsmaßnahmen konzentrieren.
Glücklicherweise müssen Sie nicht die gesamte Last zum Schutz Ihrer Daten alleine tragen. AWS (Amazon Web Services) setzt auf das sogenannte Shared Security Model. Das heißt, dass sich der Cloud-Anbieter für Sie bereits um einen Teil der anfallenden Security-Aufgaben kümmert.
So sorgt der Provider zum Beispiel selbst für die allgemeine Sicherheit seiner Cloud-Infrastruktur, während die Kunden für den Schutz ihrer individuellen Daten und Applikationen in AWS verantwortlich sind. Um alle benötigten Sicherheitsmaßnahmen für Ihre Daten und Anwendungen auswählen zu können, müssen Sie die von AWS angebotenen Sicherheits-Tools und -Dienste jedoch erst einmal kennengelernt und verstanden haben.
Dazu gehören unter anderem die Security Groups, Network Access Control Lists (Network ACLs), die AWS Web Application Firewall (AWS WAF) sowie der Dienst AWS Shield. In diesem Artikel beschreiben wir, was sich hinter diesen Angeboten versteckt und stellen zudem mehrere Strategien vor, mit denen Sie Ihre Cloud-Umgebung vor unerwünschten Zugriffen bewahren können.
AWS-Firewalls
Lassen Sie uns zunächst die unterschiedlichen Fähigkeiten der von AWS angebotenen Firewalls miteinander vergleichen. Dabei geht es erst einmal um die AWS Security Groups versus Network ACLs und dann um AWS Shield versus AWS WAF.
AWS Security Groups
Eine AWS Security Group ist eine virtuelle Firewall, die Ihre Instanzen schützen soll. Sie befindet sich deswegen in der Regel direkt vor den Instanzen und kann sowohl unter Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), dem Amazon Relational Database Service (RDS) und anderen Diensten eingesetzt werden.
Security Groups verfügen über dedizierte Regeln, um ein- und ausgehende Daten zu filtern. Standardmäßig wird allerdings der gesamte nach außen gerichtete Traffic von ihnen durchgelassen, während nach innen gerichtete Datenströme blockiert werden – außer sie wurden vorher explizit freigegeben.
Außerdem arbeiten sie nach dem Stateful-Prinzip. Das heißt, dass die Antworten auf den gesamten nach außen gerichteten Traffic auch wieder hineingelassen werden.
Damit sind AWS Security Groups ein vergleichsweise einfach zu nutzender Schutz vor Eindringlingen. Um etwa einen bestimmten eingehenden Traffic zu einer Ihrer Instanzen zu erlauben, genügt es, die IP-Adresse in eine neue Regel einzutragen. Mehr ist nicht nötig.
AWS Network ACLs
Network ACLs unterscheiden sich von Security Groups auf mehrere Arten. Erstens schützen Network ACLs keine einzelnen Instanzen, sie kümmern sich dagegen um ganze Subnetze. Network ACLs sorgen also für einen großflächigen Schutz, der zahlreiche Ressourcen gleichzeitig umfasst.
Sie sind vom Prinzip her stateless und erfordern von Ihnen, dass Sie eindeutig und sorgfältig formulierte Regeln sowohl für den ein- als auch den ausgehenden Traffic festlegen. Ansonsten kann es zu Verbindungsproblemen in Ihrer Cloud-Umgebung kommen.
Wenn es um die Frage AWS Security Groups versus Network ACLs geht, dann eignen sich die letzteren vor allem dafür, die allgemeine Sicherheit einer logischen Einheit in Ihrer Infrastruktur zu verbessern.
So könnte jemand zum Beispiel leicht Zugriff auf Ihr Entwicklungssubnetz erhalten, während Sie alle seine Zugriffe auf das produktive Subnetz weit restriktiver handhaben. Um Network ACLs sauber zu konfigurieren, werden solide Netzwerkkenntnisse benötigt, da die Arbeit mit ihnen nicht immer selbsterklärend ist.
Darüber hinaus muss unbedingt beachtet werden, dass die Standardeinstellung für ein Network ACL den gesamten durchgehenden Traffic erlaubt. Individuelle Anpassungen sind also unvermeidbar.
AWS WAF
Die AWS Web Application Firewall ist eine weitere Firewall, die Ihre Cloud-Anwendungen schützen kann, indem sie bestimmte Zugriffe erlaubt oder blockiert. Sie dient außerdem dazu, bekannte Angriffsmuster zu erkennen und zu stoppen.
Es ist hier auch möglich, zusätzlich eigene Sicherheitsregeln für den gesamten Dienst zu definieren. So können Sie damit zum Beispiel rechte einfach alle Anfragen aus einem bestimmten Land blockieren, aus dem immer wieder Angriffe auf Ihre Systeme erfolgen.
Das gleiche ist möglich, wenn etwa der Header einer Nachricht mit bestimmten vordefinierten Mustern übereinstimmt. AWS WAF wird häufig zusammen mit Diensten wie Application Load Balancing, Amazon CloudFront und dem API Gateway von AWS eingesetzt.
AWS Shield
AWS Shield ist ein von Amazon verwalteter Dienst, der die Kunden vor DDoS-Attacken (Distributed Denial of Service) schützen soll. AWS Shield wird in zwei Stufen angeboten. Einmal in der kostenfreien Standardvariante Infrastructure Network and Transport Layer Protection und zudem als kostenpflichtiger Advanced-Dienst.
Dieser enthält mehr Möglichkeiten, um den Schutz individuell einzurichten und lässt sich mit AWS WAF kombinieren. Außerdem erhalten Abonnenten einen 24x7-Zugang zum AWS DDoS Response Team.
AWS Firewall Manager
Ein weiteres Angebot von Amazon ist der AWS Firewall Manager. Mit ihm können Sie Ihre Sicherheitsregeln zentral verwalten. Der Dienst arbeitet sowohl mit AWS WAF als auch AWS Shield zusammen und unterstützt wegen seiner Integration in AWS Organizations auch mehrere AWS-Accounts.
Mit dem AWS Firewall Manager können Sie zum Beispiel neue Regeln gleichzeitig über mehrere AWS-Umgebungen ausrollen, anstatt sie mehrfach hintereinander manuell konfigurieren zu müssen.
Wie Sie die optimale Firewall-Strategie für AWS finden
Nachdem Sie nun die grundlegenden Unterschiede zwischen AWS Security Groups und Network ACLs sowie den anderen Firewall-Optionen in AWS kennen, wird es Zeit für die Entwicklung einer eigenen Firewall-Sicherheitsstrategie für Ihre Cloud-Umgebung bei der AWS. Dabei gilt es mehrere Punkte zu beachten. So wollen Sie ja nicht nur verhindern, dass gefährliche Exploits Ihre Server erreichen. Sie wollen vermutlich auch ein solides System errichten, dass diesen unerwünschten Traffic so früh wie möglich erkennt und zuverlässig stoppt.
Schädliche Daten werden mit Ihrer Umgebung meist erstmals an der Außen-Firewall in Kontakt kommen. Dabei kann es sich um eine Web Application Firewall oder eine vor einem Load Balancer platzierte Security Group handeln.
Erst danach besteht die Möglichkeit, dass ein Angreifer Ihre Systeme infiltrieren und in die verschiedenen Subnetze eindringen kann, um sich letztlich auch einen Zugriff auf Ihre Instanzen zu verschaffen. Konfigurieren Sie Ihre Firewalls deshalb am besten so, dass nur noch tatsächlich benötigte Daten in Ihre AWS-Umgebung gelangen dürfen. Alles andere sollte rigoros von Ihnen blockiert werden. Seien Sie außerdem besonders sorgsam bei der Platzierung Ihrer Firewalls und bei der Auswahl und Konfiguration der für sie geltenden Regeln.
Wenn Sie zum Beispiel den Fehler machen, bestimmte Firewall-Regeln erst direkt vor einer EC2-Instanz zu aktivieren, dann kann gefährlicher Traffic immer noch Ihre Cloud-Umgebung erreichen. Das interne Netzwerk wird in der Folge meist zum Ziel des Angriffs. Die sich daraus ergebenden Probleme mit Ihrer Infrastruktur werden sich dann negativ auf Ihre Geschäftstätigkeit auswirken. Deswegen ist es wichtig, die Sicherheitsmaßnahmen an Ihre individuelle Cloud-Architektur anzupassen und mehrere Ebenen zum Schutz einzubauen, um Schaden von Ihrem Unternehmen abzuhalten.
Zusätzlich zu diesen Schritten sollten Sie nicht nur auf eingehende Daten achten, sondern auch die ausgehenden Datenströme im Blick behalten. Hier ist ein NAT-Gateway (Network Address Translation) zwischen dem privaten Subnetz und dem öffentlichen Internet hilfreich, da es sich um den Aufbau von Verbindungen kümmert, ohne dass eingehender Traffic direkt auf Ihre Instanzen zugreifen darf. Hier sind auch VPC Flow Logs sehr nützlich, da sie einen tiefergehenden Einblick in sowohl autorisierte als auch nicht autorisierte Datenverbindungen ermöglichen.
Darüber hinaus sollten Sie auch Maßnahmen erwägen, die direkt auf Ihren Hosts greifen. Selbst wenn die von Amazon angebotenen Dienste bereits einiges an Schutz bieten, können Sie damit die allgemeine Sicherheit Ihrer Infrastruktur weiter erhöhen. So können Sie sich etwa selbst um einen zusätzlichen Einsatz des Paketfilters Iptables kümmern oder auch eine IDS- oder IPS-Lösung (Intrusion Detection beziehungsweise Intrusion Prevention Systeme) von Anbietern wie Trend Micro oder Alert Logic installieren.