AWS hat viele Funktionen zum Schutz von Amazon-S3-Buckets, doch leider ist es nicht einfach, diese vollumfänglich abzusichern. S3 einmal zu konfigurieren und dann in der Folge keine weiteren sicherheitsrelevanten Änderungen mehr vorzunehmen, ist nicht untypisch.
In einem Artikel aus dem Jahr 2013 wird deutlich, wie private Daten offengelegt werden können, wenn Amazon-S3-Buckets falsch konfiguriert werden. Im Jahr 2017 fand eine Podiumsdiskussion statt, in der S3-Datenlecks diskutiert wurden. Wie sich herausstellte, war das ein besonders schlechtes Jahr was Pannen bei der Konfiguration von Amazon-S3 angeht. Erstaunlicherweise treten die Lecks immer wieder auf, obwohl das Problem bekannt ist. Amazon trifft keine Schuld, da jeder Anwender für seine Daten selbst verantwortlich ist.
Es gibt immer wieder neue Berichte über Unternehmen, die ihre Daten aus Versehen offen legen. Man kann sich vorstellen, wie viele Daten darüber hinaus abgeschöpft und nicht gemeldet wurden. Im Durchschnitt wird ein falsch konfigurierter S3-Bucket innerhalb von 10 Minuten entdeckt. Es gibt also keinen Raum für Fehler.
Warum unternimmt AWS nichts gegen dieses Problem?
AWS bietet seinen Kunden die Möglichkeit, eine Reihe von Tools zu erwerben, die bei der Lösung dieses Problems helfen. Hier sind einige Beispiele:
- Macie, August 2017
- GuardDuty, November 2017 mit zusätzlichen S3-Sicherheitsmerkmalen, die im Oktober 2019 hinzugefügt wurden
- Access Advisor, Dezember 2018
- Scannen öffentlicher IP-Adressen, September 2019
- Neuer verbesserter (preiswerterer) Macie, Mai 2020
Das Unternehmen bietet die Amazon-S3-Verschlüsselung standardmäßig an. Diese muss jedoch manuell aktiviert werden. Es können trotzdem Daten durchsickern, wenn bei den Zugriffsrichtlinien ein Fehler gemacht wird. Kurz gesagt, wenn den Mitarbeitern erlaubt ist, ihre eigenen S3-Buckets und -Richtlinien zu erstellen, bedeutet dies, dass ein Datenleck wahrscheinlich nicht zu verhindern ist, wenn die Mitarbeiter nicht über Cloud- und Zugriffsverwaltungs-Know-how verfügen. Wenn die Standardverschlüsselung aktiv ist, sind die Daten, welche sich bereits im S3-Bucket befinden, immer noch im Klartext.
Wie man vermeidet, dass das eigene Unternehmen zum „Datenleck“-Suchergebnis wird
Sicherheitsexperten wissen, dass native Cloud-Verschlüsselung, wie S3, der vollständigen Festplattenverschlüsselung (FDE) ähnelt. FDE macht auf Laptops und Mobiltelefonen Sinn, weil dies Geräte sind, über die wir immer wieder die Kontrolle verlieren – sie können leicht verloren gehen und gestohlen werden. Wer auch immer diese Assets stielt, hat keinen Zugang zu den Passwörtern oder Schlüsseln dieser Geräte selbst und damit keinen Zugriff auf die Daten. Aus diesem Grund mögen Regierungen die Verschlüsselung auf Geräteebene nicht. Wenn FDE jedoch auf dem Speicher des Rechenzentrums verwendet wird, besteht das Risiko nicht darin, dass diese Speicherlösungen gestohlen werden, sondern darin, dass eine Fehlkonfiguration die Daten durchsickern lässt oder dass sich ein Hacker Zugang zu diesen Laufwerken verschafft. Sobald der kryptografische Schlüssel auf diese Art von Speicherlösungen angewendet wird, liegen die Daten im Klartext vor. Dies wäre vergleichbar mit dem Diebstahl eines entsperrten Endgeräts. Die Aberdeen Group hat ein White-Paper über die Risiken veröffentlicht, die mit den verschiedenen Arten der Verschlüsselung angegangen werden.
Sicherheitsexperten führen die Verschlüsselung in der Regel auf den Workload-, Datenbank-, oder Dateiservern aus oder stellen sicher, dass die Anwendung ab dem Zeitpunkt der Datenerstellung eine Verschlüsselung oder Tokenisierung verwendet. Es ist merkwürdig, dass so viele Organisationen diese „Hygiene“ beim Umstieg auf die Cloud verloren haben. Amazon macht in seinem Modell der gemeinsamen Verantwortung deutlich, dass die Verantwortung für die richtige Konfiguration bei jedem einzelnen Anwender liegt.
Den Cloud-Storage wie den eigenen Speicher behandeln
Um Überall die Kontrolle über die Daten zu behalten, sollten auch die kryptographischen Schlüssel selbst verschlüsselt und sauber verwaltet werden. Die meisten Organisationen wenden diese Praxis in ihren eigenen Rechenzentren an. Warum also nicht auch für S3? Ein Grund dafür, die in S3 gespeicherten Daten nicht zu verschlüsseln, ist, dass die Anbieter es in der Vergangenheit nicht leicht gemacht haben. Amazon-S3 ist eine Objektspeicherung. Herkömmliche agentenbasierte Lösungen zur Verschlüsselung unterstützten die Objektspeicherung nicht auf die gleiche Weise, wie sie die Block- und Dateispeicherung wie Amazon-Elastic-Block-Store (EBS), Amazon-EC2-Instance-Store und Amazon-Elastic-File-System (EFS) unterstützt haben. In der Vergangenheit benötigte eine herkömmliche Agentenlösung zur Verschlüsselung von Daten, die für die Objektspeicherung bestimmt waren, einen Proxy zur Konvertierung von Protokollen von der Block- in die Objektspeicherung, wie beispielsweise das AWS-Storage-Gateway. Dieses verursacht zusätzliche Kosten, erhöht die Latenzzeit und erhöht die Komplexität.
Eine elegante Lösung zum Schutz von Amazon-S3
Die Vormetric-Data-Security-Plattform bietet eine skalierbare, latenzarme Verschlüsselung von Dateien und Datenbanken mithilfe der Ciphertrust-Transparent-Encryption (früher Vormetric-Transparent-Encryption). Seit fast einem Jahrzehnt unterstützt sie die Block- und Dateispeicherlösungen von AWS und praktisch jede andere virtuelle und physische Speicherlösung, die in jeder Cloud und jedem Rechenzentrum gefunden werden kann. Dieselbe Lösung unterstützt Amazon-S3-Buckets mit zusätzlichen Objektspeicherlösungen. Darüber hinaus bietet sie eine zentralisierte Unternehmensschlüsselverwaltung nach FIPS 140-2 von virtuellen und physischen Appliances aus.
Folglich können diese Agenten auf AWS-EC2-Servern oder lokalen Servern eingesetzt werden, so dass die für S3-Buckets bestimmten Daten verschlüsselt werden, beginnend beim Server, über das Netzwerk und in der Ruhephase im S3-Bucket. Die Zugriffspolicies werden zentralisiert und von Sicherheitsexperten kontrolliert. Wenn es sich um eine S3-Ressource eines Unternehmens handelt, gehen keine Daten ein oder aus, die nicht verschlüsselt, kontrolliert, protokolliert und nur autorisierten Benutzern und Prozessen zur Verfügung gestellt werden. Diese Lösung ermöglicht es, die Verantwortung für alle Daten des Unternehmens in der Cloud zu übernehmen und dies gegenüber Auditoren durch Audit-Protokolle nachzuweisen. Sollten Daten aus irgendeinem Grund durchsickern, wären sie verschlüsselt und das Unternehmen wird vor weiterem Schaden bewahrt, da sensible Daten nicht nach außen dringen.
Von Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales
