Wiz
Alle ArtikelCloudSec

CSPM in AWS

Wiz Expertenteam
Umsetzbare Best Practices zur AWS-SicherheitBest Practices für die Sicherheit von AWS EC2

Cloud Security Posture Management (CSPM) ist ein Begriff, den Gartner 2021 geprägt hat. CSPM überwacht Cloud-Umgebungen kontinuierlich, identifiziert Sicherheitsrisiken und hilft, diese automatisch zu beheben.

Alle großen Public-Cloud-Anbieter nutzen CSPM als proaktiven Ansatz, um die Sicherheit zu verbessern. Die entsprechenden Praktiken helfen Ihnen, Ihren Teil des Shared-Responsibility-Modells zu erfüllen. Mit Tools und Funktionen können Sie die Sicherheit Ihrer Anwendungen und Daten kontinuierlich überwachen und verbessern.

Abbildung 1: AWS-Sicherheit im Rahmen des Modells der geteilten Verantwortung

In diesem Artikel betrachten wir typische Cloud-Sicherheitsrisiken und zeigen, wie CSPM-Lösungen in AWS eingesetzt werden, um diese Herausforderungen zu adressieren – von Echtzeit-Compliance-Monitoring bis hin zu detaillierten Risikobewertungen.

Agentenlose Full-Stack-Abdeckung Ihrer AWS-Workloads in wenigen Minuten

Erfahren Sie, warum CISOs der am schnellsten wachsenden Unternehmen auf Wiz setzen, um ihre AWS-Umgebungen abzusichern.

Informationen darüber, wie Wiz mit Ihren personenbezogenen Daten umgeht, finden Sie in unserer Datenschutzerklärung.

Häufige Fehlkonfigurationen in AWS-Umgebungen

Beim Shared-Responsibility-Modell tragt ihr die volle oder geteilte Verantwortung für die Sicherheit aller Services, während der Anbieter die Infrastruktur absichert. Bereits 2021 zeigte Deloitte, dass Cloud-Fehlkonfigurationen eine Hauptursache für Sicherheitsverletzungen sind – mit durchschnittlich 3.500 solchen Vorfällen pro Monat.

Ein aktuellerer Bericht weist auf die Risiken übersehener Konfigurationsfehler hin und betont, wie wichtig es ist, häufige Fehlkonfigurationen durch CSPM-Tools zu erkennen.

Welche typischen Fehlkonfigurationen seht ihr heute in AWS? Diese fallen in die Kategorien Storage, Compute sowie Identity and Access Control. Schauen wir uns das genauer an.

Storage-Fehlkonfigurationen

Amazon S3 ist eine hochskalierbare und sichere Object-Storage-Option innerhalb der AWS-Familie, die mehrere Anwendungstypen unterstützt. Bei der wachsenden Menge an kritischen Daten, die Unternehmen verarbeiten, liegt es in der Verantwortung von Cloud-Anbietern und Kunden gleichermaßen, die Storage-Sicherheit korrekt zu verwalten.

Leider sehen wir immer noch Vorfälle wie beim Logistikriesen D.W. Morgan, der 2,5 Millionen Dateien mit 3 TB sensibler Daten über seine Flughafenmitarbeiter in Kolumbien und Peru exponierte. Ein perfektes Beispiel dafür, wie viel Schaden eine simple S3-Fehlkonfiguration anrichten kann:

  • Öffentlicher Bucket-Zugriff: Standardmäßig sind S3-Buckets privat. Sie können aber für öffentlichen Zugriff konfiguriert werden – absichtlich oder unbeabsichtigt, z. B. über Bucket-Richtlinien oder Access Control Lists (ACLs).

  • Unverschlüsselte Datenspeicherung: S3 unterstützt Server-Side Encryption (SSE) und Client-Side Encryption (CSE). Ihr müsst dies aber korrekt konfigurieren. Ohne Verschlüsselung für ruhende Daten kann unbefugter Zugriff erfolgen – und das bedeutet kompromittierte Daten.

  • Deaktiviertes Access Logging: AWS-S3-Access-Logging ist standardmäßig deaktiviert. Also schaltet es ein! Das Speichern dieser Zugriffsprotokolle hilft, bösartige Aktivitäten zu erkennen und nachzuverfolgen.

Profi-Tipp

Das Speichern gesammelter Logs erfordert einen Ziel-Bucket, was zusätzliche Kosten verursacht. Stellt also sicher, dass ihr auch einen Log-Löschmechanismus habt.

  • Deaktivierte Versionierung: Für schnelle Wiederherstellung nach versehentlichen Löschungen oder Anwendungsfehlern wollt ihr mehr als eine Version eines Objekts im selben Bucket haben. Also aktiviert S3-Versionierung!

  • Deaktivierte Object-Lock-Funktion: S3 Object Lock speichert Daten im Write-Once-Read-Many-Modus (WORM). Das verhindert versehentliches Löschen von Daten. Auch hier: Einschalten.

  • Fehlerhafte Bucket-Richtlinien und ACLs: Fehlerhafte Berechtigungen erlauben es unbefugten Parteien oder sogar anderen AWS-Konten, auf eure gespeicherten Daten zuzugreifen. Sie könnten diese manipulieren und Euch mit einem Datenleck zurücklassen.

Profi-Tipp

Die AWS-Dokumentation empfiehlt, ACLs zu deaktivieren, damit der Bucket-Eigentümer die Eigentümerschaft aller Objekte im Bucket behält. Nur der Eigentümer kann dann den Zugriff auf die Daten über Access-Management-Richtlinien regulieren.

Compute-Fehlkonfigurationen

AWS bietet leistungsstarke Computing-Services wie EC2, Lambda und Elastic Load Balancing (ELB). Entwicklerteams weltweit nutzen diese, um Anwendungen auszuführen – das macht sie zu einem beliebten Ziel für Angreifer.

Nehmt EC2. Nichts verdeutlicht die Wichtigkeit, EC2-Fehlkonfigurationen zu vermeiden, besser als der Capital-One-Datenvorfall. Persönliche Daten von 100 Millionen Menschen wurden offengelegt. Oder der T-Mobile-Datenvorfall: Angreifer drangen ins T-Mobile-System ein und erbeuteten persönliche Details von mehr als 50 Millionen Kunden.

Abbildung 2: Capital One Data Breach (Angepasst aus der Fachzeitschrift „ACM Transactions on Privacy and Security“)

Häufige EC2-Compute-Fehlkonfigurationen umfassen:

  • Fehlerhafte IAM-Rollenkonfigurationen: IAM-Rollen für EC2-Instanzen geben diesen die Berechtigung, auf andere AWS-Ressourcen zuzugreifen. Das Problem? Zu weitreichende Rollen oder falsch konfigurierte Richtlinien können dazu führen, dass Instanzen mehr Privilegien erhalten als nötig. (Siehe Abbildung 2.)

  • Öffentliche, geteilte oder unverschlüsselte Snapshots: Snapshots in EC2 dienen als Daten-Backups. Diese sind standardmäßig privat. Sicherheitsprobleme entstehen aber, wenn Snapshots unbeabsichtigt auf öffentlich gesetzt oder ohne Verschlüsselung geteilt werden.

  • Standard-EC2-Key-Pairs: EC2-Key-Pairs dienen der SSH-Authentifizierung. Das ist grundsätzlich gut. Aber wenn Ihr Euch auf Standard- oder weit verbreitete Key-Pairs verlasst, exponiert das Instanzen für unbefugten SSH-Zugriff.

  • Öffentliche und unverschlüsselte Amazon Machine Images (AMIs): Wenn ein für EC2 erstelltes AMI unverschlüsselte Volumes enthält oder unbeabsichtigt auf öffentlich gesetzt ist, kann es sensible Daten exponieren.

IAM-Fehlkonfigurationen

IAM betrifft die korrekte Verwaltung von Benutzern, Gruppen und Rollen. Das umfasst die Definition von Richtlinien, die festlegen, welche AWS-Services und -Ressourcen welche Berechtigungen erhalten.

Leider hat ein aktueller Bericht von Microsoft offenbart, dass über 70 % der Identitäten mit erteilten Berechtigungen inaktiv waren. Sie hatten in den letzten 90 Tagen keine ihrer zugewiesenen Berechtigungen genutzt. Diese Nachlässigkeit überreicht Angreifern einfache Angriffsvektoren, um eine Identität mit fehlkonfigurierten Berechtigungen auszunutzen.

Umsetzbare Best Practices zur AWS-Sicherheit [Cheatsheet]

Dieses Cheat-Sheet geht über die wesentlichen AWS-Sicherheits-Best-Practices hinaus und bietet konkrete Schritt-für-Schritt-Anleitungen, relevante Code-Snippets sowie branchenführende Empfehlungen zur Stärkung Ihres AWS-Sicherheitsstatus.

Download Cheat Sheet

Welche Arten von IAM-Fehlkonfigurationen treten typischerweise auf?

  • Übermäßige Berechtigungen: Wenn ein Konto mit weitreichenden Berechtigungen kompromittiert wird, ist der Schadensradius viel größer. Hier ist das Least-Privilege-Prinzip: Euer bester Freund.

  • Ungenutzte oder veraltete Anmeldedaten: Anmeldedaten, die nicht mehr verwendet werden – wie Access Keys für ehemalige Teammitglieder oder Rollen, die nicht mehr benötigt werden – stellen ein Risiko dar. Nehmt diese außer Betrieb!

  • Direkt vergebene Berechtigungen ohne Rollen: Nur weil etwas möglich ist, heißt das nicht, dass es ratsam ist. Berechtigungen direkt an Benutzer zu vergeben, indem Sie Ihre Richtlinien anhängen, führt zu komplexen und schwer verwaltbaren Berechtigungsstrukturen.

  • Fehlende Multi-Faktor-Authentifizierung (MFA): Admins überspringen MFA vielleicht, weil sie es eilig haben oder es schlicht vergessen. So oder so bittet ihr um Probleme. Erzwingt MFA für alle IAM-Benutzer über IAM-Richtlinien.

IAM-Fehlkonfigurationen mit AWS IAM Access Analyzer beheben

AWS IAM Access Analyzer bietet Organisationen ein leistungsstarkes Tool, um unbeabsichtigte externe Zugriffe auf Ressourcen zu identifizieren und zu reduzieren. Durch Analyse von Berechtigungsrichtlinien erkennt er Ressourcen wie S3-Buckets, IAM-Rollen und KMS-Schlüssel, die außerhalb eures AWS-Kontos geteilt werden, und markiert sie zur Überprüfung.

  • Unbeabsichtigten Zugriff identifizieren: IAM Access Analyzer scannt eure Ressourcenrichtlinien und hebt jede Konfiguration hervor, die externen Zugriff gewährt. Das ermöglicht schnelle Behebung.

  • Proaktive Richtlinienvalidierung: Nutzt IAM Access Analyzer, um neue oder bestehende Richtlinien vor der Anwendung zu validieren. So stellt ihr sicher, dass sie Best Practices entsprechen und übermäßig freizügige Zugriffe verhindern.

  • Einblicke für die Bereinigung: Der Analyzer hebt inaktive Rollen und ungenutzte Berechtigungen hervor. Er hilft Euch, veraltete Konfigurationen zu bereinigen und das Least-Privilege-Prinzip einzuhalten.

Beispiel-Anwendungsfall:

Wenn ein S3-Bucket unbeabsichtigt mit der Öffentlichkeit oder externen Konten geteilt wird, erkennt IAM Access Analyzer das Problem und gibt Empfehlungen für Richtlinienänderungen. Er könnte beispielsweise vorschlagen, „Allow"-Statements für öffentlichen Zugriff in der Bucket-Richtlinie zu entfernen oder durch explizite Benutzerberechtigungen zu ersetzen.

Wichtig: Die hier behandelten Fehlkonfigurationen nutzen Bedrohungsakteure oft, um in AWS-Umgebungen einzudringen. Sie sind aber nicht die einzigen Schwachstellen, um die ihr euch kümmern müsst. Auch Netzwerkeinstellungen und Serverless-Funktionskonfigurationen erfordern sorgfältige Überwachung und Best Practices.

Compliance und AWS Security Hub

Bei Compliance-Standards unterstützt AWS PCI-DSS, HIPAA, FedRAMP, GDPR, FIPS 140-2, NIST 800-171 und viele weitere. Unternehmen wissen, dass sie diese rechtlichen und regulatorischen Anforderungen erfüllen müssen. Aber Compliance allein garantiert keine Sicherheit gegen alle potenziellen Risiken.

Cloud-Fehlkonfigurationen sind ein Hauptverursacher von Compliance-Verstößen. Das Shared-Responsibility-Modell in der Cloud bedeutet zusätzliche Ebenen der Überwachung und Verwaltung – und genau hier kommt CSPM ins Spiel.

Die automatisierten CSPM-Lösungen von AWS helfen Ihnen, das Überwachen, Identifizieren und Beheben von Fehlkonfigurationen und Sicherheitsrisiken zu meistern. Dafür gibt es mehrere Tools im AWS-Arsenal:

  • AWS Security Hub: Verhindert Datenfragmentierung durch mehrere Security-Tools, indem es Sicherheitsbefunde aus den übrigen AWS-Services in dieser Liste aggregiert, organisiert und priorisiert.

  • AWS Config: Verfolgt und protokolliert Konfigurationen von AWS-Ressourcen. Vergleicht automatisch diese aufgezeichneten Konfigurationen mit gewünschten Einstellungen.

  • Amazon GuardDuty: Scannt kontinuierlich nach bösartigen Aktionen und unbefugten Aktivitäten. Nutzt Machine Learning und Anomalieerkennung, um unbefugtes oder ungewöhnliches Verhalten zu identifizieren.

  • AWS IAM Access Analyzer: Stellt sicher, dass nur die notwendigen und beabsichtigten externen Zugriffe erlaubt sind (z. B. auf S3-Buckets, IAM-Rollen). Reduziert so unnötiges Risiko.

  • AWS CloudTrail: Bietet Governance, Compliance und Nachvollziehbarkeit für AWS-Services.

  • Amazon Inspector: Scannt Anwendungen auf Schwachstellen, Exposures und Verstöße gegen Best Practices.

  • AWS Trusted Advisor: Begleitet Sie mit Echtzeit-Anleitungen zur Ressourcenbereitstellung.

  • AWS Audit Manager: Automatisiert die Prüfung Ihrer AWS-Nutzung. Damit werden die Risikobewertung und die Einhaltung von Vorschriften und Branchenstandards erleichtert.

AWS-CSPM-Architektur

Die Architektur hinter CSPM in AWS bietet einen umfassenden Ansatz für Cloud-Sicherheit mit einem integrierten Workflow. Der Prozess beginnt mit der Datenerfassung und dem Monitoring von AWS-Ressourcen – sowohl aus nativen AWS-Sicherheitsdiensten als auch aus Drittanbieterplattformen wie Wiz.

Diese externen Partner erweitern die Funktionen von AWS Security Hub durch zusätzliche Sicherheitsanalysen und Monitoring-Funktionen. Wiz erkennt beispielsweise Fehlkonfigurationen und Schwachstellen im gesamten Cloud-Stack – einschließlich der Bereiche, die AWS-native Tools nur eingeschränkt abdecken, etwa Drittanbieteranwendungen und Multi-Cloud-Umgebungen.

Im Zentrum der AWS-CSPM-Strategie steht der AWS Security Hub. Der Dienst aggregiert Daten aus verschiedenen Quellen – nativen AWS-Services, Drittanbieterplattformen und AWS Detective für weiterführende Untersuchungen. Dieser zentrale Hub vereinfacht die Sicherheits- und Compliance-Analyse in Ihrer AWS-Umgebung und verbessert Transparenz und Verwaltung.

Aufschlüsselung eines Sicherheitsvorfalls mit der AWS-CSPM-Architektur

Die automatisierte Reaktion von AWS CSPM auf Sicherheitsvorfälle ist vielschichtig:

  • AWS Lambda reagiert auf Security-Hub-Befunde und führt automatisierte Skripte aus, um Konfigurationen oder Berechtigungen anzupassen und Risiken zu reduzieren.

  • AWS Detective liefert zusätzliche Kontextinformationen zu den Aktivitäten, die zu einem Vorfall geführt haben oder damit in Zusammenhang stehen.

  • AWS Systems Manager unterstützt Sie dabei, Ressourcen effizient zu verwalten und Compliance in größerem Maßstab sicherzustellen.

  • AWS Audit Manager sammelt automatisch die erforderlichen Nachweise aus Ihren AWS-Sicherheitsdiensten, um Compliance und Audits zu unterstützen.

  • AWS Lake Formation und Amazon S3 organisieren und speichern Sicherheits- und Compliance-Daten für Analysen und die langfristige Aufbewahrung.

  • Amazon QuickSight visualisiert Security-Hub-Befunde in Dashboards und Reports, damit Stakeholder einen klaren Überblick über den Sicherheits- und Compliance-Status erhalten.

  • Amazon CloudWatch und AWS SNS stellen sicher, dass Security-Teams Echtzeit-Benachrichtigungen zu kritischen Vorfällen oder Compliance-Änderungen erhalten.

Wie Wiz Ihre AWS-Umgebungen absichert

Wiz verbessert die Sicherheit von AWS-Umgebungen – einschließlich KI-Pipelines, die mit Amazon SageMaker entwickelt wurden – durch umfassende Transparenz, Risikobewertung und proaktive Maßnahmen, um Sicherheitsprobleme zu beheben.

AWS-Umgebungen absichern:

  • Integration mit AWS-Services: Wiz integriert sich nahtlos mit nativen AWS-Sicherheitsdiensten wie Amazon GuardDuty, AWS Security Hub, AWS CloudTrail und AWS Access Advisor. Diese Integration schafft eine einheitliche Sicht auf Sicherheitsbefunde in AWS-Umgebungen und unterstützt effiziente Behebungs-Workflows.

  • Agentenlose Transparenz: Durch die agentenlose Anbindung an AWS-Umgebungen erhalten Organisationen einen umfassenden Überblick über ihre Cloud-Infrastruktur. So lassen sich Risiken wie Fehlkonfigurationen, Schwachstellen und potenzielle Angriffspfade identifizieren und priorisieren.

  • Risikopriorisierung und Behebung: Mithilfe von Machine Learning bewertet und priorisiert Wiz Risiken, sodass sich Security-Teams auf die kritischsten Probleme konzentrieren können. Die Plattform liefert umsetzbare Empfehlungen, um identifizierte Schwachstellen effizient zu beheben.

KI-Pipelines mit Amazon SageMaker absichern:

  • Überwachung von SageMaker-Ressourcen: Wiz bietet Transparenz in SageMaker-Ressourcen wie Notebook-Instanzen, Trainingsjobs und Endpunkte. Die Plattform überwacht Konfigurationen und Zugriffskontrollen, um potenzielle Sicherheitsrisiken wie öffentliche Zugänglichkeit oder übermäßige Berechtigungen frühzeitig zu erkennen.

  • Datenschutz: Durch die Analyse von Datenflüssen innerhalb von SageMaker identifiziert Wiz sensible Daten und unterstützt Unternehmen dabei, diese angemessen zu schützen. Dazu gehört auch die Erkennung von Datenlecks oder unbefugtem Zugriff auf Datensätze, die für das Training von Modellen verwendet werden.

  • Angriffspfad-Analyse: Der Security Graph von Wiz visualisiert potenzielle Angriffspfade zu SageMaker-Ressourcen. So können Organisationen Risiken besser verstehen und minimieren, die zu Datenlecks oder einer Kompromittierung von Modellen führen könnten.

Durch die Integration mit AWS-Services und spezialisierte Sicherheitsfunktionen für Amazon SageMaker unterstützt Wiz Organisationen dabei, sicher in der Cloud zu entwickeln und zu arbeiten.. So bleiben sowohl AWS-Umgebungen als auch KI-Pipelines besser gegen sich weiterentwickelnde Bedrohungen geschützt.

Wenn Sie sehen möchten, wie Wiz alles schützen kann, was Sie in der Cloud entwickeln und betreiben, vereinbaren Sie noch heute eine kostenlose Demo.

Agentenlose Full-Stack-Abdeckung Ihrer AWS-Workloads in wenigen Minuten

Erfahren Sie, warum CISOs der am schnellsten wachsenden Unternehmen auf Wiz setzen, um ihre AWS-Umgebungen abzusichern.

Informationen darüber, wie Wiz mit Ihren personenbezogenen Daten umgeht, finden Sie in unserer Datenschutzerklärung.