Cloud-Sicherheit

Hintergrund

Crawford Technologies, Inc (CrawfordTech) ist seit über 25 Jahren ein unabhängiger Softwareanbieter (ISV). Dank ständiger Innovation ist CrawfordTech immer an der Spitze der Technologietrends. Seit seiner Gründung hat CrawfordTech bei der Entwicklung von Software und Lösungen die folgenden fünf Prinzipien im Auge:

• Minimieren Sie die Gesamtbetriebskosten (TCO)
• Stellen Sie einen klaren Upgrade-Pfad bereit
• Bauen Sie auf vorhandenen Stärken auf.
• Bringen Sie Innovation und Zuverlässigkeit in Einklang.
• Gewährleistung der Sicherheit unserer Kunden

Architektur

Dieses gemeinsame Modell entlastet CrawfordTech und den Kunden von der Betriebslast, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Dienst ausgeführt wird, betreibt, verwaltet und kontrolliert. CrawfordTech übernimmt die Verantwortung und Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), anderer zugehöriger Anwendungssoftware sowie die Konfiguration der von AWS bereitgestellten Sicherheitsgruppen-Firewall. CrawfordTech hat sich dafür entschieden, die gesamte virtualisierte Hardware, Anwendung und Systemsoftware in einer Virtual Private Cloud (VPC) auszuführen und hat die in seine Verantwortung fallenden Dienste, die verwendeten AWS-Dienste, die Integration dieser Dienste in die Computerumgebung sowie die geltenden Gesetze und Vorschriften sorgfältig geprüft.

Wie in der folgenden Grafik dargestellt, wird diese Differenzierung der Verantwortlichkeiten allgemein als „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“ bezeichnet.

AWS-Verantwortung „Sicherheit der Cloud“ – AWS ist für den Schutz der Infrastruktur verantwortlich, auf der alle in der AWS-Cloud angebotenen Dienste ausgeführt werden. Diese Infrastruktur besteht aus der Hardware, Software, dem Netzwerk und den Einrichtungen, auf denen die AWS-Cloud-Dienste ausgeführt werden.

CrawfordTech-Verantwortung „Sicherheit in der Cloud“ – Die Verantwortung von CrawfordTech wird durch die ausgewählten AWS-Cloud-Dienste bestimmt. Dies bestimmt den Umfang der Konfigurationsarbeiten, die CrawfordTech im Rahmen seiner Sicherheitsverantwortung durchführen muss. Beispielsweise wird ein Dienst wie Amazon Elastic Compute Cloud (Amazon EC2) als Infrastructure as a Service (IaaS) kategorisiert und erfordert daher, dass CrawfordTech alle erforderlichen Aufgaben zur Sicherheitskonfiguration und -verwaltung durchführt.

CrawfordTech ist für die Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), aller von CrawfordTech auf den Instanzen installierten Anwendungssoftware oder Dienstprogramme sowie für die Konfiguration der von AWS bereitgestellten Firewall (Sicherheitsgruppe genannt) auf jeder Instanz verantwortlich. Für abstrahierte Dienste wie Amazon S3 und Amazon DynamoDB betreibt AWS die Infrastrukturschicht, das Betriebssystem und die Plattformen, und CrawfordTech greift auf die Endpunkte zu, um Daten zu speichern und abzurufen. CrawfordTech ist für die Verwaltung seiner Daten (einschließlich Verschlüsselungsoptionen), die Klassifizierung von Assets und die Verwendung von IAM-Tools zum Anwenden der entsprechenden Berechtigungen verantwortlich.

Sicheres Modell

Dieses Modell der geteilten Verantwortung von CrawfordTech/AWS erstreckt sich auch auf IT-Kontrollen. So wie AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden auch die Verwaltung, der Betrieb und die Überprüfung der IT-Kontrollen geteilt. AWS trägt dazu bei, die Belastung durch Betriebskontrollen zu verringern, indem es die Kontrollen verwaltet, die mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verbunden sind und zuvor möglicherweise von einzelnen Kundenorganisationen verwaltet wurden. Diese Verlagerung der Verwaltung bestimmter IT-Kontrollen auf AWS führt zu einer (neuen) verteilten Kontrollumgebung. CrawfordTech verwendet die AWS-Kontroll- und Compliance-Dokumentation, um seine Kontrollbewertungs- und Überprüfungsverfahren nach Bedarf durchzuführen. Nachfolgend finden Sie Beispiele für Kontrollen, die von AWS, CrawfordTech und/oder beiden verwaltet werden.

Geerbte Steuerelemente – Steuerelemente, die CrawfordTech vollständig von AWS erbt.

• Physikalische und Umgebungskontrollen

Gemeinsame Kontrollen – Kontrollen, die sowohl für die Infrastrukturebene als auch für die Kundenebene gelten, jedoch in völlig unterschiedlichen Kontexten oder Perspektiven. Bei einer gemeinsamen Kontrolle stellt AWS die Anforderungen für die Infrastruktur bereit und CrawfordTech stellt seine eigene Kontrollimplementierung innerhalb der Nutzung von AWS-Diensten bereit. Beispiele:

• Patch-Management – AWS ist für das Patchen und Beheben von Fehlern innerhalb der Infrastruktur verantwortlich, aber CrawfordTech ist für das Patchen des Gastbetriebssystems und der Anwendungen verantwortlich.
• Konfigurationsmanagement – AWS verwaltet die Konfiguration seiner Infrastrukturgeräte, aber CrawfordTech ist für die Konfiguration seiner eigenen Gastbetriebssysteme, Datenbanken und Anwendungen verantwortlich.
• Sensibilisierung und Schulung – AWS schult AWS-Mitarbeiter und CrawfordTech schult seine eigenen Mitarbeiter.

Einhaltung

Befolgen Sie die Best Practices für IAM

• Verwenden Sie den AWS Identity and Access Management Service, mit dem Benutzer den Zugriff auf AWS-Dienste und -Ressourcen sicher verwalten können.
• Verwalten Sie AWS, indem Sie Gruppen und Benutzer erstellen und detaillierte Berechtigungsrichtlinien anwenden, um eingeschränkten Zugriff auf APIs und Ressourcen zu gewähren.
• Befolgen Sie hinsichtlich der Sicherheit den Ansatz der geringsten Privilegien.
• Rotieren Sie Zugriffsschlüssel und Passwörter.

Verwalten Sie den Zugriff auf Betriebssystemebene und schützen Sie EC2-Instanzen

• Führen Sie regelmäßig eine Inspektorbewertung durch, um einen Schwachstellenbericht auf Betriebssystemebene zu erstellen.
• Verwenden Sie System Patch Manager, um Betriebssystempakete auf dem neuesten Stand zu halten.
• Patchen Sie die EC2-Instanzen regelmäßig, um die Infrastruktur vor neu entdeckten Fehlern und Schwachstellen zu schützen.
• Befolgen Sie die Sicherheitshinweise der Betriebssystemanbieter RedHat, Suse, Microsoft usw.

Verschlüsselung

• Verschlüsseln Sie sämtliche Daten, egal ob während der Übertragung oder im Ruhezustand.
• Verwenden Sie AWS KMS zum Speichern von ruhenden Verschlüsselungsschlüsseln, die von AWS generiert werden.
• Verwenden Sie Cloud HSM, um hardwareverschlüsselte Geräte zum Speichern von Schlüsseln bereitzustellen.
• Verwenden Sie AWS-Services, die Verschlüsselung während der Übertragung bereitstellen, indem Sie HTTPS-Endpunkte bereitstellen, die eine End-to-End-Verschlüsselung ermöglichen.
• AWS Certificate Manager zum Erstellen eines SSL-Zertifikats für die öffentliche Domäne.

Befolgen Sie bewährte Sicherheitsmethoden für AWS-Datenbank- und Speicherdienste

• RDS-Speicher wird im Ruhezustand verschlüsselt.
• Beschränken Sie den Zugriff auf RDS-Instanzen, um das Risiko böswilliger Aktivitäten wie Brute-Force-Angriffe, SQL-Injections oder DoS-Angriffe zu verringern.
• S3-Speicher wird im Ruhezustand verschlüsselt.
• Die S3-Richtlinie wird verwendet, um den Zugriff auf S3-Inhalte einzuschränken.
• Verwenden Sie AWS Macie, um vertrauliche Daten in AWS-S3 zu erkennen und zu sichern.
• Verwenden Sie den AWS Parameter Store, um umgebungsspezifische Anmeldeinformationen und Geheimnisse zu speichern und so die Geheimnisverwaltung für Ihre Cloud-native Anwendung zu erreichen.

Netzwerksicherheit

• Verwenden Sie Intrusion Detection Systeme (IDS) oder Intrusion Prevention Systeme (IPS), um Angriffe auf kritische Infrastrukturen wie Zahlungs-Gateways erkennen und verhindern zu können.
• Stellen Sie sicher, dass VPC-Flussprotokolle aktiviert sind, um den Netzwerkverkehr zu überwachen.
• Beschränken Sie den Zugriff nach Sicherheitsgruppe. (EC2, RDS, Elastic Cache usw.)
• Verwenden Sie Guard Duty, um AWS-Konten und -Infrastrukturen kontinuierlich zu überwachen.

Sicherheit von Webanwendungen

• Verwenden Sie Web Application Firewalls (WAF), um eine Deep Packet Inspection für den Webverkehr bereitzustellen.
• Verwenden Sie Amazon Inspector, einen automatisierten Sicherheitsbewertungsdienst, der die Sicherheit und Konformität der auf AWS bereitgestellten Anwendungen verbessert.

Aktivieren Sie das Konfigurationsmanagement

• Verwenden Sie AWS Config, um die Konfigurationsänderungen innerhalb von AWS zu prüfen, zu beurteilen und auszuwerten.

Überwachung und Warnmeldungen

• CloudTrail ermöglicht die Prüfung und Überwachung autorisierter und nicht autorisierter Aktivitäten innerhalb des AWS-Kontos.
• Für böswillige Aktivitäten innerhalb des AWS-Kontos und der in AWS und Anwendungsprotokollen bereitgestellten Infrastruktur können CloudWatch-Warnmeldungen eingerichtet werden.
• Richten Sie Abrechnungsalarme ein, um Ihr Team über die Kostennutzung bestimmter Konten oder Infrastrukturen auf dem Laufenden zu halten.

Compliance, Schulung und Zertifizierung

• Verwenden Sie AWS Artifact für den On-Demand-Zugriff auf AWS-Compliance-Berichte.
• Sie schulen und bilden Teams aus, die die AWS-Cloud-Plattform für die Bereitstellung nutzen oder für die Infrastruktur verantwortlich sind.

Durch die Implementierung dieser bewährten Methoden für die Cloud-Sicherheit aus den Richtlinien von AWS konnte CrawfordTech die richtigen Sicherheitsmaßnahmen einsetzen und erstklassige Sicherheitspraktiken mit Diensten der Spitzenklasse bereitstellen, auf die sich die Kunden verlassen können.