Public Clouds – düstere Aussichten oder sichere Lösung? Das Beispiel Amazon Web Services
Unser Cloud-Experte Rinon Belegu sieht sich oft mit Fragen und Vorurteilen bezüglich der Sicherheit in der Cloud konfrontiert. In diesem Beitrag nimmt er zu den wichtigsten Fragen Stellung.
Die Wolken verwehren uns zurzeit einen schönen Sommer und machen das Wetter unberechenbar. Genau wie das Wetter, lassen sich auch für viele Entscheider in Firmen die Auswirkungen der virtuellen Wolken auf ihr Businessmodell schwer vorhersagen. Zu unübersichtlich scheinen die riesigen Wolken und zu gross der Respekt vor dem Schritt in die Cloud. In diesem Beitrag werden einige Fragen und Zweifel beantwortet, die immer wieder aufkommen.
Die Fragen werden am Beispiel von Amazon Web Services (AWS) gezeigt.
Ist es als angehender Kunde möglich, die Datenzentren zu besuchen?
Bei AWS, wie auch bei den meisten Marktplayern, ist es für den Kunden nicht möglich, die Rechenzentren und Server aus nächster Nähe zu betrachten. Oft wird den Cloud-Anbietern daher fehlende Transparenz nachgesagt. Stellen Sie sich aber vor, jeder mögliche Kunde (das können Millionen von Kunden sein) möchte sein Datacenter inspizieren. Allein dieser Umstand würde zu einem Sicherheitsproblem führen.
Wie kann ich sicherstellen, dass meine Compliance-Anforderungen gewährleistet werden?
AWS hat diverse Review-Prozesse von Drittanbietern über sich ergehen lassen und diverse Zertifizierungen erhalten. Einige davon sind PCI, HIPAA und SOC. Auf der Website von AWS finden sich detaillierte Informationen zu sämtlichen Zertifizierungen, Gesetzen zum Datenschutz und Frameworks.
Das heisst, diverse Organisationen haben die Prozesse und die Umgebungen inspiziert, Experten Audits oder auch Penetration-Tests durchgeführt und dementsprechend Zertifizierungen ausgestellt.
Vielleicht denken Sie sich jetzt, dass ja jeder eine Website zur Compliance seiner Produkte aufsetzen kann – ob es dann auch wirklich stimmt, steht natürlich auf einem anderen Blatt. Bei AWS ist es jedoch möglich, die Reviews unter gewissen Voraussetzungen einzusehen.
Wo werden meine Daten gespeichert?
Um die Lokalität der Daten zu erläutern, wird hier kurz das Grundkonstrukt von AWS erklärt.
Um den hohen Grad an Verfügbarkeit zu gewährleisten, besteht die AWS-Struktur aus Regionen. Jede Region besteht selbst aus mehreren Verfügbarkeitszonen. Als Beispiel wird Europa in die Regionen Irland und Frankfurt aufgeteilt, wobei Irland 3 und Frankfurt 2 Verfügbarkeitszonen hat.
Diese Zonen haben eine gewisse Grösse und sind über eine schnelle lokale, redundante Verbindung erschlossen. Um die Hochverfügbarkeit zu gewährleisten, muss man in vielen Fällen die Daten zwischen diesen Verfügbarkeitszonen replizieren. Oder die Dienste in beiden Zonen ausrollen. Die Distanzen zwischen den einzelnen Verfügbarkeitszonen innerhalb einer Region sind nicht öffentlich publiziert. Falls diese aber aus Compliance-Gründen benötigt werden, können Sie bei AWS eingefordert werden.
AWS garantiert, dass Daten niemals durch einen Automatismus zwischen Regionen repliziert werden. Somit ist zum Beispiel sichergestellt, dass meine Daten in der Region Frankfurt bleiben, ausser ich definiere das selbst anders.
Wer hat Einsicht in meine Daten?
Amazon bietet bei den meisten seiner Dienste eine End-zu-End-Verschlüsselung an. Es ist im Weiteren möglich, die Daten bereits vor dem Transfer zu verschlüsseln. Somit kann ich sicherstellen, dass ich der einzige Besitzer des Schlüssels bin. Durch die weitere Verschlüsselung der Daten während der Übertragung werden auch Datenintegrität und Authentizität gewährleistet.
Durch die sehr granulare Rechteverwaltung in AWS ist der Zugriff auf Daten sehr exakt definierbar. In Zusammenhang mit der Transparenz ist wichtig, jede Änderung am System oder jede Tätigkeit zurückverfolgen zu können. On-Premise ist dies mit einem sehr hohen Aufwand verbunden. Mit Diensten wie AWS CloudTrail und AWS CloudWatch ist es möglich, jeden API-Call auf die Umgebung mitzuschneiden und ein detailliertes Log aller Vorgänge zu erstellen.
Zum Vergleich: Lokal wäre es ein enormer Aufwand, bis alle Systeme so weit sind, dass jeder Schritt nachverfolgt werden kann. Oder wissen Sie zu 100% über jede Änderung in Ihrem System Bescheid? Es gibt zwar Change-Management-Systeme, jedoch hängt deren Genauigkeit vom Input der Mitarbeiter und dem Einhalten der Prozesse ab.
Stellen Sie sich vor, Sie könnten jeden «Configuration Change» nachvollziehen – wäre das nicht toll? Bei AWS müssen Sie dazu nur AWS Config aktivieren und richtig konfigurieren. Sie können sogar alle Abhängigkeiten zwischen den Ressourcen einsehen.
Braucht die Cloud in jedem Fall einen direkten Zugriff aus dem Internet?
Dies ist ein Gerücht, das sich leider sehr hartnäckig hält. Bei AWS können Sie Ihr Datacenter in die Cloud erweitern, ohne einen direkten Zugriff auf das Internet aufzuschalten. Sie können dies mit einem exklusiven VPN Tunnel bewerkstelligen oder einen Internetprovider, der Direct Connect anbietet, in Ihre Lösung einbeziehen.
Weiter können Sie das Routing und den Zugriff auf jede einzelne Ressource genaustens über das Netzwerk steuern. Sei es mit einer simplen Network Access Control List oder den Security Groups, die eher zu empfehlen sind.
Wie sicher ist denn nun meine Cloud?
Zur Sicherheit der Cloud gehören immer zwei Parteien. AWS nennt dies ein Shared-Responsibility-Modell oder «Modell der gemeinsamen Verantwortung». Generell sieht dies so aus:
Die Verantwortlichkeiten innerhalb des Security-Modells können sich verschieben, so zum Beispiel bei Abstracted Services. Das obige Beispiel zeigt die Verantwortlichkeiten bei einer EC2-Instanz auf.
Beachten Sie hier, dass – obwohl die Grundumgebung eine bestimmte Voraussetzung zur Datensicherheit bietet und das mit Zertifizierungen nachgewiesen werden kann – das nicht automatisch heisst, dass Ihre Implementation oder die Art, wie Sie diesen Service verwenden, die Voraussetzungen unterstützt oder aufrechterhält. Sie sind ein Teil der Kette – die Kette ist aber nur so stark wie ihr schwächstes Glied …
Alle Argumente gegen die Cloud widerlegt? 😉 Haben Sie noch weitere Fragen?
Was ist, wenn AWS von heute auf morgen zumacht? Oder was, wenn mein Internetprovider sein Geschäft einstellt? Stellen Sie weitere Fragen in den Kommentaren oder diskutieren Sie mit mir an unserem Abendreferat – ich bin gespannt darauf!