Serverless Cloud Security

Security BUILT4.CLOUD - Kontaktiere uns, gerne über einen unserer sicheren Kommunikationskanäle, um mehr über Sicherheit in der Cloud zu erfahren und wie wir zusammen sichere Cloud Infrastrukturen komplett Serverless aufzubauen können.

In der Cloud musst Du Dich "nur" um die Absicherung der Services kümmern die Du in der Cloud verwendest. Diese Verantwortlichkeit allein ist schon sehr umfassend und herausfordernd, entlastet einen aber von der Verantwortung sich auch um die Bereitstellung und Absicherung der physischen Infrastruktur, der Hardware, und der Netzwerkanbindung zu kümmern - man spricht auch vom Modell der gemeinsamen Verantwortung (shared responsibility model). Je nach verwendeten Cloud Service übernimmt der Cloud Anbieter sogar auch die Patch-Verwaltung und das Konfigurationsmanagement. Diese Aufteilung bedeutet in jedem Fall weniger Kontrolle über die Infrastruktur aber in den allermeisten Fällen bedeutet dies auch ein höheres Sicherheitslevel der Infrastruktur verglichen mit dem eigenen Rechenzentrum. Die Kernkompetenz eines Cloud Anbieters besteht darin Infrastruktur bereitzustellen die den höchsten Sicherheitsanforderungen genügt, sowie diese so ausfallsicher wie möglich zu betreiben und zu warten. Dies ist das Kerngeschäftsmodell und hat die höchste Priorität im Unternehmen, sodass hierfür alle notwendigen Ressourcen bereit stehen. Eines der zentralen Motive von Firmen in die Cloud zu ziehen, ist es sich wieder mehr auf das eigene Kerngeschäft konzentrieren zu können (z.B. die Softwareentwicklung) während man die notwendige IT Infrastruktur eines Cloud Anbieters nutzt (um z.B. Applikationen global für Kunden bereitzustellen).

Dieses Modell beruht natürlich auf dem Vertrauen das Du in die ausgewählten Cloud Anbieter hast. Dieses Vertrauen wird durch Zertifizierungen des Cloud Anbieters und durch regelmäßige Audits externer Institutionen aufgebaut und erhalten. Dadurch kann dem Cloud Anbieter ein gewisses Sicherheitslevel attestiert werden, welches einem als Entscheidungsgrundlage für die Auswahl eines Cloud Anbieters bzw. Services dient. Diese Entscheidung sollte sich dann auch mit den gesetzlichen Anforderungen und Richtlinien decken die man einzuhalten hat.

Nachdem wir wissen warum es für die meisten Anwendungen sicherer ist in die Cloud zu ziehen, und wir uns für einen Cloud Anbieter entschieden haben dem wir vertrauen, müssen wir uns um die Absicherung der einzelnen Cloud Services kümmern die Du innerhalb der Cloud nutzt oder nutzen willst. Hier handelt es sich nach dem shared responsibility model komplett um Deine Verantwortung und wir wollen Dich genau dabei unterstützen.

Wir haben uns auf AWS als Cloud Anbieter fokussiert, da AWS die ausgereiftesten Cloud Services am Markt anbietet und Dir auch die meiste Kontrolle über die Sicherheit in der Cloud bietet. Außerdem definiert AWS oft Industriestandards welche dann nach und nach auch von anderen Cloud Anbietern übernommen werden. So können wir oft Konzepte und Best Practices für andere Cloud Anbieter übernehmen - wir lernen also zusammen vom Marktführer und können die Lösungen überall gezielt einzusetzen.

Außerdem ist AWS führend wenn es um Serverless Services geht. Klar, am Ende läuft alles auf Servern ab (also eine typische Fehlbezeichnung) aber tatsächlich musst Du Dich nur um die Konfiguration des Services kümmern und nicht mehr um den Server an sich. Ein weiteres wichtiges Kriterium, was für uns einen wahren Serverless Service ausmacht ist, dass Dir nur die tatsächlich genutzten Ressourcen berechnet werden. AWS bietet umfassende Services an die sich speziell auf Sicherheit in der Cloud fokussieren, von denen die meisten als Serverless Service genutzt werden können. Wir verwenden einen Kombination der folgenden Serverless Services in AWS um Deine Infrastruktur und Deine AWS Accounts zu schützen:

• IAM: Kontrolle und Verwaltung über den Zugriff auf AWS Ressourcen
• CloudTrail: Nachverfolgung und Aufzeichnung von API Aufrufen in Deinem AWS Account; wird auch oft als Trigger für automatisierte Gegenmaßnahmen verwendet
• CloudWatch: Zentraler Monitor- und Log-Service um Anwendungen und Ressourcen zu überwachen; basierend auf Metriken können Alarme definiert werden
• GuardDuty: Bedrohungserkennung (threat detection) basierend auf Analyse der CloudTrail, VPC und DNS Log-Dateien
• Inspector: Automatische Sicherheitsscans von EC2-Instanzen und Netzwerkkonfigurationen
• Config: Inventur aller AWS Ressourcen, Überwachung deren Veränderung, sowie Überprüfung des Compliance-Status
• Shield: Schutz gegen DDoS-Attacken (Standard-Schutz automatisch aktiv)
• Systems Manager: Ausführen von Befehlen gegen viele EC2-Instanzen gleichzeitig, sowie Patch-Verwaltung und Bereitstellung eines sicheren SSH Zugangs
• Firewall Manager: Zentrale Verwaltung aller WAF-Regeln

Hier sollten wir aber nicht aufhören sondern weiter auf die nächste Ebene schauen: Die Verbesserung der Sicherheit und des Datenschutzes Deiner Anwendungen die in der Cloud oder on-premises laufen. Um das zu erreichen integrieren wir eine Kombination der nachfolgenden Serverless Services in Deine Anwendungen:

• KMS: Sichere Verwaltung und Administration von Schlüsseln zur Verschlüsselung
• CloudHSM: Dedizierte HSM für hohe Compliance-Anforderungen; kann auch als Speicher für KMS Schlüssel verwendet werden
• Secrets Manager & Parameter Store: Verwaltung, Rotation und Speicher verschlüsselter Secrets (z.B. für Deine Anwendung)
• WAF: Überwachung und Filter von HTTPS Datenverkehr um CloudFront, ALB und API Gateway Ressourcen zu schützen
• ACM: Verwaltung von SSL Zertifikaten - sowohl öffentliche als auch private

Manche dieser Services können sogar auch dazu verwendet werden um die eigene on-premises Infrastruktur oder Anwendung abzusichern.

Wir unterstützen Dich bei Deiner "Sicherheit in der Cloud" Verantwortlichkeit indem wir Deine Sicherheitsanforderungen mit den oben genannten Services oder ähnlichen Services anderer Cloud Anbieter abbilden. Um ausgereifte Multi-Cloud Architekturen aufzubauen wenden wir außerdem die Leitlinien und Best Practices der Cloud Security Allicance (CSA) an, im Detail die CSA Security Guidance for Critical Areas of Focus in Cloud Computing.

Beim Design Deiner Cloud Architektur arbeiten wir eng mit Deiner IT Sicherheitsabteilung zusammen und implementieren die Architektur anschließend gemeinsam - immer basierend auf Infrastructure as Code. Dabei ist es uns auch wichtig die verantwortlichen Stakeholder und Teams mit einzubeziehen die diese Architektur betreuen und warten werden, um sie mit gezielten Wissenstransfer-Sessions auf die neue Rolle vorzubereiten. Das Ergebnis ist eine gut dokumentierte und sichere Cloud Infrastruktur die von den verantwortlichen Teams administriert und gewartet werden kann. Falls bei Dir schon eine Cloud Infrastruktur genutzt wird, können wir alternativ diese auch basierend auf Best Practices und Industriestandards überprüfen und wo nötig optimieren.

Wir sind Cloud-Natives aus Leidenschaft und sind beruflich mit AWS aufgewachsen. Wir fokussieren uns nicht nur auf Cloud Security Projekte aber jedes Projekt umfasst Cloud Security Herausforderungen - mal mehr, mal weniger. Wir überprüfen jede Lösung und Architektur die wir entwickeln basierend auf den Best Practices in folgenden Bereichen: IT Infrastruktur Sicherheit, Least Privilege Prinzipien, Datenschutzanforderungen, Compliance-Richtlinien und Vendor Lock-in Einschränkungen. Wir sind zudem Select Mitglied im AWS Consulting Partner Network (APN) und haben natürlich auch eine AWS Certified Security - Specialty Zertifizierung. Let's Build Secure Clouds Together!