//AWS Security Audit
AWS Security Audit2018-10-02T13:54:26+00:00

tecRacer AWS Security Audit

Einer der großen Vorteile der Cloud ist es den Time-To-Market drastisch zu reduzieren. Viel in wenig Zeit zu schaffen ist wunderbar. Doch der Gewinn an Geschwindigkeit und Agilität ist auch mit Risiken verbunden vor allem dann, wenn man es mit der Sicherheit in der Cloud nicht so genau nimmt. Plagt Sie ein nagender Zweifel, ob sich in Ihrer AWS Infrastruktur irgendwo ein hässliches Sicherheitsloch versteckt? Profitieren Sie von der Erfahrung, die unsere Consultants in unzähligen Enterprise Projekten gesammelt haben. Wir von tecRacer sorgen dafür, dass Ihre Cloud Architektur sowohl agil aber auch sicher bleibt. Der tecRacer AWS Security Audit ist eine tiefgreifende Analyse Ihres AWS Kontos vor dem Hintergrund der AWS Security Best Practices. Wir zeigen Sicherheitslücken auf und liefern gleichzeitig Lösungen diese zu beheben.

Fünf Tipps die Sie sofort umsetzen sollten:

  1. AWS-Sicherheit: Root-Account-Schlüssel in IAM löschen
  2. Den Überblick ihrer Ressourcen durch Tagging bewahren: Geben Sie jeder Ressource die Sie nutzen, einen einheitlichen verständlichen
    Namen (Key/Value)
  3. Reduzieren Sie die Angriffsfläche: Löschen Sie alle nicht verwendeten Ressourcen wie bspw. Sicherheitsgruppen
  4. SSH-Zugriff auf Server: Limitieren Sie den Zugriff in den Sicherheitsgruppen auf Ihre IP-Range
  5. Kontrolle: Erstellen Sie individuelle IAM-Benutzer und ordnen Sie diese Gruppen und Rollen zu

Warum ist ein tecRacer AWS Security Audit wichtig?

Sicherheit hat bei AWS oberste Priorität. Als AWS-Kunde profitieren Sie von einer weltweit redundanten Rechenzentrums- und Netzwerkarchitektur, die auch den Anforderungen der anspruchsvollsten Organisationen in puncto Sicherheit erfüllt. Das belegen auch die zahlreichen AWS Sicherheitszertifizierungen und Compliance-Programme was bedeutet, dass Ihre Compliance-Anforderungen bereits teilweise erfüllt sind. AWS zeichnet verantwortlich für die Sicherheit der Cloud an sich (Infrastruktur) und nimmt diese Aufgabe sehr genau. Als Kunde nutzen Sie diese Intrastruktur indem Sie bspw. Applikationen auf virtuellen Servern betreiben und diese dem Internet öffnen. Für die Sicherheit innerhalb der eigenen Cloud bietet AWS zahlreiche Sicherheitssysteme – Sie als Kunde tragen jedoch die Verantwortung indem Sie alle erforderlichen Sicherheitskonfigurationen korrekt tätigen. AWS nennt das das Modell der gemeinsamen Verantwortung.

Auf welchen Grundlagen basieren unsere Empfehlungen?

Der tecRacer AWS Security Audit basiert auf den relevanten AWS Whitepapers und Best Practices, Empfehlungen aus der ISO 27.000, dem BSI IT Grundschutzkatalog und diversen Checklisten des Center for Internet Security (CIS). Wenn man die Prüfung auf Instanzebene erweitert, betrachten unsere Spezialisten hunderte von Prüfpunkten Ihrer AWS Infrastruktur. Natürlich fließen auch Ihre im Unternehmen definieren Complianceanforderungen mit in den Audit ein.

  • AWS Whitepapers und Best Practices
  • AWS Auditing Security Checklist 2015
  • Empfehlungen aus der ISO 27.000
  • Security Benchmarks of the CIS
  • European Union Agency for Network and Information Security (ENISA)
  • Cloud Security Alliance (CSA)
  • BSI IT-Grundschutzkotaloge
  • Unternehmenseigene Compliance-Anforderungen

Wie ist ein Audit strukturiert?

Der tecRacer AWS Security Audit besteht aus einem eintägigen Kickoff Meeting in dem wir einen Überblick über Ihre Architektur und Systeme erhalten. Unser Sicherheitsspezialist erhält danach einen eingeschränkten Zugriff auf Ihre Intrastruktur über einen sog. Auditor Account. In den weiteren Tagen prüfen wir Ihr Netzwerk und die verwendeten AWS Komponenten auf Sicherheitslücken, stellen unsere Ergebnisse in einem Dokument zusammen, zeigen existierende Sicherheitslücken, priorisieren diese via Risikoklassen und Compliance-Grad und geben letztendlich Handlungsanweisungen um diese zu beheben. Natürlich können wir auf Wunsch auch vor Ort präsentieren und Ihren Kollegen aus der Technik tatkräftig zur Seite stehen.

Geprüft wird dabei auf Infrastruktur- bis zur Instanzebene (EC2): AWS Account-Struktur und -Setup, VPN & Subnets, Identity Access Manager (Users, Groups, Roles, Policies, MFA) und das Prinzip „of least privilege“, EC2 & Status Patching, Datenbanken, Security Groups generell und für RDS, ELB, S3 Bucket Policies, Tagging von Ressourcen, Verschlüsselung und Schlüsselverwaltung.

Was ist der Outcome?

Die Ergebnisse unseres Audits spiegeln sich in einem englischsprachigen Dokument mit ca. 50-120 Seiten wieder. Das Dokument ist im wesentlichen in 3 Abschnitte unterteilt, die jeweils die Adressaten – Management, IT-Leitung und IT-Security (CISO) sowie Techniker mit konkreten Informationen und transparenten Handlungsanweisungen versorgt. Alle Ergebnisse werden nach Risikoklassen (low- to high risk) und dem Grad an Compliance (compliant to non-compliant & immediate action required) strukturiert dargestellt und können so priorisiert Punkt für Punkt von Ihnen und Ihrem Team abgearbeitet werden.

Ergebnisbeispiele und Handlungsanweisungen aus dem tecRacer Security Audit.

Sie haben Fragen zu unseren Dienstleistungen rund um AWS?

Gerne stehen wir Ihnen unter 0511-59095-942 telefonisch zur Verfügung
oder schreiben Sie uns: