AWS Security Hub als zentrales Sicherheits-Orchestrierungstool

Beim Thema IT-Security denken ITler direkt an das CIA-Prinzip (Confidentiality, Integrity, Availability). Confidentiality wird in der AWS-Cloud z.B. durch die Verschlüsselung des Elastic Block Storage sichergestellt, Integrity z.B. durch die Log File Integrity Validation von Amazon CloudTrail und Availability z.B. mit dem Elastic Load Balancing.

Der Dreh- und Angelpunkt hinsichtlich der Sicherheit in der AWS-Cloud ist der AWS Security Hub, der als zentrales Sicherheits-Orchestrierungstool alle AWS Security Services aggregiert. Der Hub gibt somit einen gesamtheitlichen Cloud-Sicherheitsstatus wieder und initiiert Sicherheits-Orchestrierungs-, Automatisierungs- und Antwort-Workflows.

Die automatisierten Security Checks im AWS Security Hub basieren auf Security Standards wie den „AWS Foundational Security Best Practices”, die je AWS-Account oder Organization Unit (OU) bei Bedarf aktiviert werden können. Der Cloud-Sicherheitsstatus kann konsolidiert für alle Accounts und alle Security Standards ausgegeben werden aber auch je AWS-Account sowie je Security Standard.

Der Security Hub als zentrales Tool sendet Prüfungsergebnisse an den AWS Audit Manager, Amazon Detective und AWS Trusted Advisor zur Weiterverarbeitung in den jeweiligen Services. Zudem erhält er Prüfungsergebnisse von anderen AWS-Services wie Config, Firewall Manager, GuardDuty und Inspector (siehe Schaubild). Diese Prüfungen können bei Bedarf für bestimmte Ressourcen unterdrückt werden, wenn die Ausnahmen nur für einzelne Ressourcen gelten und nicht für den kompletten Account bzw. für die gesamte Organizational Unit. Ein Beispiel hierfür ist die Sicherheitskontrolle „S3 general purpose buckets should have MFA delete enabled“. Bei dieser Kontrolle ist es nicht immer sinnvoll, sie für jeden S3 Bucket einzuhalten, sodass es sinnvoll sein kann, diese Prüfung für bestimmte Buckets zu deaktivieren.

Bei einem Hybrid-Cloud-Modell bietet der Security Hub die Möglichkeit, 3rd-Party-Tools zu integrieren. Ein Beispiel für ein 3rd-Party-Tool ist ‚Trend Micro: Cloud One‘. Trend Micro sendet dabei Findings, die nicht innerhalb AWS erzeugt werden an den AWS Security Hub für ein zentrales Dashboard. Ein weiteres Beispiel ist das IT-Service Management (kurz ITSM) Tool ServiceNow. Hierbei werden durch die Findings im Security Hub automatisiert Incidents in ServiceNow erstellt.

Bei sämtlichen Themen rund um die Sicherheit in Amazon Web Services wird also der AWS Security Hub zum optimalen Management benötigt.

In unserem Produkt audius managed AWS Plattform, die als vorkonfigurierte Landing Zone für Kunden dient, basiert der Security Hub auf den Security Standard-Frameworks „AWS Foundational Security Best Practices”, „CIS AWS Foundations Benchmark v.3.0.0”, „NIST Special Publication 800-53 Revision 5” und „PCI DSS v3.2.1”. Einzelne Sicherheitskontrollen sind, basierend auf unseren Erfahrungen, in unseren Konfigurationsrichtlinien der Organizational Units deaktiviert und auch für bestimmte Ressourcen unterdrückt. Je nach Kundensituation werden die Konfigurationsrichtlinien individuell angepasst und dabei entsprechende Sicherheitskontrollen deaktiviert oder zusätzliche implementiert.

Die effiziente Einsicht und Bearbeitung der Security Incidents bzw. des Sicherheitsstatus ist essenziell für den Betrieb von Cloud-Services in Amazon Web Services. Hier hilft der AWS Security Hub enorm und führt zu einer sicheren AWS-Umgebung. Wollen auch Sie ihre AWS Security verbessern oder überlegen auf die Cloud-nativen Security Services von AWS umzusteigen? Gerne helfen wir Ihnen dabei.