Erfolgreiche DSGVO-Compliance mit AWS - Awsstatic
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Erfolgreiche DSGVO-
Compliance mit AWS
Dezember 2020
Hinweise Kunden sind dafür verantwortlich, die Informationen in diesem Dokument selbstständig zu bewerten. Dieses Dokument: (a) dient lediglich zu Informationszwecken, (b) spiegelt die aktuellen Produktangebote und Verfahren von AWS wider, die sich ohne vorherige Ankündigung ändern können, und (c) begründet keinerlei Verpflichtungen oder Bestätigungen seitens AWS und dessen verbundenen Unternehmen, Zulieferern oder Lizenzgebern. AWS-Produkte oder -Services werden im vorliegenden Zustand und ohne ausdrückliche oder stillschweigende Gewährleistungen, Stellungnahmen oder Bedingungen jeglicher Art bereitgestellt. Die Verantwortung und Haftung von AWS gegenüber seinen Kunden werden durch AWS-Vereinbarungen geregelt. Dieses Dokument ist weder Teil der Vereinbarungen von AWS mit seinen Kunden, noch ändert es diese Vereinbarungen. © 2020 Amazon Web Services, Inc. oder Tochtergesellschaften des Unternehmens. Alle Rechte vorbehalten.
Inhaltsverzeichnis Zusammenfassung .......................................................................................................... vi Überblick über die Datenschutz-Grundverordnung ......................................................... 6 Änderungen für in der EU tätige Unternehmen aufgrund der DSGVO ......................... 6 Vorbereitung von AWS auf die DSGVO ....................................................................... 6 AWS-Zusatz zur Datenverarbeitung (Data Processing Addendum, DPA) ................... 7 Die Rolle von AWS gemäß DSGVO............................................................................. 7 Modell der geteilten Sicherheitsverantwortung ............................................................ 8 Starker Compliance-Rahmen und leistungsfähige Sicherheitsstandards ...................... 10 AWS-Compliance-Programm ..................................................................................... 10 Kriterienkatalog C5 .................................................................................................... 10 Der CISPE-Verhaltenskodex ......................................................................................... 11 Datenzugriffskontrollen.................................................................................................. 12 AWS Identity and Access Management ..................................................................... 12 Temporäre Zugriffstoken über AWS STS................................................................... 14 Multi-Factor-Authentication ........................................................................................ 14 Zugriff auf AWS-Ressourcen ..................................................................................... 16 Definieren von regionsbasierten Zugriffsbeschränkungen für Services ..................... 17 Zugriffskontrolle für Webanwendungen und mobile Apps .......................................... 18 Überwachung und Protokollierung ................................................................................ 19 Verwalten und Konfigurieren von Ressourcen mit AWS Config ................................. 19 Compliance-Prüfung und Sicherheitsanalysen .......................................................... 20 Sammeln und Verarbeiten von Protokollen ................................................................ 22 Erkennung und Schutz im großen Maßstab mit Amazon Macie ................................ 24 Zentralisiertes Sicherheitsmanagement ..................................................................... 25 Der Schutz Ihrer Daten auf AWS .................................................................................. 28 Daten im Ruhezustand verschlüsseln ........................................................................ 28 Daten während der Übertragung verschlüsseln ......................................................... 29 Verschlüsselungstools ............................................................................................... 30 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ........................................................................................................ 35
Das kann AWS leisten................................................................................................... 36 Mitwirkende ................................................................................................................... 37 Dokumentversionen ...................................................................................................... 38
Zusammenfassung Dieses Dokument enthält Informationen über Services und Ressourcen, die Amazon Web Services (AWS) Kunden anbietet, um sie bei der Einhaltung der eventuell für ihre Aktivitäten geltenden Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Dazu gehören die Einhaltung von IT-Sicherheitsstandards, die AWS- Bescheinigung gemäß Kriterienkatalog C5 (Cloud Computing Compliance Controls Catalog), die Einhaltung des Verhaltenskodex der Cloud Infrastructure Service Providers in Europe (CISPE), Datenzugriffskontrollen, Tools für die Überwachung und Protokollierung, Verschlüsselung und Schlüsselmanagement.
Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Überblick über die Datenschutz-
Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Datenschutzgesetz1
(Verordnung 2016/679 des Europäischen Parlaments und des Rates vom
27. April 20162), das am 25. Mai 2018 in Kraft getreten ist. Die DSGVO ersetzt die EU-
Datenschutzrichtlinie (Richtlinie 95/46/EG) und soll durch die Anwendung eines
einheitlichen Datenschutzgesetzes, das in jedem EU-Mitgliedsstaat gilt, die
Datenschutzgesetze in der gesamten Europäischen Union (EU) harmonisieren.
Die DSGVO gilt für alle in der EU ansässigen Organisationen und für Organisationen,
ob in der EU niedergelassen oder nicht, die die personenbezogenen Daten von
betroffenen Personen in der EU im Zusammenhang mit dem Angebot von Waren oder
Dienstleistungen an betroffene Personen in der EU oder mit der Überwachung von
Verhalten innerhalb der EU verarbeiten. Personenbezogene Daten sind alle Informationen,
die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Änderungen für in der EU tätige Unternehmen
aufgrund der DSGVO
Einer der wichtigsten Aspekte der DSGVO besteht darin, dass sie in den EU-
Mitgliedstaaten Einheitlichkeit darüber schafft, wie personenbezogene Daten auf
sichere Weise verarbeitet, verwendet und ausgetauscht werden dürfen. Organisationen
müssen die Sicherheit der von ihnen verarbeiteten Daten und ihre Einhaltung der
DSGVO kontinuierlich nachweisen, indem sie technische und organisatorische
Maßnahmen sowie für die Verarbeitung personenbezogener Daten geltende
Compliance-Richtlinien implementieren und regelmäßig überprüfen. Die EU-
Aufsichtsbehörden können bei einem Verstoß gegen die DSGVO Bußgelder in Höhe
von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängen,
je nachdem, welcher Wert höher ist.
Vorbereitung von AWS auf die DSGVO
Compliance-, Datenschutz- und Sicherheitsexperten von AWS arbeiten mit Kunden auf
der ganzen Welt zusammen, um ihre Fragen zu beantworten und sie bei der
Vorbereitung auf die Ausführung von Workloads in der Cloud unter Einhaltung der
DSGVO zu unterstützen. Diese Teams überprüfen auch die Bereitschaft von AWS im
Kontext der DSGVO-Anforderungen.
Wir können bestätigen, dass alle AWS-Services in Übereinstimmung mit der
DSGVO verwendet werden können.
6Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
AWS-Zusatz zur Datenverarbeitung (Data Processing
Addendum, DPA)
AWS bietet einen DSGVO-konformen Zusatz zur Datenverarbeitung (DSGVO-DPA) an,
der die Anforderungen der DSGVO erfüllt. Der DSGVO-DPA von AWS ist in die AWS-
Servicebedingungen integriert und gilt automatisch für alle Kunden weltweit, die ihn für
die Einhaltung der DSGVO benötigen.
Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union (EUGH) über den
EU-US-Datenschutzschild und die EU-Standardvertragsklauseln (SCCs), auch bekannt
als „Musterklauseln“. Der EUGH entschied, dass der EU-US-Datenschutzschild nicht
mehr für die Übermittlung personenbezogener Daten aus der Europäischen Union (EU)
in die Vereinigten Staaten (USA) gültig ist. In derselben Entscheidung bestätigte der
EUGH jedoch, dass Unternehmen weiterhin SCCs als Mechanismus für die
Übertragung von Daten außerhalb der EU nutzen können.
Nach dieser Entscheidung können AWS-Kunden und -Partner AWS weiterhin
verwenden, um ihre Inhalte unter Einhaltung von EU-Datenschutzgesetzen –
einschließlich der Datenschutz-Grundverordnung (DSGVO) – von Europa in die USA
und in andere Länder zu übertragen. AWS-Kunden können sich auf die im AWS-Zusatz
zur Datenverarbeitung (DPA) enthaltenen SCCs verlassen, wenn sie sich dafür
entscheiden, ihre Daten unter Einhaltung der DSGVO außerhalb der Europäischen
Union zu übertragen. Während sich die regulatorischen und gesetzlichen
Rahmenbedingungen weiterentwickeln, werden wir auch in Zukunft sicherstellen, dass
unsere Kunden und Partner die Vorteile von AWS nutzen können – überall dort, wo sie
aktiv sind. Weitere Informationen finden Sie in den FAQs zum EU-US-
Datenschutzschild.
Die Rolle von AWS gemäß DSGVO
Gemäß der DSGVO agiert AWS sowohl als Auftragsverarbeiter als auch als
Datenverantwortlicher.
Gemäß Artikel 32 müssen die Verantwortlichen und Auftragsverarbeiter „... geeignete
technische und organisatorische Maßnahmen“ umsetzen, unter Berücksichtigung „des
Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen“. Die DSGVO enthält konkrete Vorschläge, welche Arten von
Sicherheitsmaßnahmen erforderlich sein können, darunter folgende:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
7Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherzustellen;
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang
zu ihnen bei einem physischen oder technischen Zwischenfall rasch
wiederherzustellen;
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung.
AWS als Auftragsverarbeiter
Wenn Kunden und Partner des AWS Partner Network (APN) AWS-Services nutzen, um
personenbezogene Daten in ihren Inhalten zu verarbeiten, fungiert AWS als
Auftragsverarbeiter. Kunden und APN-Partner können die in AWS-Services verfügbaren
Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, zur Verarbeitung
personenbezogener Daten verwenden. Unter diesen Umständen kann der Kunde oder
APN-Partner als Datenverantwortlicher oder Auftragsverarbeiter fungieren, und AWS
fungiert als Auftragsverarbeiter oder Unterauftragsverarbeiter. Der DSGVO-konforme
AWS-Datenverarbeitungszusatz (DPA) beinhaltet die Verpflichtungen von AWS als
Auftragsverarbeiter.
AWS als Datenverantwortlicher
Wenn AWS personenbezogene Daten erhebt und die Zwecke und Mittel der
Verarbeitung dieser personenbezogenen Daten bestimmt, fungiert AWS als
Datenverantwortlicher. Wenn AWS beispielsweise Kontoinformationen für
Kontoregistrierung, Administration, Servicezugriff oder Kontaktinformationen zu einem
AWS-Konto verarbeitet, um Unterstützung durch Kundenservice-Aktivitäten anzubieten,
fungiert AWS als Datenverantwortlicher.
Modell der geteilten Sicherheitsverantwortung
AWS und der Kunde tragen die Verantwortung für Sicherheit und Compliance
gemeinsam. Wenn Kunden ihre Computersysteme und Daten in die Cloud verlagern,
werden die Sicherheitsverantwortlichkeiten zwischen dem Kunden und dem
Clouddienstanbieter geteilt. Wechseln Kunden in die AWS Cloud, so ist AWS für den
Schutz der globalen Infrastruktur verantwortlich, die alle in der AWS Cloud angebotenen
Services ausführt. Bei abstrahierten Services wie Amazon S3 und Amazon DynamoDB
ist AWS auch für die Sicherheit des Betriebssystems und der Plattform verantwortlich.
Kunden und APN-Partner, die entweder als Datenverantwortliche oder als
8Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Auftragsverarbeiter agieren, sind für alles verantwortlich, was sie in die Cloud stellen
oder mit der Cloud verbinden. Bei diesen verschiedenen Verantwortlichkeiten wird oft
zwischen der Sicherheit der Cloud und der Sicherheit in der Cloud unterschieden. Das
gemeinschaftliche Modell kann dazu beitragen, die operative Belastung der Kunden zu
reduzieren, und ihnen die notwendige Flexibilität und Kontrolle für die Bereitstellung
ihrer Infrastruktur in der AWS Cloud bieten. Weitere Informationen finden Sie im AWS-
Modell der geteilten Verantwortung.
Die DSGVO ändert das AWS-Modell der geteilten Verantwortung nicht; dieses bleibt
auch weiterhin für Kunden und APN-Partner relevant, die sich auf die Nutzung von
Cloud-Computing-Services konzentrieren. Das Modell der geteilten Verantwortung ist
ein nützlicher Ansatz, um die verschiedenen Verantwortlichkeiten von AWS (als
Auftragsverarbeiter oder Unterauftragsverarbeiter) und Kunden oder APN-Partnern
(als Datenverantwortliche oder Auftragsverarbeiter) im Rahmen der DSGVO zu
veranschaulichen.
9Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Starker Compliance-Rahmen und
leistungsfähige Sicherheitsstandards
Gemäß der DSGVO müssen geeignete technische und organisatorische Maßnahmen
gegebenenfalls die Fähigkeit haben, „... die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf
Dauer sicherzustellen“, sowie zuverlässige Prozesse zur Wiederherstellung, zur
Prüfung und zum Gesamtrisikomanagement umfassen.
AWS-Compliance-Programm
AWS legt in Sachen Sicherheit und Compliance bei allen unseren globalen Aktivitäten
stets eine hohe Messlatte an. Sicherheit hat für uns schon immer höchste Priorität – sie
steht buchstäblich an erster Stelle. AWS unterzieht sich regelmäßig unabhängigen
Prüfungen durch Drittanbieter, um sicherzustellen, dass die Kontrollaktivitäten wie
beabsichtigt funktionieren. Konkret wird AWS anhand einer Vielzahl von globalen und
regionalen Sicherheitsrahmen geprüft, die von Region und Branche abhängig sind.
Derzeit nimmt AWS an über 50 verschiedenen Auditprogrammen teil.
Die Ergebnisse dieser Prüfungen werden von der Prüfeinrichtung dokumentiert und
allen AWS-Kunden über AWS Artifact zur Verfügung gestellt. AWS Artifact ist ein
kostenloses Selbstbedienungsportal, das On-Demand-Zugriff auf AWS-Compliance-
Berichte bietet. Neu veröffentlichte Berichte werden in AWS Artifact bereitgestellt. Das
gibt Kunden die Möglichkeit, die Sicherheit und Compliance von AWS durch den
sofortigen Zugriff auf neue Berichte kontinuierlich zu überwachen.
Kunden können von international anerkannten Zertifizierungen und Akkreditierungen
profitieren, die die Einhaltung strenger internationaler Standards und Normen wie
ISO 27017 für Cloud-Sicherheit, ISO 27018 für Cloud-Datenschutz, SOC 1, SOC 2 und
SOC 3, PCI DSS Level 1 und mehr nachweisen. AWS hilft Kunden auch dabei, lokale
Sicherheitsstandards wie den Kriterienkatalog C5 (Common Cloud Computing Controls
Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu erfüllen.
Ausführlichere Informationen zu den AWS-Zertifizierungsprogrammen, -Berichten und
Bescheinigungen von Drittanbietern finden Sie unter AWS-Compliance-Programme.
Informationen zu konkreten Services finden Sie unter AWS-Services in Scope.
Kriterienkatalog C5
Der Kriterienkatalog C5 (Cloud Computing Compliance Controls Catalog) ist ein
regierungsgestütztes Prüfschema, das in Deutschland vom Bundesamt für Sicherheit in
der Informationstechnik (BSI) vorgestellt wurde. Es wurde entwickelt, um
Organisationen dabei zu helfen, im Rahmen der Sicherheitsempfehlungen für Cloud
10Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Computing Anbieter der deutschen Bundesregierung ihre operative Sicherheit gegen
verbreitete Cyberangriffe nachzuweisen.
Die technischen und organisatorischen Datenschutzmaßnahmen und die Maßnahmen
zur Informationssicherheit zielen auf die Datensicherheit ab, um Vertraulichkeit,
Integrität und Verfügbarkeit zu gewährleisten. Der Kriterienkatalog C5 definiert
Sicherheitsanforderungen, die auch für den Datenschutz relevant sein können. AWS-
Kunden und ihre Compliance-Berater können das C5-Prüfschema als Ressource
nutzen, um den Umfang der IT-Sicherheitsservices von AWS zu verstehen, die ihnen
bei der Migration von Workloads in die Cloud zur Verfügung stehen. C5 ergänzt den IT-
Grundschutz um das gesetzlich festgelegte IT-Sicherheitsleveläquivalent mit
zusätzlichen Cloud-spezifischen Kontrollfunktionen.
C5 umfasst zudem weitere Kontrollfunktionen, die Informationen zum Datenspeicherort,
der Servicebereitstellung, dem Gerichtsstand, den existierenden Zertifizierungen, den
Offenlegungspflichten in Bezug auf Informationen und eine ausführliche Beschreibung
der Services enthalten. Anhand dieser Informationen können Kunden bewerten, wie
rechtliche Vorgaben (z. B. in Bezug auf Datenschutz), ihre eigenen Richtlinien oder das
Bedrohungsumfeld ihre Nutzung von Cloud-Computing-Diensten beeinflussen.
Der CISPE-Verhaltenskodex
Die DSGVO erwägt die Genehmigung von Verhaltenskodizes, um Datenverantwortliche
und Auftragsverarbeiter dabei zu unterstützen, ihre Einhaltung der Vorgaben
nachzuweisen. Ein solcher Kodex, für den die offizielle Genehmigung der EU-
Datenschutzbehörden erwartet wird, ist der CISPE-Verhaltenskodex für Cloud-
Infrastrukturanbieter (der Kodex).3 Mit dem CISPE-Verhaltenskodex können Cloud-
Kunden sicherstellen, dass ihr Cloud-Infrastrukturanbieter geeignete
Datenschutzstandards umsetzt, um ihre Daten gemäß DSGVO zu schützen. Im
Folgenden sind einige wichtige Vorteile des Kodex aufgeführt:
Klärt, wer für welche Aspekte des Datenschutzes verantwortlich ist – Der
Kodex erklärt die Rolle des Cloud-Anbieters und des Kunden im Rahmen der
DSGVO, insbesondere im Kontext von Cloud-Infrastrukturdiensten.
Definiert die Grundsätze, die die Anbieter befolgen müssen – Der Kodex
definiert Schlüsselprinzipien gemäß DSGVO für klare Maßnahmen und
Verpflichtungen, die Anbieter ergreifen bzw. eingehen sollten, um ihre DSGVO-
Compliance nachzuweisen und Kunden bei der Einhaltung zu unterstützen.
Kunden können diese konkreten Vorteile in ihren eigenen Compliance- und
Datenschutzstrategien nutzen.
11Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Gibt Kunden die Datenschutz- und Sicherheitsinformationen, die
erforderlich sind, um sie beim Erreichen ihrer Compliance-Ziele zu
unterstützen – Der Kodex verlangt von den Anbietern Transparenz bezüglich
der Schritte, die sie unternehmen, um ihre Datenschutz- und
Sicherheitsverpflichtungen zu erfüllen. Einige dieser Schritte umfassen die
Implementierung von Datenschutz- und Sicherheitsvorkehrungen, die
Benachrichtigung über Datenschutzverletzungen, die Datenlöschung sowie
Transparenz bezüglich der Unterauftragsverarbeitung durch Dritte. Alle diese
Verpflichtungen werden von unabhängigen Dritt-Überwachungsstellen überprüft.
Kunden können diese Informationen verwenden, um das angebotene hohe
Sicherheitsniveau vollständig zu verstehen.
Weitere Informationen finden Sie unter Öffentliches CISPE-Register (CISPE Public
Register). Dort finden AWS-Kunden zusätzliche Bestätigungen, dass sie ihre Daten bei der
Verwendung von AWS in einer sicheren und konformen Umgebung kontrollieren. Die
Einhaltung des Kodex durch AWS ergänzt die Liste der international anerkannten
Zertifizierungen und Akkreditierungen, die AWS erreicht hat. Dazu gehören unter anderem
ISO 27001, ISO 27018, ISO 9001, SOC 1, SOC 2, SOC 3 und PCI DSS Level 1.
Datenzugriffskontrollen
Artikel 25 der DSGVO besagt, dass der Verantwortliche „... geeignete technische und
organisatorische Maßnahmen“ trifft, „die sicherstellen, dass durch Voreinstellung nur
personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten
Verarbeitungszweck erforderlich ist, verarbeitet werden.“ Die folgenden AWS-
Zugriffskontrollmechanismen können Kunden dabei unterstützen, diese Anforderung zu
erfüllen, indem sie nur autorisierten Administratoren, Benutzern und Anwendungen den
Zugriff auf AWS-Ressourcen und Kundendaten ermöglichen.
AWS Identity and Access Management
Wenn Sie ein AWS-Konto erstellen, wird automatisch ein Root-Benutzerkonto für Ihr
AWS-Konto erstellt. Dieses Benutzerkonto hat vollständigen Zugriff auf alle Ihre AWS-
Services und -Ressourcen in Ihrem AWS-Konto. Anstatt dieses Konto für alltägliche
Aufgaben zu verwenden, sollten Sie es nur benutzen, um zunächst zusätzliche Rollen und
Benutzerkonten zu erstellen, sowie für administrative Aktivitäten, die dies erfordern. AWS
empfiehlt, dass Sie von Anfang an das Prinzip der geringstmöglichen Berechtigungen
anwenden: definieren Sie verschiedene Benutzerkonten und Rollen für verschiedene
Aufgaben und geben Sie die Berechtigungen an, die zum Abschließen jeder Aufgabe
mindestens erforderlich sind. Dieser Ansatz ist ein Mechanismus zur Umsetzung eines
Schlüsselkonzepts, das in der DSGVO eingeführt wird: Datenschutz durch
Technikgestaltung. AWS Identity and Access Management (IAM) ist ein Webservice, mit
dem Sie den Zugriff auf Ihre AWS-Ressourcen sicher kontrollieren können.
12Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Benutzer und Rollen definieren IAM-Identitäten mit bestimmten Berechtigungen. Ein
autorisierter Benutzer kann eine IAM-Rolle annehmen, um bestimmte Aufgaben
auszuführen. Wird eine Rolle angenommen, werden temporäre Anmeldeinformationen
erstellt. Sie können IAM-Rollen beispielsweise verwenden, um für Anwendungen, die in
Amazon Elastic Compute Cloud (AmazonEC2) ausgeführt werden, auf sichere Weise
temporäre Anmeldeinformationen bereitzustellen, die erforderlich sind, um auf andere
AWS-Ressourcen wie Amazon S3-Buckets und Amazon Relational Database Service
(Amazon RDS) oder Amazon DynamoDB-Datenbanken zuzugreifen. In ähnlicher Weise
bieten Ausführungsrollen für AWS Lambda-Funktionen die erforderlichen
Berechtigungen für den Zugriff auf andere AWS-Services und -Ressourcen wie Amazon
CloudWatch Logs für das Log-Streaming oder zum Lesen einer Nachricht aus einer
Warteschlange in Amazon Simple Queue Service (Amazon SQS). Wenn Sie eine Rolle
erstellen, fügen Sie ihr Richtlinien hinzu, um Berechtigungen zu definieren.
Um Kunden dabei zu helfen, Ressourcenrichtlinien zu überwachen und Ressourcen mit
möglicherweise unbeabsichtigtem öffentlichem oder kontoübergreifendem Zugriff zu
identifizieren, kann IAM Access Analyzer dazu genutzt werden, umfassende
Erkenntnisse bezüglich Ressourcen zu generieren, auf die außerhalb eines AWS-
Kontos zugegriffen werden kann. IAM Access Analyzer wertet Ressourcenrichtlinien
unter Verwendung von mathematischer Logik und Schlussfolgerungen aus, um die
möglichen Zugriffspfade zu ermitteln, die gemäß den Richtlinien zulässig sind. IAM
Access Analyzer achtet kontinuierlich auf neue oder aktualisierte Richtlinien und
analysiert Berechtigungen auf Grundlage der Richtlinien für IAM-Rollen – aber auch für
Service-Ressourcen wie Amazon S3-Buckets, AWS Key Management Service(AWS
KMS)-Schlüssel, Amazon SQS-Warteschlangen und Lambda-Funktionen.
Access Analyzer für S3 warnt Sie, wenn S3-Buckets so konfiguriert werden, dass sie
jedem im Internet oder anderen AWS-Konten, einschließlich AWS-Konten außerhalb
Ihrer Organisation, den Zugriff ermöglichen. Wenn Sie einen gefährdeten Bucket in
Access Analyzer für S3 überprüfen, können Sie den gesamten öffentlichen Zugriff auf
den Bucket mit einem einzigen Klick blockieren. AWS empfiehlt, dass Sie den
gesamten Zugriff auf Ihre Buckets blockieren, es sei denn, öffentlicher Zugriff ist für
einen bestimmten Anwendungsfall erforderlich. Bevor Sie den gesamten öffentlichen
Zugriff blockieren, stellen Sie sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff
weiterhin ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter
Öffentlichen Zugriff blockieren mit Amazon S3 (Using Amazon S3 Block Public Access).
IAM bietet auch Informationen zum letzten Zugriff, um Sie bei der Identifizierung nicht
verwendeter Berechtigungen zu unterstützen, damit Sie diese von den zugehörigen
Entitäten entfernen können. Mithilfe der Informationen zum letzten Zugriff können Sie
Ihre Richtlinien weiterentwickeln und nur erforderlichen Diensten und Aktionen Zugriff
ermöglichen. Dies fördert eine bessere Einhaltung und Anwendung der bewährten
Vorgehensweise zu geringstmöglichen Berechtigungen. Sie können Informationen zum
letzten Zugriff für Entitäten oder Richtlinien in IAM oder für eine gesamte AWS
Organizations-Umgebung anzeigen.
13Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Temporäre Zugriffstoken über AWS STS
Sie können den AWS Security Token Service (AWS STS) verwenden, um für
vertrauenswürdige Benutzer temporäre Sicherheitsinformationen zu erstellen und
bereitzustellen, mithilfe derer sie auf Ihre AWS-Ressourcen zugreifen können.
Temporäre Sicherheitsinformationen funktionieren fast genauso wie die Langzeit-
Zugriffsschlüssel, die Sie Ihren IAM-Benutzern zur Verfügung stellen. Es gibt jedoch die
folgenden Unterschiede:
Temporäre Sicherheitsinformationen sind für den kurzfristigen Gebrauch
bestimmt. Sie können die Gültigkeitsdauer selbst konfigurieren, von 15 Minuten
bis maximal 12 Stunden. Nachdem temporäre Anmeldeinformationen ihre
Gültigkeit verlieren, erkennt AWS sie nicht mehr an bzw. erlaubt keinen Zugriff
von API-Anfragen, die mit ihnen gestellt wurden.
Temporäre Sicherheitsinformationen werden nicht mit dem Benutzerkonto
gespeichert. Stattdessen werden sie dynamisch generiert und dem Benutzer auf
Anfrage zur Verfügung gestellt. Wenn (oder bevor) temporäre
Sicherheitsinformationen ablaufen, kann ein Benutzer neue
Anmeldeinformationen anfordern, sofern er über die entsprechenden
Berechtigungen verfügt.
Durch diese Unterschiede ergeben sich die folgenden Vorteile bei der Verwendung
temporärer Anmeldeinformationen:
Die Verteilung oder Einbettung langfristiger AWS-Sicherheitsinformationen für
eine Anwendung ist nicht erforderlich.
Temporäre Anmeldedaten sind die Grundlage für Rollen und für den
Identitätsverbund. Sie können Benutzern Zugriff auf Ihre AWS-Ressourcen
gewähren, indem Sie eine temporäre AWS-Identität für sie definieren.
Temporäre Sicherheitsinformationen haben eine begrenzte, anpassbare
Lebensdauer. Aus diesem Grund müssen Sie sie nicht rotieren oder explizit
widerrufen, wenn sie nicht mehr benötigt werden. Nachdem temporäre
Sicherheitsinformationen abgelaufen sind, können sie nicht mehr verwendet
werden. Sie können bestimmen, wie lange die Anmeldedaten maximal gültig
sind.
Multi-Factor-Authentication
Für zusätzliche Sicherheit können Sie für Ihr AWS-Konto und für IAM-Benutzer eine
Zwei-Faktor-Authentifizierung einrichten. Wenn die Multi-Factor Authentication (MFA)
aktiviert ist, werden Sie bei der Anmeldung bei der AWS-Managementkonsole
aufgefordert, Ihren Benutzernamen und Ihr Kennwort (erster Faktor) sowie eine
Authentifizierungsantwort von Ihrem AWS-MFA-Gerät (zweiter Faktor) einzugeben. Sie
14Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
können MFA für Ihr AWS-Konto und für einzelne IAM-Benutzer aktivieren, die Sie in
Ihrem Konto erstellt haben. Zudem können Sie MFA verwenden, um den Zugriff auf
AWS-Service-APIs zu steuern.
Sie können beispielsweise eine Richtlinie definieren, die den vollständigen Zugriff auf
alle AWS-API-Vorgänge in EC2 ermöglicht, jedoch den Zugriff auf bestimmte API-
Vorgänge wie StopInstances und TerminateInstances explizit verweigert, wenn
der Benutzer nicht mit MFA authentifiziert ist.
{
„Version“: „2012-10-17“,
„Statement“: [
{
„Sid“: „AllowAllActionsForEC2“,
„Effect“: „Allow“,
„Action“: „ec2:*“,
„Resource“: „*“
},
{
„Sid“: „DenyStopAndTerminateWhenMFAIsNotPresent“,
„Effect“: „Deny“,
„Action“: [
„ec2:StopInstances“,
„ec2:TerminateInstances“
],
„Resource“: „*“,
„Conditions“: {
„BoolIfExists“:
{„aws:MultiFactorAuthPresent“:false}
}
}
}
}
Um zu Ihren S3-Buckets eine zusätzliche Sicherheitsebene hinzuzufügen, können Sie
MFA Delete konfigurieren, das eine zusätzliche Authentifizierung erfordert, um den
Versionsstatus eines Buckets zu ändern und eine Objektversion dauerhaft zu löschen.
MFA Delete bietet zusätzliche Sicherheit für den Fall, dass Ihre
Sicherheitsinformationen kompromittiert sind.
Um MFA Delete zu nutzen, können Sie entweder ein Hardware- oder ein virtuelles
MFA-Gerät verwenden, um einen Authentifizierungscode zu generieren. Auf der
15Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Seite „Multi-Factor Authentication“ finden Sie eine Liste der unterstützten Hardware-
oder virtuellen MFA-Geräte.
Zugriff auf AWS-Ressourcen
Um einen granularen Zugriff auf Ihre AWS-Ressourcen zu implementieren, können Sie
verschiedenen Personen verschiedene Berechtigungsstufen für verschiedene
Ressourcen zuweisen. So können Sie beispielsweise nur einigen Benutzern den
vollständigen Zugriff auf EC2, S3, DynamoDB, Amazon Redshift und andere AWS-
Services gestatten.
Anderen Benutzern können Sie den schreibgeschützten Zugriff auf nur einige Amazon
S3-Buckets gewähren, ihnen die Berechtigung zur Verwaltung nur einiger EC2-
Instances erteilen oder nur den Zugriff auf Ihre Rechnungsinformationen gestatten.
Die folgende Richtlinie ist ein Beispiel für eine Methode, die Sie verwenden können, um
alle Aktionen zu einem bestimmten Amazon S3-Bucket zuzulassen und explizit den
Zugriff auf jeden AWS-Service zu verweigern, der nicht Amazon S3 ist.
{
„Version“: „2012-10-17“,
„Statement“: [
{
„Effect“: „Allow“,
„Action“: „s3:*“,
„Resource“: [
„arn:aws:s3:::bucket-name“,
„arn:aws:s3:::bucket-name/*“
],
},
{
„Effect“: „Deny“,
„NotAction“: „s3:*“,
„NotResource“: [
„arn:aws:s3:::bucket-name“,
„arn:aws:s3:::bucket-name/*“
]
}
]
}
16Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Sie können eine Richtlinie mit einem Benutzerkonto oder einer Rolle verknüpfen.
Weitere Beispiele für IAM-Richtlinien finden Sie unter Beispiele für identitätsbasierte
IAM-Richtlinien.
Definieren von regionsbasierten
Zugriffsbeschränkungen für Services
Als Kunde bleiben Sie Eigentümer Ihrer Inhalte. Sie selbst wählen aus, welche AWS-
Services Ihre Inhalte verarbeiten, speichern und hosten können. Ohne Ihre Zustimmung
wird AWS weder auf Ihre Inhalte zugreifen noch diese für einen beliebigen Zweck
verwenden. Basierend auf dem Modell der geteilten Verantwortung wählen Sie die
AWS-Regionen aus, in denen Ihre Inhalte gespeichert sind. So können Sie AWS-
Services an den Standorten Ihrer Wahl gemäß Ihren konkreten geografischen
Anforderungen einsetzen. Wenn Sie beispielsweise sicherstellen möchten, dass sich
Ihre Inhalte ausschließlich in Europa befinden, können Sie AWS-Services
ausschließlich in einer der europäischen AWS-Regionen nutzen.
IAM-Richtlinien bieten eine unkomplizierte Möglichkeit, den Zugriff auf Services in
bestimmten Regionen zu beschränken. Sie können den IAM-Richtlinien, die Ihren IAM-
Entitäten zugeordnet sind, eine globale Bedingung (aws:RequestedRegion) hinzufügen,
um dies für alle AWS-Services durchzusetzen. Die folgende Richtlinie verwendet
beispielsweise das NotAction-Element mit der Wirkung „Deny“ (Verweigern), das
ausdrücklich den Zugriff für alle nicht aufgeführten Aktionen verweigert, wenn die
angeforderte Region nicht in Europa liegt. Aktionen in den Services CloudFront, IAM,
Amazon Route 53 und AWS Support sollten nicht verweigert werden, da es sich um
beliebte globale AWS-Services handelt.
{
„Version“: „2012-10-17“,
„Statement“: [
{
„Sid“: „DenyAllOutsideRequestedRegions“,
„Effect“: „Deny“,
„NotAction“: [
„cloudfront:*“,
„iam:*“,
„route53:*“,
„support:*“
],
„Resource“: „*“,
„Condition“: {
„StringNotLike“: {
“aws:RequestedRegion”: [
17Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
“eu-*”
]
}
}
}
]
}
Diese Beispiel-IAM-Richtlinie kann auch als Service Control Policy (SCP) in AWS
Organizations implementiert werden, was die Berechtigungsgrenzen für bestimmte
AWS-Konten oder Organisationseinheiten (Organizational Units, OUs) innerhalb einer
Organisation definiert. Auf diese Weise können Sie den Benutzerzugriff auf regionale
Services in komplexen Umgebungen mit mehreren Konten steuern.
Für neu gestartete Regionen gibt es geografische Limitierungsfunktionen. Regionen, die
nach dem 20. März 2019 eingeführt wurden, sind standardmäßig deaktiviert. Sie
müssen diese Regionen aktivieren, bevor Sie sie verwenden können. Wenn eine AWS-
Region standardmäßig deaktiviert ist, können Sie die AWS-Managementkonsole
verwenden, um die Region zu aktivieren und zu deaktivieren. Durch das Aktivieren und
Deaktivieren von AWS-Regionen können Sie steuern, ob Benutzer in Ihrem AWS-Konto
auf Ressourcen in dieser Region zugreifen können.4
Zugriffskontrolle für Webanwendungen und mobile
Apps
AWS bietet Services für die Verwaltung der Datenzugriffskontrolle in
Kundenanwendungen an. Wenn Sie in Ihren Webanwendungen und mobilen Apps
Funktionen zur Benutzeranmeldung und Zugriffskontrolle benötigen, können Sie
Amazon Cognito verwenden. Amazon Cognito-Benutzerpools bieten ein sicheres
Benutzerverzeichnis, das auf Hunderte Millionen Benutzer skalierbar ist. Um die
Identität der Benutzer zu schützen, können Sie Ihre Benutzerpools mit Multi-Factor
Authentication (MFA) ausstatten. Sie können auch die adaptive Authentifizierung
verwenden; diese nutzt ein risikobasiertes Modell, um vorherzusagen, wann Sie
möglicherweise einen weiteren Authentifizierungsfaktor benötigen.
Mit Amazon Cognito-Identitäten-Pools (Verbundidentitäten) können Sie sehen, wer auf
Ihre Ressourcen zugegriffen hat und worüber der Zugriff erfolgte (mobile App oder
Webanwendung). Sie können diese Informationen verwenden, um IAM-Rollen und -
Richtlinien zu erstellen, die den Zugriff auf eine Ressource basierend auf dem Ursprung
des Zugriffs (mobile App oder Webanwendung) und dem Identitätsanbieter erlauben
oder verweigern.
18Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Überwachung und Protokollierung
Artikel 30 der DSGVO besagt: „Jeder Verantwortliche und gegebenenfalls sein Vertreter
führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit
unterliegen.“ Dieser Artikel enthält auch Details darüber, welche Informationen
aufgezeichnet werden müssen, wenn Sie die Verarbeitung aller personenbezogenen
Daten überwachen. Verantwortliche und Verarbeiter müssen zudem rechtzeitig
Benachrichtigungen über Sicherheitsverstöße senden. Daher ist es wichtig, eventuelle
Ereignisse schnell zu erkennen. Um Kunden die Erfüllung dieser Verpflichtungen zu
ermöglichen, bietet AWS die folgenden Überwachungs- und Protokollierungsdienste an.
Verwalten und Konfigurieren von Ressourcen mit
AWS Config
AWS Config bietet einen detaillierten Überblick über die Konfiguration vieler Arten von
AWS-Ressourcen in Ihrem AWS-Konto. Dies umfasst Informationen darüber, wie die
Ressourcen zueinander in Beziehung stehen und wie sie früher konfiguriert waren. So
können Sie nachvollziehen, wie sich die Konfigurationen und Beziehungen im Laufe der
Zeit ändern.
Abbildung 1 – Überwachen von Konfigurationsänderungen im Laufe der Zeit mit AWS Config
Eine AWS-Ressource ist eine Entität, mit der Sie in AWS arbeiten können, z. B. eine
EC2-Instance, ein Amazon Elastic Block Store (Amazon EBS)-Volumen, eine
Sicherheitsgruppe oder eine Amazon Virtual Private Cloud (Amazon VPC). Eine
vollständige Liste der von AWS Config unterstützten AWS-Ressourcen finden Sie unter
Unterstützte AWS-Ressourcentypen.
19Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Mit AWS Config können Sie:
Ihre AWS-Ressourcenkonfigurationen bewerten, um sicherzustellen, dass die
Einstellungen korrekt sind;
Einen Überblick über die aktuellen Konfigurationen der unterstützten Ressourcen
erhalten, die mit Ihrem AWS-Konto verknüpft sind;
Konfigurationen von einer oder mehreren Ressourcen abrufen, die in Ihrem
Konto vorhanden sind.
Frühere Konfigurationen von einer oder mehreren Ressourcen abrufen;
Eine Benachrichtigung erhalten, wenn eine Ressource erstellt, geändert oder
gelöscht wird;
Beziehungen zwischen Ressourcen einsehen; Sie können beispielsweise alle
Ressourcen finden, die eine bestimmte Sicherheitsgruppe verwenden.
Compliance-Prüfung und Sicherheitsanalysen
Mit AWS CloudTrail können Sie die Aktivitäten von AWS-Konten kontinuierlich
überwachen. Es wird eine Historie der AWS-API-Aufrufe für Ihr Konto erfasst,
einschließlich API-Aufrufe, die über die AWS-Managementkonsole, die AWS-SDKs, die
Befehlszeilen-Tools und übergeordnete AWS-Services getätigt werden. Sie können
ermitteln, welche Benutzer und Konten AWS-APIs aufgerufen haben (für Services, die
CloudTrail unterstützen), sowie die Quell-IP-Adresse, von der die Aufrufe stammen, und
wann die Aufrufe stattfanden. Sie können CloudTrail mithilfe der API in Anwendungen
integrieren, die Trail-Erstellung für Ihre Organisation automatisieren, den Status Ihrer
Trails überprüfen und steuern, wie Administratoren die CloudTrail-Protokollierung
aktivieren und deaktivieren.
CloudTrail-Protokolle können aus mehreren Regionen und mehreren AWS-Konten in
einem einzigen S3-Bucket zusammengefasst werden. AWS empfiehlt, dass Sie
Protokolle – insbesondere AWS CloudTrail-Protokolle – in einen S3-Bucket mit
eingeschränktem Zugriff in einem für die Protokollierung vorgesehenen AWS-Konto
(Log Archive) schreiben. Die Berechtigungen für den Bucket sollten das Löschen der
Protokolle verhindern. Zudem sollten sie im Ruhezustand mit serverseitiger
Verschlüsselung verschlüsselt werden, mithilfe von Verschlüsselungsschlüsseln, die
über Amazon S3 verwaltet werden (SSE-S3), oder mit Schlüsseln, die von AWS KMS
verwaltet werden (SSE-KMS). Die Integritätsvalidierung von CloudTrail-Protokolldateien
kann verwendet werden, um festzustellen, ob eine Protokolldatei geändert oder
gelöscht wurde oder ob sie nach der Lieferung durch CloudTrail unverändert geblieben
ist. Diese Funktion basiert auf Standard-Algorithmen der Branche: SHA-256 für Hashing
und SHA-256 mit RSA für digitale Signaturen. So wird es rechnerisch schwierig,
CloudTrail-Protokolldateien zu ändern, zu löschen oder zu fälschen, ohne dass dies
entdeckt wird. Sie können die AWS-Befehlszeilen-Schnittstelle (Command Line
20Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Interface, CLI) verwenden, um die Dateien an dem Ort zu validieren, an den CloudTrail
sie geliefert hat.
CloudTrail-Protokolle, die in einem S3-Bucket zusammengefasst sind, können zu
Prüfungszwecken oder zur Fehlerbehebung analysiert werden. Sobald die Protokolle
zentralisiert sind, können Sie Lösungen zur Verwaltung von Sicherheitsinformationen
und Ereignissen (Security Information and Event Management (SIEM)) oder AWS-
Services wie Amazon Athena oder CloudTrail Insights nutzen, um sie zu analysieren,
und sie mit Amazon QuickSight-Dashboards visualisieren. Sobald Sie die CloudTrail-
Protokolle zentralisiert haben, können Sie zudem dasselbe Log-Archive-Konto
verwenden, um Protokolle aus anderen Quellen wie CloudWatch Logs und AWS-Load
Balancern zu zentralisieren.
Abbildung 2 – Beispielarchitektur für Compliance-Prüfungen und Sicherheitsanalysen mit
AWS CloudTrail
AWS CloudTrail-Protokolle können auch vorkonfigurierte Amazon CloudWatch-
Ereignisse auslösen. Sie können diese verwenden, um Benutzer oder Systeme darüber
zu informieren, dass ein Ereignis eingetreten ist, oder um Maßnahmen zur
Mängelbeseitigung zu ergreifen. Wenn Sie beispielsweise die Aktivitäten auf Ihren EC2-
Instances überwachen möchten, können Sie eine CloudWatch Event-Regel erstellen.
Wenn auf der Amazon EC2-Instance eine bestimmte Aktivität stattfindet und das
Ereignis in den Protokollen erfasst wird, löst die Regel eine Lambda-Funktion aus, die
eine Benachrichtigungs-E-Mail über das Ereignis an den Administrator sendet (siehe
Abbildung 3). Die E-Mail enthält Details wie den Zeitpunkt, an dem das Ereignis
21Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
stattgefunden hat, welcher Benutzer die Aktion durchgeführt hat, EC2-Details und mehr.
Das folgende Diagramm zeigt die Architektur der Ereignisbenachrichtigung.
Abbildung 3 – Beispiel einer AWS CloudTrail-Ereignisbenachrichtigung
Sammeln und Verarbeiten von Protokollen
CloudWatch Logs kann verwendet werden, um Ihre Protokolldateien von EC2-
Instances, AWS CloudTrail, Route 53 und aus anderen Quellen zu überwachen, zu
speichern und darauf zuzugreifen. Weitere Informationen finden Sie auf der
Dokumentationsseite zu AWS-Services, die Protokolle in CloudWatch Logs
veröffentlichen.
Protokolle enthalten beispielsweise die folgenden Informationen:
Granulare Protokollierung des Zugriffs auf S3-Objekte
Detaillierte Informationen zum Datenfluss im Netzwerk über VPC-Flow-Protokolle
Regelbasierte Konfigurationsverifizierung und Aktionen mit AWS Config-Regeln
Filterung und Überwachung des HTTP-Zugriffs auf Anwendungen mit
Webanwendungs-Firewall-Funktionen (Web Application Firewall, WAF) in
CloudFront
Benutzerdefinierte Anwendungsmetriken und -protokolle können auch in CloudWatch
Logs veröffentlicht werden. Dazu wird der CloudWatch-Agent auf EC2-Instances oder
On-Premise-Servern installiert.
22Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Protokolle können interaktiv mit CloudWatch Logs Insights analysiert werden. Dabei
werden Abfragen durchgeführt, damit Sie effizienter und effektiver auf operative
Probleme reagieren können.
CloudWatch-Logs können durch die Konfiguration von Abonnementfiltern nahezu in
Echtzeit verarbeitet und für eine individuelle Verarbeitung, Analyse oder das Laden auf
andere Systeme an andere Dienste wie einen Amazon Elasticsearch Service (Amazon
ES)-Cluster, einen Amazon Kinesis-Stream, einen Amazon Kinesis Data Firehose-
Stream oder Lambda übermittelt werden.
CloudWatch-Metrikfilter können verwendet werden, um Muster zu definieren, nach
denen Protokolldaten durchsucht werden, sie in numerische CloudWatch-Metriken
umzuwandeln und basierend auf Ihren Geschäftsanforderungen Alarme einzurichten.
Gemäß der AWS-Empfehlung, den Root-Benutzer nicht für alltägliche Aufgaben zu
verwenden, ist es beispielsweise möglich, einen bestimmten CloudWatch-Metrikfilter in
einem CloudTrail-Protokoll (geliefert an CloudWatch Logs) einzurichten, um eine
benutzerdefinierte Metrik zu erstellen und einen Alarm zur Benachrichtigung der
relevanten Stakeholder einzustellen, wenn Root-Anmeldeinformationen für den Zugriff
auf Ihr AWS-Konto verwendet werden.
Protokolle wie S3-Server-Zugriffsprotokolle, Elastic Load Balancing-Zugriffsprotokolle,
VPC-Flow-Protokolle und AWS Global Accelerator-Flow-Protokolle können direkt an
einen S3-Bucket übermittelt werden. Wenn Sie beispielsweise Amazon S3-Server-
Zugriffsprotokolle aktivieren, können Sie detaillierte Informationen zu den Anfragen
erhalten, die an Ihren S3-Bucket gestellt werden. Ein Zugriffsprotokoll-Datensatz enthält
Details über die Anfrage, z. B. den Anfragentyp, die in der Anfrage angegebenen
Ressourcen sowie die Uhrzeit und das Datum, an dem die Anfrage verarbeitet wurde.
Weitere Informationen über den Inhalt einer Protokollnachricht finden Sie unter Amazon
S3-Server-Zugriffsprotokollformat im Amazon Simple Storage Service
Entwicklerhandbuch. Server-Zugriffsprotokolle sind für viele Anwendungen nützlich, da
sie Bucket-Eigentümern Einblick geben in die Art der Anfragen von Clients, die ihnen
nicht unterstellt sind. Standardmäßig sammelt S3 keine Service-Zugriffsprotokolle.
Wenn Sie jedoch die Protokollierung aktivieren, liefert S3 normalerweise innerhalb
weniger Stunden Zugriffsprotokolle an Ihren Bucket. Wenn eine schnellere
Bereitstellung erforderlich ist oder Protokolle an mehrere Ziele geliefert werden müssen,
sollten Sie die Verwendung von CloudTrail-Protokollen oder eine Kombination aus
CloudTrail-Protokollen und S3 in Betracht ziehen. Protokolle können im Ruhezustand
verschlüsselt werden, indem die Standard-Objektverschlüsselung im Ziel-Bucket
konfiguriert wird. Die Objekte werden mit serverseitiger Verschlüsselung verschlüsselt,
entweder mit von S3 verwalteten Schlüsseln (SSE-S3) oder mit in AWS Key
Management Service (AWS KMS) gespeicherten Kundenmasterschlüsseln (CMKs).
In einem S3-Bucket gespeicherte Protokolle können mit Amazon Athena abgefragt und
analysiert werden. Amazon Athena ist ein interaktiver Abfrageservice, der die Analyse
von Daten in S3 mit Standard-SQL ermöglicht. Sie können Athena verwenden, um Ad-
hoc-Abfragen über ANSI SQL auszuführen; dabei müssen die Daten weder aggregiert
23Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
noch in Athena geladen werden. Athena kann unstrukturierte, semistrukturierte und
strukturierte Datensätze verarbeiten und lässt sich zur einfachen Visualisierung mit
Amazon QuickSight integrieren.
Protokolle sind auch eine nützliche Informationsquelle für die automatisierte
Bedrohungserkennung. Amazon GuardDuty ist ein Service zur kontinuierlichen
Sicherheitsüberwachung, der Ereignisse aus verschiedenen Quellen analysiert und
verarbeitet, darunter VPC-Flow-Protokolle, CloudTrail-Verwaltungsereignisprotokolle,
CloudTrail S3-Datenereignisprotokolle und DNS-Protokolle. Der Dienst verwendet
Bedrohungsdaten, z. B. Listen bösartiger IP-Adressen und Domänen, ebenso wie
Machine Learning, um unerwartete und potenziell nicht autorisierte bösartige Aktivitäten
in Ihrer AWS-Umgebung zu identifizieren. Wenn Sie GuardDuty in einer Region
aktivieren, beginnt es sofort mit der Analyse Ihrer CloudTrail-Ereignisprotokolle. Es
nimmt CloudTrail-Verwaltungsereignisse und S3-Datenereignisse direkt von CloudTrail
über einen unabhängigen, doppelten Ereignisstrom auf.
Erkennung und Schutz im großen Maßstab mit
Amazon Macie
Gemäß Artikel 32 der DSGVO „... treffen der Verantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein
dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen
schließen gegebenenfalls unter anderem Folgendes ein: [...]
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherzustellen;
[…]
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung.“
Ein fortlaufender Datenklassifizierungsprozess ist unverzichtbar, um die Verarbeitung
der Sicherheitsdaten an die Art der Daten anzupassen. Wenn Ihre Organisation
sensible Daten verwaltet, müssen Sie überwachen, wo sich diese befinden, sie
ordnungsgemäß schützen und nachweisen können, dass Sie die Datensicherheit und
den Datenschutz gemäß den regulatorischen Compliance-Anforderungen
gewährleisten. Um dem Kunden zu helfen, seine sensiblen Daten in großem Maßstab
zu identifizieren und zu schützen, bietet AWS Amazon Macie an, einen vollständig
verwalteten Datensicherheits- und Datenschutzservice, der Musterabgleichs- und
Machine-Learning-Modelle verwendet, um personenbezogene Daten zu erkennen und
so in S3-Buckets gespeicherte sensible Daten zu identifizieren und zu schützen.
Amazon Macie scannt diese Buckets und führt eine Datenkategorisierung des Inhalts
24Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
durch. Dabei kommen verwaltete Daten-Identifier für die Erkennung verschiedener
Arten von sensiblen Daten zum Einsatz. Macie kann personenbezogene Daten wie
vollständige Namen, E-Mail-Adressen, Geburtsdaten, nationale Identifikationsnummern,
steuerliche Identifikationsnummern, Referenznummern und vieles mehr erkennen.5 Der
Kunde kann benutzerdefinierte Datentypen definieren, die auf die einzigartige Situation
seiner Organisation abgestimmt sind (z. B. Kundenkontonummern oder interne
Datenklassifizierung).
Amazon Macie wertet das Objekt in den Buckets kontinuierlich aus und liefert
automatisch eine Zusammenfassung der Ergebnisse (Abbildung 4) für alle
unverschlüsselten oder öffentlich zugänglichen Daten, die mit der definierten
Datenkategorie übereinstimmen. Diese Daten können Warnungen für alle
unverschlüsselten, öffentlich zugänglichen Objekte oder Buckets umfassen, die mit
AWS-Konten außerhalb den in AWS Organizations definierten Konten geteilt werden.
Amazon Macie ist mit anderen AWS-Services wie AWS Security Hub integriert, um
umsetzbare Sicherheitsergebnisse zu generieren und eine automatische Maßnahme als
Reaktion auf das Ergebnis anzubieten (Abbildung 5).
Abbildung 4 – Datenüberprüfung und Ergebnisse (Beispiel)
Zentralisiertes Sicherheitsmanagement
Viele Organisationen werden im Zusammenhang mit der Übersichtlichkeit und der
zentralisierten Verwaltung ihrer Umgebungen vor Herausforderungen gestellt. Wenn Ihr
operativer Fußabdruck wächst, kann diese Herausforderung noch verschärft werden –
es sei denn, Sie unterziehen Ihr Sicherheitskonzept einer sorgfältigen Prüfung.
25Amazon Web Services Erfolgreiche DSGVO-Compliance mit AWS
Mangelnde Kenntnisse in Verbindung mit einer dezentralen und ungleichmäßigen
Verwaltung von Führungs- und Sicherheitsprozessen können Ihre Umgebung
angreifbar machen.
AWS bietet Tools an, mit denen Sie einige der schwierigsten Anforderungen an das IT-
Management und die Steuerung (Governance) erfüllen können, sowie Tools zur
Unterstützung eines Datenschutz-durch-Technikgestaltung-Ansatzes.
AWS Control Tower stellt eine Methode zum Einrichten und Steuern einer neuen,
sicheren AWS-Umgebung mit mehreren Konten dar. Es automatisiert die Einrichtung
einer Landing Zone (Landezone),6 bei der es sich um eine Umgebung mit mehreren
Konten handelt, die auf Best-Practices-Blueprints basiert, und ermöglicht die Steuerung
mithilfe von Guardrails (Leitplanken), die Sie aus einer vorgefertigten Liste auswählen
können. Durch Guardrails erfolgt die Implementierung von Governance-Regeln für
Sicherheit, Compliance und Betrieb. AWS Control Tower bietet ein
Identitätsmanagement mit dem Standardverzeichnis von AWS Single Sign-On (SSO)
und ermöglicht die kontoübergreifende Prüfung mit AWS SSO und AWS IAM. Es
zentralisiert zudem Protokolle aus CloudTrail und AWS Config-Protokolle, die in S3
gespeichert sind.
AWS Security Hub ist ein weiterer Service, der die Zentralisierung fördert und den
Einblick in eine Organisation verbessern kann. Security Hub zentralisiert und priorisiert
Sicherheits- und Compliance-Erkenntnisse aus mehreren AWS-Konten und -Services
wie Amazon GuardDuty und Amazon Inspector. Es kann mit Sicherheitssoftware von
Drittanbietern integriert werden, um Sie bei der Analyse von Sicherheitstrends und der
Identifizierung der Sicherheitsaspekte mit der höchsten Priorität zu unterstützen.
Amazon GuardDuty ist ein intelligenter Service zur Erkennung von Bedrohungen, der
Kunden dabei helfen kann, ihre AWS-Konten, Workloads und in S3 gespeicherten
Daten genauer und einfacher zu überwachen und zu schützen. GuardDuty analysiert
Milliarden von Ereignissen in Ihren AWS-Konten aus verschiedenen Quellen, darunter
AWS CloudTrail-Verwaltungsereignisse, AWS CloudTrail S3-Datenereignisse, Amazon
VPC-Flow-Protokolle und DNS-Protokolle. Es erkennt beispielsweise ungewöhnliche
API-Aufrufe, verdächtige ausgehende Kommunikation an bekannte bösartige IP-
Adressen oder möglichen Datendiebstahl mithilfe von DNS-Abfragen als
Transportmechanismus. GuardDuty ist in der Lage, genauere Ergebnisse zu liefern,
indem es sich bei der Erkennung von Bedrohungen auf Machine Learning stützt und auf
dritte Sicherheitspartner zurückgreift.
Amazon Inspector ist ein automatisierter Service für die Sicherheitsprüfung, der zu
einer besseren Sicherheit und Compliance von Anwendungen beiträgt, die auf EC2-
Instances bereitgestellt werden. Amazon Inspector ermittelt in Anwendungen
automatisch Lücken, Schwachstellen und Abweichungen von bewährten
Vorgehensweisen. Nach der Durchführung einer Bewertung erstellt Amazon Inspector
eine nach Schweregrad geordnete detaillierte Liste der Sicherheitsergebnisse.
26Sie können auch lesen
