Firmen können die Amazon-Cloud durchaus nutzen, um Angriffe auf ihr eigenes Netz zu simulieren, also sogenannte Penetrationstests durchzuführen. Sie sollten Amazon Web Services aber per Validierungsformular über ihr Vorhaben informieren, wie Chief Information Security Officer Steve Schmidt erklärt.
„Für übliche unangemessene Aktivitäten haben wir eine automatische Erkennung. Eine Reihe von Vorgängen können wir als unangemessen identifizieren, unabhängig vom tatsächlichen Vorgehen des Kunden – etwa Port-Scanning und Brute-Force-Angriffe auf SSH-Verbindungen“, sagt Schmidt, der früher eine Abteilung des FBI leitete. Eine typische Reaktion sei es in solchen Fällen, die verfügbare Bandbreite zu drosseln.
Schmidt weiter: „Außerdem gibt es einen Prozess, über den Kunden Ausnahmen von diesen Regeln beantragen können.“ Soasta beispielsweise nutze AWS, um Lasttests für Mobilanwendungen durchzuführen, und Core Security initiiere Penetrationstests in der Amazon-Cloud.
Alle Sicherheitsüberprüfungen lassen sich aber nicht automatisieren, wie der Chief Information Security Officer erklärt. Beispielsweise habe man nach dem Tod von Michael Jackson eine Spitzenbelastung beim Zugriff auf Daten eines bestimmten Kunden beobachtet. Es stellte sich heraus, dass Jacksons Plattenfirma eine Gedenksite eingerichtet hatte. „Gäbe es ein automatisiertes Reaktionssystem für Distributed Denial of Service, hätten wir hier legitimen Traffic unterbunden.“
Auf einer Veranstaltung von AWS klärte Schmidt außerdem über Zuständigkeiten im Sicherheitsbereich auf. AWS kümmere sich um die Sicherheit seiner Anlagen, seiner Netz-Infrastruktur und seiner Virtualisierungsinfrastruktur. Kunden seien für ihre Betriebssysteme, Anwendungen, Netzwerkkonfigurationen, Netzwerk-Zugangslisten (ACLs), Kontenverwaltung und Sicherheitsgruppen zuständig. Schwierig werde es dann, wenn jemand mit Instanzen eines Kunden Aktivitäten ausführe, die AWS als unangemessen einstuft. „Wir wissen dann nicht, ob das ein zulässiges Vorgehen ist. Der Kunde muss es uns sagen.“
[mit Material von Jack Clark, ZDNet UK]
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…