Sicherheit in der Cloud funktioniert anders

Glenn Gore ist Chief Architect bei Amazon Web Services (AWS). Im Gespräch mit com! professional erklärt er, wie Sicherheit und Datenschutz in der Cloud gewährleistet werden, und welche Pläne sein Unternehmen für Deutschland hat.

com! professional: Herr Gore, wie sehen die Pläne von Amazon Web Services für das Jahr 2018 aus?

Glenn Gore: Auf unserer Konferenz „re:Invent“ vergangenen November haben wir bereits einige der Neuheiten ange­kündigt, die wir dieses Jahr bringen werden, darunter neue Machine-Learning-Services, IoT-Dienste und Container-Funktionen. Außerdem sind zwölf neue Verfügbarkeitszonen, weitere Regionen in Bahrain, Hongkong und Schweden sowie eine zweite Government Cloud in den USA geplant.

com! professional: Welche Neuerungen gibt es in Deutschland?

Gore: Wir werden unsere Investitionen der vergangenen Jahre fortsetzen. Bereits seit 2017 bieten wir in der Region Frankfurt drei Verfügbarkeitszonen an. Damit haben unsere deutschen Kunden die Option, in der Region Frankfurt geschäftskritische Applikationen mit echtem Active-Active-Failover zu betreiben.

com! professional: Microsoft ermöglicht es mit Azure Stack, eine Azure-Umgebung im eigenen Rechenzentrum aufzubauen, die sich nahtlos mit der Azure-Cloud verbinden lässt. Plant AWS ein ähnliches Angebot?

Gore: Unsere Kunden wollen die Probleme lösen, die sich aus dem Aufbau und Betrieb eigener IT-Umgebungen ergeben – von der Investition in Hardware über Sicherheitsanforderungen, Energie- und Platzfragen bis zur Kapazitätsplanung. Sich weitere Hardware ins Rechenzentrum zu stellen, hilft dabei nicht. Was Kunden wirklich wollen, ist ein API-basierter Zugriff auf Daten und Rechen-Ressourcen, nicht mehr Hardware.

com! professional: Aber gibt es nicht Fälle, in denen Daten vor Ort verarbeitet werden müssen, weil sonst beispielsweise die Latenzen zu hoch sind?

Gore: Dieses Problem mit einem vollständigen Infrastruktur-Stack zu lösen, ist kompletter Overkill und wiederholt die Fehler der Vergangenheit. Wir bieten für diese als Edge-Computing bezeichneten Aufgaben beispielsweise das Datenspeicher- und -übertragungsgerät Snowball Edge, das auch Berechnungen durchführen kann. Im IoT-Bereich gibt es von uns die Software AWS Greengrass, mit der sich eine lokale Datenverarbeitung realisieren lässt. Wir halten es auf jeden Fall für sinnvoller, kleine, einfache und verteilte Building Blocks am Edge zu betreiben, um den Kunden die größten Vorteile zu bringen, statt quasi eine kleinere Version der kompletten Cloud-Umgebung anzubieten.

com! professional: Im Mai dieses Jahres wird die Datenschutz-Grundverordnung wirksam. Gibt es Services bei AWS, die Kunden bei der Umsetzung der
DSGVO-Anforderungen wie Data Privacy by Design oder dem Recht auf Vergessen unterstützen?

Gore: Wir haben bereits angekündigt, dass unsere AWS-Services mit den Regeln der DSGVO bei Inkrafttreten am 25. Mai 2018 konform sein werden. Wir nehmen dem Kunden gerade in diesem Bereich eine Menge Arbeit ab und stellen etwa für Audits die notwendigen Reports zusammen. Natürlich kann AWS die Einhaltung dabei nur auf Basis dessen garantieren, was wir an Tools und Services zur Verfügung stellen. Inwieweit die Services und Applikationen, die unsere Kunden auf Basis unserer Dienste erstellen, den neuen Regularien entsprechen, steht auf einem anderen Blatt. Wir arbeiten bereits mit vielen Kunden zusammen, um herauszufinden, was deren Anforderungen im Zusammenhang mit der DSGVO sind, um Best Practices zu entwickeln. Und wir unterhalten ein Professional Services Team, Public- Policy-, Compliance- und Security-Experten, um sicherzustellen, dass bis Mai dieses Jahres alle Anforderungen der DSGVO erfüllt werden.

com! professional: Microsoft bietet mit Azure Deutschland unter der Treuhänderschaft von T-Systems eine eigene Deutschland-Cloud, die deutsche Kunden vor dem Zugriff durch US-Behörden schützen soll. Planen Sie ähnliche separierte Cloud-Umgebungen für hoch regulierte Branchen, Regierungen oder Märkte?

Gore: Wir bieten eine abgeschlossene Cloud bereits für die US-Regierung und werden in diesem Jahr eine zweite solche Government Cloud in den USA eröffnen. Generell gibt es auch Gespräche mit anderen Regierungen, aber das ist ein sehr komplexes Thema.

com! professional: Nationale Clouds wie Azure Deutschland sind aber nicht geplant?

Gore: Solche abgeschlossenen Clouds sind nach unserer Auffassung nur bei sehr speziellen Anforderungen sinnvoll, etwa wenn es um nachrichtendienstliche Aufgaben geht. Unternehmen müssen dagegen in einer solchen Cloud nicht nur Premium-Preise zahlen, sie können auch einen wesentlichen Vorteil der Cloud, nämlich die internationale Verfügbarkeit von Services und Rechenzentren, nicht nutzen. Unser Angebot mit der Region Frankfurt erfüllt dagegen alle Anforderungen deutscher Unternehmen, ohne vom Rest der AWS-Cloud separiert zu sein. Wir halten alle Standards und Zertifizierungen ein, die für den Betrieb sensibler Daten etwa aus dem Gesundheits- oder dem Finanzbereich notwendig sind. Im Übrigen laufen dort auch Workloads der öffentlichen Hand.

com! professional: Dennoch zögern gerade Behörden oder auch Unternehmen aus hoch regulierten Branchen, ihre Daten in die Public Cloud eines US-Anbieters zu geben …

Gore: Mit unseren Virtual Private Cloud Services (VPC) können sich Behörden und Unternehmen eine eigene Cloud-Umgebung einrichten, die dieselben Sicherheitsstandards bietet wie eine Private Cloud. Außerdem lassen sich Daten jederzeit verschlüsseln – was ich übrigens auch für das eigene Rechenzentrum empfehle. Man kann schließlich nie wissen, ob ein Backup-Tape mal verloren geht oder in fremde Hände gerät

com! professional: Und wer hat Zugriff auf die Schlüssel?

Gore: Es gibt verschiedene Möglichkeiten der Schlüsselverwaltung. Manche Kunden nutzen unseren Key Management Service oder das Hardware-Sicherheitsmodul CloudHSM, mit dem sie ihre eigenen Schlüssel generieren und verwalten können. Kunden können auch verschiedene Geheimhaltungsstufen definieren. Weniger sensible Daten werden dann zum Beispiel verschlüsselt, aber die Schlüssel bei uns aufbewahrt, während hochsensible Informationen stärker geschützt werden. Wir geben Kunden die Wahl und die Tools, um diese Entscheidungen zu treffen.

com! professional: Gibt es die Möglichkeit, Berechnungen auf Daten durchzuführen, ohne dass diese dafür entschlüsselt werden müssen?

Gore: Es gibt eine Menge technischer Fortschritte bei der Verschlüsselung, die sicherstellen, dass es für Kunden keine Nachteile hat – etwa in puncto Performance –, wenn sie Daten verschlüsseln.

com! professional: Häufig gehen die Kunden allerdings selbst fahrlässig mit ihren Daten um. So wurden mehrfach durch die falsche Konfiguration von Amazon S3 sensible Informationen öffentlich zugänglich gemacht, Entwickler publizierten Code auf GitHub, ohne vorher ihre AWS-Zugangsdaten daraus zu entfernen. Wie wollen Sie solche Nutzerfehler verhindern oder wenigstens eindämmen?

Gore: Wir werden nicht aufhören, die Anwender noch besser für die notwendigen Security-Maßnahmen bei der Cloud-Nutzung zu sensibilisieren. Sie müssen verstehen, dass Sicherheit in der Cloud fundamental anders funktioniert als traditionell im Rechenzentrum. Dort wurde bisher in der Regel nur der Perimeter geschützt. Wer die Außengrenze überwunden hatte, der hatte meist ungehindert Zugang zu den Daten. In der Cloud gibt es keine Außengrenze, deshalb muss jeder Zugriff geschützt werden.

com! professional: Wie unterstützen Sie Ihre Kunden bei der Umsetzung von Sicherheitsmaßnahmen?

Gore: Wir bieten fein abgestufte Zugangsregeln, die über das AWS Identity und Access Management (IAM) verwaltet werden können. Man kann sogar festlegen, dass bestimmte Zugriffe nur zu bestimmten Zeiten an bestimmten Tagen erfolgen dürfen. Mit AWS Config können Kunden festlegen, welche Daten öffentlich zugänglich gemacht werden dürfen und welche nicht. Wenn jemand einen S3-Bucket öffentlich macht, erhält der Administrator eine Nachricht und kann die Publizierung autorisieren oder verbieten.

Vor Kurzem haben wir außerdem Amazon Macie gelauncht. Der Service basiert auf Machine Learning und kann automatisch sensible Informationen wie Kreditkartennummern, Namen, Telefonnummern oder Adressen erkennen. Der Kunde erhält einen Report darüber und kann so entscheiden, welche Daten besonders zu schützen, zu verschlüsseln oder zu löschen sind.

com! professional: Vor allem bei Serverless Computing binden sich Anwender sehr stark an einen Cloud-Anbieter. Besteht nicht die Gefahr eines Vendor-Lock-ins, aus dem die Kunden nur sehr schwer wieder herauskommen?

Gore: Serverless ist meiner Ansicht nach der am wenigsten von Vendor-Lock-in gefährdete Service. Ich kann meine Microservices in Node.js schreiben. Dann sind noch zusätzlich drei bis fünf Zeilen Code notwendig, um auf AWS-Funktionen zugreifen zu können. Vendor-Lock-in passiert nur dann, wenn man sich beim Programmieren nicht an Best Practices hält. Bei einem guten Microservice-basierten Applikationsdesign werden die cloudspezifischen Funktionen über APIs aufgerufen. Bei einem Anbieterwechsel müssen dann einfach nur diese APIs angepasst werden, was keinen großen Aufwand darstellt.

Eine andere Möglichkeit ist es, unseren Elastic Container Service (ECS) zu nutzen. Darin kann ich einen Standard-Docker-Container betreiben, den ich natürlich jederzeit auch in einer anderen Container-Umgebung ausführen kann.

com! professional: Wie sieht es mit großen Datenmengen aus? Sie bieten ja einen Service, um Daten in die AWS-Cloud zu migrieren. Gibt es das gleiche Angebot auch, wenn ich die Daten wieder herausbekommen möchte?

Gore: Natürlich, unser Service zur Übertragung großer Datenmengen heißt nicht umsonst AWS Import/Export. Auch die Snowball-Appliance oder unser Database Migration Service lassen sich für die Datenübertragung in beide Richtungen nutzen. Wir glauben nicht an künstliche Barrieren, sondern wollen unseren Kunden die maximale Flexibilität geben.

com! professional: Unterscheiden sich denn die Kosten von Import und Export?

Gore: Die Kosten sind davon abhängig, welchen Service ich nutze.

com! professional: Der großflächige S3-Ausfall im Februar vergangenen Jahres hat den Ruf der AWS-Cloud, immer verfügbar zu sein, beschädigt. Was haben Sie getan, damit so etwas nicht mehr passieren kann?

Gore: Wir tun natürlich unser Bestes, um Ausfälle zu verhindern. Wir haben sehr schnell die betroffenen Kunden informiert und gemeinsam nach Wegen gesucht, die Folgen so gering wie möglich zu halten. Es sind nun mehr Sicherheits-Checks integriert, um zu verhindern, dass so etwas wieder vorkommt. Kunden, die den Best Practices gefolgt sind und ihre Workloads über verschiedene Sites verteilt haben, waren im Übrigen nicht betroffen.

com! professional: Kann man menschliche Fehler denn gänzlich eliminieren?

Gore: Das Kernproblem ist nie eine Person, auch wenn ein Mensch den Fehler ausgelöst hat. In so einem Fall ist das System einfach nicht robust genug, um vor menschlichen Fehlern geschützt zu sein. Wir haben das angepasst und nutzen eine ganze Reihe interner Prozesse, um das zu verhindern.

com! professional: Anwender müssen sehr genau über die AWS-Architektur Bescheid wissen, um ihre Applikationen hochverfügbar zu designen. Wie unterstützen Sie Kunden dabei? Gerade in Deutschland fehlt es ja an Experten für die AWS-Architektur.

Gore: Wir glauben, dass das Wachstum substanziell nur durch Partner kommen kann, und haben ein sehr gutes Partnernetzwerk, das wir stetig ausbauen und mit Partnerprogrammen, Trainings und Zertifizierungen unterstützen. Vergangenen Oktober haben wir einen eigenen Partner Day in Köln abgehalten und auch auf dem diesjährigen AWS Summit in Berlin werden Partnerthemen eine zentrale Rolle einnehmen.

com! professional: AWS ist mit großem Abstand Public-Cloud- Marktführer. Besteht nicht die Gefahr des Selbstgefälligkeit?

Gore: Ich glaube, so etwas kann bei Amazon nicht passieren. Es liegt einfach nicht in den Genen dieses Unternehmens, sich auf Erreichtem auszuruhen. Ich bin jetzt seit fünf Jahren bei AWS und wenn ich mir meine To-do-Liste anschaue, dann wird sie immer länger.

Wir bieten über 100 Services an und die Zahl wächst weiter. Wir hören außerdem sehr genau auf das Feedback unserer Kunden und arbeiten ständig an der Verbesserung unserer Services.