Mayflower Blog

AWS Bits: Cloud Security im Doppelpack

AWS Bits: Zwei Punkte für mehr Sicherheit

Avatar von Michael Krieg
Michael Krieg

Dieses Mal haben wir in unseren AWS Bits zwei Neuigkeiten, die sich mit dem Cloud-Security beschäftigen. Zum einen zeigen wir, wie man Amazon Machine Images besser schützen kann, zum anderen sehen wir uns an, was sich im Security Hub ändert.

EC2 AMI besser schützen


Aus Versehen ein EC2 Amazon Machine Image gebaut und öffentlich geteilt? Klingt harmlos, kann im Falle von sensiblen Daten (z. B. Sourcecode, Konfigurationen oder vertrauenswürdige Dateien) schnell zum Problem werden.

Ab sofort kannst du pro Region eine Default Policy aktivieren, die das verhindert: Block Public Access. Du findest diese Einstellungen in der EC2 Console unter Account attributes, und dort Data protection and security. Programmatisch geht das natürlich auch, beispielsweise mit der AWS CLI:

aws ec2 disable-image-block-public-access --region eu-central-1
 
aws ec2 get-image-block-public-access-state --region eu-central-1

Achtung: Die AWS CLI solltest du unbedingt aktualisieren, damit die neue Funktion auch zur Verfügung steht! Alle weiteren Einzelheiten findest du im offiziellen Announcement.

CIS: Amazon Web Services Foundational Benchmark 2.0

Version 2.0 wurde Mitte 2023 vom Internet Center for Security veröffentlicht. Das hat natürlich auch einen Einfluß auf den Security Hub. Einige Controls wurden entfernt, da diese nicht mehr benötigt werden; andere kommen hinzu. Und viele wurden überarbeitet.

Einige Beispiele aus dem Changelog:

  • entfernt: „Ensure all S3 buckets employ encryption-at-rest“ 
  • neu: „Restrict use of AWS CloudShell“
  • neu: „Ensure that EC2 Metadata Service only allows IMDSv2“
  • aktualisiert: „Ensure AWS Config is enabled in all regions – Correct Remediation Steps“

Wir empfehlen dir, das kostenlose PDF mit der aktuellen Version von der CIS-Website herunterzuladen und die Neuerungen zu berücksichtigen. Im nächsten Schritt kannst du im Security Hub den neuen Standard aktivieren.

AWS Housekeeping – die kostenlose Broschüre

Mayflower & Cloud Security

Wir bei Mayflower nehmen Security in der Cloud übrigens sehr ernst. So haben wir beispielsweise mit dem AWS Housekeeping ein Ritual etabliert, was uns und dir hilft, wichtige Aspekte rund um Sicherheit in der Cloud regelmäßig im Auge zu behalten. Sieh es dir gerne einmal an; das Dokument kannst du dir kostenlos herunterladen.

Weitere News aus dem AWS-Universum

Neues aus der Cloud: Nachhaltigkeit, Sicherheit und AI
Zeit sparen & noch mehr Sicherheit in AWS!
Eco & Fast: AWS Graviton4
AWS Housekeeping 2.0
AWS NAT Gateways entzaubert – alles, was ihr wissen müsst!
Terraform: Testen auf (und mit) AWS
4 Wege, sich mit EC2 zu verbinden
Kostenanpassungen bei AWS: S3 und IPv4
Route53 Profiles für zentrale DNS-Konfigurationen
Avatar von Michael Krieg
Michael zog es schon vor vielen Jahren in Richtung Cloud. Als früherer Admin kennt er gefühlt auch jeden Schmerz. Bei Mayflower arbeitet Michael als Solutions Architect und treibt – intern wie extern – Themen von Cloud bis Kubernetes. Gern tauscht er sich mit seinen Developer-Kollegen aus, um Dev- und Ops Welt optimal miteinander verbinden zu können.

Kommentare

Eine Antwort zu „AWS Bits: Zwei Punkte für mehr Sicherheit“

  1. Avatar von AWS Bits: Volume Snapshots – aber sicher! – Mayflower Blog
    AWS Bits: Volume Snapshots – aber sicher! – Mayflower Blog

    […] liegt uns und unseren Kunden am Herzen. Eine vergleichbare Einstellung für AMIs (Amazon Machine Images) haben wir dir bereits im September vorgestellt. Ebenso bereits im Februar für den beliebten S3 […]

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Newsletter

Aktuelle Artikel per Mail

Verpasse keinen Artikel mehr und lass Dich von uns benachrichtigen, sobald es etwas Neues im Blog gibt.

Für das Handling unseres Newsletters nutzen wir den Dienst HubSpot. Mehr Informationen, insbesondere auch zu Deinem Widerrufsrecht, kannst Du jederzeit unserer Datenschutzerklärung entnehmen.