AWS Security Hub: Die Vor- und Nachteile im Überblick

Der AWS Security Hub im Überblick

Die Sichtbarkeit von Informationen über mehrere Accounts hinweg ist eine der größten Schwierigkeiten beim Thema Cloud-Security. Unternehmen benötigen deswegen eine Möglichkeit, genau überwachen zu können, wie die verschiedenen eingesetzten Workloads konfiguriert und bereitgestellt worden sind, um potenzielle Schwachstellen entdecken zu können. Schon in einem privaten Rechenzentrum ist das schwierig genug. Wenn es aber um verschiedene Cloud-Dienste geht, die eng miteinander verwoben sind und die von zahlreichen Mitarbeitern und meist mit Hilfe noch zahlreicherer Accounts genutzt werden, dann ist diese Anforderung fast nicht zu erfüllen.

Der AWS Security Hub soll aus diesen Gründen eine zentrale Stelle bieten, um die aktuelle Sicherheit und die Erfüllung der Compliance-Vorgaben jederzeit im Blick haben zu können. Dabei ist zu beachten, dass er vor allem ein Werkzeug ist, um Daten zu sammeln und zu analysieren, das mit verschiedenen AWS-Diensten und -Accounts sowie teilweise auch mit manchen ausgewählten Tools von Drittanbietern zusammenarbeiten kann. Dazu aggregiert, organisiert und analysiert der Hub Daten über alle Ressourcen und Dienste, die ein Unternehmen nutzt. Anschließend vergleicht der Dienst diese Daten mit verschiedenen bekannten Standards und Erfahrungen aus der Praxis, um Fehler oder negative Trends erkennen zu können. Auf dieser Basis offeriert er dann Vorschläge für geeignete Gegenmaßnahmen. Einer der dabei verwendeten Regelsätze nennt sich AWS Foundations Benchmark und stammt vom Center for Internet Security (CIS).

Der AWS Security Hub liefert beziehungsweise nutzt zwei Arten von Informationen: Findings und Insights. Ein Finding ist zum Beispiel ein von den AWS Security Services erkanntes Sicherheitsproblem. Solche Ergebnisse können etwa von Schwachstellen-Scans stammen, die mit dem Amazon Inspector durchgeführt wurden. Oder es handelt sich um Daten, die mit dem auf Machine Learning aufsetzenden Sicherheitsservice Amazon Macie oder dem Intrusion-Detection-System Amazon GuardDuty gefunden wurden. Der AWS Security Hub kann außerdem Ergebnisse einarbeiten, die aus anderen Quellen stammen. Dazu gehören beispielsweise QRadar Security Information and Event Management (SIEM) von IBM, die MVision Cloud von McAfee und Cloud Workload Protection von Symantec.

Ein Insight ist dagegen ein größerer Bereich, mit dem sich ein Unternehmen intensiver beschäftigen sollte. Oft handelt es sich dabei etwa um eine Sammlung von Findings, die vom Security Hub gruppiert und gefiltert wurden, so dass sich daraus ein erkennbarer Trend ergeben kann. AWS Security Hub bietet bereits mehrere vorkonfigurierte Insights, die etwa auf fehlende Sicherheits-Patches für bekannte Sicherheitslücken hinweisen. Es ist aber auch möglich, eigene Insights zu definieren und zu nutzen. Zum Beispiel können Sie ein Insight erstellen, um Storage Buckets aufzuspüren, die nicht den Vorgaben für Ihre produktive Umgebung entsprechen. Administratoren können sowohl auf Findings als auch auf Insights direkt im Dashboard des AWS Security Hubs zugreifen.

Der AWS Security Hub lässt sich mit mehreren AWS-Accounts nutzen. Administratoren können ihn zudem verwenden, um einen Überblick über alle Benutzerkonten in einem Unternehmen zu erhalten. Findings lassen sich auch nach Accounts gruppieren. Auf diese Weise werden „problematische“ Nutzerkonten schneller identifiziert und geeignete Gegenmaßnahmen können zu einem früheren Zeitpunkt eingeleitet werden.

Um den neuen AWS Security Hub zu aktivieren, loggen Sie sich zuerst in Ihren AWS-Account ein und stellen Sie anschließend sicher, dass der von Ihnen für IAM (Identity and Access Management) verwendete Nutzer oder auch die Rolle oder Gruppe die dafür benötigten Zugriffsrechte hat. Loggen Sich dann bei der AWS Security Hub Konsole ein, klicken auf das Start-Zeichen und aktivieren den Security Hub.

Wenn Sie das Werkzeug einrichten, wird automatisch eine mit dem Dienst verbundene Rolle erstellt, die für die Zugriffsrechte und Richtlinien benötigt wird, mit denen die Findings aus anderen Diensten gesammelt werden können. Zum Monitoring der Compliance dient dann AWS Config. AWS Security Hub und AWS Config müssen allerdings für denselben Account freigeschaltet werden. Der AWS Security Hub kümmert sich aber nicht automatisch um AWS Config. Die Admins können jedoch weiterhin die AWS Config Konsole oder ein API (Application Programming Interface) nutzen, um mit AWS Config zu arbeiten.

Einschränkungen bei der Nutzung des AWS Security Hubs

Der Dienst unterstützt pro Region nur bis zu 1.000 registrierte Accounts. Jeder Master-Account des AWS Security Hubs kann deswegen selbst auch nur maximal 1.000 Einladungen verschicken. Für größere Unternehmen mit einer umfangreichen Nutzung von AWS-Diensten mag das unter Umständen zu wenig sein.

Dazu kommt als weitere Einschränkung, dass der AWS Security Hub darüber hinaus auch interne Begrenzungen hat. So können die Nutzer ihre Findings nur bis zu 90 Tage lang speichern. Selbst erstellte Insights sind außerdem auf 100 begrenzt. Auch bei einer Suche nach Insights kommen als Ergebnis jeweils maximal nur 100 Einträge. Bei diesen Einschränkungen handelt es sich zudem um „harte“ Limits, die momentan nicht verändert werden können.

Dazu kommt, dass der AWS Security Hub keine Möglichkeiten bietet, um in vergangenen Ergebnissen nach Findings und Insights zu recherchieren. Probleme oder Vorfälle, die vor der Aktivierung des AWS Security Hubs aufgetreten sind, lassen sich damit also nicht erkunden.

AWS Security Hub: Kosten und Verfügbarkeit

Derzeit ist der AWS Security Hub (Stand März 2019) als Preview-Version in den meisten kommerziell genutzten AWS-Regionen verfügbar, auch in Deutschland. Diese Vorschau kann zunächst kostenfrei ausprobiert werden. Welche Kosten später entstehen, wenn der Dienst generell verfügbar sein wird, ist noch nicht bekannt. Eine wichtige Voraussetzung ist zudem, dass der Dienst auf AWS Config aufsetzt, um Compliance-Checks durchführen zu können. Das führt dazu, dass interessierte Nutzer, die den AWS Security Hub testen wollen, mit erhöhten Kosten im Bereich AWS Config rechnen müssen. Allerdings verlangt Amazon bislang kein Geld für mit AWS Config erstellte Regeln, die direkt mit dem AWS Security Hub zusammenhängen.