In der dynamischen Welt der Public Cloud und speziell bei Amazon Web Services (AWS) ist das Konzept der Compliance von entscheidender Bedeutung. Aber was genau meinen wir, wenn wir von Compliance in Bezug auf die Public Cloud und AWS sprechen?
Kurz gesagt, bezieht sich Compliance auf die effektive Kontrolle und Verwaltung von Cloud-Ressourcen, um sicherzustellen, dass sie den geltenden Gesetzen, Vorschriften und Standards entsprechen. Dies beinhaltet die Überwachung, die Anwendung von Best Practices und Richtlinien, die Sicherstellung der Einhaltung von Datenschutz- und Sicherheitsstandards, sowie ein effizientes Management von Ressourcen.
Die Implementierung von IT-Standards in der Cloud kann mit einer Vielzahl von Herausforderungen verbunden sein:
- Sicherheitsbedenken: Cloud-Anbieter müssen strenge Sicherheitsmaßnahmen ergreifen, um Daten zu schützen. Unternehmen müssen sicherstellen, dass diese Maßnahmen den Compliance-Anforderungen entsprechen.
- Compliance-Vorschriften: Unterschiedliche Regionen und Branchen haben unterschiedliche Compliance-Anforderungen. Es kann herausfordernd sein, diese zu verstehen und sicherzustellen, dass die Cloud-Dienste diesen Anforderungen entsprechen.
- Datenstandort und -zugriff: Die physische Lage der Daten in der Cloud kann Auswirkungen auf die Compliance haben, insbesondere wenn die Daten spezifischen rechtlichen Anforderungen unterliegen.
- Datenverschlüsselung und -integrität: Die Übertragung und Speicherung sensibler Daten erfordert robuste Verschlüsselungsmethoden, um die Integrität und Vertraulichkeit zu gewährleisten.
- Auditierbarkeit und Transparenz: Unternehmen müssen in der Lage sein, ihre Daten in der Cloud zu überwachen, um sicherzustellen, dass sie den Compliance-Anforderungen entsprechen. Dies kann durch Audit-Protokolle und Transparenzmechanismen erzielt werden.
AWS bietet eine Vielzahl an hauseigenen Tools und Diensten zur Bewältigung spezifischer Governance-Probleme:
AWS Organizations: AWS Organizations ist Ihr Helfer, wenn Sie mit der Verwaltung mehrerer Konten und Ressourcen zu kämpfen haben. Es ermöglicht eine zentrale Steuerung und Kontrolle aller Ihrer Konten und Ressourcen, was die Komplexität reduziert und die Einhaltung von Richtlinien verbessert.
AWS Control Tower: AWS Control Tower ist eine automatisierte Lösung zur Einrichtung und Verwaltung mehrerer AWS-Konten. Es nutzt Funktionen von AWS Organizations und bietet automatisierte Sicherheits- und Compliance-Regeln für Ihre AWS-Umgebung. Mit den „Landing Zones“ können Konten automatisch konfiguriert werden, während die „Guardrails“ als Richtlinien zur Steuerung Ihrer AWS Konten dienen. Dieses Tool ermöglicht eine vereinfachte und standardisierte Einrichtung und Verwaltung von AWS-Konten, was die Einhaltung von Compliance verbessert und das Risiko reduziert. Hinsichtlich des Audits erleichtert AWS Control Tower den Prozess, indem es dedizierte Rollen für die Überwachung und Kontrolle bereitstellt. Diese Rollen können Zugriff auf spezifische Informationen und Funktionen haben, was eine effektive Überprüfung der Compliance und der Systemaktivitäten ermöglicht.
AWS Config: Die Nachverfolgbarkeit und Kontrolle von Ressourcenkonfigurationen ist mit AWS Config kein Problem mehr. Sie können Ihre AWS-Ressourcen inventarisieren, Konfigurationen prüfen und Änderungen nachverfolgen, was zu einer verbesserten Compliance führt und das Risiko von Konfigurationsfehlern minimiert.
AWS CloudTrail: Sicherheits- und Compliance-Probleme lassen sich durch die Protokollierung und Überwachung von Aktivitäten in Ihrem AWS-Konto mit AWS CloudTrail lösen. Es erhöht die Transparenz und ermöglicht eine schnellere Erkennung und Reaktion auf sicherheitsrelevante Vorfälle.
AWS Trusted Advisor: AWS Trusted Advisor bietet Echtzeitbeobachtungen und Empfehlungen, um Kosten zu sparen, die Leistung zu verbessern und Sicherheitslücken zu schließen. Es unterstützt dabei, unnötige Kosten zu vermeiden, die Systemleistung zu optimieren und die allgemeine Sicherheitslage zu verbessern.
StackGuardian: StackGuardian ist eine kommerzielle „Compliance as a Service“ Lösung, welche es Unternehmen ermöglicht Ihre zentralen Policies zu verwalten, Drift innerhalb der Cloud-Umgebungen zu erkennen und Infrastruktur zentral Compliance-Konform zu deployen. Bemerkenswert ist, dass StackGuardian die bestehende Infrastruktur gegen bestehenden Standardkataloge (CIS, NIST, GDPR, PCI-DSS, etc.) abgleichen kann – sodaß man sehr schnell eine Beurteilung der eigenen Cloud Umgebung erreicht. Neben dem Policy Management bietet StackGuardian auch eine FinOps Analyse Komponenten mit welcher Optimierungspotentiale in der Infrastruktur aufgedeckt werden.
Cloud Custodian: Cloud Custodian ist eine OpenSource Regeln Engine, die in verschiedenen Cloud-Umgebungen, einschließlich AWS, implementiert werden kann. Es ermöglicht Benutzern, Regeln für das Management von Cloud-Ressourcen zu definieren und durchzusetzen. Cloud Custodian bietet eine einheitliche, regelbasierte Sprache für die Ressourcenverwaltung und erlaubt es, Aktionen direkt auf Cloud-Ressourcen anzuwenden. Es kann zum Überprüfen von Ressourcen auf Compliance, zur Verwaltung von Kosten, zur Sicherstellung der Verschlüsselung von Daten und zur Durchsetzung von Sicherheitsbestimmungen (z.B. Tagging Konzepten) verwendet werden. Zudem ist es hochgradig anpassbar und kann komplexe Compliance-Anforderungen erfüllen, was es zu einer leistungsfähigen Ergänzung des Compliance-Toolsets für Cloud-Plattformen, einschließlich AWS, macht.
terraform-compliance: terraform-compliance ist ein Tool, das dabei hilft, IaC (Infrastructure as Code) Umgebungen, die mit Terraform bereitgestellt wurden, auf verschiedene Compliance-Anforderungen zu prüfen. Idealerweise wird es in CI/CD-Prozesse integriert, sodass der Aufbau von Cloud-Infrastrukturen, die nicht den gegebenen Compliance-Anforderungen entsprechen, verhindert wird. Policies folgen den BDD (Behavior Driven Development) Prinzipien und werden in einfacher englischer Sprache verfasst. Dies hilft auch weniger technisch versierten Personen, Policies zu verfassen und damit Compliance-Anforderungen sicherzustellen.
Im Folgenden schauen wir uns ein konkretes Beispiel an, welches in Cloud-Umgebungen eine wichtige Rolle spielt: Ressourcen & Asset Tagging
Hierbei geht es darum, sicherzustellen, dass jede Cloud-Ressource inventarisiert ist – im Regelfall wird dies mit Hilfe von „Tags“ realisiert. Der Tag kennzeichnet und identifiziert verschiedene Merkmale wie z.B. Cost-Center, Environment (DEV, QA, PROD), Region,…
Es ist wichtig zu betonen, dass dies lediglich ein einzelnes Beispiel aus einer Vielzahl an möglichen Compliance relevanten Themen ist.
Die nächsten Abschnitte zeigen auf, wie man Ressourcen Tagging mit AWS-eigenen Tools wie AWS Organizations und AWS Config, sowie mit den zuvor vorgestellten Third-Party Tools, Cloud Custodian und terraform-compliance, durchsetzen kann.
Mit Hilfe von AWS Organizations lassen sich AWS Umgebungen einfach aufbauen und verwalten. Ein Feature von AWS Organizations sind die sogenannten “Service Control Policies”.
Service Control Policies (SCPs) sind Richtlinien in AWS Account Strukturen (AWS Organizations), die zur Definition von Berechtigungen für AWS-Konten dienen. Sie legen fest, welche Aktionen Benutzer, Rollen und IAM-Gruppen ausführen können und bieten eine zusätzliche Kontrollebene über Standard-IAM-Richtlinien. SCPs können zudem dazu genutzt werden, die Einhaltung von Tag Compliance durchzusetzen.
Das folgende Beispiel stellt sicher, dass beim Erstellen von Secrets im Secret Manager oder beim Starten von EC2 Instanzen die Tags „Project“ und „CostCenter“ vorhanden sein müssen.
AWS Config Regeln können zur Durchsetzung der Tag Compliance genutzt werden. Sie erlauben die kontinuierliche Überwachung der AWS-Ressourcenkonfigurationen. Regeln können erstellt werden, die bestimmte Tags auf den Ressourcen erfordern. Wenn eine Ressource diese Anforderung nicht erfüllt, kennzeichnet AWS Config sie als nicht konform.
Dieses Beispiel zeigt ein Verhalten, das den Service Control Policies ähnelt. Es verhindert jedoch nicht die Erstellung von Ressourcen, sondern prüft nach der Erstellung der Ressourcen die Tag Compliance. Optional kann AWS Config fehlende Tags ergänzen, wenn dies gewünscht ist.
Auch Cloud Custodian kann zur Durchsetzung der Tag Compliance eingesetzt werden. Mit Cloud Custodian können Richtlinien erstellt werden, die AWS-Ressourcen auf die Einhaltung von bestimmten Tag Anforderungen überprüfen. Wenn eine Ressource diese Anforderungen nicht erfüllt, markiert Cloud Custodian sie als nicht konform und kann automatisch Korrekturmaßnahmen durchführen, wie das Hinzufügen fehlender Tags.
Ein Beispiel für eine Cloud Custodian Richtlinie, die die Anforderung von ‚Project‘ und ‚CostCenter‘ Tags auf Secrets im Secret Manager und auf EC2 Instanzen durchsetzt, könnte folgendermaßen aussehen:
Die Nutzung von terraform-compliance kann ebenfalls dazu beitragen, die Einhaltung von Tagging-Anforderungen zu gewährleisten.
Terraform-compliance ist ein Kommandozeilen-Tool zur Prüfung von Infrastructure as Code (IaC) Umgebungen, die mit Terraform bereitgestellt wurden. Es ermöglicht unteranderem das Erstellen von Policies, die bestimmte Tags auf den Ressourcen erfordern. Wenn eine Ressource diese Anforderungen nicht erfüllt, markiert terraform-compliance sie als nicht konform und kann das Deployment dieser Ressourcen verhindern.
Ein Beispiel für eine terraform-compliance Richtlinie, welche die Anforderung von ‚Project‚ und ‚CostCenter‚ Tags auf Secrets im Secret Manager und auf EC2 Instanzen durchsetzt, könnte folgendermaßen aussehen:
