Cloud Security / Internet / Wirtschaft

Amazon AWS Pentest: Was ist möglich

Veröffentlicht am

AWS-Umgebungen sind nicht von Sicherheitsrisiken ausgeschlossen. Häufig werden die Amazon Web Services als besonders sicher, stabil und skalierbar bezeichnet, doch eine AWS-Umgebung ist dies nicht einfach von Haus aus. Vielmehr kommt es auf die entsprechenden Anwendungen und Einsatzgebiete an, die dort zum Einsatz kommen. Mit einem AWS Pentest kann man die Sicherheit weiter überprüfen.

Weil das so ist, sind Pentests innerhalb der Amazon Web Services gar keine Seltenheit mehr. Gerade die Amazon S3 Buckets sind häufig das Ziel etwaiger Kompromittierungen geworden und somit beliebte Angriffsziele. Pentests spielen daher auch in den AWS-Umgebungen eine überaus wichtige Rolle und sind Teil jeder größeren Sicherheitsstrategie.

Was genau ist eigentlich AWS?

Die Amazon Web Services bieten interessierten Kunden unzählige Dienstleistungen im Bereich des Hostings an. Egal, ob Content Delivery Network, Netzwerkinfrastrukturen oder Rechenleistung, bei AWS kommen Kunden in jeder Hinsicht auf ihre Kosten, wenn sie nach einem Cloud-Computing-Anbieter suchen.

Auch wenn die Amazon Web Services natürlich ebenso für kleine, wie große Kunden verfügbar gehalten werden, hat sich AWS gerade im Bereich der Großunternehmen einen Namen machen können. Das liegt vorrangig an der zuverlässigen Infrastruktur, die eine hohe Erreichbarkeit aufweist und die gebuchte Rechenleistung entsprechend sicher erreichen kann.

Nicht umsonst sind oder waren auch Unternehmen wie Netflix oder Dropbox Kunden von AWS, um ihre eigenen Dienstleistungen entsprechend skalierbar anbieten zu können. Am Ende ist AWS also eine Art gigantischer Hoster, der Server, Speicher, Netzwerkleistung, Datenbanken und vieles mehr zur Verfügung stellt.

Anhaltende Sicherheitsprobleme bei AWS

Spannend und interessant, gerade in unserem Business, ist, dass die Amazon Web Services immer wieder durch größere und kleinere Sicherheitslücken aufgefallen sind. So gab es in der Vergangenheit unter anderem ein ernstes Sicherheitsproblem, bei dem Angreifer Admin-Rechte auf beliebigen Cloud-Umgebungen von AWS-Kunden übernehmen konnten.

Neben solchen sicherheitskritischen Erscheinungen ist auch das Thema Datenschutz bei den Amazon Web Services immer wieder eine Diskussion wert. Das liegt zum einen daran, dass Amazon des Öfteren staatliche Aufträge erhielt, zum anderen aber auch an verschiedenen Ereignissen beteiligt ist, die eine regierungsnahe Haltung suggerieren.

Für europäische Kunden ist gerade der Datenschutz in Zeiten der DSGVO ein relevantes und ernst zu nehmendes Thema. Auch in Bezug auf Sicherheitslücken oder darauf, dass AWS immer wieder Ziel von Angriffen und Attacken ist.

Pentests innerhalb der Amazon Web Services

Pentests bei Amazon sind grundsätzlich erst einmal möglich. Amazon erlaubt innerhalb der eigenen Web Services Pentests im Bereich der Cloud-Angebote. Vom Kunden generierte und erstellte Inhalte können von ebendiesem oder einer beauftragten Firma also durchaus auf Sicherheitslücken oder Risiken hin getestet werden.

Was AWS allerdings von Anfang an verbietet, sind Tests im Bereich der Stabilität und Erreichbarkeit. Sie können Ihre eigene AWS EC2-Instanz also vollständig testen, dürfen dort aber keine Denial-of-Service-Angriffe (DOS) fahren. Tests im Kontext der Erreichbarkeit und Stabilität untersagt Amazon verständlicherweise innerhalb der Richtlinien.

Die Hosting-Infrastruktur von Cloud-Angeboten kann auch bei Amazon logischerweise keinem Pentest unterzogen werden. Als AWS-Dienst ist aber gerade Elastic Cloud Computing (EC2) populär. Hier sind Pentests ohne Weiteres möglich. Pentests werden hier im Bereich der Anwendungsprogrammierschnittstelle, den zur Verfügung gestellten Anwendungen oder auch innerhalb virtueller Maschinen vollzogen.

Auch die AWS IAM-Schlüssel, EC2-Instanzen, Anwendungen auf selbigen oder S3 Buckets müssen Teil einer AWS Pentest-Strategie sein. Hier kann aber nur der Einzelfall entscheiden, denn auch die genutzten AWS-Dienste spielen bei der Vorbereitung des entsprechenden Pentests eine entscheidene Rolle.

Tests, die beim AWS Pentest wegfallen

Ein Teil des Problems der Amazon Web Services ist, dass sie auf SaaS basieren. Das bedeutet nichts anderes als Software as a Service und meint, dass Kunden nicht wirklich Eigentümer sind, sondern vielmehr eine Umgebung bei Amazon mieten. Anders als klassische Server werden hier also nur einzelne Teile oder Ressourcen gebucht.

Allerdings sind auch SaaS-Dienste durchaus testbar und speziell ein Audit im Bereich Security zu Beginn ist definitiv angebracht. Andere Bereiche sind bei den Amazon Web Services hingegen nicht ohne Weiteres zu testen.

Dazu gehören dann unter anderem Services, die auf SaaS-Basis laufen, die physische Hardware selbst, die in den entsprechenden Rechenzentren liegt sowie auch EC2-Umgebungen von Partnern oder Dienstleistern, die nicht der eigenen administrativen Kontrolle unterliegen. Auch Amazon RDS, die kleinste relationale Datenbank bei AWS, ist von eventuellen Pentests ausgenommen.

Fazit zum AWS Pentest

Pentesting unter AWS unterscheidet sich am Ende sehr stark vom klassischen Pentesting auf anderen Infrastrukturen. Das liegt auch daran, dass klassisches Hacking, als wesentlicher Bestandteil beim Pentesting, gegen die AWS-Richtlinien verstößt. Wer dann Reaktionen des Sicherheitsteams bei Amazon auslöst, muss mit einem Ausschluss oder entsprechenden Problemen rechnen.

Stattdessen geht es beim Pentesting auf AWS vorwiegend darum, Konfigurationsfehler zu finden oder zu verhindern, dass Zugriffsschlüssel kompromittiert werden. Es dreht sich also eher um eigene Ressourcen, die beim Pentesting entsprechend genauer unter die Lupe genommen werden sollten, statt die Strukturen und die physische Hardware selbst, die bei AWS oft gar nicht direkt erreichbar ist.

Hilfreich sind hier hauseigene Lösungen von Amazon, wie der Amazon Inspector, der ein entsprechendes Schwachstellenmanagement verspricht. Am Ende müssen aber auch Ziele und Grenzen klar festgelegt werden und bekannt sein. In der AWS-Cloud ist vieles nicht möglich, weshalb Pentests innerhalb der Infrastruktur etwas um die Ecke denken müssen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.