Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Amazon AWS Pentest: Was ist möglich

M.Sc. Jan Hörnemann

AWS-Umgebungen sind nicht von Sicherheitsrisiken ausgeschlossen. Häufig werden die Amazon Web Services als besonders sicher, stabil und skalierbar bezeichnet, doch eine AWS-Umgebung ist dies nicht einfach von Haus aus. Vielmehr kommt es auf die entsprechenden Anwendungen und Einsatzgebiete an, die dort zum Einsatz kommen. Mit einem AWS Pentest kann man die Sicherheit weiter überprüfen.

Weil das so ist, sind Pentests innerhalb der Amazon Web Services gar keine Seltenheit mehr. Gerade die Amazon S3 Buckets sind häufig das Ziel etwaiger Kompromittierungen geworden und somit beliebte Angriffsziele. Pentests spielen daher auch in den AWS-Umgebungen eine überaus wichtige Rolle und sind Teil jeder größeren Sicherheitsstrategie.

Was genau ist eigentlich AWS?

Die Amazon Web Services bieten interessierten Kunden unzählige Dienstleistungen im Bereich des Hostings an. Egal, ob Content Delivery Network, Netzwerkinfrastrukturen oder Rechenleistung, bei AWS kommen Kunden in jeder Hinsicht auf ihre Kosten, wenn sie nach einem Cloud-Computing-Anbieter suchen.

Auch wenn die Amazon Web Services natürlich ebenso für kleine, wie große Kunden verfügbar gehalten werden, hat sich AWS gerade im Bereich der Großunternehmen einen Namen machen können. Das liegt vorrangig an der zuverlässigen Infrastruktur, die eine hohe Erreichbarkeit aufweist und die gebuchte Rechenleistung entsprechend sicher erreichen kann.

Nicht umsonst sind oder waren auch Unternehmen wie Netflix oder Dropbox Kunden von AWS, um ihre eigenen Dienstleistungen entsprechend skalierbar anbieten zu können. Am Ende ist AWS also eine Art gigantischer Hoster, der Server, Speicher, Netzwerkleistung, Datenbanken und vieles mehr zur Verfügung stellt.

Anhaltende Sicherheitsprobleme bei AWS

Spannend und interessant, gerade in unserem Business, ist, dass die Amazon Web Services immer wieder durch größere und kleinere Sicherheitslücken aufgefallen sind. So gab es in der Vergangenheit unter anderem ein ernstes Sicherheitsproblem, bei dem Angreifer Admin-Rechte auf beliebigen Cloud-Umgebungen von AWS-Kunden übernehmen konnten.

Neben solchen sicherheitskritischen Erscheinungen ist auch das Thema Datenschutz bei den Amazon Web Services immer wieder eine Diskussion wert. Das liegt zum einen daran, dass Amazon des Öfteren staatliche Aufträge erhielt, zum anderen aber auch an verschiedenen Ereignissen beteiligt ist, die eine regierungsnahe Haltung suggerieren.

Für europäische Kunden ist gerade der Datenschutz in Zeiten der DSGVO ein relevantes und ernst zu nehmendes Thema. Auch in Bezug auf Sicherheitslücken oder darauf, dass AWS immer wieder Ziel von Angriffen und Attacken ist.

Pentests innerhalb der Amazon Web Services

Pentests bei Amazon sind grundsätzlich erst einmal möglich. Amazon erlaubt innerhalb der eigenen Web Services Pentests im Bereich der Cloud-Angebote. Vom Kunden generierte und erstellte Inhalte können von ebendiesem oder einer beauftragten Firma also durchaus auf Sicherheitslücken oder Risiken hin getestet werden.

Was AWS allerdings von Anfang an verbietet, sind Tests im Bereich der Stabilität und Erreichbarkeit. Sie können Ihre eigene AWS EC2-Instanz also vollständig testen, dürfen dort aber keine Denial-of-Service-Angriffe (DOS) fahren. Tests im Kontext der Erreichbarkeit und Stabilität untersagt Amazon verständlicherweise innerhalb der Richtlinien.

Die Hosting-Infrastruktur von Cloud-Angeboten kann auch bei Amazon logischerweise keinem Pentest unterzogen werden. Als AWS-Dienst ist aber gerade Elastic Cloud Computing (EC2) populär. Hier sind Pentests ohne Weiteres möglich. Pentests werden hier im Bereich der Anwendungsprogrammierschnittstelle, den zur Verfügung gestellten Anwendungen oder auch innerhalb virtueller Maschinen vollzogen.

Auch die AWS IAM-Schlüssel, EC2-Instanzen, Anwendungen auf selbigen oder S3 Buckets müssen Teil einer AWS Pentest-Strategie sein. Hier kann aber nur der Einzelfall entscheiden, denn auch die genutzten AWS-Dienste spielen bei der Vorbereitung des entsprechenden Pentests eine entscheidene Rolle.

Tests, die beim AWS Pentest wegfallen

Ein Teil des Problems der Amazon Web Services ist, dass sie auf SaaS basieren. Das bedeutet nichts anderes als Software as a Service und meint, dass Kunden nicht wirklich Eigentümer sind, sondern vielmehr eine Umgebung bei Amazon mieten. Anders als klassische Server werden hier also nur einzelne Teile oder Ressourcen gebucht.

Allerdings sind auch SaaS-Dienste durchaus testbar und speziell ein Audit im Bereich Security zu Beginn ist definitiv angebracht. Andere Bereiche sind bei den Amazon Web Services hingegen nicht ohne Weiteres zu testen.

Dazu gehören dann unter anderem Services, die auf SaaS-Basis laufen, die physische Hardware selbst, die in den entsprechenden Rechenzentren liegt sowie auch EC2-Umgebungen von Partnern oder Dienstleistern, die nicht der eigenen administrativen Kontrolle unterliegen. Auch Amazon RDS, die kleinste relationale Datenbank bei AWS, ist von eventuellen Pentests ausgenommen.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Fazit zum AWS Pentest

Pentesting unter AWS unterscheidet sich am Ende sehr stark vom klassischen Pentesting auf anderen Infrastrukturen. Das liegt auch daran, dass klassisches Hacking, als wesentlicher Bestandteil beim Pentesting, gegen die AWS-Richtlinien verstößt. Wer dann Reaktionen des Sicherheitsteams bei Amazon auslöst, muss mit einem Ausschluss oder entsprechenden Problemen rechnen.

Stattdessen geht es beim Pentesting auf AWS vorwiegend darum, Konfigurationsfehler zu finden oder zu verhindern, dass Zugriffsschlüssel kompromittiert werden. Es dreht sich also eher um eigene Ressourcen, die beim Pentesting entsprechend genauer unter die Lupe genommen werden sollten, statt die Strukturen und die physische Hardware selbst, die bei AWS oft gar nicht direkt erreichbar ist.

Hilfreich sind hier hauseigene Lösungen von Amazon, wie der Amazon Inspector, der ein entsprechendes Schwachstellenmanagement verspricht. Am Ende müssen aber auch Ziele und Grenzen klar festgelegt werden und bekannt sein. In der AWS-Cloud ist vieles nicht möglich, weshalb Pentests innerhalb der Infrastruktur etwas um die Ecke denken müssen.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen