Identitäten in AWS mit IAM managen und absichern

Inhaltsverzeichnis

In der Cloud verlieren klassische Netzwerkgrenzen an Bedeutung. Stattdessen rückt die Identität als neuer Sicherheitsperimeter in den Mittelpunkt der Verteidigung. Gerade bei Amazon Web Services (AWS) ist der dafür zuständige Dienst, das Identity and Access Management (IAM), nicht nur ein zentraler, sondern auch ein notorisch komplexer Baustein. Fehler bei der Konfiguration öffnen Angreifern Tür und Tor, sich mehr Rechte zu verschaffen. Verteidiger sind jedoch nicht schutzlos ausgeliefert: Zahlreiche, oft kostenlose Werkzeuge prüfen die AWS-Umgebung auf Fehler, spüren verlorene Zugangsdaten auf und schließen Lücken im IAM. Man muss sie nur nutzen.

IT-Security

• BBOT: Angriffsflächen automatisch erkennen und Risiken reduzieren
• Security: AWS Organizations mit erweiterten Schutzmaßnahmen absichern
• Von Beruf Hackerjäger: Was macht eigentlich ein Threat Intelligence Researcher?
• Sicherheitssysteme mit Atomic Red Team testen
• Kurz erklärt: Confidential Computing und wie es funktioniert
• IT-Sicherheit: Mit KI Schwachstellen finden und ausnutzen
• Reverse Engineering: Wie sich Malware selbst verteidigt
• Mit Reverse Engineering Packer und API-Hooking verstehen
• Mit Reverse Engineering API-Aufrufe und Shellcode von Malware analysieren
• Cyberangriffe ohne Malware: Living off the Land

iX-tract

• Identity and Access Management (IAM) ist der wichtigste, aber auch ein komplexer AWS-Dienst. Cloud-Admins können ihn daher leicht fehlkonfigurieren und so schwerwiegende Privilegieneskalationen ermöglichen.
• Weitere Lücken wie unbeabsichtigt veröffentlichte API-Schlüssel und Schwachstellen in den Anwendungen öffnen Angreifern Tür und Tor.
• Mit kostenlosen Werkzeugen untersuchen Verteidiger ihre AWS-Accounts auf Fehlkonfigurationen und finden auch Lücken im IAM.

Verlorene Zugangsdaten

Entwickler speichern Geheimnisse wie Passwörter, Zugriffstoken oder private Schlüssel häufig in Quelltext- oder Konfigurationsdateien – ob bewusst oder unabsichtlich. Der Fahrdienst Uber war 2014 und 2016 von Datenlecks betroffen, weil AWS-Schlüssel in einem Quelltextverzeichnis lagen.

Selbst wenn die Entwickler ihren Fehler bemerken und die sensiblen Daten löschen, verbleiben diese in vorherigen Dateiständen in einer Versionsverwaltung wie Git. Gerade wenn das Software-Repository öffentlich ist, sind solche Geheimnisse für Angreifer willkommene Beute. Eine Studie von GitGuardian ergab, dass Entwickler durchschnittlich alle 120 Git-Commits einen AWS-Schlüssel im Quelltextverzeichnis speichern.

Das war die Leseprobe unseres heise-Plus-Artikels "Identitäten in AWS mit IAM managen und absichern". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.