Im Juli 2022 hat AWS ins­be­son­dere im Bereich Sicher­heit einige Neue­run­gen vor­ge­stellt. Die­ser Blog­bei­trag stellt einen Aus­schnitt aus den Neue­run­gen und Ankün­di­gun­gen des Monats Juli dar, erhebt aber nicht den Anspruch auf Voll­stän­dig­keit. Das Haupt­au­gen­merk liegt hier­bei auf Ver­än­de­run­gen, bei denen wir von einem direk­ten Ein­fluss auf unsere Kun­den aus­ge­hen. In die­sem Bei­trag wer­den ins­be­son­dere Ände­run­gen und Ankün­di­gun­gen der Ser­vices AWS Guard­Duty, Ama­zon Detec­tive on EKS sowie Ama­zon Reds­hift vorgestellt.

Data Ware­housing

Mit Ama­zon Reds­hift Ser­ver­less ver­grö­ßert Ama­zon das Port­fo­lio an aus­zu­wäh­len­den Reds­hift-Instan­zen und ent­fernt sich von der klas­si­schen Reds­hift-Archi­tek­tur hin zu einer mehr an die Cloud ange­pass­ten Architektur.

Ama­zon Reds­hift Serverless

Bereits wäh­rend der letz­ten re:invent im ver­gan­ge­nem Jahr wurde die ser­ver­less Vari­ante von Ama­zon Reds­hift ange­kün­digt. Seit Juli 2022 ist Reds­hift ser­ver­less nun all­ge­mein ver­füg­bar und im Ver­gleich zur Pre­view Ver­sion mit eini­gen neuen Fähig­kei­ten und Preis­struk­tu­ren ver­se­hen. Grund­sätz­lich ori­en­tiert der Ser­vice sich an der Archi­tek­tur von Snow­flake und folgt eben­falls dem pay-as-you-go Modell.

Im Ver­gleich zu klas­si­schen Reds­hift-Vari­an­ten bie­tet Reds­hift ser­ver­less die Mög­lich­keit, Com­pute Res­sour­cen je nach Bedarf auto­ma­tisch ver­ti­kal zu ska­lie­ren. Dies ermög­licht es, Reds­hift nun auch für Workloads ein­zu­set­zen, die über sel­tene jedoch hohe Last­spit­zen zu verfügen.

Nut­zer des Ser­vices kön­nen pro Account und Region meh­rere soge­nannte Ser­ver­less End­punkte anle­gen. Diese ste­hen in enger Ver­bin­dung mit den soge­nann­ten „Name­spaces“ und „Work­groups“. Name­spaces stel­len hier­bei eine Kol­lek­tion von Daten­bank­ob­jek­ten, Nut­zern und Berech­ti­gun­gen dar. Jeder Name­space kann genau eine oder keine Work­group besit­zen und vice versa.

Eine Work­group ist eine Kol­lek­tion von Com­pute Res­sour­cen inklu­sive der Netz­werk- und Sicher­heits­kon­fi­gu­ra­tio­nen. Jede die­ser Work­groups ver­fügt über einen ser­ver­less End­punkt, wel­cher zur Ver­bin­dung von und zu ver­schie­dene Appli­ka­tio­nen genutzt wer­den kann und ent­we­der öffent­lich oder nur pri­vat zugäng­lich ist. Die Ver­bin­dung kann via JDBC/ODBC oder aber über den Reds­hift Query Edi­tor erstellt werden.

Ama­zon Reds­hift ser­ver­less ist seit Juli 2022 in Frank­furt, Irland, Lon­don und Stock­holm ver­füg­bar. Preis­lich ori­en­tiert sich der Ser­vice am pay-as-you-go Model und im ver­gleich zur Pre­view sind die Preise zum release von 0,5$ pro RPU-Stunde auf 0,375$ pro RPU Stunde gesenkt wor­den. Wie oben aber ange­merkt, ermög­licht der Ser­vice ledig­lich eine ver­ti­kale Ska­lie­rung der Com­pute Ressourcen.

Secu­rity

Ama­zon Detec­tive on EKS

Ama­zon Detec­tive ist ein fully-mana­ged Ser­vice der AWS, der die Ana­lyse und Iden­ti­fi­zie­rung von Sicher­heits­ri­si­ken ver­ein­fa­chen und beschleu­ni­gen soll. Der Ser­vice extra­hiert Events, wie bei­spiels­weise Login-Ver­su­che, API-Auf­rufe und Netz­werktraf­fic von Ser­vices wie Guard­Duty, Cloud­Trail und den VPC Flow Logs und visua­li­siert diese als Graph-Modell, wel­ches das Ver­hal­ten der ein­zel­nen Res­sour­cen und deren Inter­ak­tio­nen mit­ein­an­der beschreibt. Seit Release sind einige neue Fea­tures hin­zu­ge­kom­men, wie die Inte­gra­tion in Splunk oder der Sup­port von AWS Organisationen.

Seit Juli ist Ama­zon Detec­tive nun auch für Kuber­netes Workloads, die auf EKS lau­fen ver­füg­bar. Bei Akti­vie­rung des Fea­tures fängt Ama­zon Detec­tive an, die Audit Logs von EKS zu extra­hie­ren und unter­sucht die API-Calls von Nut­zern, Appli­ka­tio­nen und des Con­trol Pla­nes in EKS für Clus­ter, Pods und Con­tai­ner Images. Diese Daten wer­den auto­ma­tisch in Ver­bin­dung gesetzt mit den aus Cloud­Trail oder den VPC Flow Logs extra­hier­ten Daten. Dies erlaubt es, dass Secu­rity Teams schnell Kor­re­la­tio­nen bemer­ken und auf unge­wünschte Ver­hal­tens­wei­sen reagie­ren können.

Ama­zon Detec­tive für EKS ist in allen Regio­nen ver­füg­bar, in denen auch Ama­zon Detec­tive ver­füg­bar ist. Die Kos­ten für den Ser­vice stei­gen mit der Menge an extra­hier­ten und pro­zes­sier­ten Log­da­ten. Für genauere Infor­ma­tio­nen ver­wei­sen wir auf die AWS Doku­men­ta­tion: AWS Detec­tive Preise

Ama­zon GuardDuty

Ama­zon Guard­Duty erlaubt es, AWS Accounts und Workloads auf bös­ar­tige Akti­vi­tä­ten zu unter­su­chen. Im Juli wurde der Ser­vice um die Erken­nung von Mal­ware ergänzt. Ganz gene­rell ist Mal­ware eine schäd­li­che Soft­ware, die Workloads stört oder uner­laub­ten Zugriff auf Daten erhält.

Um Mal­ware Pro­tec­tion nut­zen zu kön­nen, müs­sen User eine IAM-Rolle defi­nie­ren, die die not­wen­di­gen Berech­ti­gun­gen hat, um einen Mal­ware-Scan durch­zu­füh­ren. Wenn ein sol­cher Scan durch­ge­führt wird, erstellt Guard­Duty einen Snapshot des EBS-Spei­chers und stellt die­sen Snapshot in einem zwei­ten EBS-Spei­cher wie­der her. Anschlie­ßend wird eben die­ser wie­der­her­ge­stellte Snapshot über­prüft und aktu­elle Workloads wer­den nicht beeinträchtigt.

Ama­zon Guard­Duty Mal­ware Pro­tec­tion führt jedes Mal einen Scan aus, wenn eine EC2-Instanz oder ein Con­tai­ner-basier­ter Workload, der auf EC2 läuft, eine poten­zi­ell ver­däch­tige Aktion durch­führt. Wenn eine poten­zi­elle Mal­ware iden­ti­fi­ziert wurde, stellt Guard­Duty Infor­ma­tio­nen zum aus­fin­dig machen und bekämp­fen bereit, wie bei­spiels­weise der Name der Datei, ihr Spei­cher­ort und die EC2-Instanz.

Die Mal­ware Pro­tec­tion ist in allen Regio­nen ver­füg­bar, in denen auch Guard­Duty ver­füg­bar ist. Die Kos­ten für die Nut­zung des Ser­vices ori­en­tie­ren sich an der Größe der EBS-Volu­men, die gescannt werden.

Net­wor­king

AWS Cloud WAN

Mit AWS Cloud WAN stellt Ama­zon sei­nen Nut­zern nun einen mana­ged Ser­vice zur Ver­fü­gung, mit dem Wide Area Net­works erstellt und ver­wal­tet wer­den kön­nen. Dies erlaubt es, Daten­cen­ter, Büros, sowie VPCS in meh­re­ren AWS Regio­nen ein­fach mit­ein­an­der zu verknüpfen.

AWS Cloud WAN erlaubt es, dass Net­wor­king Teams in AWS zen­trale Netz­werk Poli­cies erstel­len und nut­zen kön­nen, um ein ver­ein­heit­lich­tes Netz­werk für alle Stand­orte und Netz­werk­ty­pen inner­halb des Unter­neh­mens zu erstel­len. Zusätz­lich hierzu ver­ein­facht Cloud WAN auch das Moni­to­ring die­ser Netz­werke, da Infor­ma­tio­nen über Gesund­heit, Sicher­heit und Per­for­mance der ein­zel­nen Netz­werke zen­tra­li­siert in Cloud WAN gesam­melt und visua­li­siert wer­den können.

Um die Sicher­heit des Traf­fics über die­ses Netz­werk zu gewähr­leis­ten, kön­nen soge­nannte Netz­werk Poli­cies erstellt wer­den. Diese kön­nen bei­spiels­weise dazu genutzt wer­den, den Traf­fic ein­zel­ner Arbeits­ab­läufe zu iso­lie­ren oder Ent­wick­lungs­um­ge­bun­gen von pro­duk­ti­ven Umge­bun­gen abzukapseln.

Cloud WAN ist in Europa in den größ­ten Stand­or­ten und somit unter ande­rem in Frank­furt, Irland und Lon­don ver­füg­bar. Der Preis, der für die Nut­zung des Ser­vices anfällt, ori­en­tiert sich grund­sätz­lich am pay-as-you-go Model. Preis­trei­bende Fak­to­ren bei der Nut­zung des Ser­vices sind die Core Net­work Edges, die erstellt wer­den, die Anzahl an Ver­bin­dun­gen zu jedem die­ser CNEs, wie bei­spiels­weise einem VPC oder einem VPN, die Anzahl an Tran­sit Gate­ways, die mit die­sen CNEs über Pee­ring ver­knüpft wer­den, sowie die Menge an Daten, die über jeden die­ser CNEs ver­ar­bei­tet wer­den. Aus­führ­li­che Infor­ma­tio­nen sind aber wie immer in der Doku­men­ta­tion zu fin­den: AWS Cloud WAN Preise

Für wei­tere regel­mä­ßige Updates zum Thema AWS Cloud, fol­gen Sie unse­rer Prä­senz auf Xing und Insta­gram oder direkt unse­rem Blog.