Cyberattacken auf Multi-Account-Strukturen zentral abwehren

Mit Hilfe einer AWS Network Firewall verstärkte Skaylink die Defense-in-Depth-Strategie eines Kunden

Cyberangriffe sind ein lukratives Geschäft – und es werden immer mehr: 2022 gab es über zwölf Prozent mehr registrierte Attacken als noch 2021. Eine durchdachte Sicherheitsarchitektur ist deshalb für Unternehmen unerlässlich. So sah es auch ein Kunde mit Multi-Account–Struktur in der AWS Cloud. Das bedeutet, dass jedes Cloud-Lösungsteam individuelle AWS–Accounts für ihre produktiven Workloads verwaltet. Standardmaßnahmen zur IT-Sicherheit sind in dieser Struktur oft auf Security Groups limitiert. Übergreifende, zentral gesteuerte Werkzeuge wie Threat Intelligence oder Intrusion Prevention können ihr Potenzial hier nicht entfalten. Der Kunde wollte trotzdem an zentraler Stelle den ein- und ausgehenden Datenverkehr mit Cloud–nativen Mitteln überprüfen und bei Bedarf blockieren. Und holte sich dafür die Spezialist*innen von Skaylink ins Boot:

Ein zentraler Knotenpunkt für den gesamten Datenverkehr

Zunächst musste das Team einen Weg finden, die ein- und ausgehenden Daten über eine zentralisierte Infrastruktur zu leiten. Security-Konzepte der klassischen OnPremise-Welt sind aber nicht einfach auf die virtuelle Ebene übertragbar: Wird der Verkehr zentralisiert, muss die dortige Firewall hochverfügbar, skalierbar und elastisch sein. Zugleich muss die virtuelle Infrastruktur betrieben und die Firewall-Software aktuell gehalten werden. In intensiven Workshops mit den zehn internen Verantwortlichen des Kunden entwickelte das Team dafür in drei Monaten eine allgemein abgestimmte Firewall-Lösung.

Hierfür richteten die Skaylink-Expert*innen einen zentralen Netzwerk-AWS-Account ein, in dem ein Transit Gateway den Verkehrsfluss zwischen AWS-Accounts, dem Internet und vorhandenen OnPremise-Ressourcen leitet. Alles wurde so konfiguriert, dass sämtlicher Verkehr immer durch die zentral gelegene AWS Network Firewall fließt. In dieser Firewall können jetzt anhand von Regeln, Threat Intelligence Feeds und Intrusion Prevention-Mechanismen Angriffsversuche zentral registriert und für die gesamte IT-Umgebung abgewehrt werden.

„Gemeinsam mit dem Kunden haben wir verschiedene Modelle zur Zentralisierung des Netzwerkverkehrs besprochen und dann alles an die Bedürfnisse des Kunden und ihrer Lösungen angepasst. Die Defense in Depth–Strategie der Kunden wird nun durch die zusätzliche Schicht verstärkt. Angriffsvektoren werden damit erfolgreich mitigiert. Durch die Nutzung des AWS Network Firewall Services muss der Kunde sich keine Gedanken mehr über Ausfallsicherheit und Hochverfügbarkeit machen – was sonst viel Zeit und Arbeit bereitet.“

Senior Cloud Security Consultant

Nickolas Webb

Der Verkehr von ausgewählten Cloud–Lösungen kann an zentraler Stelle gezielt eingeschränkt oder gestoppt werden. AWS übernimmt die Zuständigkeit für die Hochverfügbarkeit und Skalierung der Firewall–Infrastrukturen und kümmert sich um das Patching der Firewall–Software. Das Netzwerkteam beim Kunden kann sich so auf die Firewall-Regeln und erkannte Verdachtsfälle konzentrieren. Die zusätzliche Firewall zahlt auf die Defense in Depth–Strategie des Kunden ein. Das Risiko von Datenlecks und Angriffen wurde damit nochmal deutlich reduziert.

Arbeitsintensive Aufgaben an AWS ausgelagert

Wichtig bei einem solchen Projekt ist das Erkennen von Bottlenecks: Da der Netzwerkverkehr in der Struktur nun auch außerhalb einer einzelnen Cloud-Lösung kontrolliert wird, müssen sich Netzwerkteam und Lösungsteam gut abstimmen. Auch das Whitelisting vorab ist wichtig, um ungewünschte Blockaden zu vermeiden. Beim Whitelisting wird festgelegt, welcher Verkehr zugelassen wird. Nur so können Daten von einer individuellen Lösung in die zentrale Infrastruktur geleitet werden.

Der Kunde braucht nach wie vor interne Fachkräfte zum fachlichen Betrieb der Firewall. Durch die Zentralisierung des Netzwerkverkehrs über eine AWS-native, AWS-verwaltete Netzwerk-Firewall kann sich das Netzwerkteam aber nun ganz auf die inhaltliche Konfiguration der Firewall konzentrieren.

Weitere Case Studies

KWS und Skaylink treiben digitales Produktportfolio voran

KWS setzte auf Cloud-Technologien wie Platform-as-a-Service, Container und cloudnative Services für die digitale Kundenplattform myKWS….

Mit dem IT Risk Assessment zentralen Herausforderungen der VAIT begegnen

Gemeinsam mit dem Kunden konnten wir ein Verständnis für die Informationsrisiken in der Cloud erarbeiten & ihn auf ein BaFin-Audit vorbereiten….

Case Study „Rent an AWS Cloud Engineer“

Wir zeigen, wie ein Mittelständler AWS-Expertise skalierbar und kostengünstig ins Unternehmen gebracht hat….

Starten wir gemeinsam in die Zukunft

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.

Verschlagwortet mitAWS

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen Hubspot an dieser Stelle, um die Kontaktformulare zur Verfügung zu stellen.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js-eu1.hsforms.net

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Monate

Akzeptieren	Mouseflow
Name	Mouseflow
Anbieter	Mouseflow ApS, Flaesketorvet 68, 1711 Kopenhagen, Dänemark
Zweck	Die Datenverarbeitung dient dem Zweck der Analyse dieser Website und ihrer Besucher. Dazu werden Daten zu Marketing- und Optimierungszwecken gesammelt und gespeichert. Aus diesen Daten können unter einem Pseudonym Nutzungsprofile erstellt werden. Hierzu können Cookies eingesetzt werden. Bei dem Webanalyse-Tool Mouseflow werden zufällig ausgewählte einzelne Besuche (nur mit anonymisierter IP-Adresse) aufgezeichnet. Hierbei entsteht ein Protokoll der Mausbewegungen und Klicks mit der Absicht einzelne Website-Besuche stichprobenartig abzuspielen und potentielle Verbesserungen für die Website daraus abzuleiten. Die mit Mouseflow erhobenen Daten werden ohne die gesondert erteilte Zustimmung des Betroffenen nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt. Die Verarbeitung erfolgt auf Grundlage des Art. 6 (1) f) DSGVO aus dem berechtigten Interesse an direkter Kundenkommunikation und an der bedarfsgerechten Gestaltung der Website. Sie haben das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese auf Art. 6 (1) f DSGVO beruhende Verarbeitung Sie betreffender personenbezogener Daten zu widersprechen. Dazu können Sie eine Aufzeichnung auf allen Websites, die Mouseflow einsetzen, global für Ihren gerade verwendeten Browser unter folgendem Link deaktivieren: https://mouseflow.de/opt-out/
Datenschutzerklärung	https://mouseflow.com/privacy/
Cookie Name	gtm.ct.mf

Akzeptieren	Google Ads
Name	Google Ads
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google, das für das Conversion-Tracking von Google Ads verwendet wird.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de

Services

Produkte

Branchen

AWS

Microsoft

Private Cloud