:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Security- und Compliance-Auditing unter AWS, Teil 2 Die Möglichkeiten von AWS Config im Detail
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Programmierer können unter AWS nahezu alle Aspekte ihrer Anwendungen und Infrastruktur programmatisch anpassen. AWS Cloud Trail und AWS Config helfen dabei, angesichts der flexiblen Möglichkeiten nicht den Überblick zu verlieren.
AWS Config ist seit 2016 verfügbar und stellt Nutzern eine Übersicht des Bestands ihrer aktuellen AWS-Ressourcen zur Verfügung. Die Bestandsanalyse selbst ist kostenlos. Darüber hinaus offeriert AWS Config optional einen historischen Konfigurationsverlauf und generiert bei jeder Änderung ein so genanntes Konfigurationselement, über dessen „Eingang“ man sich benachrichtigen lassen kann.
Ähnlich AWS CloudTrail (im Folgenden: Cloud Trail) agiert also auch AWS Config im Bereich Sicherheit und Governance, jedoch nicht auf Account-, sondern auf Ressource-Ebene. AWS-Admins können mit AWS Config beispielsweise vorhandene (in der Regel Kosten verursachende) AWS-Ressourcen „entdecken“. AWS Config kann aber auch den gesamten Ressourcen-Bestand mitsamt der jeweiligen Konfiguration zu Analysezwecken exportieren.
Nutzer haben so beispielsweise jederzeit einen Einblick, wie eine bestimmte AWS-Ressource zu jedem beliebigen Zeitpunkt in der Vergangenheit konfiguriert war. So kann man z. B. mit AWS Config sicherstellen, dass Richtlinien und Vorschriften eingehalten werden, indem AWS Config bei einem unerwünschten bzw. fehlerhaften (Konfigurations-) Zustand Alarm schlägt. Aber auch zur Sicherheitsanalyse oder Problembehebung lässt sich AWS Config hervorragend einsetzen.
Beim ersten Start von AWS Config erstellt der Dienst zunächst ein Inventar über die momentan im Konto aktiven Ressourcen und zeigt sie im Dashboard an. Die Kosten für AWS Config richten sich einerseits nach der Anzahl der gespeicherten Konfigurationselemente sowie nach der Anzahl aktiver AWS Config-Regelauswertungen im jeweiligen Konto. In Frankfurt zahlt man z. B. 0,003 USD pro im jeweiligen AWS-Konto erfassten Konfigurationselement.
Konfigurationselemente
Ein so genanntes Konfigurationselement erstellt AWS Config immer dann, wenn der Dienst für eine unterstützte Ressource eine Konfigurations- oder Beziehungsänderung erkennt, also eine Beziehung zu einer anderen Ressource innerhalb eines AWS-Kontos besteht.
Das Aufzeichnen von Konfigurationselementen ist kostenpflichtig und muss im Menü „Einstellungen“ einmalig aktiviert werden. Man kann den Config Recorder aber jederzeit stoppen oder pausieren. Selbstverständlich können Nutzer auch bei nachträglich ausgeschaltetem Recorder auf vorher aufgezeichnete Konfigurationselemente zugreifen.
Wie AWS Config arbeitet
AWS Config generiert bei aktiviertem Recorder aus allen verfügbaren Daten einen kontinuierlichen Zeitstrahl (History) über die teilnehmenden (unterstützen) Ressourcen (EC2-Instancen, VPC-Security-Groups, IAM-User etc.). Dazu „hängt sich“ AWS Config an den jeweiligen Cloud Trail des unterstützten Dienstes, um die zugehörigen Änderungen mitzubekommen und bildet daraus eine Übersicht der aktuellen Konfiguration.
AWS Config verfolgt aber auch solche Konfigurationsänderungen, die nicht durch die API eingeleitet wurden. Dazu untersucht AWS Config die Ressourcenkonfigurationen in regelmäßigen Abständen. Dazu liest AWS Config in zyklisch die vorhandene Konfigurationen mit der Hilfe der zugehörigen „describe --“- oder „list --“API-Aufrufe ein. Weitere Datenquellen für AWS Config sind z. B. VPC Flow Logs.
AWS Config kann außerdem Konfigurations-Snapshots der jeweiligen Konfiguration erzeugen bzw. zu einem spezifischen Zeitpunkt liefern und einen Stream darüber ausgeben, was sich wann gerändert hat. AWS Config ist also so mächtig, weil es nicht nur „Informationen“ liefert, sondern auch die Möglichkeit zur Verfügung stellt, Funktionen (z. B. Lambda-Funktionen) an „Änderungen“ anzudocken, mit deren Hilfe sich Änderung ggf. auch wieder rückgängig machen lassen.
Damit ist AWS Config eine Art Configuration-Management-System (CMDB) kombiniert aber diese Eigenschaft durch die Cloud-Trail-Integration mit der Möglichkeit, jederzeit nachweisen zu können, wer was wann getan hat. Daher ist es für den Einsatz von AWS Config wichtig, dem Dienst das Lesen des jeweiligen Cloud Trails zu erlauben, d. h. der Dienst muss mit einer IAM-Rolle laufen, die es erlaubt, die mit Config integrierten Ressourcen auflisten zu dürfen.
Das Zuweisen der Rolle erfolgt im Abschnitt „Allgemeine Einstellungen“ mit einem Klick auf „Bearbeiten“. Hier legt man auch fest, dass alle oder nur bestimmte Ressourcentypen aufgezeichnet werden und wie lange die Config-Daten aufbewahrt werden sollen. Default ist sieben Jahre (2557 Tage). Außerdem lässt sich eine „Liefermethode“ für die Speicherung der Konfigurationselemente konfigurieren.
Das benötigte S3-Bucket kann wahlweise hier angelegt oder (falls vorhanden) ausgewählt werden. Zusätzlich kann man sich via SNS (AWS Simple Notification Service) jederzeit über das Erstellen eines neuen Konfigurationselementes informieren lassen.
Ferner kann man AWS Config hier auch erlauben, detaillierte Informationen über die Konfigurationsänderungen und -benachrichtigungen an Amazon CloudWatch Events zu senden, wozu man von hier aus passende CloudWatch-Events-Regeln erstellen kann.
Konzepte von AWS Config
Die grundlegenden Konzepte von AWS Config sind Konfigurationselemente, der Konfigurationsverlauf, Konfigurations-Snapshots, ein Konfigurations-Stream, Ressourcen-Beziehungen und die bisher noch nicht erwähnten AWS-Config-Regeln. Der Konfigurationsverlauf ist wie gesehen die Sammlung aller Konfigurationselemente für eine bestimmte Ressource über einen beliebigen Zeitraum.
Jedes Konfigurationselement ist eine Point-in-Time-Momentaufnahme sämtlicher Attribute einer von AWS Config unterstützten AWS-Ressource im jeweiligen Konto. Beim ersten Start von AWS Config ermittelt der Dienst alle im betreffenden Konto unterstützten AWS-Ressourcen und erstellt für jede Ressource ein solches Konfigurationselement. Die ermittelten Ressourcen sind im Menü „Ressourcen“ der AWS Config Console zu finden. Hier kann der Nutzer komfortabel nach Ressourcenkategorie, Ressourcentypen und Compliance-Status filtern.
Folgt man dem Link zur jeweiligen Ressource, zeigt Config im Bereich Details die Ressource-Meta-Daten der jeweiligen Ressource, im Beispiel einer EC2-Instanz. Im Menü „Erweitere Anfrage“ ist es auch möglich, mit Hilfe von SQL-Statements nach der gewünschten Ressource zu „fahnden“.
Klickt man in der Detailansicht auf oben rechts auf den Knopf „Ressourcenzeitrahmen“, kommt man zur Timeline der ausgewählten Ressource. Mit Hilfe zweier Registerreiter kann man zwischen der „Konfigurations-Timeline“ und der „Compliance-Timeline“ wechseln. Ist/war der Config Recorder eingeschaltet, präsentiert die Timeline eine Zeitstrahlansicht, die jeden Zeitpunkt enthält, an dem es eine Änderung an der betreffenden Ressource gab.
Die Timeline-Ansicht zeigt im Modus „Konfigurations-Timeline“ im per Default ausgeklappten Abschnitt „Konfigurationsdetails“ die Ressource-Meta-Daten. Entfaltet man den Abschnitt „Beziehungen“, zeigt AWS Config zu welchen anderen AWS-Ressourcen diese Ressource (EC2 Instanz) zum gewählten Zeitpunkt in Beziehung stand.
Im Abschnitt „Änderungen“ hingegen zeigt AWS Config die „Änderungen“ zum gewählten Zeitpunkt selbst, sauber verpackt in JSON. Ganz unten bei „Cloud-Trail-Ereignisse“ bietet Config eine Ansicht auf die zugrundeliegenden Trail-Events und damit die Möglichkeit herauszufinden, wer, wann, welche Änderung veranlasst hat. In der Timeline des betreffenden Zeitpunkts ist auch vermerkt, ob Änderungen oder „Ereignisse“ vorliegen. Hier lässt sich auch feststellen, ob z. B. die Aufzeichnung zwischenzeitlich pausiert wurde.
Ausgehend vom Konfigurationselement steht neben dem Reiter für die „Konfigurations-Timeline“ ein Weiterer für die „Compliance Timeline“ zur Verfügung. Der Zweck der Compliance-Timeline steht im Zusammenhang mit genannten AWS-Config-Regeln, nicht zu verwechseln mit den erwähnten CloudWatch-Event-Regeln.
Konfigurations-Snapshots
Werfen wir noch einen Blick auf Konfigurations-Snapshots. Ein Konfigurations-Snapshot ist eine Sammlung der Konfigurationselemente der unterstützten Ressourcen im jeweiligen Konto. Somit stellt jeder Snapshot ein vollständiges Abbild aller aufgezeichneten Ressourcen und deren Konfigurationen in jeweiligen Konto dar. AWS Config speichert Konfigurations-Snapshots im beim Einrichten von AWS Config angegebenen S3-Bucket.
Snapshots unterstützen Admins bei der Validierung der bestehenden Konfiguration und lassen sich von S3 jederzeit im JSON-Format herunterladen. Wahlweise kann man ein Konfigurationselement mit der Konfiguration des ausgewählten Zeitpunkts auch in der Konfigurations-Timeline der AWS Config-Console mit einem Klick auf den Link „Konfigurationselement (JSON) anzeigen“ ansehen.
AWS-Config-Regeln / Compliance-Prüfung
Hat man eingestellt, dass AWS Config detaillierte Informationen über die Konfigurationsänderungen auch an „Amazon CloudWatch Events“ sendet, haben Admins die Möglichkeit, so genannte AWS-Config-Regeln zu erstellen. Mit deren Hilfe kann der Cloud-Admin die Übereinstimmung (Compliance) einer bestimmten AWS-Ressource z. B. nach einer Änderung mit einem in der Regel definierten Soll-Zustand überprüfen.
Grundsätzlich dienen AWS-Config-Regeln dazu, die Konfigurationseinstellungen ausgewählter AWS-Ressourcen zu „bewerten“. Eine Config-Regel stellt dann quasi die optimalen Konfigurationseinstellungen dar. Allerdings funktioniert das Regel-Feature quasi nur „nachgelagert“, d. h. der Admin kann nicht verhindern, dass eine initiale Konfiguration oder Änderung nicht mit einer Regel übereinstimmt. Er kann die Änderung aber auf diese Weise schnell erkennen und z. B. in Verbindung mit einer Lambda-Funktion die Änderung zeitnah zurückrollen.
Man muss aber nicht jede Regel selbst bzw. komplett neu erstellen, da AWS einen umfangreichen Fundus vordefinierter Regel-Vorlagen mitbringt. Beispiel wäre eine Regel, die sicherstellt, dass bei einem neuen S3-Bucket das Bucket-Logging oder die Verschlüsselung „at rest“ aktiviert sind oder das dass das Konfigurieren des öffentlichen anonymen Zugriffs auf ein Bucket verboten ist.
Die mitgelieferten Regeln-Vorlagen sind im Hauptmenü im Abschnitt „Regeln“ zu finden, wenn man auf „Regel hinzufügen“ klickt. Die Vorlagen finden sich dann bei „AWS-verwaltete Regeln“. Selbstverständlich steht auch hier ein Suchfilter zur Verfügung. Im Beispiel suchen wir nach Regeln, die mit Verschlüsslung zu tun haben.
Die Berechnung der Gebühren für AWS Config Regeln haben sich ab Sommer 2019 geändert. Seit dem 1. August 2019 berechnet sich AWS Config nicht mehr anhand der Zahl der aktiven Regeln im jeweiligen Konto, sondern anhand der Anzahl der aufgezeichneten Auswertungen von Config-Regeln. Eine Regelauswertung wir immer dann aufgezeichnet, wenn eine Config-Regel eine Ressource hinsichtlich der Compliance bewertet.
Fazit
Da der Cloud-Computing-Nutzer seinem Provider hinsichtlich Sicherheit, Datenschutz, Kosten und Compliance nicht physisch auf die Finger schauen kann, sollte er sich selbst maximale Transparenz verschaffen. Neben „Detailed Billing“ sind AWS Cloud Trail und AWS Config die wichtigsten Werkzeuge für diesen Zweck.
(ID:46672997)
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/03/f403b397d5d444c613beac43e89d2f6b/0108282065.jpeg "Mit Terraform lassen sich komplexe Multicloud-Szenarien mit kleinen Konfigurationsdateien umsetzen. (Bild: Joos)")