AWS CloudTrail Best Practices, SIEM und Lacework – Lacework

AWS CloudTrail Best Practices, SIEM und Lacework

Stephanie Best - Product Marketing Director

15. März 2021

Security und die Verlagerung in die Cloud

Die Fähigkeit, Protokolldaten in laufende Prozesse einzubinden, wie z. B. für Warnungen, Berichte und Automatisierung, ist entscheidend für umfassende Cybersicherheitsprogramme. Bisher bedeutete dies, dass Server, Firewalls, Verzeichnisse, die Eindringungserkennung und zugehörige Tools auf der SIEM-Plattform (Security Information and Event Management) Ihrer Wahl protokolliert wurden und ein spezielles Team für die Verwaltung und Überprüfung dieser Datenvielfalt angeheuert wurde. Die Verlagerung in die Cloud verschärft dieses Problem mit neuen Protokollen wie AWS CloudTrail, die die virtuelle, flüchtige und hochgradig transaktionale Art dieser neuen Infrastruktur abbilden.

AWS ist für viele fast gleichbedeutend mit „der Cloud“, sodass das Unternehmen Jahr für Jahr Marktanteile hinzugewinnt. AWS bietet seinen Kunden eine scheinbar grenzenlose Vielfalt an Serviceangeboten. Dazu gehören relativ simple virtuelle Server (EC2) und Speicher (S3) sowie komplexere Plattformen wie die Kubernetes-Container-Orchestrierung (EKS) und ein wachsendes Angebot an verwalteten Datenbankdiensten wie Amazon RDS, Aurora und DynamoDB. Jeder dieser Dienste erzeugt große Mengen an API-gestützten CloudTrail-Protokollen. 

Warum benötigen Sie AWS CloudTrail?

CloudTrail enthält den unbearbeiteten Aktivitätsverlauf jedes dieser AWS-Dienste, die sich in einem oder mehreren AWS-Konten befinden können. CloudTrail protokolliert jede API-Aktion über die AWS Management Console und einige AWS-Dienste, aber auch über die AWS-Befehlszeilentools und die AWS Software Development Kits. Bei jedem Zugriff, Hinzufügen, Löschen oder Ändern durch einen dieser Cloud-Dienste wird ein entsprechendes CloudTrail-Ereignis aufgezeichnet.

Was sind mögliche Schwierigkeiten in Bezug auf AWS CloudTrail? 

In Erwägung zu ziehen sind beispielsweise der Umfang, die Kosten und die Größenordnung. CloudTrail bietet eine zentrale Anlaufstelle für die Abfrage oder Auswertung wichtiger Security-, Compliance- oder Troubleshooting-Protokolle. AWS stellt seine eher unscheinbare CloudTrail-Konsole für Ad-hoc-Suchen innerhalb des 90-tägigen Standardzeitfensters zur Verfügung, weshalb viele unternehmenseigene IT-Abteilungen CloudTrail-Protokolle in ihre SIEM-Plattform für eine tiefere Analyse und Abfrage aufnehmen. Aber gerade darin liegt das Problem: Diese Protokolle sind umfangreich und werden im Grunde wortwörtlich in Ihre Umgebung dupliziert. Angesichts dessen, dass SIEM-Anbieter oftmals nach Ereignissen pro Sekunde oder nach Gigabyte pro Tag lizenzieren, ist jedes dieser Modelle ein teures Unterfangen, das im Laufe der Zeit immer weiter ausufert.

Vor dem Hintergrund des wachsenden Trends groß angelegter, finanziell motivierter Vorfälle und Sicherheitsverletzungen, die fast täglich Schlagzeilen machen, steigen die Ausgaben für Cybersicherheit rapide. Unzählige Datensätze wurden von wohlmeinenden Unternehmen und Organisationen exfiltriert und es werden immer mehr. Der jüngste Angriff auf die Lieferkette von SolarWinds hat gezeigt, wie angreifbar selbst jene unter uns sind, die am vorsichtigsten und besten vorbereitet sind. Einrichtungen wie die amerikanische Regierung arbeiten noch immer an der Aufklärung dieses Angriffs und werden damit noch jahrelang beschäftigt sein. Eine forensische Analyse nach dem Vorfall kann sich leicht auf Milliarden (Billionen?) von Protokollen aus den letzten Monaten oder Jahren beziehen, um den Eindringling ausfindig zu machen, und eine Protokollierung dieses Ausmaßes kostet Geld. 

Warum steigen die Kosten von AWS CloudTrail?

A SIEM provides a centralized means for security teams to query an array of log data, not only from AWS CloudTrail but from other log sources, including cloud providers such as Google Cloud Platform (GCP) and Microsoft Azure. With an astronomically high volume, finding the logs for a given incident is akin to finding a needle in a needle stack, much less a haystack! To further complicate the matter, many logs amount to little more than white noise for security analysts. Some research puts the signal-to-noise ratio at roughly 1:25,000. Put another way, companies are challenged with paying for one usable log entry buried within tens of thousands of fillers. 

Was führt zu der Komplexität von AWS CloudTrail?

Erfahrene Sicherheitsteams planen Anwendungsfälle in ihrem SIEM im Voraus, um Berichte und Warnungen zu generieren, wenn bestimmte Protokollkriterien erfüllt werden. Doch selbst die größten Teams können nicht für alle Situationen im Voraus planen. In Wirklichkeit verhält sich ein typisches SIEM häufig eher reaktiv als proaktiv – nachdem der Schaden für Ihr Unternehmen und Ihren Ruf bereits eingetreten ist. Hinzu kommt, dass moderne Informationssysteme unglaublich komplex sein können. Dies gilt insbesondere für neuere Technologie-Stacks wie Kubernetes-orchestrierte Microservice-Architekturen. Das sich daraus ergebende Geflecht aus unterschiedlichsten Systemen und Protokollen liefert ein unübersichtliches und unvollständiges Bild, wobei allzu leicht eine Ereignis-/Traffic-Korrelation übersehen werden kann. Die Kosten eines Teams für die Verwaltung, Überwachung und Durchführung von Maßnahmen in diesem Umfang können unerschwinglich sein, was dazu führt, dass sich viele Teams unterbesetzt und überlastet fühlen. 

7 Best Practices für AWS CloudTrail

Sicherheitsexperten sollten bei der Arbeit mit AWS CloudTrail einige Best Practices beherzigen:

  1. Setzen Sie CloudTrail überall ein. Auch in AWS Regionen, in denen Sie möglicherweise nicht präsent sind, denn ein Angreifer könnte Instanzen, Services oder ganze Konten einrichten, ohne dass Sie dies bemerken. 
  2. Um das CloudTrail-Standardlimit von 90 Tagen zu umgehen, protokollieren Sie zentral in einem dafür vorgesehenen und streng kontrollierten AWS S3-Bucket. Ziehen Sie die Einrichtung eines separaten AWS-Kontos ausschließlich für diesen Zweck in Betracht. 
  3. Aktivieren Sie die CloudTrail-Protokolldatei-Integrität, um die Integrität Ihrer Protokolle zu gewährleisten. 
  4. Erweitern Sie S3-Bucket-Protokolle mit dem AWS Key Management Service (KMS), um die Komplexität von Aufgaben wie der Schlüsselrotation für ruhende Daten zu reduzieren.
  5. Achten Sie besonders auf die Richtlinieneinstellungen für den S3-Bucket, in dem Sie Ihre CloudTrail-Protokolle speichern, um eine Aufgabentrennung bei der Bucket-Verwaltung zu gewährleisten. 
  6. Ermöglichen Sie die MFA-Löschung für den Bucket, damit beim Löschen von Protokolldateien eine zusätzliche Authentifizierung erforderlich ist. 
  7. Erwägen Sie, für die Erfassung von Metrikdaten AWS CloudTrail mit AWS CloudWatch zu kombinieren, da ein ungewöhnlicher Anstieg der CPU-Auslastung ein Zeichen für einen aktiven Angriff sein kann.

Hier kommt Lacework ins Spiel

Die Lacework Cloud-Security-Plattform nimmt Protokolle von den komplexesten Multi-Cloud- und Container-Systemen auf – ohne großen Aufwand bei der Ersteinrichtung oder der laufenden Wartung. Dank einzigartigem maschinellem Lernen können Zusammenhänge und Abhängigkeiten erkannt werden, was Menschen schlicht nicht möglich ist – zumindest nicht im Rahmen eines realistischen Budgets. So sind tatsächlich proaktive Warnmeldungen über anomale Aktivitäten in Ihrer Umgebung möglich, mit nur wenigen False-Positives.

IT-Abteilungen können die SIEM-Lizenzkosten um potenziell 75 % oder mehr senken, indem sie einen Lacework-Kanal exportieren, statt alle AWS CloudTrail-Protokolle im Ganzen zu erfassen, ohne dass sie dabei einen Verlust der Datenzuverlässigkeit oder -integrität befürchten müssen. Lacework bietet eine hochgrafische, einheitliche Benutzeroberfläche, über die Sie Ihre Untersuchungen – historisch oder zeitlich begrenzt – schnell und einfach vertiefen und die benötigten Daten auf sinnvolle Weise darstellen können.  

Eine Sache noch …

Lacework utilizes the same platform to produce compliance reports for PCI-DSS, CIS, HIPAA, ISO 27000, NIST and SOC 2 by AWS Account, Recommendation Severity, or Status. File integrity monitoring allows for quick searches of files and metadata such as path, hash value, owner, command line, and modified times. Vulnerability management offers visibility from the host down to the container and repository level. You can quickly gauge which hosts or containers are vulnerable and how many you have running. Then focus your efforts by generating reports of fixable vulnerabilities with instructions for remediation. 

Erkenntnisse

  • Machen Sie keine Schlagzeilen mit einem Sicherheitsverstoß. 
  • AWS CloudTrail-Protokolle sollten einen wesentlichen Bestandteil Ihres Sicherheitsprogramms bilden.
  • Moderne Service-Architekturen können unglaublich komplex sein und es kann schwierig sein, die Vielzahl der einzelnen Ereignisquellen zueinander in Beziehung zu setzen.
  • Ihr SIEM bleibt unverzichtbar für Ihre vielschichtige Sicherheitsarchitektur; Sie können jedoch die Lizenz- und Personalkosten senken.

Überlassen Sie Lacework die Volumen- und Rechenanalyse Ihrer CloudTrail-Protokolle und verwenden Sie Ihr SIEM-Budget und Ihr Personal auf die Lösung anderer Probleme.

 

Nehmen Sie am 1. April 2021 um 10:00 Uhr PT | 1:00 Uhr ET an unserem Webinar teil, um mehr darüber zu erfahren, wie Sie durch die Vorverarbeitung Ihrer AWS CloudTrail-Protokolle Ihre SIEM-Kosten um mehr als 75 % senken können

Webinar: 7 Schlüsselüberlegungen beim Versand Ihrer AWS CloudTrail-Protokolle an ein SIEM