Zero-Trust-Architektur

Die grundlegende Prämisse der Zero-Trust-Sicherheit ist die Annahme, dass jede Verbindung zu deinem System eine Bedrohung darstellt. Jede einzelne Schnittstelle sollte dann durch eine Schicht von Authentifizierung (wer bist du?) und Autorisierung (was willst du?) geschützt werden. Das gilt sowohl für öffentliche API-Endpunkte, also den Perimeter im traditionellen Burg-und-Mauer-Modell, als auch für private, interne Schnittstellen wie Lambda-Funktionen oder DynamoDB-Tabellen. Zero Trust kontrolliert den Zugriff auf jede einzelne Ressource in deiner Anwendung, während ein Castle-and-Moat-Modell nur den Zugriff auf die Ressourcen am Rande deiner Anwendung kontrolliert.

Stell dir vor, dass ein umherstreifender Ritter zu den Burgmauern galoppiert, den Wachen einen gut aussehenden Ausweis vorlegt und sie von seinen ehrenhaften Absichten überzeugt, bevor er selbstbewusst über die heruntergelassene Zugbrücke die Burg betritt. Wenn diese Wachen das Ausmaß der Sicherheit der Burg ausmachen, kann der Ritter nun frei in den Räumen, Kerkern und Juwelenlagern umherstreifen und sensible Informationen für zukünftige Überfälle sammeln oder an Ort und Stelle wertvolle Gegenstände stehlen. Wenn jedoch jede Tür oder jeder Gang mit zusätzlichen verdächtigen Wachen oder ausgeklügelten Sicherheitskontrollen ausgestattet ist, die standardmäßig null Vertrauen voraussetzen, wäre der Ritter völlig eingeschränkt und würde vielleicht sogar davon abgehalten, überhaupt in die Burg einzudringen.

Ein anderes Szenario ist eine Burg, in der für jede schwere Tür ein einziger Schlüssel angefertigt wird: Sollte der Ritter in den Besitz einer Kopie dieses Schlüssels gelangen, kann er alle Türen öffnen, egal wie dick oder schwer sie sind. Bei Zero Trust gibt es für jede Tür einen eigenen Schlüssel. Abbildung 4-2 zeigt, wie das Burg-und-Moor-Modell im Vergleich zu einer Zero-Trust-Architektur aussieht.

Abbildung 4-2. Castle-and-Moat-Perimeter-Sicherheit im Vergleich zur Zero-Trust-Architektur

Es gibt verschiedene Anwendungen für die Zero-Trust-Architektur, z. B. Remote Computing und die Sicherheit von Unternehmensnetzwerken. Im nächsten Abschnitt wird kurz erläutert, wie das Zero-Trust-Modell interpretiert und auf serverlose Anwendungen angewendet werden kann.

Null Vertrauen und serverlos

Zero Trust wird oft als das nächste große Ding in der Netzwerksicherheit angepriesen. Abgesehen von den Schlagwörtern und dem Hype ist es eine natürliche Lösung für die Sicherheit von verteilten, serverlosen Systemen. Tatsächlich ist Zero Trust oft die De-facto-Methode zur Sicherung von serverlosen Anwendungen. Wenn du die Anwendungssicherheit mit einer Zero-Trust-Mentalität angehst, unterstützt das die Entwicklung guter Gewohnheiten wie die Überprüfung von Nachrichten zwischen den Diensten und die Sicherheit intern zugänglicher APIs.

Du kannst nicht einfach von einem Burg-und-Moat-Modell zu Zero Trust wechseln. Du brauchst zunächst eine unterstützende Anwendungsarchitektur. Wenn zum Beispiel deine API, Geschäftslogik und Datenbank in einer einzigen Container-Anwendung laufen, wird es sehr schwierig sein, die granularen, ressourcenbasierten Berechtigungen anzuwenden, die zur Unterstützung von Zero Trust erforderlich sind. Serverless bietet die optimale Anwendungsarchitektur für Zero Trust, da die Ressourcen auf natürliche Weise zwischen API, Rechenleistung und Speicherung isoliert sind und für jede Ressource eine hochgranulare Zugriffskontrolle in möglich ist.

Lambda-Ausführungsrollen

Eine wichtige Verwendung von IAM-Rollen in serverlosen Anwendungen sind Lambda-Funktionen Ausführungsrollen. Eine Ausführungsrolle wird an eine Lambda-Funktion angehängt und gewährt der Funktion die für die korrekte Ausführung erforderlichen Berechtigungen, einschließlich des Zugriffs auf alle anderen erforderlichen AWS-Ressourcen. Wenn die Lambda-Funktion zum Beispiel das AWS SDK verwendet, um eine DynamoDB-Anfrage zu stellen, die einen Datensatz in eine Tabelle einfügt, muss die Ausführungsrolle eine Richtlinie mit der Aktion dynamodb:PutItem für die Tabellenressource enthalten.

Die Ausführungsrolle wird vom Lambda-Service bei der Durchführung von Operationen auf der Kontroll- und Datenebene übernommen. Der AWS Security Token Service (STS) wird verwendet, um kurzlebige, temporäre Sicherheitsnachweise abzurufen, die während des Aufrufs über die Umgebungsvariablen der Funktion verfügbar gemacht werden.

Jede Funktion in deiner Anwendung sollte eine eigene, eindeutige Ausführungsrolle mit den Mindestberechtigungen haben, die zur Erfüllung ihrer Aufgabe erforderlich sind. Auf diese Weise sind Einzweckfunktionen (eingeführt in Kapitel 6) auch der Schlüssel zur Sicherheit: Die IAM-Berechtigungen können eng an die Funktion gebunden werden und bleiben entsprechend der begrenzten Funktionalität extrem eingeschränkt.

IAM-Leitplanken

Wie du sicher schon gemerkt hast, geht es bei effektiver serverloser Sicherheit in der Cloud um grundlegende Sicherheitshygiene. Die Festlegung von Leitplanken für die Nutzung von AWS IAM ist ein zentraler Bestandteil der Förderung eines sicheren Ansatzes für die täglichen technischen Aktivitäten. Hier sind einige empfohlene Leitplanken:

Wende das Prinzip des geringsten Privilegs in den Richtlinien an.

IAM Richtlinien sollten nur den minimalen Satz an Berechtigungen enthalten, der für die zugehörige Ressource erforderlich ist, um die notwendigen Operationen auf der Kontroll- oder Datenebene durchzuführen. Generell gilt: Verwende keine Platzhalter (*) in deinen Richtlinienanweisungen. Wildcards sind das Gegenteil von Least Privilege, da sie pauschale Berechtigungen für Aktionen und Ressourcen vergeben. Wenn die Aktion nicht ausdrücklich einen Platzhalter erfordert, solltest du immer spezifisch sein.

Vermeide die Verwendung von verwalteten IAM-Richtlinien.

Diese sind Richtlinien, die von AWS bereitgestellt werden, und sie sind oft verlockende Abkürzungen, besonders wenn du gerade erst anfängst oder einen Service zum ersten Mal nutzt. Du kannst diese Richtlinien zu Beginn des Prototypings oder der Entwicklung verwenden, aber du solltest sie durch eigene Richtlinien ersetzen, sobald du die Integration besser verstehst. Da diese Richtlinien für allgemeine Szenarien entwickelt wurden, sind sie einfach nicht restriktiv genug und verletzen in der Regel das Prinzip der geringsten Privilegien, wenn sie auf Interaktionen innerhalb deiner Anwendung angewendet werden.

Bevorzuge Rollen gegenüber Benutzern.

IAM-Benutzer erhalten statische, langlebige AWS Zugangsdaten (eine Zugangsschlüssel-ID und einen geheimen Zugangsschlüssel). Diese Zugangsdaten können verwendet werden, um direkt auf das AWS-Konto des Anwendungsanbieters zuzugreifen, einschließlich aller Ressourcen und Daten in diesem Konto. Je nach den zugehörigen IAM-Rollen und -Richtlinien kann der authentifizierende Nutzer sogar die Möglichkeit haben, Ressourcen zu erstellen oder zu zerstören. Angesichts der Macht, die sie dem Inhaber verleihen, muss die Verwendung und Verteilung von statischen Anmeldeinformationen eingeschränkt werden, um das Risiko eines unbefugten Zugriffs zu verringern. Wenn möglich, solltest du die Anzahl der IAM-Benutzer auf ein absolutes Minimum beschränken (oder, noch besser, überhaupt keine IAM-Benutzer einrichten).

Bevorzuge eine Rolle pro Ressource.

Jede Ressource in deiner Anwendung, wie z.B. eine EventBridge-Regel, eine Lambda-Funktion und eine SQS-Warteschlange, sollte eine eigene Rolle haben. Die Berechtigungen für diese Rollen sollten feinkörnig sein und am wenigsten privilegiert.

Einführung in die Bedrohungsmodellierung

Zu diesem Zeitpunkt solltest du ein ziemlich klares Verständnis deiner Sicherheitsverantwortung, ein grundlegendes Sicherheitsframework und die wichtigsten Bedrohungen für serverlose Anwendungen haben. Als Nächstes musst du das Framework und die Bedrohungen auf deine Anwendung und ihre Dienste übertragen.

Bei der Bedrohungsmodellierung handelt es sich um einen Prozess, der deinem Team helfen kann, durch Diskussionen und Zusammenarbeit Angriffsvektoren, Bedrohungen und Abhilfemaßnahmen zu identifizieren. Es kann einen Shift-Links- (oder sogar Start-Links-) Sicherheitsansatz unterstützen, bei dem die Sicherheit in erster Linie von dem Team verantwortet wird, das die Anwendung entwirft, erstellt und betreibt, und während des gesamten Lebenszyklus der Softwareentwicklung als Hauptanliegen behandelt wird. Dieser Ansatz wird manchmal auch als DevSecOps bezeichnet.

Um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten, sollte die Modellierung von Bedrohungen ein Prozess sein, den du regelmäßig durchführst, z. B. bei der Verfeinerung von Aufgaben. Die Bedrohungen sollten bereits in einem frühen Stadium des Lösungsentwurfs modelliert werden (siehe Kapitel 6) und sich auf die Funktions- oder Dienstebene konzentrieren.

Als Nächstes wirst du einen Rahmen kennenlernen, der dem Prozess der Bedrohungsmodellierung Struktur verleiht: STRIDE.

STRIDE

Das Akronym STRIDE beschreibt sechs Bedrohungskategorien:

Spoofing

Vorgeben , etwas oder jemand anderes zu sein, als du bist

Manipulationen

Ändern von Daten auf der Festplatte, im Speicher, im Netzwerk oder anderswo

Ablehnung

Behauptung , dass du für eine Handlung nicht verantwortlich warst

Offenlegung von Informationen

Erlangung von Informationen, die nicht für dich bestimmt waren

Denial of Service

Zerstörung oder Übermäßiger Verbrauch von endlichen Ressourcen

Erhöhung des Privilegs

Durchführen von Aktionen auf geschützten Ressourcen, die du nicht ausführen darfst

STRIDE-per-Element, oder kurz STRIDE/Element, ist eine Möglichkeit, die STRIDE-Bedrohungskategorien auf Elemente in deiner Anwendung anzuwenden. Das kann helfen, den Prozess der Bedrohungsmodellierung weiter zu fokussieren.

Die Elemente sind Ziele potenzieller Bedrohungen und werden definiert als:

• Menschliche Akteure/externe Entitäten

• Prozesse

• Datenspeicher

• Datenströme

Es ist wichtig, dass du dich nicht von der Bedrohungsmodellierung überwältigen lässt. Die Absicherung einer Anwendung kann entmutigend sein, aber erinnere dich daran, dass sie, wie zu Beginn dieses Kapitels beschrieben, auch ganz einfach sein kann, vor allem bei serverlosen Anwendungen. Fang klein an, arbeite im Team und befolge den Prozess Schritt für Schritt. Die Identifizierung einer Bedrohung für jedes Element/Bedrohungskombination in der Matrix in Abbildung 4-4 ist ein guter Anfang.

Abbildung 4-4. Anwenden der STRIDE-Bedrohungskategorien pro Element in deiner Anwendung

Denk nach, bevor du installierst

Du kannst mit der Sicherung der serverlosen Lieferkette beginnen, indem du Pakete vor der Installation unter die Lupe nimmst. Dies ist ein einfacher Vorschlag, der einen echten Unterschied bei der Sicherung der Lieferkette deiner Anwendung und bei der allgemeinen Wartung im großen Maßstab machen kann.

Verwende so wenige Abhängigkeiten wie nötig und achte auf Abhängigkeiten, die den Daten- und Kontrollfluss deiner Anwendung verschleiern, wie z.B. Middleware-Bibliotheken. Wenn es eine triviale Aufgabe ist, versuche immer, sie selbst zu erledigen. Es geht auch um Vertrauen. Vertraust du dem Paket? Vertraust du den Mitwirkenden?

Bevor du das nächste Paket in deiner serverlosen Anwendung installierst, solltest du die folgenden Praktiken anwenden:

Analysiere das GitHub-Repository.

Überprüfung die Mitwirkenden an dem Paket. Mehr Mitwirkende bedeuten mehr Kontrolle und Zusammenarbeit. Prüfe, ob das Repository verifizierte Übertragungen verwendet. Beurteile die Geschichte des Pakets: Wie alt ist es? Wie viele Commits wurden gemacht? Analysiere die Repository-Aktivitäten, um herauszufinden, ob das Paket aktiv gewartet und von der Gemeinschaft genutzt wird - GitHub-Sterne sind ein grober Indikator für die Popularität. Vergewissere dich auch, dass die Lizenz des Pakets mit den in deinem Unternehmen geltenden Einschränkungen übereinstimmt.

Verwende offizielle Paketquellen.

Beziehe nur Pakete aus offiziellen Quellen wie NPM, PyPI, Maven, NuGet oder RubyGems über sichere (d.h. HTTPS) Links. Bevorzuge signierte Pakete, die auf Integrität und Authentizität überprüft werden können. Der JavaScript-Paketmanager NPM ermöglicht es dir zum Beispiel, Paketsignaturen zu überprüfen.

Überprüfe den Abhängigkeitsbaum.

Sei dir der Abhängigkeiten des Pakets und des gesamten Abhängigkeitsbaums bewusst. Wähle Pakete mit Null-Laufzeit-Abhängigkeiten, wenn möglich.

Probiere aus, bevor du kaufst.

Teste neue Pakete so isoliert wie möglich und zögere die Einführung in der gesamten Codebasis so lange wie möglich hinaus, bis du dich sicher fühlst.

Prüfe, ob du es selbst tun kannst.

Erfinde das Rad nicht einfach neu, aber eine sehr einfache Möglichkeit, undurchsichtigen Code von Drittanbietern zu entfernen, ist, ihn gar nicht erst einzuführen. Untersuche den Quellcode, um herauszufinden, ob das Paket etwas Einfaches tut, das sich leicht in ein Dienstprogramm eines Drittanbieters übertragen lässt. Logging-Bibliotheken sind ein perfektes Beispiel: Du kannst ganz einfach deinen eigenen Logger implementieren, anstatt eine Bibliothek eines Drittanbieters über deine Codebasis zu verteilen.

Mach es einfach, auszusteigen.

Entwicklungsmuster wie service isolation, single-responsibility Lambda functions und shared code (siehe Kapitel 6 für weitere Informationen zu diesen Mustern) machen es einfacher, deine Architektur weiterzuentwickeln und zu vermeiden, dass allgegenwärtige Antipatterns oder anfällige Software deine Codebase übernehmen.

Sperre auf den neuesten Stand.

Verwende immer die aktuellste Version des Pakets und verwende immer eine explizite Version und nicht einen Bereich oder ein "latest"-Flag.

Deinstalliere alle nicht verwendeten Pakete.

Deinstalliere immer und lösche unbenutzte Pakete aus deinem Abhängigkeitsmanifest. Die meisten modernen Compiler und Bundler nehmen nur die Abhängigkeiten auf, die tatsächlich von deinem Code gebraucht werden.

Pakete auf Schwachstellen scannen

Als Reaktion auf neue Pakete, Paket-Upgrades und Berichte über neue Schwachstellen solltest du außerdem kontinuierlich Schwachstellen-Scans durchführen. Die Scans können mit Tools wie Snyk oder dem GitHub-eigenen Warnsystem Dependabot gegen ein Code-Repository durchgeführt werden.

Abhängigkeits-Upgrades automatisieren

Von allen Vorschlägen zur Sicherung deiner Lieferkette ist dies der wichtigste. Selbst wenn du eine serverlose Anwendung mit zahlreichen Paketen hast, die über mehrere Dienste verteilt sind, solltest du sicherstellen, dass die Upgrades aller Abhängigkeiten automatisiert sind.

Indem du die Paketversionen auf dem neuesten Stand hältst, stellst du sicher, dass du nicht nur Zugang zu den neuesten Funktionen hast, sondern auch zu den neuesten Sicherheitspatches. Schwachstellen können in früheren Versionen von Software gefunden werden, nachdem viele spätere Versionen veröffentlicht wurden. Ein Upgrade über mehrere kleinere Versionen hinweg kann schon schwierig genug sein, je nachdem, welche Funktionen das Paket hat, ob sich die Autoren an die semantische Versionierung halten und wie verbreitet das Paket in deiner Codebasis ist - aber ein Upgrade von einer Hauptversion auf eine andere ist in der Regel nicht trivial, da die Wahrscheinlichkeit besteht, dass die nächste Version bahnbrechende Änderungen enthält, die sich auf deine Nutzung des Pakets auswirken.

Laufzeit-Updates

Neben der Aktualisierung der Abhängigkeiten ist es sehr empfehlenswert, die neueste Version der AWS Lambda-Laufzeitumgebung, die du verwendest, zu verwenden. Vergewissere dich, dass du Neuigkeiten zur Laufzeitunterstützung abonniert hast und aktualisiere so bald wie möglich.

Das Gleiche gilt für alle Pipelines, die du unterhältst, da diese wahrscheinlich auf virtuellen Maschinen und Laufzeiten laufen, die von Drittanbietern bereitgestellt werden. Und erinnere dich daran, dass du nicht in allen Pipelines und Funktionen dieselbe Laufzeitversion verwenden musst. Du solltest zum Beispiel die neueste Version von Node.js in deinen Pipelines verwenden, noch bevor sie von der Lambda-Laufzeit unterstützt wird.

Amazon Cognito

Bevor wir eintauchen, lass uns die Bausteine definieren, die du brauchst. Cognito wird oft als einer der komplexesten AWS-Services angesehen. Deshalb ist es wichtig, dass du ein grundlegendes Verständnis der Komponenten von Cognito und eine klare Vorstellung von der Architektur der Zugriffskontrolle hast, die du anstrebst. Hier sind die wichtigsten Komponenten für die Implementierung der Zugriffskontrolle mit Cognito:

Benutzer-Pools

Ein Benutzerpool ist ein Benutzerverzeichnis in Amazon Cognito. Normalerweise hast du einen einzigen Benutzerpool in deiner Anwendung. Mit diesem Benutzerpool kannst du alle Benutzer deiner Anwendung verwalten, unabhängig davon, ob du nur einen oder mehrere Benutzer hast.

Anwendung Kunden

Du kannst eine traditionelle Client/Server-Webanwendung entwickeln, bei der du eine Frontend-Webanwendung und eine Backend-API verwaltest. Oder du betreibst eine mandantenfähige Business-to-Business-Plattform, bei der die Backend-Dienste der Mandanten einen Client Credentials Grant verwenden, um auf deine Dienste zuzugreifen. In diesem Fall kannst du für jeden Mandanten einen Anwendungsclient erstellen und die Client-ID und das Geheimnis für die Machine-to-Machine-Authentifizierung mit dem Mandanten-Backend-Dienst teilen.

Geltungsbereiche

Geltungsbereiche werden verwendet, um den Zugriff eines Anwendungsclients auf bestimmte Ressourcen in der API deiner Anwendung zu kontrollieren.

Cognito und API Gateway

Cognito-Autorisierer bieten eine vollständig verwaltete Integration der Zugriffskontrolle mit API Gateway, wie in Abbildung 4-5 dargestellt. API-Kunden tauschen ihre Anmeldedaten (eine Client-ID und ein Geheimnis) über einen Cognito-Endpunkt gegen Zugangstoken aus. Diese Zugangstoken werden dann in die API-Anfragen aufgenommen und über den Cognito-Autorisierer validiert.

Abbildung 4-5. API Gateway Cognito Autorisierer

Außerdem kann einem API-Endpunkt ein Bereich zugewiesen werden. Bei der Autorisierung einer Anfrage an den Endpunkt überprüft der Cognito-Autorisierer, ob der Bereich des Endpunkts in der Liste der erlaubten Bereiche enthalten ist.

JWT-Autorisierer

Wenn deine Autorisierungsstrategie lediglich darin besteht, dass ein Kunde ein JSON-Web-Token zur Überprüfung übermittelt, ist die Verwendung eines JWT-Autorisierers eine gute Option. Wenn du einen JWT-Autorisierer verwendest, wird der gesamte Autorisierungsprozess vom API-Gateway-Dienst verwaltet.

Du konfigurierst zunächst den JWT-Autorisierer und fügst ihn dann einer Route hinzu. Die CloudFormation-Ressource sieht dann etwa so aus:

{
  "Type" : "AWS::ApiGatewayV2::Authorizer",
  "Properties" : {
    "ApiId" : "ApiGatewayId",
    "AuthorizerType" : "JWT",
    "IdentitySource" : [ "$request.header.Authorization" ],
    "JwtConfiguration" : {
      "Audience" : [ "https://my-application.com" ],
      "Issuer" : "https://cognito-idp.us-east-1.amazonaws.com/userPoolID"
    },
    "Name" : "my-authorizer"
  }
}

Der IdentitySource sollte mit dem Ort des JWT übereinstimmen, den der Kunde in der API-Anfrage angegeben hat, z. B. der Authorization HTTP-Header. Die Jwt​Config⁠ura⁠tion sollte den erwarteten Werten in den Token entsprechen, die von den Kunden übermittelt werden. Dabei ist Audience die HTTP-Adresse des Empfängers des Tokens (in der Regel deine API-Gateway-Domäne) und Issuer die HTTP-Adresse des Dienstes, der für die Ausstellung der Token zuständig ist, wie z. B. Cognito oder Okta.

Lambda-Autoren

Lambda-Funktionen mit benutzerdefinierter Autorisierungslogik können an API Gateway HTTP-API-Routen angehängt und bei jeder Anfrage aufgerufen werden. Diese Funktionen werden als Lambda-Autorisierer bezeichnet und können verwendet werden, wenn du Zugriffskontrollstrategien anwenden musst, die über die von den verwalteten Cognito oder JWT-Autorisierern unterstützten Strategien hinausgehen. In den Antworten der Funktionen wird der Zugriff auf die angeforderten Ressourcen entweder genehmigt oder verweigert (siehe Abbildung 4-6).

Abbildung 4-6. Kontrolle des Zugriffs auf API-Gateway-Ressourcen mit einem Lambda-Autorisierer

Lambda-Autorisierer unterstützen verschiedene Stellen für die Bereitstellung von Autorisierungsansprüchen in API-Anfragen. Diese werden als Identitätsquellen bezeichnet und umfassen HTTP-Header und Query-String-Parameter (zum Beispiel den Authorization Header). Die Identitätsquelle, die du verwendest, ist für Anfragen an API Gateway erforderlich; alle Anfragen ohne die erforderliche Eigenschaft erhalten sofort eine 401 Unauthorized Antwort und der Lambda-Authorizer wird nicht aufgerufen.

Die Antworten des Lambda-Authorizers können auch zwischengespeichert werden. Die Antworten werden entsprechend der von den API-Kunden bereitgestellten Identitätsquelle zwischengespeichert. Wenn ein Client die gleichen Werte für die erforderlichen Identitätsquellen innerhalb des konfigurierten Cache-Zeitraums oder der TTL bereitstellt, verwendet API Gateway das zwischengespeicherte Autorisierungsergebnis von , anstatt die Autorisierungsfunktion aufzurufen.

Die Lambda-Funktion, die zur Autorisierung von Anfragen verwendet wird, kann eine IAM-Richtlinie oder eine so genannte einfache Antwort zurückgeben. Die einfache Antwort reicht in der Regel aus, es sei denn, dein Anwendungsfall erfordert eine IAM-Richtlinienantwort oder detailliertere Berechtigungen. Wenn du die einfache Antwort verwendest, muss die Autorisierungsfunktion eine Antwort im folgenden Format zurückgeben, wobei isAuthorized ein boolescher Wert ist, der das Ergebnis deiner Autorisierungsprüfungen angibt, und context optional ist und zusätzliche Informationen enthalten kann, die an API-Zugriffsprotokolle und Lambda-Funktionen weitergegeben werden, die mit der API-Ressource integriert sind:

{
  "isAuthorized": true/false,
  "context": {
    "key": "value"
  }
}

Schutz von API-Gateway-Anfragen

API Gateway bietet zwei Möglichkeiten zum Schutz vor Denial-of-Service- und Denial-of-Wallet-Angriffen.

Erstens können die Anfragen von einzelnen API-Kunden über API Gateway-Nutzungspläne gedrosselt werden. Mithilfe von Nutzungsplänen kann der Zugang zu API-Stufen und -Methoden kontrolliert und die Rate der Anfragen an diese Methoden begrenzt werden. Durch die Begrenzung der API-Anfragen kannst du verhindern, dass deine API-Kunden deinen Dienst absichtlich oder unabsichtlich missbrauchen. Nutzungspläne können auf alle Methoden in einer API oder auf bestimmte Methoden angewendet werden. Die Kunden erhalten einen API-Schlüssel, den sie bei jeder Anfrage an deine API angeben müssen. Wenn ein Kunde zu viele Anfragen stellt und deshalb gedrosselt wird, erhält er die HTTP-Fehlerantwort 429 Too Many Requests.

API Gateway integriert außerdem mit AWS WAF, um granularen Schutz auf Anfrageebene zu bieten. Mit der WAF kannst du eine Reihe von Regeln festlegen, die auf jede eingehende Anfrage angewendet werden, z. B. die Drosselung der IP-Adresse.

Validierung von API-Gateway-Anfragen

Anfragen an API-Gateway-Methoden können validiert werden, bevor sie weiterverarbeitet werden. Angenommen, du hast eine Lambda-Funktion, die an eine API-Route angehängt ist, die die API-Anfrage als Eingabe akzeptiert und einige Operationen auf den Anfragebody anwendet. Du kannst eine JSON-Schema-Definition der erwarteten Eingabestruktur und des Formats bereitstellen, und API Gateway wendet diese Datenvalidierungsregeln auf den Körper einer Anfrage an, bevor es die Funktion aufruft. Wenn die Validierung der Anfrage fehlschlägt, wird die Funktion nicht aufgerufen und der Client erhält eine 400 Bad Request HTTP-Antwort.

Im folgenden JSON-Beispiel ist die Eigenschaft message erforderlich, und die Anfrage wird abgelehnt, wenn dieses Feld im Anfragetext fehlt:

{
  "$schema": "http://json-schema.org/draft-07/schema#",
  "title": "my-request-model",
  "type": "object",
  "properties": {
    "message": { "type": "string" },
    "status": { "type": "string" }
  },
  "required": ["message"]
}

In Lambda-Funktionen, in denen Daten umgewandelt, in einer Datenbank gespeichert oder an einen Event-Bus oder eine Nachrichtenwarteschlange weitergeleitet werden, sollte eine tiefere Eingabevalidierung und -sanitisierung durchgeführt werden. Dadurch kann deine Anwendung vor SQL-Injection-Angriffen geschützt werden, der Bedrohung Nr. 3 in der OWASP Top 10 (siehe Tabelle 4-1).

Überprüfung von Nachrichten zwischen Verbrauchern und Produzenten

Um die Dienste zu entkoppeln, weiß der Produzent eines Ereignisses in der Regel absichtlich nichts von den nachgelagerten Konsumenten des Ereignisses. Du könntest zum Beispiel eine organisationsweite Event-Backbone-Architektur haben, bei der mehrere Produzenten Ereignisse an einen zentralen Event-Broker senden und mehrere Konsumenten diese Ereignisse abonnieren, wie in Abbildung 4-7 dargestellt.

Abbildung 4-7. Entkoppelte Produzenten und Konsumenten in einer ereignisgesteuerten Architektur

Die Absicherung von Verbrauchern asynchroner APIs hängt von der Kontrolle eingehender Nachrichten ab. Die Verbraucher sollten immer die Kontrolle über das Abonnement einer asynchronen API haben, und es wird bereits ein gewisses Maß an Vertrauen zwischen den Ereignisproduzenten und dem Ereignisbroker bestehen, aber die Ereignisverbraucher müssen sich auch gegen Absender-Spoofing und Nachrichtenmanipulation schützen. Die Verifizierung eingehender Nachrichten ist in ereignisgesteuerten Systemen entscheidend.

Nehmen wir an, der Event Broker in Abbildung 4-7 ist ein Amazon EventBridge Event Bus in einem zentralen Konto, das Teil der Kerndomäne deines Unternehmens ist. Die Produzenten sind Services, die in separaten AWS-Konten bereitgestellt werden, ebenso wie die Konsumenten. Ein Verbraucher muss sicherstellen, dass jede Nachricht von einer vertrauenswürdigen Quelle stammt. Ein Produzent muss sicherstellen, dass Nachrichten nur von zugelassenen Verbrauchern gelesen werden können. In einer wirklich entkoppelten Architektur könnte der Event Broker selbst für die Nachrichtenverschlüsselung und die Schlüsselverwaltung zuständig sein (und nicht der Producer), aber um das Beispiel kurz zu halten, machen wir dies zum Aufgabenbereich des Producers.

Verschlüsselte und überprüfbare Nachrichten mit JSON Web Tokens

Du kannst JWT als Transportprotokoll für deine Nachrichten verwenden. Um die Nachrichten zu signieren und zu verschlüsseln, kannst du eine Technik verwenden, die als verschachtelte JWTs bezeichnet und in Abbildung 4-8 dargestellt ist.

Abbildung 4-8. Ein verschachteltes JSON-Web-Token

Der Produzent muss die Nutzdaten der Nachricht zunächst mit dem privaten Schlüssel signieren und dann die signierte Nachricht mit einem gemeinsamen Geheimnis verschlüsseln:

const payload = { data: { hello: "world" } };

const signedJWT = await new SignJWT(payload)
  .setProtectedHeader({ alg: "ES256" })
  .setIssuer("urn:example:issuer")
  .setAudience("urn:example:audience")
  .setExpirationTime("2h")
  .sign(privateKey);

const encryptedJWT = await new EncryptJWT(signedJWT)
  .setProtectedHeader({ alg: "dir", cty: "JWT", enc: "A256GCM" })
  .encrypt(sharedSecret);

Beim Empfang einer Nachricht muss der Verbraucher zunächst die Signatur mit dem öffentlichen Schlüssel des Produzenten überprüfen und dann die Nutzdaten mit dem gemeinsamen Geheimnis entschlüsseln:

const decryptedJWT = await DecryptJWT(encryptedJWT, sharedSecret);

const decodedJWT = await VerifyJWT(decryptedJWT, publicKey);

// if verified, original payload available at decodedJWT.payload

Integrierte Nachrichtenüberprüfung für SNS

Zusätzlich zu dem Ansatz, der im vorherigen Abschnitt beschrieben wurde, beginnen einige AWS-Services, wie Amazon Simple Notification Service (SNS), jetzt damit, Nachrichtensignaturen nativ zu unterstützen. SNS signiert die von deinem Topic übermittelten Nachrichten und ermöglicht es den abonnierten HTTP Endpunkten, ihre Authentizität zu überprüfen.

Was ist Verschlüsselung?

Verschlüsselung ist eine Technik, um den Zugriff auf Daten einzuschränken, indem man sie ohne Schlüssel unlesbar macht. Kryptografische Algorithmen werden verwendet, um Klartextdaten mit einem Verschlüsselungsschlüssel zu verbergen. Die verschlüsselten Daten können nur mit demselben Schlüssel wieder entschlüsselt werden.

Die Verschlüsselung ist dein wichtigstes Werkzeug zum Schutz der Daten in deiner Anwendung. Sie ist besonders wichtig bei ereignisgesteuerten Anwendungen, bei denen Daten ständig zwischen Konten, Diensten, Funktionen, Datenspeichern, Bussen und Warteschlangen fließen. Verschlüsselung kann in zwei Kategorien unterteilt werden: Verschlüsselung im Ruhezustand und Verschlüsselung während der Übertragung. Indem du Daten sowohl bei der Übertragung als auch im Ruhezustand verschlüsselst, stellst du sicher, dass deine Daten während ihres gesamten Lebenszyklus und von Anfang bis Ende geschützt sind, wenn sie dein System durchlaufen und in andere Systeme gelangen.

Die meisten AWS Managed Services bieten native Unterstützung für Verschlüsselung sowie eine direkte Integration mit AWS Secrets Manager und AWS KMS. Das bedeutet, dass der Prozess der Ver- und Entschlüsselung von Daten und die Verwaltung der zugehörigen Verschlüsselungsschlüssel weitgehend von dir abstrahiert wird. Allerdings ist die Verschlüsselung in der Regel nicht standardmäßig aktiviert, sodass du für die Aktivierung und Konfiguration der Verschlüsselung auf Ressourcenebene verantwortlich bist.

Verschlüsselung bei der Übertragung

Daten sind in einer serverlosen Anwendung unterwegs, wenn sie von Service zu Service übertragen werden. Alle AWS-Services bieten sichere, verschlüsselte HTTP-Endpunkte über Transport Layer Security (TLS). Wann immer du mit der API eines AWS-Services interagierst, solltest du den HTTPS-Endpunkt verwenden. Standardmäßig verwenden die Vorgänge, die du mit dem AWS SDK durchführst, die HTTPS-Endpunkte aller AWS-Services. Wenn deine Lambda-Funktion zum Beispiel von einer API-Gateway-Anfrage aufgerufen wird und du von der Funktion aus einen EventBridge PutEvents -Aufruf tätigst, werden die Nutzdaten während der Übertragung vollständig verschlüsselt.

Zusätzlich zu TLS werden alle AWS-API-Anfragen, die mit dem AWS SDK gestellt werden, durch ein Anfrage-Signierungsverfahren geschützt, das unter als Signature Version 4 bekannt ist. Dieser Prozess soll vor Manipulationen von Anfragen und Spoofing des Absenders schützen.

Verschlüsselung im Ruhezustand

Die Verschlüsselung im Ruhezustand wird auf Daten angewendet, wenn sie gespeichert oder zwischengespeichert werden. In einer serverlosen Anwendung können dies Daten in einem EventBridge-Ereignisbus oder -Archiv, eine Nachricht in einer SQS-Warteschlange, ein Objekt in einem S3-Bucket oder ein Element in einer DynamoDB-Tabelle sein.

Generell gilt: Wann immer ein Managed Service die Möglichkeit bietet, Daten im Ruhezustand zu verschlüsseln, solltest du davon Gebrauch machen. Dies ist jedoch besonders wichtig, wenn du die Daten im Ruhezustand als sensibel eingestuft hast.

Du solltest die Speicherung von Daten im Ruhezustand und bei der Übertragung immer begrenzen. Je mehr Daten gespeichert werden und je länger sie gespeichert werden, desto größer sind die Angriffsfläche und das Sicherheitsrisiko. Speichere oder transportiere Daten nur, wenn es unbedingt notwendig ist, und überprüfe deine Datenmodelle und Ereignis-Nutzdaten kontinuierlich, um sicherzustellen, dass überflüssige Attribute entfernt werden.

Kontinuierliche Sicherheitsprüfungen mit Security Hub

Du kannst AWS Security Hub nutzen, um die Sicherheitspraktiken deines Teams zu unterstützen und um Sicherheitserkenntnisse aus anderen Diensten wie Macie zusammenzufassen, die du im nächsten Abschnitt kennenlernen wirst.

Security Hub ist besonders nützlich, um potenzielle Fehlkonfigurationen wie öffentliche S3-Buckets oder fehlende Verschlüsselung im Ruhezustand in einer SQS-Warteschlange zu identifizieren, die sonst schwer aufzuspüren wären. In den Berichten des Security Hubs werden die Feststellungen nach Schweregrad geordnet und eine vollständige Beschreibung jeder Feststellung mit einem Link zu Informationen über Abhilfemaßnahmen, sofern vorhanden, sowie eine Gesamtsicherheitsbewertung geliefert.

Schwachstellenprüfung mit Amazon Inspector

Amazon Inspector kann verwendet werden, um Lambda-Funktionen kontinuierlich auf bekannte Schwachstellen zu überprüfen und die Ergebnisse nach Schweregrad geordnet zu melden. Die Ergebnisse können auch im Security Hub angezeigt werden, um ein zentrales Dashboard zur Sicherheitslage zu erstellen.

Inspector kann zusätzlich zu automatischen Schwachstellen-Scannern verwendet werden, die du vielleicht schon früher im Entwicklungsprozess einsetzt, z. B. im Code-Repository selbst.

Entschärfung von Datenlecks

Es gibt Maßnahmen, die das Potenzial der Speicherung sensibler Daten in Datenbanken, Objektspeichern oder Protokollen einschränken können, z. B. explizite Protokolle und Protokollredaktion. Es ist jedoch wichtig, die Systeme so zu gestalten, dass eine versehentliche Speicherung sensibler Daten toleriert wird, und so schnell wie möglich zu reagieren und Abhilfe zu schaffen, wenn dies geschieht. In jedem System, das mit sensiblen Daten arbeitet, besteht die Möglichkeit, dass sie falsch gehandhabt werden.

Es ist außerdem ratsam, nur Daten zu speichern, die für den Betrieb deiner Anwendung unbedingt erforderlich sind, und diese Daten nur so lange zu speichern, wie sie benötigt werden. Das Löschen von Daten nach einer bestimmten Zeitspanne kann in verschiedenen AWS-Datenspeichern automatisiert werden. Zum Beispiel sollten CloudWatch-Protokollgruppen mit einer Mindestaufbewahrungsfrist konfiguriert werden, DynamoDB-Datensätze können mit einem TTL-Wert versehen werden und der Lebenszyklus von S3-Objekten kann mit Ablaufrichtlinien gesteuert werden.

In den folgenden Abschnitten werden einige Techniken beschrieben, um sensible Datenlecks in Anwendungsprotokollen und in der Speicherung von Objekten aufzudecken.

Verwaltete Erkennung sensibler Daten

Einige AWS-Dienste bieten bereits eine verwaltete Erkennung sensibler Daten an, und weitere Dienste könnten in der Zukunft folgen. Amazon SNS bietet nativen Datenschutz für Nachrichten, die über SNS-Themen gesendet werden. Amazon CloudWatch bietet eine integrierte Erkennung von sensiblen Daten in Anwendungsprotokollen, z. B. von Lambda-Funktionen.

Amazonas Macie

Amazon Macie ist ein vollständig verwalteter Datensicherheitsdienst, der maschinelles Lernen nutzt, um sensible Daten in AWS-Arbeitslasten zu entdecken. Macie ist in der Lage, in S3-Buckets gespeicherte Daten zu extrahieren und zu analysieren, um verschiedene Arten von sensiblen Daten wie AWS-Anmeldedaten, persönliche Daten, Kreditkartennummern und mehr zu erkennen.

Daten können von verschiedenen Komponenten in deiner Anwendung an S3 weitergeleitet und von Macie kontinuierlich auf sensible Attribute überwacht werden. Dazu können Ereignisse gehören, die an EventBridge gesendet werden, API-Antworten, die von Lambda-Funktionen erzeugt werden, oder Nachrichten, die an SQS-Warteschlangen gesendet werden. Ereignisse, die Macie feststellt, werden an EventBridge gesendet und können von dort weitergeleitet werden, um dich zu warnen, wenn sensible Daten gespeichert oder von deiner Anwendung übertragen werden.