AWS re:invent 2019 [network & security Announcements]

LarsEvents

Ankündigung der Preview von Amazon Detective [security]
Amazon Detective ist ein neuer Dienst in Preview, der es einfach macht, die Ursache für potenzielle Sicherheitsprobleme oder verdächtige Aktivitäten zu analysieren, zu untersuchen und schnell zu identifizieren.
Amazon Detective sammelt automatisch Protokolldaten von Ihren AWS Ressourcen und verwendet maschinelles Lernen, statistische Analysen und Grafiktheorie, um einen verknüpften Datensatz aufzubauen. Dieser Datensatz ermöglicht es Ihnen, schnellere und effizientere Sicherheitsuntersuchungen durchzuführen.

Amazon Detective kann Billionen von Ereignissen aus verschiedenen Datenquellen wie Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail und Amazon GuardDuty analysieren und erstellt automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen ihnen im Laufe der Zeit.

Mit dieser einheitlichen Sicht können Sie alle Details und Zusammenhänge an einem Ort visualisieren, um die zugrunde liegenden Gründe für die Ergebnisse zu identifizieren, relevante historische Aktivitäten aufzuschlüsseln und die Ursache schnell zu ermitteln.

Während der Vorschau ist sie in den folgenden Regionen verfügbar: US-Ost (N. Virginia), US-Ost (Ohio), US-West (Oregon), EU (Irland) und Asien-Pazifik (Tokio).

Einführung des AWS Identity and Access Management (IAM) Access Analyzer (Zugriffsanalyse) [security]
AWS Identity and Access Management (IAM) Access Analyzer ist eine neue Funktion, die es für Sicherheitsteams und Administratoren einfach macht, zu überprüfen, ob die konfigurierten Richtlinien auch nur die beabsichtigten Zugriffe auf die Ressourcen ermöglichen.

Ressourcenrichtlinien ermöglichen es Kunden, genau zu steuern, wer auf eine bestimmte Ressource zugreifen darf und wie sie diese in der gesamten Cloud Umgebung nutzen können. Mit einem Klick in der IAM Konsole können Kunden IAM Access Analyzer in ihrem gesamten Konto aktivieren, um dann die Berechtigungen kontinuierlich zu analysieren. Dabei werden Richtlinien überprüft wie zum Beispiel den Zugriff auf S3 Buckets, die Verwendung von KMS Keys, SQS Queues, IAM Rollen und AWS Lambda Funktionen.

IAM Access Analyzer überwacht kontinuierlich Richtlinien auf Änderungen, so dass Kunden sich nicht mehr auf intermittierende manuelle Prüfungen verlassen müssen. Dabei werden Probleme beim Hinzufügen oder Aktualisieren von Richtlinien erkennt. Mit IAM Access Analyzer können Kunden proaktiv auf alle Ressourcenrichtlinien eingehen, die gegen ihre Sicherheits- und Governance Best Practices rund um die gemeinsame Nutzung von Ressourcen verstossen und ihre Ressourcen vor unbeabsichtigtem Zugriff schützen.

IAM Access Analyzer liefert umfassende, detaillierte Ergebnisse über die Konsolen AWS IAM, Amazon S3 und AWS Security Hub sowie über seine APIs. Die Ergebnisse können auch als Bericht für Auditzwecke exportiert werden. Die Ergebnisse des IAM Access Analyzer liefern definitive Antworten darauf, wer von ausserhalb eines Kontos öffentlichen und kontoübergreifenden Zugriff auf AWS Ressourcen hat.

IAM Access Analyzer verwendet eine Form der mathematischen Analyse namens automatisiertes Denken, die Logik und mathematische Inferenz anwendet, um alle möglichen Zugriffspfade zu bestimmen, die von einer Ressourcenrichtlinie erlaubt werden. Das bedeutet, dass IAM Access Analyzer Hunderte oder sogar Tausende von Richtlinien in der gesamten Umgebung eines Kunden in Sekundenschnelle auswerten kann und umfassende Erkenntnisse über Ressourcen liefert, die von ausserhalb des Kontos zugänglich sind. Die AWS nennt dies nachweisbare Sicherheit.

Mit dieser Einführung ist der IAM Access Analyzer ohne zusätzliche Kosten in der IAM Konsole und über APIs in allen kommerziellen AWS-Regionen verfügbar.

Der AWS Security Hub ist in den AWS IAM Access Analyzer integriert [security]
Der AWS Security Hub lässt sich nun mit dem AWS Identity and Access Management (IAM) Access Analyzer integrieren. Die IAM Access Analyzer Integration mit dem Security Hub sendet die Ergebnisse an den Security Hub, wenn Richtlinien den öffentlichen oder kontoübergreifenden Zugriff auf Ressourcen erlauben. Security Hub aktiviert diese Integration automatisch, wenn Sie bereits den IAM Access Analyzer verwenden.

AWS Transit Gateway unterstützt jetzt auch interregionales Peering [networking]
AWS Transit Gateway unterstützt nun die Möglichkeit, Peerings zwischen Transit Gateways in verschiedenen AWS Regionen herzustellen. Transit Gateway ist ein Service, der es Kunden ermöglicht, Tausende von Amazon Virtual Private Clouds (VPCs) und ihre lokalen Netzwerke über ein einziges Gateway zu verbinden. Mit AWS Transit Gateway müssen Kunden nur eine einzige Verbindung von einem zentralen regionalen Gateway zu jedem Amazon VPC, in einem Rechenzentrum oder einem Remote Office in ihren Netzwerken herstellen und verwalten.

Die Möglichkeit, Transit Gateways zwischen verschiedenen AWS Regionen zu nutzen, ermöglicht es den Kunden, diese Konnektivität zu erweitern und globale Netzwerke über mehrere AWS Regionen hinweg aufzubauen. Der Verkehr mit interregionalem Transit Gateway Peering bleibt immer im globalen Netzwerk von AWS und durchquert nie das öffentliche Internet, wodurch Bedrohungsvektoren wie gemeinsame Exploits und DDoS Angriffe reduziert werden. Interregionales Transit Gateway Peering verschlüsselt den interregionalen Verkehr ohne Single Point of Failure.

Interregionales Transit Gateway Peering ist in den AWS Regionen US East (N. Virginia), US East (Ohio), US West (Oregon), EU (Irland) und EU (Frankfurt) verfügbar. Die Unterstützung für andere AWS Regionen steht kurz bevor.

Amazon VPC Ingress Routing macht es einfach, virtuelle Appliances in den Weiterleitungspfad des VPC Verkehrs einzufügen [networking]
Sie können nun Routentabellen mit Internet Gateway und Virtual Private Gateway verknüpfen und eingehenden und ausgehenden Amazon Virtual Private Cloud (VPC) Traffic über virtuelle Appliances in Ihrem VPC umleiten.

Sie können Ihren Amazon VPC Verkehr auch anhand individueller Workloads segmentieren und diesen Verkehr durch verschiedene virtuelle Appliances leiten, wodurch granulare Netzwerk- und Sicherheitsrichtlinien für jeden Workload erstellt werden. Sie können eine Vielzahl von Appliances aus dem AWS Marketplace auswählen oder eigene virtuelle Netzwerkfunktionen für spezielle Netzwerk- und Sicherheitsfunktionen nutzen.

AWS Site-to-Site VPN Verbindungen können nun den AWS Global Accelerator für eine verbesserte Leistung nutzen [networking]
Bisher konnten VPN Verbindungen mit einer inkonsistenten Leistung konfrontiert sein, da der Datenverkehr mehrere öffentliche Netzwerke durchläuft, um einen VPN Endpunkt in AWS zu erreichen. Öffentliche Netze, wie das öffentliche Internet, können überlastet sein. Jeder Hop zwischen und innerhalb öffentlicher Netze kann Leistungsrisiken mit sich bringen.

Wenn Sie eine AWS Site-to-Site VPN Verbindung zu einem AWS Transit Gateway erstellen, können Sie nun Acceleration aktivieren, um die Vorteile der Leistungssteigerung über das globale AWS Netzwerk zu nutzen. Der Datenverkehr von Ihrem Kunden Gateway Gerät wird durch den nächstgelegenen AWS Edge Standort geleitet und durchquert das performante und redundante globale AWS Netzwerk, um Ihren VPN Endpunkt in AWS zu erreichen.

Beschleunigtes Site-to-Site VPN ist für AWS Transit Gateways in diesen AWS Regionen verfügbar: US-Ost (N. Virginia), US-Ost (Ohio), US-West (Oregon), US-West (N. Kalifornien), EU (Irland), EU (Frankfurt), EU (London), EU (Paris), Asien-Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai) und Kanada (Mitte).

Ausführen von Multicas Workloads in der Cloud über AWS Transit Gateways [networking]
Das AWS Transit Gateway unterstützt jetzt das Routing von Multicast Verkehr zwischen angeschlossenen Virtual Private Cloud (VPC) Verbindungen. Multicast liefert einen einzigen Datenstrom an viele Benutzer gleichzeitig und ist ein bevorzugtes Protokoll zum Streamen von Multimedia Inhalten an eine Gruppe von Teilnehmern. Mit der Unterstützung von IP Multicast macht es der Transit Gateway für Kunden einfach, Multicast Anwendungen in der Cloud zu erstellen und Multicast Konfigurationen bis zu Hunderten von Empfängern einfach zu überwachen, zu verwalten und zu skalieren.

Bisher mussten Kunden entweder ältere lokale Netzwerke für Multicast Anwendungen pflegen oder komplexe Workarounds implementieren, um diese Workloads in der Cloud auszuführen. Mit der nativen Unterstützung für Multicast ermöglicht AWS Transit Gateway den Kunden eine einfache Bereitstellung ihrer Multicast Anwendungen in der Cloud und nutzt die Vorteile der Elastizität, Skalierbarkeit, Zuverlässigkeit und anderer Vorteile von AWS.

Kunden können Multicast aktivieren, während sie neue Transit-Gateways über die AWS-Konsole, CLI oder SDK erstellen. Diese Funktion ist heute in der AWS-Region US East (N. Virginia) verfügbar, wobei die Unterstützung für weitere Regionen in Kürze erfolgen wird.

AWS Transit Gateway Network Manager um Ihr globales Netzwerk zentral zu überwachen [networking]
AWS Transit Gateway ermöglicht es Ihnen, Ihr globales Netzwerk zentral zu verwalten. Sei es das AWS Netzwerk oder das on premises Netzwerk. Transit Gateway Netzwerk Manager reduziert die operative Komplexität der Netzwerkmanagement über AWS Regionen und entfernte Standorte hinweg.

Die meisten globalen Netzwerke umfassen heute Ressourcen, die sich sowohl in der Cloud als auch an einem oder mehreren lokalen Standorten befinden. Um das gesamte globale Netzwerk zu überwachen, müssen Sie oft Daten aus der Cloud und Ihren Räumlichkeiten zusammenfügen. Dies führt zu einer inkonsistenten Management- und Überwachunglösung. Sie benötigen eine einfache Lösung für den Aufbau und die Verwaltung Ihres globalen Netzwerks in der Cloud und vor Ort.

Der AWS Transit Gateway Network Manager bietet eine einzige globale Sicht auf Ihr privates Netzwerk. Registrieren Sie zunächst Ihre AWS Transit Gateways und definieren Sie Ihre lokalen Ressourcen. Sie können dann Ihr globales Netzwerk von einem zentralen, operativen Dashboard aus visualisieren und überwachen. Auf diese Weise können Sie Ihr globales Netzwerk in einem Topologiediagramm und in einer geografischen Karte darstellen. Sie können Ihr Netzwerk mithilfe von CloudWatch Metriken sowie CloudWatch Ereignissen für Netzwerktopologieänderungen, Routing-Updates und Verbindungsstatus Updates überwachen. Wenn Sie eine SD-WAN Lösung eines unserer Partner verwenden, kann das SD-WAN automatisch Site-to-Site VPN Verbindungen von lokalen Geräten erstellen und Geräteinformationen in den Transit Gateway Network Manager hochladen.

Der AWS Transit Gateway Network Manager ist ein globaler Dienst, der für AWS Transit Gateways in diesen AWS Regionen verfügbar ist: US East (N. Virginia), US East (Ohio), US West (Oregon), US West (N. California), Europe (Ireland), Eurpoe (Frankfurt), Europe (London), Europe (Paris), Asia Pacific (Singapore), Asia Pacific (Tokyo), Asia Pacific (Sydney), Asia Pacific (Seoul), Asia Pacific (Mumbai), Canada (Central) und South America (São Paolo).