Amazon Web Services (AWS) bietet seinen Kunden mit dem Amazon Security Lake eine neue Möglichkeit, Daten zur eigenen IT-Sicherheit zu sammeln und abzulegen. Der Cloud-Service, den der Anbieter bereits Ende 2022 auf der AWS re:invent angekündigt hatte, soll es Unternehmen ermöglichen, Sicherheitsdaten aus AWS-Umgebungen, anderen Cloud-Umgebungen, lokalen Quellen wie dem eigenen On-premises Rechenzentrum sowie von verschiedenen SaaS-Anbietern automatisiert in einem speziell dafür entwickelten Data Lake zu zentralisieren. So könnten Anwender schneller auf mögliche Anomalien und Bedrohungen reagieren sowie Sicherheitsdaten in hybriden und Multi-Cloud-Umgebungen einfacher verwalten, verspricht der Cloud-Provider.
Amazon Security Lake konvertiert AWS zufolge eingehende Sicherheitsdaten und passt sie an den offenen Standard Open Cybersecurity Schema Framework (OCSF) an. Dies soll es für Sicherheitsteams leichter machen, Security-Daten automatisiert zu sammeln, zu kombinieren und zu analysieren. Für die Analysen könnten Betriebe auf die von ihnen bevorzugten Analytics-Tools zurückgreifen, hieß es. Neben den eigenen Werkzeugen wie Amazon Athena, Amazon OpenSearch Service und Amazon SageMaker ließen sich auch Lösungen von Drittanbietern an den Security Lake anbinden.
Für die Anwender gelte es, potenzielle Bedrohungen und Schwachstellen proaktiv zu identifizieren, zu bewerten und gegebenenfalls schnell darauf zu reagieren. Zu diesem Zweck stützten sich die meisten Unternehmen AWS zufolge auf Protokoll- und Ereignisdaten aus vielen verschiedenen Quellen, zum Beispiel Anwendungen, Firewalls und Systeme für das Identity und Access Management (IAM). Problem dabei: Diese Daten liegen meist weit verteilt in den IT-Landschaften der Anwenderunternehmen, in der Cloud und vor Ort in den eigenen Rechenzentren, und haben unterschiedliche Formate.
Heterogene Security-Landschaften erschweren den Schutz
Um sicherheitsrelevante Erkenntnisse zu gewinnen, wie beispielsweise unbefugte externe Datentransfers oder Malware-Installationen auf den Geräten von Mitarbeitern, müssen die Unternehmen Sicherheitsdaten deshalb zunächst aggregieren sowie in einem einheitlichen Schema zusammenfassen und ablegen. Erst wenn die Daten einheitlich formatiert seien, ließen sie sich analysieren und dementsprechend der aktuelle Grad der Verwundbarkeit verstehen.
Um potenzielle Bedrohungen im Blick zu behalten, verwenden die Anwender in der Regel verschiedene Sicherheitslösungen für bestimmte Anwendungsfälle, zum Beispiel für die Reaktion auf Vorfälle und Sicherheitsanalysen. Das bedeute AWS zufolge aber auch, dass dieselben Daten mehrfach dupliziert und verarbeitet würden, da jede Lösung meist eigene Datenspeicher und -formate mitbringt.
Das Fazit der AWS-Verantwortlichen: Der Betrieb mehrerer Sicherheitslösungen sei kostspielig und verlangsame die Fähigkeit der Sicherheitsteams, Probleme zu erkennen und darauf zu reagieren. Um neue Benutzer, Tools und Datenquellen zu überwachen, müssten Sicherheitsteams einen komplexen Satz von Datenzugriffsregeln und Sicherheitsrichtlinien verwalten, um zu verfolgen, wie Daten verwendet werden, und gleichzeitig sicherstellen, dass die Mitarbeiter weiterhin auf die Informationen zugreifen können, die sie für ihre Arbeit benötigen.
Volle Kontrolle über die eigenen Sicherheitsdaten
Einige Sicherheitsteams würden bereits ein zentrales Repository für alle ihre Sicherheitsdaten in einem Data Lake erstellen. Doch diese Systeme erforderten in aller Regel spezialisierte Fähigkeiten und benötigten aufgrund der großen Datenmengen aus verschiedenen Quellen, die in den Petabyte-Bereich gehen können, meist Monate für den Aufbau.
Abhilfe soll Amazon Security Lake schaffen. Der Dienst basiert auf dem Amazon Simple Storage Service (Amazon S3) sowie der AWS Lake Formation. Damit lasse sich die Infrastruktur des Security Lake automatisch im AWS-Konto des Kunden einrichten, hieß es von Seiten des Anbieters. Anwender behielten darüber hinaus die volle Kontrolle und das Eigentum an ihren Sicherheitsdaten, versichert AWS.
Amazon Security Lake ist ab sofort in den AWS Regionen USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Oregon), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Europa (Frankfurt), Europa (Irland), Europa (London) und Südamerika (São Paulo) allgemein verfügbar. Zu den mehr als 55 Kunden und Partnern, die Amazon Security Lake bereits nutzen, zählen laut Anbieter unter anderem CrowdStrike, SentinelOne und Volkswagen Financial Services.