AWS Key Management Service … Verschlüsselung leicht gemacht

Auf der re:Invent in Las Vegas hatte Amazon Web Services jüngst den neuen Key Management Service vorgestellt.

Mit dem Key Management Service (KMS) können Kunden in ihrem AWS Account pro AWS-Region eigene Customer Master Keys erstellen und diese nutzen, um damit sehr einfach EBS-Laufwerke, S3-Daten und Redshift-Datenbanken mit AES-256 zu verschlüsseln.

Nun ist der KMS ein gemanagter Service und es stellt sich die entscheidene Frage, ob AWS Zugriff auf die Customer Master Keys hat. AWS sagt aus, dass der KMS so konzipiert wurde, dass ein Zugriff von AWS Mitarbeitern auf die Keys nicht möglich ist.


Can AWS employees access my keys in AWS KMS?

AWS KMS is designed so that no one has access to your master keys. The service is built on systems that are designed to protect your master keys with extensive hardening techniques such as never storing plaintext master keys on disk, not persisting them in memory, and limiting which systems can connect to the device. All access to update software on the service is controlled by a multi-level approval process that is audited and reviewed by an independent group within Amazon.

More details about these security controls can be found in the AWS KMS Cryptographic Details whitepaper. In addition, you can request a copy of the Service Organization Controls (SOC) report available from AWS Compliance to learn more about security controls AWS uses to protect your data and master keys.

Ich persönlich bin sehr froh über diesen neuen KMS Service … warum, möchte ich wie folgt darstellen … es ist aber nur meine persönliche Meinung und stellt keinerlei Rechtsberatung dar …

Einige Datenschutzbeauftragte sahen in der Vergangenheit folgendes Problem bei der Speicherung von personenbezogenen Daten bei AWS:

  • AWS bietet für die AWS-Accounts Support an, der entsprechend weltweit wegen 24×7 rollierend ist.
  • AWS-Support-Mitarbeiter ausserhalb von Europa haben somit einen entsprechenden Zugriff auf AWS-Ressoucen der Kunden und könnten ggf. somit auch einen theoretischen Zugriff auf personenbezogene Daten haben.
  • AWS hatte zwar bereits in der Vergangenheit betont und auch auf Anfrage zugesichert, dass durch das entsprechende Design der Systeme dieses gar nicht nicht möglich sei, da die AWS-Support Mitarbeiter die AWS-Ressourcen nur von aussen als Infrastruktur sehen können und daher niemals Zugriff direkt auf die Daten der Kunden haben …

Das alles aber war immer wieder ein Diskussionspunkt. der manche Projekte nicht gerade leichter gemacht hat … durch den Einsatz von Verschlüsselung mittels des AWS KMS wird dieses Problem nun eigentlich obsolet … so zumindest meine Hoffnung ;-)

Unabhängig von dem AWS KMS kann man natürlich mittels des AWS Services CloudHSM eigene dedizierte Hardware bei AWS für die Speicherung von privaten Keys anfordern, bei der AWS technisch überhaupt gar keine Möglichkeit hat, an die privaten Keys heranzukommen … das ist aber entsprechend aufwändig zu implementieren, da entsprechende 3rd-Party Software für die Verschlüsselung verwendet werden muss und damit das eine oder andere Budget gesprengt wird.

AWSome Days RoadShow

In den letzten 2 Wochen waren wir auf Tour und haben gemeinsam mit AWS Deutschland die CloudSchool in Hamburg, Berlin, Frankfurt und München durchgeführt.

Die Resonanz und das Feedback der Teilnehmer war überwältigend. Hier ein paar Impressionen:

Frankfurt im Messeturm:

AWSome-Frankfurtx490

München im AWS Office:

AWSome-Muenchenx490

Hamburg in der Hafencity:

AWSome-HHx490

tecRacer ist AWS Premier Consulting Partner 2015

Auf der diesjährigen Amazon Web Services Konferenz re:Invent vom 11.-14. November in Las Vegas wurde tecRacer erneut ausgezeichnet. Wir sind jetzt

AWS Premier Consulting Partner 2015

AWS_Premier_Consulting_Partner

Damit steht tecRacer nun in einer Reihe mit weltweit nur 28 Unternehmen, die sich im Amazon Partner Network durch besondere Standards und Qualifizierungen hervorheben. tecRacer ist dabei der einzige Partner aus Deutschland. Auf ihrer Webseite schreibt Amazon Web Services:

AWS Premier Partner 2015The AWS Premier Consulting Partner tier highlights the top APN Consulting partners globally that have invested significantly in their AWS practice, have extensive experience in deploying customer solutions on AWS, have a strong bench of trained and certified technical consultants, have at least one APN Competency, have expertise in project management, and have a healthy revenue-generating consulting business on AWS.

tecRacer sagt Danke

Amazon AWS Region Frankfurt

Seit 23. Oktober ist AWS auch mit einer eigenen Region in Deutschland vertreten. Amazon Web Services trägt damit dem Bedürfnis vieler Kunden nach einer sicheren Datenspeicherung im eigenen Land Rechnung.

Da wir auf dem AWS Partnertag auf der “Launchparty” waren, kommt erst jetzt mein kurzer Beitrag dazu …

Neu bei AWS: die Region Frankfurt - German Datacenter

 

Die AWS Region Frankfurt ist ca. 8% teurer als die Region Irland, die geringere Latenzzeit und das Gefühl, das die Daten gleich um die Ecke sind, sollte das aber wert sein.

AWS hat gleichzeitig einige sehr umfassende deutschsprachige Whitepaper zum Thema Datensicherheit und Datenschutz veröffentlicht:

tecRacer wurde von AWS mit der Managed Service Provider Kompetenz ausgezeichnet

Als erster deutscher AWS Partner wurde tecRacer nun von Amazon Web Services mit der “Managed Service Provider” Kompetenz ausgezeichnet.

“APN Partners who’ve attained the MSP Competency have demonstrated success in fully managing their customers’ AWS-based infrastructure, associated databases, and applications deployed on AWS.”

Damit trägt Amazon Web Services unser mehr als 2-jährigen Erfahrung beim AWS Managed Hosting unserer mehr als 30 Kunden Rechnung.

http://www.aws-partner-directory.com/PartnerDirectory/PartnerDetail?Name=tecRacer

AWS Cloudwatch Logs nun auch in Irland verfügbar

AWS Cloudwatch Logs ist nicht Cloudwatch … sondern ist ein neuer Service innerhalb von Cloudwatch. Bei Cloudwatch Logs kann man diverse Log-Dateien direkt nach AWS Cloudwatch Logs streamen (bzw. uploaden). Dabei ist es eigentlich egal, ob dies Log-Dateien auf EC2-Instanzen oder auf anderen OnPremise-Servern sind (z.B. Apache oder IIS-Logdateien).

Die Log-Dateien können dann für lange Zeit bei Cloudwatch Logs archiviert werden, dafür gelten die monatlichen Preise von S3 (0,03 USD / GB pro Monat.).

2014-10-07 16_10_35-CloudWatch Management Console

Für das “ingesting”, sprich das Uploaden/Streamen der Log-Dateien nach Cloudwatch Logs berechnet AWS 0,57 USD / GB in Irland.

In Cloudwatch Logs kann man dann entsprechende Alarme definieren, wenn beispielsweise Security relvante Sachen in den Log-Daten auftauchen.

Weitere Infos gibt es hier:

 

tecRacer jetzt auch in Duisburg

Gregor Püttmann, Leiter der tecRacer-Niederlassung in Duisburg tecRacer hat seit 1. August auch ein Büro in Duisburg

Gregor Püttmann (ehemals CIO der GAGFHAH Group und Datawarehouse Consultant bei KPMG/BearingPoint) leitet als Managing Partner unsere neue Niederlassung in Duisburg und verstärkt damit tecRacers Präsenz in der Rhein-Ruhr-Region. Püttmann verfügt über langjährige Erfahrungen bei der Integration von AWS-Infrastrukturen in die Unternehmens-IT.
tecRacer wird als autorisierter Amazon Web Services Trainingspartner neben Schulungen in Hannover nun auch Termine in Köln und dem Ruhrgebiet anbieten.

Zusätzlich zu AWS-Trainings und Workshops wird auch Big Data ein Schwerpunkt unserer neuen Niederlassung sein.

AWS-Trainings in Duisburg & Köln

  • 1 Tag AWS Essentials am 6. Oktober in Duisburg
  • 3 Tage Architecting on AWS vom 7.-9. Oktober in Duisburg
  • 1 Tag AWS Essentials am 20. Oktober in Köln
  • 3 Tage Architecting on AWS vom 21.-23. Oktober in Köln

Weitere Informationen zu den Kursen und die Möglichkeit zur Anmeldung finden Sie hier: http://www.tecracer.de/aws-training/

tecRacer GmbH & Co. KG – Niederlassung Duisburg

Dipl.-Wi.Inf. Gregor Püttmann
Managing Partner
Bismarckstr. 142
47057 Duisburg, Germany
(im Tectrum Technologiezentrum Duisburg)
Phone: +49 203 306 1170
E-Mail: GPuettmann@tecracer.de

Spezial Git und GitHub Training in Hannover

Unsere Freunde von Thoughtram in Hannover bieten vom 6.-7. September ein super spezial intensiv GitHub Training in Hannover an. Das Training wird mit durchgeführt von Mike Adolphs, auch bekannt als @fooforge on GitHub. Mike ist ein GitHubber und steht auch für alle Spezialfragen rund um das Thema Git und Github zur Verfügung.

Mehr Infos findet Ihr hier: http://thoughtram.io/#trainings

AWS Zertifizierung

Gerade in unseren AWS Trainings werden wir oft gefragt, wie man sich optimal auf die von Amazon Web Services angebotenen Zertifizierungen vorbereiten kann.

Bisher hab es da nur Beispielfragen in einem PDF, siehe z.B. hier.

Seit heute gibt es aber nun endlich auch die Möglichkeit, direkt online einen repräsentativen Kurztest zu machen. Dieser Kurztest kostet 20 USD und beinhaltet 20 Fragen, die 30 Minuten beantwortet werden müssen. Mehr Infos dazu findet man hier.

Verschlüsselung von Daten auf AWS S3

Datenverschlüsselung auf AWS S3  symmkryptDas Thema Datensicherheit und damit auch Verschlüsselung ist bei unseren deutschen Amazon Web Services Kunden eigentlich ein Dauerthema. Amazon AWS trägt diesem Bedürfnis zunehmend mehr Rechnung und hat gerade gestern wieder eine entsprechende Erweiterung der S3 Dienste veröffentlicht.

Hier nun eine Übersicht, über die von Amazon Web Services angebotenen Verschlüsselungsoptionen für Ihre Daten auf S3:

(mehr …)