Segmentierung in der AWS Cloud – So reduzieren Sie Ihren PCI DSS Scope

usd AG Cloud Security, Cybersecurity Tips, News, PCI -Tipps, PCI News

Mehr und mehr Unternehmen setzen in ihrem täglichen Geschäft auf die Auslagerung von Prozessen in die „Cloud“. Der bekannteste Anbieter und aktueller Marktführer unter den Cloud-Diensten ist die Amazon-Tochterfirma Amazon Web Services (AWS). Neben den Vorteilen, die eine Umstellung auf einen solchen Anbieter bringt, gibt es auch einige Hürden: Denn durch die Verarbeitung von Kreditkartendaten in einer Cloud verschiebt sich auch der PCI Scope und muss neu betrachtet werden. Wie Sie auch mit AWS-Systemen Ihre Prozesse bestmöglich durch Segmentierung absichern und den Scope übersichtlich halten, erklären wir Ihnen in diesem Artikel.

AWS bietet eine Vielzahl von Diensten: Virtuelle Server, Datenbanken, Container-Orchestrierung und diverse Speichermöglichkeiten sind nur einige Beispiele. Die Verbindung dieser Dienste erfolgt dabei nur im Hintergrund über ein physisches Netzwerk, das in Subnetze und VLANs unterteilt ist, sondern primär durch ein Software-Defined Networking (SDN). SDN ermöglicht eine zentrale und dynamische Steuerung der Netzwerkumgebung, sowie eine flexible Verwaltung der Ressourcen, wodurch sich die AWS-Dienste problemlos an die Bedürfnisse, die aus Geschäftsprozessen entstehen, anpassen lassen.

Doch der Einsatz verschiedener AWS-Dienste erfordert auch eine Neudefinition des Scopes. Mit dem PCI Scope werden die Bereiche der Systeminfrastruktur bezeichnet, die mit den Daten von Kreditkartenhaltern in Kontakt kommen, etwa durch Speicherung, Übermittlung oder Verarbeitung. Alle Systeme oder Dienste, die sich innerhalb des Scopes befinden, müssen PCI-DSS-konform betrieben werden. Systeme außerhalb des Scopes benötigen diese Zertifizierung nicht – doch jede Schnittstelle, die ein in-Scope System zu einem anderen System besitzt, kann den Scope potentiell erweitern. Ein zu großer Scope mindert nicht nur die Sicherheit, sondern führt auch zu hohen Kosten in der Zertifizierung und im Betrieb. Deshalb sollten Systeme, die mit Kreditkartendaten in Kontakt kommen, so isoliert wie möglich betrieben werden sollten.

Ein wichtiges Werkzeug zur Trennung von Systemen untereinander ist die Segmentierung, bei der Systeme voneinander isoliert werden. Diese Isolierung bestimmter Systeme innerhalb eines Netzwerks bringt sicherheitsrelevante Vorteile mit sich und kann den Scope eines PCI DSS Assessments dadurch deutlich reduzieren. AWS bietet drei Maßnahmen zur Segmentierung, die an verschiedenen Stellen zum Einsatz kommen und dazu dienen, den Datenverkehr abzusichern und den Scope gering zu halten:

  1. Die Account-Schicht
    Accounts sind voneinander isolierte Sammlungen von AWS-Diensten, die auch in derselben Organisation untereinander zunächst keine Verbindungen besitzen. Ein Account könnte dabei die Testumgebung beinhalten, ein anderer Datenbanken und ein weiterer alle Ressourcen, die mit Kreditkartendaten arbeiten. Der Scope beschränkt sich damit nur auf den letzten Account, der von den anderen isoliert und damit abgesichert ist.

  2. Die Netzwerkschicht – Security-Gruppen
    Virtual Private Clouds (VPC) sind isolierte Sektionen der AWS Cloud, in denen Ressourcen in einem virtuellen Netzwerk ausgeführt werden können. Security-Gruppen bilden die Sicherheitsfeatures innerhalb dieser VPCs und funktionieren wie eine hostbasierte Firewall, die Ports, Quellen und Zieladressen kontrolliert. Netzwerkbasierte Sicherheitsregeln werden somit nicht mehr zentralisiert, wie etwa mit Firewalls, geregelt, sondern für jedes Hostsystem separat. Weiterhin sind die VPC Verbindungen zwischen Accounts nicht transitiv – es bestehen also wie bei den Accounts keine unkontrollierten Verbindungen zwischen den VPCs.

  3. Die Anwendungsschicht – APIs
    Die Verbindungen zwischen den AWS-Diensten oder externen Diensten können reine Datenverbindungen sein. Somit müssen für das Scoping Kontrollen in der Anwendungsschicht eingerichtet werden, die verhindern, dass Kreditkartendaten an falsche Dienste weitergeleitet werden. APIs, also Programmschnittstellen in der Anwendungsschicht, können zentral z. B. über das AWS API Gateway oder Lambda Dienste gesteuert werden, da diese bereits von AWS PCI DSS zertifiziert sind und als Werkzeug zur Segmentierung eingesetzt werden.

Die vorgestellten Mittel zur Segmentierung bei der Nutzung der AWS Cloud sind effektive Mittel, um auch nach einer Umstellung alle Prozesse PCI-DSS-konform einzurichten.

Für eine umfassende Einführung in dieses Thema empfehlen wir Ihnen die Aufzeichnung unseres usd Webinars „PCI DSS Scoping in der AWS Cloud“ auf Deutsch oder Englisch auf unserem YouTube-Kanal.


Benötigen Sie Unterstützung bei der Identifikation oder Reduktion Ihres PCI DSS Scopes in der Cloud? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.