Cloud Security — Generalisten-Referenz.
Provider-übergreifende Sicherheitskonzepte, die Cloud-Vendor-Unterschiede überstehen: Identity, Netzwerk, Daten, Control-Plane vs. Data-Plane.
Identity — gleiches Konzept, drei Namen
- AWS. IAM-Users, IAM-Roles, IAM-Groups, SCPs, Permission-Boundaries. Federation via SAML oder OIDC (Cognito, IAM Identity Center).
- Azure. Entra ID (früher AAD) Users, Groups, Service-Principals, Managed Identities. RBAC am Scope (Subscription / Resource-Group / Resource). Conditional Access für Policy.
- GCP. Cloud Identity Users, Service-Accounts, Groups. IAM-Bindings auf Organization / Folder / Project / Resource. Workload Identity Federation für Non-GCP-Workloads.
- Gemeinsame Falle. Alle drei sind default Deny, aber ihre Inheritance-Modelle unterscheiden sich. AWS = Explicit Deny gewinnt, keine Inheritance. Azure = RBAC erbt scope-abwärts. GCP = Bindings erben resource-hierarchy-abwärts. Nicht annehmen.
Netzwerk — VPC-Äquivalente
- AWS VPC. CIDR pro VPC; Subnets pro AZ; Route-Tables entscheiden Reachability; Security-Groups stateful; NACLs stateless.
- Azure VNet. CIDR pro VNet; Subnets; NSGs stateful; Azure Firewall stateful; UDRs überschreiben System-Routes.
- GCP VPC. Globale VPC (anders als die anderen zwei); regionale Subnets; Firewall-Rules stateful, gelten per Tag/SA.
- Peering. In allen dreien non-transitiv. A gepeert mit B und B mit C ≠ A mit C. Hub-and-Spoke nutzt Transit Gateway (AWS), VWAN (Azure), Network Connectivity Center (GCP).
- Egress-Control. Der einzige höchste-Impact-Hebel für Containment. AWS NAT-Gateway + VPC-Endpoints + Network Firewall; Azure Firewall + Private Link; GCP Cloud NAT + VPC Service Controls.
Data — Encryption-Key-Management-Teilung
- Provider-managed. AWS S3 SSE-S3, Azure Storage Service Encryption mit platform-managed Keys, GCP Default-Encryption. Null Kundenaufwand, null Kundenkontrolle.
- Customer-managed in Provider-KMS. AWS SSE-KMS, Azure Customer-Managed Keys in Key Vault, GCP CMEK in Cloud KMS. Kunde kontrolliert Rotation, Audit, Löschung; Key-Material ist provider-managed.
- Customer-Supplied (BYOK + HYOK). Kunde liefert Key-Material aus eigenem HSM. AWS XKS, Azure HYOK, GCP EKM. Höchste Souveränität, höchste Komplexität.
- Crypto-Erasure. Key löschen, Daten unlesbar. Schneller als Petabytes überschreiben. Compliance-relevant für Right-to-be-Forgotten.
Control-Plane vs Data-Plane
- Control-Plane. Die API, die Ressourcen erstellt/konfiguriert. CloudTrail (AWS), Activity-Log (Azure), Cloud Audit Logs Admin Activity (GCP). Immer loggen; meist kleines Volumen.
- Data-Plane. Die API, die Daten innerhalb von Ressourcen liest/schreibt. S3-Object-Access, KeyVault-Secret-Reads, GCS-Object-Reads. Hohes Volumen; oft per default nicht geloggt.
- Audit-Überraschung. Verteidiger denkt, er habe volle Abdeckung, weil CloudTrail an ist. Angreifer exfiltriert aus S3 via Data-Plane-API; Verteidiger sieht nichts.
- Per-Provider-Data-Plane-Logging. AWS S3 Server Access Logs / CloudTrail Data Events (Extra-Kosten); Azure Storage Analytics; GCP Cloud Audit Logs Data Access (per default aus).
Multi-Cloud-Vergleichstabelle — schnelle Referenz
- Metadata-Service. AWS
169.254.169.254, Azure169.254.169.254+ HeaderMetadata: true, GCPmetadata.google.internal+ HeaderMetadata-Flavor: Google. - Default-Encryption. AWS S3 seit 2023 ja, Azure Blob ja, GCP ja — alle at-rest.
- Public-Block auf Account-Level. AWS Block Public Access; Azure hat per-Storage-Account-Public-Access; GCP Uniform Bucket-Level Access.
- Org-weite Policy. AWS SCP; Azure Policy + Management Groups; GCP Org Policy + Folders.
FaustregelBei einem Multi-Cloud-Audit jeden Provider zuerst separat auditieren. Cross-Cloud-Befunde (Federation, shared SSO, replizierte Daten) kommen danach und setzen eine saubere Per-Cloud-Baseline voraus.
Verwandte Notizen in dieser Domain
Von der Referenz zum Befund