Von Maren Witkowski, Cloud-Projekt- und Service-Management bei audius

Das klassische Sicherheitsmodell mit seinen klaren Grenzen hat in der Cloud ausgedient. In modernen, verteilten Infrastrukturen – insbesondere in der Public Cloud – lässt sich Vertrauen nicht länger an der Netzwerkgrenze festmachen. Stattdessen etabliert sich Zero Trust zunehmend als neuer Sicherheitsstandard – so auch beim Cloud-Anbieter Amazon Web Services (AWS).

Was bedeutet „Zero Trust“?

Zero Trust folgt dem Grundsatz „Never trust, always verify“. Es gibt keine vertrauenswürdigen Zonen mehr. Jeder Zugriff – ob intern oder extern – wird geprüft, jede Verbindung, jeder Nutzer, jedes Gerät, jeder Dienst ist zunächst verdächtig, bis er autorisiert ist – und bekommt dann auch nur genau den Zugriff, der wirklich notwendig ist.

Im Kern basiert Zero Trust auf fünf Prinzipien: explizite Verifizierung, minimal notwendige Rechtevergabe (Least Privilege), Segmentierung, kontinuierliche Überwachung sowie Automatisierung von Reaktionen.

Warum Zero Trust in der Cloud?

Die Cloud bringt neue Komplexität in IT-Strukturen. Es gibt keinen klar definierten Netzwerk-Perimeter mehr, der auf dem eigenen Rechenzentrum basiert – Anwendungen sind über verschiedene AWS-Accounts, Regionen und Services verteilt, Nutzer arbeiten ortsunabhängig und oft auch von privaten Geräten aus. Gleichzeitig kommunizieren APIs und Cloud-Services untereinander und erweitern die potenzielle Angriffsfläche erheblich. In dieser neuen Realität reicht es nicht mehr aus, einem geschützten Netzwerk zu vertrauen. Sicherheit muss heute identitätsbasiert, fein segmentiert und lückenlos überwachbar sein – und dabei so granular wie nötig. Zero Trust bietet dafür den passenden Rahmen.

Die fünf Säulen der Zero-Trust-Architektur umgesetzt in AWS

AWS unterstützt Zero Trust mit einem breiten Portfolio an Sicherheitsfunktionen, die entlang der folgenden fünf Architektursäulen eingesetzt werden können:

1. Identitäts- und Zugriffsmanagement – Wer greift zu?

Die Identität wird zum neuen Sicherheitsperimeter. Zugriffe – ob durch Menschen oder Maschinen – müssen eindeutig authentifiziert und autorisiert sein. Mit AWS Identity and Access Management (IAM) lassen sich Berechtigungen präzise definieren, rollenbasiert verwalten und über Policies kontrollieren. Das IAM Identity Center erlaubt eine zentrale Benutzerverwaltung mit Single Sign-On (SSO), etwa via Azure AD. Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit zusätzlich, insbesondere für sensible Konten oder Aktionen. Für die regelmäßige Überprüfung von Berechtigungen – ein oft unterschätzter Punkt – oder auch für größere Organisationen steht mit dem Access Analyzer ein leistungsfähiges Werkzeug bereit.

Das Ziel muss sein: Jeder darf nur das sehen und tun, was für seine Rolle erforderlich ist.

2. Geräte- und Endpunktsicherheit – Womit wird zugegriffen?

Neben der Identität spielt auch das genutzte Endgerät eine zentrale Rolle. Mit AWS Verified Access lassen sich Zugriffe auf Webanwendungen basierend auf Gerätezustand und Benutzerstatus regeln – ganz ohne VPN. In sensiblen Umgebungen ermöglichen Amazon WorkSpaces oder AppStream 2.0 den Zugriff über isolierte, verwaltete Desktop-Umgebungen. Durch die Integration mit Mobile-Device-Management-Systemen wie Intune oder Jamf lässt sich sicherstellen, dass nur konforme Geräte zugelassen werden.

3. Netzwerk-Segmentierung und Mikrosegmentierung – Woher kommt der Zugriff?

Im klassischen Modell war das interne Netzwerk per se vertrauenswürdig. In Zero Trust ist es das nicht mehr. Innerhalb von AWS werden Ressourcen deshalb durch Virtual Private Clouds (VPCs), Security Groups und Network Access Control Lists (NACLs) voneinander isoliert. Verbindungen sind nur dann erlaubt, wenn sie explizit autorisiert wurden.

Mit AWS PrivateLink lassen sich Dienste intern erreichbar machen, ohne das öffentliche Internet zu nutzen, die AWS Network Firewall sorgt zusätzlich für eine regelbasierte Inspektion und Filterung des Datenverkehrs. So entsteht eine fein segmentierte Cloud-Architektur, in der kein Dienst implizit auf einen anderen zugreifen kann. Jede Kommunikation ist bewusst gestaltet und kontrolliert.

4. Datensicherheit und Verschlüsselung – Was wird geschützt?

Daten sind wertvoll und stehen im Zentrum jeder Zero-Trust-Strategie. Datenzugriffe müssen deshalb nachvollziehbar und kontextbasiert kontrolliert werden. In AWS erfolgt das unter anderem durch individuelle IAM-Rollen für Anwendungen, präzise BucketPolicies und Access Points für Amazon S3 sowie eine systematische Verschlüsselung mit dem AWS Key Management Service (KMS).

Amazon Macie erkennt sensible Daten wie personenbezogene Informationen automatisch, Zugangsdaten und Geheimnisse werden über den AWS Secrets Manager oder SSM Parameter Store sicher gespeichert – getrennt vom Anwendungscode. So wird jeder Workload als eigenständige Sicherheitsdomäne betrachtet – isoliert, überprüfbar und nur mit den Rechten ausgestattet, die er wirklich braucht.

5. Überwachung, Analyse und Automatisierung – Was läuft in der Cloud?

Statt einmaligem Setup verlangt Zero Trust eine kontinuierliche Überprüfung. Monitoring, die Erkennung von Anomalien und automatisierte Reaktionen sind daher ein essenzieller Bestandteil jeder Zero-Trust-Architektur. Dienste wie der AWS CloudTrail oder Amazon GuardDuty liefern dafür Echtzeit-Einblicke in Aktivitäten und Anomalien. Der AWS Security Hub bündelt Sicherheitsmeldungen aus verschiedenen Quellen und erlaubt eine einheitliche Bewertung. Sicherheitslücken im Code oder in der Konfiguration lassen sich mit Amazon Inspector oder AWS CodeGuru frühzeitig erkennen.

AWS Config ermöglicht die Durchsetzung von Compliance-Anforderungen, etwa durch eine automatische Regelprüfung von Ressourcen. Über EventBridge und AWS Lambda können sicherheitsrelevante Ereignisse automatisch behoben werden, beispielsweise durch das Deaktivieren falsch konfigurierter Ressourcen.

Praxisnahe Einsatzszenarien für Zero Trust

Bei Zero Trust geht es nicht nur um neue Technologien, sondern auch um neue Denkweisen in Architektur, Betrieb und Governance. Besonders deutlich zeigt das Modell seinen Mehrwert in konkreten Anwendungsfällen, wie die folgenden typischen Use Cases zeigen:

• Use Case 1 – Admin-Zugriff absichern: Nur über SSO mit MFA, lückenlos protokolliert über CloudTrail.
• Use Case 2 – Microservices voneinander trennen: Kommunikation ausschließlich über PrivateLink und IAM-basierte Zugriffsteuerung.
• Use Case 3 – S3-Zugriffe beschränken: Zugriff nur aus definierten Netzwerken, keine externen Freigaben – auch nicht versehentlich.

Empfehlungen für die Praxis

Die Umsetzung von Zero Trust ist kein „Alles-oder-nichts“-Projekt. Unternehmen profitieren bereits von einzelnen Maßnahmen, wenn sie strategisch eingesetzt werden. Dazu gehören unter anderem die Vermeidung von Wildcard-Berechtigungen, die Steuerung von Zugriffsrechten mit Tags, die standardmäßige Verweigerung – nur was explizit erlaubt ist, darf geschehen, aber auch die regelmäßige Überprüfung von Berechtigungen, um Fehlkonfigurationen zu erkennen, bevor Sicherheitslücken entstehen. Zudem sollten unnötige Dienste deaktiviert werden: Je weniger aktiv ist, desto kleiner die Angriffsfläche.

Zero Trust als Sicherheitsprinzip

Zero Trust ist kein Produkt und kein Projekt mit Enddatum, sondern ein Sicherheitsprinzip, das insbesondere in der Cloud unerlässlich ist. AWS bietet eine robuste technische Basis und alle notwendigen Werkzeuge für die Umsetzung. Entscheidend ist jedoch, dass Unternehmen den Ansatz als fortlaufenden Prozess verstehen: Architektur, Betrieb und Governance müssen auf eine kontinuierliche Verifikation und minimale Vertrauensannahmen ausgerichtet sein. So kann eine neue, langfristige Denkweise für sicheres Cloud Computing entstehen.

Mit der richtigen Unterstützung durch Cloud-Security-Experten lässt sich das Zero-Trust-Prinzip pragmatisch und skalierbar umsetzen.