AWS hat die Benutzer seiner Aurora- [aws.amazon.com], DocumentDB- [cbronline.com] und RDS-Datenbanken [aws.amazon.com] gewarnt, dass sie bis zum 14. Januar neue SSL/TLS-Zertifikate herunterladen und installieren müssen oder riskieren, dass Anwendungen, die diese verwenden, abstürzen, wenn sie keine Verbindung zu den AWS-Datenbankinstanzen herstellen können.
Die meisten Benutzer sollten Konsolenbenachrichtigungen erhalten haben: die neuen SSL/TLS-Zertifikate – alle fünf Jahre als Teil unserer Standard-Maintenance und Sicherheitsdisziplin – sind seit dem 19. September 2019 verfügbar. Aber der Cloud-Anbieter hat am späten Dienstag auch eine öffentliche Bekanntmachung [aws.amazon.com] herausgegeben, um die Nachzügler daran zu erinnern, den dringenden und wichtigen Schritt zu machen, da die Frist zu enden droht – obwohl natürlich nicht jeder SSL/TLS zur Verschlüsselung von Verbindungen zu DB-Instanzen verwenden wird.
Sicherheitsexperte Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafikommentiert diese Entwicklung wie folgt: „In der Cloud kann der Unterschied zwischen einem anderen Unternehmen oder einem Angreifer nur ein TLS-Zertifikat sein, das als Maschinenidentität fungiert.
Leider sind selbst Cloud First-Unternehmen nicht dazu bereit, die Herausforderungen der Verwaltung und des Schutzes von Maschinenidentitäten zu bewältigen. Dies wird zu einem großen Problem, da viele Unternehmen mehrere Cloud Umgebungen für ihre Geschäfte nutzen, die Hunderte oder sogar Tausende von Maschinenidentitäten umfassen können.
Amazon AWS benachrichtigt nun seine Kunden über einige ihrer beliebtesten Datenbankdienste, dass sie für die Änderung einiger ihrer Maschinenidentitäten verantwortlich sind oder dass sie mit einer Aussperrung rechnen müssen. Dies ist ein weiterer Beleg, warum es für Unternehmen nicht optional ist, einen vollständigen Überblick über alle von ihnen verwendeten Maschinenidentitäten zu erhalten und die Automatisierung zu nutzen, um diese schnell zu ändern. Nur so kann das Unternehmen sicherstellen, dass es innerhalb und außerhalb der Cloud vor Angriffen geschützt wird.“