Skip to content

Instantly share code, notes, and snippets.

@jahe

jahe/aws-cheatsheet.md

Last active October 12, 2017 21:14
Show Gist options
  • Save jahe/5d3609beca2d1a284ce5a6d1e7ce819f to your computer and use it in GitHub Desktop.
Save jahe/5d3609beca2d1a284ce5a6d1e7ce819f to your computer and use it in GitHub Desktop.
Download ZIP
AWS Cheatsheet
Raw
aws-cheatsheet.md

Datenschutz - EU Datenschutz-Grundverordnung (EU-DSGVO)

Verschlüsselung

Die neue EU-DSGVO (EU-Datenschutz-Grundverordnung - tritt ein am 25.05.2018) fordert, dass Kundendaten verschlüsselt gespeichert werden. Und zwar so, dass nur der Urheber (also man als Unternehmen selbst und nicht der Cloud-Anbieter) Zugriff auf die Kundendaten hat. Man muss also die alleinige Gewalt über ihre Daten garantieren.

Data in Motion vs. Data at Rest

  • Encryption in Motion dient dazu, Daten während der Übertragung (z.B. Hochladen von Daten auf S3 oder Abfragen von Daten im RDS) zu verschlüsseln.
  • Werden Daten verschlüsselt gespeichert, sind diese Encrypted at Rest. Daten, die in S3, RDS oder einem anderen persistenten Datenspeicher gespeichert sind, sollten in der Regel verschlüsselt werden. Für Data at Rest Verschlüsselung gibt es zwei Möglichkeiten:
    • Clientseitige Verschlüsselung - Der Admin verschlüsselt die Daten vor dem Absenden, anstatt sie in AWS zu verschlüsseln. Er kümmert sich um den Verschlüsselungscode und ist der einzige, der die Daten entschlüsseln kann.
    • Serverseitige Verschlüsselung - Nutzer überträgt Daten unverschlüsselt zu AWS, wo sie während des Uploads auf den Server verschlüsselt werden. AWS übernimmt hierbei die Verwalung der Schlüssel, was nicht der EU-DSGVO entspricht. Wenn man serverseitige Verschlüsselung nutzen und selbst Kontrolle über die Schlüssel behalten möchte, kann man AWS CloudHSM nutzen. CloudHSM nutzt ein Hardwareverschlüsselungsmodul für das Management der Schlüssel. Dabei hat nicht AWS, sondern man selbst als Unternehmen die Kontrolle über die Verschlüsselungshardware.

RDS - Relational Database Service

RDS kann so konfiguriert werden, dass DB-Instanzen, Storage, Backups, Read Replicas und Snapshots verschlüsselt werden.

Speicherort

Das EU-DSGVO besagt außerdem, dass das Unternehmen wissen muss, wo genau die Daten gespeichert sind. Der Speicherort muss also zurückverfolgbar sein. Denn aus Sicht des EU-DSGVO gibt es erlaubte und nicht erlaubte Standorte. Nach Auffassung der EU handelt es sich hierbei um Länder mit unzureichender Rechtsstaatlichkeit, ganz besonders im Fall von Menschenrechtsverletzungen, wie sie die Charta der Grundrechte der Europäischen Union definiert. Das gelingt etwa durch eine strikte Trennung von Sicherheitsschlüsseln oder Zugangsdaten vom Arbeitsbereich der Cloud.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment