Einführung Cloud Suchen
Von der Frage zur Erkenntnis, in Sekunden.

Erhalten Sie mit Aikido sofortige Transparenz in Ihrer Cloud-Umgebung Cloud Suchen. Durchsuchen Sie Ihre Cloud wie eine Datenbank. Ob Sie exponierte Datenbanken, anfällige virtuelle Maschinen oder zu freizügige IAM-Rollen identifizieren möchten – Aikido ermöglicht es Ihnen, Risiken in Sekundenschnelle aufzudecken. Keine Abfragesprache erforderlich, kein Warten auf DevOps.

Beschreiben Sie einfach, wonach Sie suchen, z. B. „ Geben Sie mir alle VMs mit CVE-2025-32433, bei denen Port 22 geöffnet ist.“

Scrollen Sie nach unten zu "Wie es funktioniert", um mehr über die Technik zu erfahren. Lassen Sie uns erst einmal damit beginnen, was Sie mit Aikido aufdecken können.

Wie es in der Praxis funktioniert

Nach der Synchronisierung Ihrer Cloud-Umgebung erstellt Aikido einen dynamischen Graphen aller Ihrer Assets, angereichert mit Cloud-Metadaten (aus AWS-APIs) und Sicherheitssignalen (z. B. Schwachstellen, EOL-Software, Fehlkonfigurationen). Mithilfe natürlicher Sprache können Sie diesen Bestandsgraphen abfragen - Aikido analysiert Ihre Eingaben, übersetzt sie in Graphenlogik und gibt die passenden Bestände zurück. Sie erhalten sofort einen Überblick, können verwandte Assets untersuchen, den Kontext jedes Risikos verstehen, die Suchlogik hinter den Ergebnissen untersuchen und vieles mehr.

Sehen Sie, was Aikido aufdecken kann

Abfrage und warum sie wichtig ist

öffentliche s3-Eimer

Öffentliche S3-Buckets werden häufig falsch konfiguriert und können zu Datenexponierung oder -lecks führen. Außerdem gibt es mehrere Möglichkeiten, einen Bucket öffentlich zu machen.

schaufeln außerhalb der eu

Hilft bei der compliance (z. B. GDPR) und stellt sicher, dass sensible Daten die zulässigen Regionen nicht verlassen.

Benutzer ohne mfa

Konten ohne Multi-Faktor-Authentifizierung sind anfällig für die Übernahme von Konten durch Diebstahl von Zugangsdaten.

Benutzer mit programmatischem Zugang

Identifiziert Benutzer, die über API-Schlüssel mit der Cloud interagieren können - diese Anmeldedaten sind ein häufiges Ziel für Angreifer.

Datenbanken ohne Löschungsschutz

Verhindert das versehentliche oder böswillige Löschen von wichtigen Datenbanken.

Gehen Sie noch tiefer mit diesen Netzwerk-, IAM-, CVEs/EOL-Aufforderungen

ec2-Instanzen mit offenen Verwaltungsports

Ports wie SSH (22) und RDP (3389), die zum Internet hin offen sind, stellen wichtige Angriffsvektoren für unbefugten Zugriff dar.

rds-Datenbanken, die Verkehr von ec2-Instanzen zulassen

Hilft bei der Ermittlung von Vertrauensbeziehungen und seitlichen Bewegungspfaden, die Angreifer ausnutzen könnten.

Lambda-Funktionen laufen nicht in VPCs

Bei Funktionen außerhalb von VPCs können Netzwerkkontrollen fehlen und sensibler Datenverkehr dem öffentlichen Internet ausgesetzt sein.

ec2-Instanzen, die Datenbanken beherbergen können

Hilft bei der Identifizierung von Datenspeichern, die möglicherweise zusätzlichen Schutz oder zusätzliche Überwachung benötigen, auch wenn sie nicht ausdrücklich gekennzeichnet sind.

Lambdas mit Zugang zu VPC-Endpunkten

Missbräuchlich verwendete Lambda-Funktionen mit VPC-Zugriff können mit sensiblen internen Diensten oder Datenbanken interagieren.

ec2-Instanzen mit Zugriff auf s3-Buckets

Erkennt mögliche Datenexfiltrationspfade über zu freizügige IAM-Rollen.

Lambdas, die Benutzer erstellen können

Funktionen mit der Berechtigung, Benutzer zu erstellen, können für Persistenz oder Privilegienerweiterung missbraucht werden.

iam-Rollen, die von anderen Konten aus zugänglich sind

Der kontoübergreifende Zugriff vergrößert Ihre Angriffsfläche und kann unkontrolliert sein.

Benutzer mit Admin-Rechten

Überprivilegierte Benutzer sind eine der Hauptursachen für Sicherheitsfehlkonfigurationen und Insider-Bedrohungen.

überprivilegierte IAM-Rollen

Erkennt Rollen mit übermäßigen Berechtigungen, die über die Best Practices der geringsten Berechtigung hinausgehen.

ec2-Instanzen anfällig für CVE-2025-21613

Ermöglicht die gezielte Behebung von bekannten, risikoreichen Schwachstellen in Ihrer Infrastruktur.

ec2-Instanzen mit veraltetem Betriebssystem

Bei älteren Systemen fehlen oft wichtige Sicherheits-Patches und Support, was das Risiko erhöht.

vms mit veraltetem Python

Veraltete Laufzeiten können anfällig und inkompatibel mit modernen Sicherheitsbibliotheken sein.

VM mit kritischen Sicherheitslücken

Priorisiert die Behebung von VMs, bei denen die Wahrscheinlichkeit, dass sie ausgenutzt werden, am höchsten ist, basierend auf dem Schweregrad der Schwachstelle.

ec2-Instanzen anfällig für log4shell

Die gezielte Suche nach Schwachstellen stellt sicher, dass Sie kritische Zero-Days schnell und gründlich flicken können.

öffentliche ec2-Instanzen anfällig für CVE-2025-21613 mit Zugriff auf s3-Buckets

Modelliert eine durchgängige Angriffskette: öffentliche Bloßstellung + Schwachstelle + Zugriff auf sensible Daten.

manuell erstellte Lambda-Funktionen

Bei der manuellen Bereitstellung können IaC-Leitplanken oder compliance umgangen werden.

Funktionen, die dem Internet ausgesetzt sind, mit Admin-Rechten

Serverlose Ressourcen mit Administratorrechten und Internetpräsenz können für Privilegienerweiterung und Datenexfiltration missbraucht werden.

meine riskantesten Datenspeicher

Mit Aikido lassen sich die risikoreichsten Datenbestände auf der Grundlage von Gefährdung, Anfälligkeit und Berechtigung ermitteln - für einen priorisierten Schutz.

Bewährte Praktiken bei der Eingabeaufforderung

1) Beschreiben Sie etwas

Es gibt keine vordefinierten Eingabeaufforderungen, Begriffe oder Regeln, die befolgt werden müssen. Sie können alles beschreiben, was Sie in Ihrer Cloud-Umgebung sehen möchten, und Aikido herausfinden lassen, was es für die Suche und die Erstellung der Abfragen benötigt.

2) Verwenden Sie einzelne Schlüsselwörter für eine breite Suche

Geben Sie ein einzelnes Schlüsselwort ein, und Aikido führt eine breite Textsuche in Ihren Beständen durch. Zum Beispiel wird die Suche nach dem Namen eines Benutzers zurückgegeben:

• diesen Benutzer,
• alle Gruppen, denen sie angehören,
• Vermögenswerte, bei denen ihr Name in Tags erscheint,
• und Politiken, die sie erwähnen.

Tipp: Verwenden Sie Schlüsselbegriffe wie Benutzernamen, Instanznamen oder Tag-Werte, um schnell relevante Assets und Berechtigungen zu finden. Wenn Sie beispielsweise Alice eingeben, erhalten Sie ihr Benutzerprofil, die Gruppen, in denen sie Mitglied ist, EC2-Instanzen, die mit ihrem Namen getaggt sind, und IAM-Richtlinien, die sie erwähnen - alles in einer Suche.

3) Speicher suchen

Aikido merkt sich Ihre früheren Suchanfragen, so dass die Ergebnisse beim nächsten Mal schneller geladen werden. Sie können auch ganz einfach Ihre früheren Suchanfragen erneut aufrufen - sie werden pro Benutzer gespeichert, nur für Ihr Konto. Siehe Suchverlauf für den Keyterm-Bucket unten:

‍

‍

So suchen Sie nach Cloud

1. Gehen Sie zu Clouds und dann zu „Assets“.
Dies ist Ihre einheitliche Cloud-Inventaransicht. Filtern Sie nach Bedarf nach Cloud-Anbieter, Konto oder Region.
‍
2. Beschreiben Sie, was Sie wollen
Um Ihr Cloud-Inventar abzufragen, beschreiben Sie einfach in natürlicher Sprache, wonach Sie suchen. Aikido interpretiert Ihre Eingabe, zerlegt sie in einen oder mehrere logische Schritte und ruft die relevanten Assets ab. Sie sehen Zwischenergebnisse für jeden Schritt, während Aikido auf die endgültige Ausgabe hinarbeitet.
‍

‍

‍

Im obigen Beispiel löst die Aufforderung "Zeige mir EC2-Instanzen mit Zugriff auf S3-Buckets" den folgenden Prozess aus:

• Identifizierung von EC2-Instanzen mit IAM-Rollen (über Instanzprofile)
• IAM-Rollen mit Zugriff auf S3 finden (über Inline- oder angehängte Richtlinien)
• Suchen Sie S3-Bucket-Richtlinien, die diesen Rollen Zugriff gewähren
• Kombinieren Sie diese Ergebnisse zu einem Endergebnis

‍
3. Ergebnisse untersuchen
Aikido deckt alle relevanten Assets Ihrer Suche auf und versteht den Kontext Ihrer Cloud-Umgebung. Aikido prüft alle Mechanismen und berücksichtigt bei jeder Suche ein breites Spektrum an Aspekten. So erhalten Sie Einblicke, die weit über das Übliche hinausgehen. CSPM und Probleme in Sekundenschnelle korrelieren.

Sie können eine schrittweise Aufschlüsselung anzeigen, indem Sie oben rechts auf die Schaltfläche Ergebnis erklären klicken. So sieht das für die obige Aufforderung aus:

‍

4) Benutzerdefinierte Regeln, Warnungen und Aufgaben festlegen
Speichern Sie jede Aufforderung als Alarm. Bleiben Sie über Änderungen und aufkommende Risiken in Ihrer Umgebung per E-Mail, Slack, Microsoft Teams oder wo auch immer Sie arbeiten, auf dem Laufenden. Erstellen und automatisieren Sie Aufgaben, damit Ihr Team sofort benachrichtigt wird, wenn kritische Bedingungen erfüllt sind, z. B. EC2-Instanzen, die vom Internet aus über Verwaltungsports zugänglich sind. Mit Aikido sind Warnmeldungen nicht einfach nur Lärm - sie sind maßgeschneidert, umsetzbar und basieren auf genau den Fragen, die für Ihr Team von Bedeutung sind.

‍

Damit liegt die Macht der Suche in Ihrer Hand. Mit Aikido gelangen Sie in Sekundenschnelle von der Frage zur Erkenntnis. Durchsuchen Sie Ihre Cloud noch heute. Was werden Sie finden?