Aktive Cloud Sicherheit
Erfolgreiche Lösungsansätze für Ihre sichere Cloud-Umgebung

Der Erfolg der verschiedenen Cloud-Ansätze beruht auf Standardisierung und Automatisierung. Wenden wir diese Rezepte auch konsequent auf die IT-Sicherheit an, ergeben sich viele Vorteile. Aber wie weit funktioniert eine automatisierte Sicherheitstechnik in der Cloud?

Autor: Martin Buck, Head of Competence Center Security bei BNC

Sieht man sich die verschiedenen Reports zur Sicherheit der heutigen Cloud-Umgebungen an, wird schnell klar, dass die Cloud Anbieter ihren Teil zur Sicherheit der Cloud-Plattform inzwischen sehr gut im Griff haben. Aber trotzdem liest man jede Woche in der Presse von neuen erfolgreichen Angriffen und dem unerlaubten Zugriff auf vertrauliche Daten oder gar der Erpressung mit gekaperten Daten. Viel gefährlicher wird es dann noch, wenn die Daten unbemerkt verändert werden und damit die Aussagekraft, Vorhersagen und Schlussfolgerungen zunichte gemacht oder manipuliert werden können. Hinzu kommt, dass durch die Nutzung verschiedenster Cloud-Angebote die Daten weiter verteilt werden und der Schutz der vertraulichen Daten immer schwieriger und komplexer wird.

Die Grösse des Problems

Nehmen wir beispielsweise den Cloud Threat Report der Unit42 vom Frühjahr 2020, werden folgende kritische Zahlen hervorgehoben:

  • 43% der Cloud Datenbanken werden nicht verschlüsselt und erleichtern es damit Angreifern, Daten abzugreifen.
  • 60% der Cloud Speicherdienste haben das Logging abgeschaltet und verunmöglichen die Nachvollziehbarkeit von berechtigten und unberechtigten Zugriffen.
  • 76% der Organisationen beschränken den Zugriff auf den SSH Port nicht und ermöglichen damit jedem administrative Zugriffe.

Alle die genannten Probleme liessen sich mit einem Klick pro Instanz in der Cloud-Umgebung abstellen. Aber genauso einfach lassen sie sich auch wieder reaktivieren. Durch die verteilte Administration und Verantwortung benötigen wir hier ein neues Sicherheitsbewusstsein bei allen Beteiligten.

So kommt Gartner nicht überraschend schon im August 2018 zu dem Schluss, dass im Jahr 2022 der Kunde für mindestens 95% der Sicherheitsvorfälle in der Cloud verantwortlich zeichnet und nicht der Cloud-Anbieter.

Erfolgreiche Lösungsansätze

Die Aufweichung des Firmen-Perimeters und die Adaption von Cloud-Angeboten ist ein IT-technisches Grossprojekt und sollte als solches behandelt werden. Dies bedingt zuallererst eine Strategie, welche die Marschrichtung vorgibt. Zur Umsetzung werden Massnahmen und Kontrollen definiert. Da die verschiedenen Cloud-Angebote aber sehr vielfältig sind, gibt es nicht den einen richtigen Plan, der sich auf die Mehrheit der Cloud-Nutzer anwenden lässt. Aber es gibt Lösungsansätze, die für die verschiedenen Nutzungsszenarien passende Methoden der IT-Sicherheit bereitstellen. Diese können dann optimiert auf die jeweilige Organisation implementiert werden. Grob lassen sich die Cloud-Varianten einteilen in:

  • IaaS – Infrastructure as a Service, es werden virtuelle Maschinen betrieben, ähnlich wie aus dem eigenen Rechenzentrum bekannten
  • PaaS – Platform as a Service, es werden Container betrieben
  • Serverless Computing – es wird nur noch Code ausgerollt, keine virtuelle Maschine oder Container mehr
  • SaaS – Software as a Service, es werden ganze Applikationen bereitgestellt

Je weiter man sich von IaaS zu SaaS bewegt, desto mehr Verantwortung übernimmt der Cloud-Anbieter. Aber es wird auch immer schwieriger zu kontrollieren, wer wann und von wo aus auf die Daten zugreift.

IaaS und PaaS Sicherheit

Die IaaS und PaaS Sicherheit hat noch viele Gemeinsamkeiten. Es gibt noch eine Art Cloud-Mandanten-Perimeter, der effektiv genutzt werden kann, um die Zugriffskontrolle und Inhaltsvalidierung mit ähnlichen Mitteln wie in der traditionellen IT zu übernehmen. Hinzu kommen bei PaaS aber spezifische Massnahmen zur Sicherstellung von Container-Security. Diese Massnahmen für IaaS und PaaS Plattformen können für eine private Cloud im eigenen Rechenzentrum genauso angewendet werden, wie in der public Cloud. Der entscheidende Erfolgsfaktor ist hierbei die Automatisierung, welche eine gewisse Standardisierung voraussetzt. Wir unterscheiden folgende wichtige Massnahmen in diesem Bereich:

  • Zugriffskontrolle – Firewall, strikte Authentisierung & Autorisierung
  • Inhaltskontrolle – Firewalls mit Layer 7 Funktionen oder andere Sicherheitsgateways
  • Zonierung – Trennung von Applikationen und deren Funktionsblöcken
  • Inventarisierung – Automatisierte Erkennung und Klassifizierung von neuen Instanzen
  • Abstraktion der Regelwerke – Sicherheits-Regelwerke werden nicht basierend auf IP-Adressen, sondern auf funktionalen Eigenschaften und Klassifizierungen automatisiert adaptiert
  • Vulnerability Management – Verwundbarkeiten von Systemen, insbesondere auch die Schichten bei Containern, werden automatisiert schon vor oder während dem Rollout überprüft
  • Verifikation der Cloud Konfiguration – die automatisierte Verifikation der korrekten Konfiguration aller Assets ist essenziell

Besonders in Multi-Cloud-Umgebungen können diese Massnahmen eine Herausforderung darstellen.

Serverless Computing Sicherheit

Beim Serverless Computing, in dem oft mit Microservices gearbeitet wird, gibt es keinen definierten Perimeter mehr. Dieser kann nur durch passende, strikte Zugriffskontrollen selbst erzeugt werden. Zudem gewinnt die Code-Sicherheit enorm an Bedeutung, da Zugriffe auf andere Ressourcen nur schwer kontrollierbar sind. Entscheidende Massnahmen und Fragen sind:

  • Code Verifikation – stimmt die Code-Qualität, oder werden z.B. Eingaben nicht korrekt verifiziert
  • Sicherheit von Dependencies – werden beispielsweise Libraries mit bekannten Sicherheitslücken eingebunden
  • Repository Security – Ist die Code-Quelle vertrauenswürdig, wer hat darauf Zugriff und wer hat den Code zuletzt geändert
  • Zugriffskontrollen – welche Funktion darf welche anderen Funktionen aufrufen, woher darf auf Daten zugegriffen werden
SaaS Sicherheit

Bei SaaS Applikationen wird die gesamte Applikation bereitgestellt, oft erfolgt der Zugriff über einen Webbrowser. Jedes Unternehmen verwendet heute SaaS Applikationen, machen ist dies vielleicht noch nicht bewusst. Sehr verbreitete sind Anwendungen zum gemeinsamen Bearbeiten von Daten, Team- und Videokonferenzsysteme, HR-, CRM- und Support-Plattformen, Entwicklungsumgebungen und viele weitere. Daher ist eine wichtige Massnahme, hier den Überblick zu behalten und entsprechende Massahmen für den Zugriffsschutz und die Datensicherheit zu treffen. Wichtige Aspekte dabei sind:

  • Schatten IT aufdecken – welche SaaS Angebote werden verwendet
  • Datenschutzanforderungen prüfen – dürfen die verwendeten Applikationen rechtmässig eingesetzt werden
  • Zugriffskontrollen – wer darf mit welchem Gerät von wo aus auf welche Applikationsteile zugreifen
  • Starke Authentisierung – verhindern, dass gestohlene Zugriffsdaten missbraucht werden können
  • Inhaltskontrolle – sind schädliche Inhalte im SaaS gespeichert (z.B. Phishing-E-Mails, Malware im File-Share)
  • Kontrolle der Datenweitergabe – welche Daten können mit wem geteilt werden; insbesondere öffentliche Sharing-Links sind problematisch

Um diese Schutzmassnahmen realisieren zu können, ist man auch auf die Mithilfe des SaaS Anbieters angewiesen. Er muss entsprechende API-Funktionen bereitstehen, um die Sicherheit der eigenen Daten gewährleisten zu können.

Alles unter einen Hut bringen

Jetzt benötigen die verschiedenen Cloud-Formen unterschiedliche Massnahmen zur Sicherung und Überprüfung. Das klingt sehr komplex. Doch glücklicherweise haben inzwischen grosse IT-Security Anbieter zahlreiche Spezialfunktionen unter einer einheitlichen Oberfläche vereint. Damit können die verschiedenen Anforderungen der Cloud-Angebote zentral verwaltet werden und ein konsolidiertes Sicherheits-Reporting geschaffen werden. Nur so können die zahlreichen Blüten, die der Cloud Trend treibt, auch sicher genutzt werden und eine sicherheitstechnische und administrative Überforderung vermieden werden.

An den Anfang scrollen
Suche