Die Entdeckung schwerwiegender Schwachstellen in der Cosmos-Datenbank und der Linux-VM von Azure zeigt, dass man Cloud-Sicherheit nicht als selbstverständlich voraussetzen kann. Hier erfahren Sie, wie Sie das Risiko aktueller und zukünftiger Schwachstellen verringern können. [...]
Es wird uns oft gesagt, dass die Cloud sicherer sei als On-Premise-Lösungen. Aber ist sie das wirklich? Beide sind mit ähnlichen Risiken und Schwachstellen behaftet, und die Cloud kann manchmal komplizierter sein als lokale Lösungen, weil wir mit der Bereitstellung und dem Patching nicht vertraut sind.
Die jüngsten Ereignisse haben die Cloud-Risiken in den Fokus gerückt. Im Folgenden finden Sie einen Überblick über diese Ereignisse, die daraus zu ziehenden Lehren und andere allgemeine Cloud-Risiken, die Administratoren kennen sollten.
Microsoft lässt die Tür zu Azure Cosmos offen
Forscher des Sicherheitsunternehmens Wiz gaben kürzlich bekannt, dass sie in der Lage waren, uneingeschränkten Zugriff auf die Konten und Datenbanken mehrerer tausend Microsoft Azure-Kunden über deren Cosmos-Datenbanken zu erhalten. Sie konnten das lokale Jupyter-Notizbuch manipulieren und ihre Rechte auf andere Kunden-Notizbücher ausweiten, die mehrere Kundengeheimnisse einschließlich des Primärschlüssels der Cosmos-DB enthielten. „Die Schwachstelle betrifft nur Cosmos-DBs, bei denen das Jupyter-Notebook aktiviert war und der Zugriff von externen IPs erlaubt wurde“, schreiben die Forscher. In einem weiteren Blog-Post empfehlen sie mehrere Möglichkeiten, diese Jupyter-Notebooks zu identifizieren und zu schützen, und die CISA empfiehlt den Nutzern dieser Dienste, die Azure-Zertifikatsschlüssel zu rollen und neu zu generieren.
Sicherheitslücke in virtuellen Azure-Linux-Maschinen erfordert manuellen Patch
Dann entdeckten die gleichen Forscher ein größeres Problem, das sie OMIGOD nannten. Die Schwachstellen wurden in der Open Management Infrastructure (OMI) gefunden, dem Linux-Äquivalent der Windows Management Infrastructure (WMI) von Microsoft. Dieser Dienst wird unbemerkt auf allen virtuellen Azure-Linux-Maschinen installiert. Er ist nicht leicht zu patchen, und derzeit ist jede neu installierte virtuelle Linux-Maschine potenziell für die Ausführung von Remote-Code anfällig.
Die Wiz-Forscher fanden heraus, dass 65 % der Kunden einem potenziellen Risiko ausgesetzt sind. Was mich als jemand, der auf Patching-Probleme achtet, noch mehr beunruhigt, ist die Tatsache, dass diese Sicherheitslücke nicht nur schwer zu patchen ist, sondern dass Microsoft selbst die Empfehlungen und Prozesse zum Patchen und Schützen von Maschinen nicht vollständig verstanden zu haben scheint. Wie das Unternehmen in seinem Blog anmerkt, verfügt diese Anwendung über keinen automatischen Update-Mechanismus, so dass Sie einen manuellen Patch durchführen müssen. Microsoft ist dabei, eine feste Version von OMI zu aktualisieren, die von einer gepatchten Version abhängt.
Die Schwachstellen in OMI und Azure Cosmos zeigen, dass auch die größten und besten Cloud-Anbieter Schwachstellen haben können. Die wichtigste Erkenntnis ist, wie gut Cloud-Anbieter reagieren, wenn diese Schwachstellen bekannt werden.
Offengelegte Anmeldeinformationen in Repositories
Eine weitere häufige Art und Weise, wie Cloud-Dienste falsch konfiguriert oder unsicher gemacht werden, ist das Cloud-Äquivalent eines Klebezettels auf Ihrem Schreibtisch, auf dem das Passwort steht. Zu oft hinterlassen Entwickler statische oder gespeicherte Passwörter in GitHub-Repositories. Man hört oft von „Builds“ und „Versionen“ von Code. Dies ermöglicht es Entwicklern, die verschiedenen Versionen zu verfolgen und Fehlerkorrekturen vorzunehmen. Außerdem können die Entwickler Notizen am Rande des Codes hinterlassen, zu denen manchmal auch hart kodierte Anmeldedaten gehören, die Angreifer dann entdecken können.
Im Juni hat GitHub seine Tools um die Suche nach Anmeldeinformationen erweitert. Bereits seit 2015 wird der Code auf Geheimnisse gescannt, die nicht offengelegt werden sollten. Nun wurde die Suche nach Anmeldedaten für die Paketregistrierung hinzugefügt, um sicherzustellen, dass diese Passwörter nicht von Angreifern gefunden werden können.
Gelernte Lektionen zur Sicherheit von Cloud-Diensten
Entwickler und Administratoren sollten immer:
- Überprüfen, welche der von ihnen genutzten Cloud-Dienste externen IP-Zugriff haben.
- Die mit dem externen Zugriff verbundenen Risiken bewerten und ermitteln, ob es andere Möglichkeiten gibt, diesen Zugriff zu schützen.
- Benachrichtigungen von ihren Cloud-Anbietern einrichten, um über Sicherheitsprobleme auf dem Laufenden zu bleiben.
- Die Sicherheitsmeldungen und Nachrichten über die von ihnen verwendete Entwicklungsplattform verfolgen. Im Falle von Microsoft Azure können Sie die Landing Page des Microsoft Security Response Center nutzen und die Produktfamilie von Azure für die von Ihnen verwendeten Tools filtern. Cloud-Anbieter beheben das Problem oft auf ihrer Seite und informieren Sie, wenn Sie Patches installieren müssen.
Auch kleine und mittlere Unternehmen haben Optionen. Entscheiden Sie, wo Ihre Daten gespeichert werden sollen, und prüfen Sie, ob die von Ihnen verwendeten Anbieter geeignete Lösungen gewählt haben. Ich verwende oft die Passwortrichtlinien einer Website als Anhaltspunkt, um festzustellen, wie reaktionsschnell und verantwortungsbewusst ein Anbieter ist.
Wenn die Anzahl der Zeichen oder die Verwendung komplexer Passwörter begrenzt ist, ist dies ein Zeichen dafür, dass der Anbieter eine ältere Authentifizierungslösung verwendet. Wenn die Website die Zwei-Faktor-Authentifizierung auf die Verwendung einer Textfunktion des Mobiltelefons beschränkt und keine Authentifizierungsanwendung anbietet, ist dies ein Zeichen dafür, dass die Authentifizierungsprozesse verbessert werden müssen.
Viele Finanzinstitute bieten als Zwei-Faktor-Option nur die Authentifizierung per Handy an. Finanzinstitute sind oft die langsamsten bei der Einführung neuer Technologien, da ihre Tests und Anforderungen zu langen Einführungszeiten führen. Stellen Sie sicher, dass Ihre Finanzdaten zumindest durch eine Art von Zwei-Faktor-Verfahren geschützt sind.
Prüfen Sie, ob die von Ihnen genutzten Anbieter Bug-Bounty-Programme eingerichtet haben, um sicherzustellen, dass Forscher Probleme direkt an sie weiterleiten können. Microsoft hat zum Beispiel ein Online-Bug-Bounty-Programm und eines speziell für Azure.
Prüfen Sie, wo der Anbieter die Grenze zieht, was in seiner Verantwortung liegt und was in Ihrer Verantwortung. Microsoft hat mehrere Whitepapers zu diesem Konzept der geteilten Verantwortung zwischen dem Anbieter und dem Entwickler veröffentlicht. Schauen Sie sich diese Dokumente an, um herauszufinden, was Ihre Anbieter tun sollen. Im Fall von Microsoft:
„Bei On-Premises-Lösungen ist der Kunde für alle Aspekte der Sicherheit und des Betriebs verantwortlich und rechenschaftspflichtig. Bei IaaS-Lösungen sollten Elemente wie Gebäude, Server, Netzwerkhardware und der Hypervisor vom Plattformanbieter verwaltet werden. Der Kunde ist für die Sicherung und Verwaltung des Betriebssystems, der Netzwerkkonfiguration, der Anwendungen, der Identität, der Clients und der Daten verantwortlich bzw. trägt eine Mitverantwortung. PaaS-Lösungen bauen auf IaaS-Implementierungen auf, und der Anbieter ist zusätzlich für die Verwaltung und Sicherung der Netzwerkkontrollen verantwortlich.
Der Kunde ist nach wie vor für die Sicherung und Verwaltung von Anwendungen, Identitäten, Clients und Daten verantwortlich oder trägt eine Mitverantwortung. Bei SaaS-Lösungen stellt ein Anbieter die Anwendung bereit und abstrahiert den Kunden von den zugrunde liegenden Komponenten. Dennoch ist der Kunde weiterhin rechenschaftspflichtig; er muss sicherstellen, dass die Daten korrekt klassifiziert werden, und er ist mitverantwortlich für die Verwaltung seiner Benutzer und Endgeräte.“
Schließlich sollten Sie sich ansehen, wie der Anbieter seine Kunden auf die Sicherheitsprobleme der Cloud aufmerksam macht. Wird empfohlen, sich für Warnmeldungen anzumelden, wenn man seine Software nutzt? Wird bei der Installation des lokalen Teils des Cloud-Dienstes sichergestellt, dass bei der Nutzung der Anwendung immer nach erforderlichen Updates gesucht wird? Prüfen Sie, was aktuelle Nutzer über die Software sagen und wie gut der Anbieter auf seine Kunden eingeht. Erkundigen Sie sich bei anderen Entscheidungsträgern in Unternehmen nach ihren Erfahrungen mit ihren Cloud-Anbietern. Aktualisiert der Anbieter seine Cloud-Dienste rechtzeitig und wie gut informiert er Sie über diese Bereitstellungsanforderungen?
Fazit: Unabhängig davon, wo sich Ihre Daten befinden, müssen Sie überprüfen, wie Ihre Anbieter auf Probleme reagieren. Angreifer und Forscher, die nach Schwachstellen im Cloud Computing suchen. Werden Sie zu einem bewussteren Verbraucher von Cloud-Diensten. Fragen Sie Ihre Anbieter, wie sie mit der Sicherheit und der Kommunikation mit Ihnen und Ihrem Unternehmen umgehen. Achten Sie darauf, wie schnell Ihr Anbieter auf Probleme reagiert, und nicht darauf, wie oft er Ihnen versichert, dass er sicher ist.
Be the first to comment