Cloud Computing ist gekommen, um zu bleiben. Deshalb ist es für Firmen umso wichtiger, sich Gedanken um die Sicherheit in der Daten- und Rechenwolke zu machen. Doch wo liegen derzeit die größten Schwachstellen? Wir suchen mit Expertenhilfe Antworten. [...]
Fehlkonfigurationen öffnen Tür und Tor
Ein weiterer wunder Punkt in der Absicherung von Cloudanwendungen, der oft zu beobachten ist, sind Fehlkonfigurationen. Der genannte CSA-Bericht nennt hier als Beispiel ungesicherte Datenspeicherinstanzen oder -container, exzessive Rechte und Genehmigungen von Instanzen, verhältnismäßig unsichere Default-Einstellungen, die nicht geändert werden, deaktivierte Standard-Securityeinstellungen, ungepatchte Software, deaktiviertes Logging und Monitoring, uneingeschränkter Zugang zu Ports und weiteren Diensten sowie mangelnde oder fehlende Validierung von Konfigurationen.
Auch Avantecs Preid weiß um die Problematik. „Fehlkonfigurationen werden häufig durch die falsche Verwaltung mehrerer verbundener Ressourcen wie Kubernetes, serverlose Funktionen und Container verursacht. Dies ist oft das Ergebnis mangelnder Sichtbarkeit und eines nicht vollständigen Verständnisses, welche Ressourcen miteinander interagieren“, gibt er zu Bedenken.
Das Problem multipliziert sich dann mit der Größe und der Fülle von Cloudinstallationen. „Schließlich sind die heutigen Unternehmensumgebungen groß und komplex, was es schwierig macht, permanent Zehntausende von Ressourcen und Konten zu verfolgen und zu verwalten“, meint Preid.
„Von den Entwicklern festgelegte Berechtigungen für eine Applikation könnten zu großzügig sein und sogar den Überblick über kritische Assets behindern“, ergänzt der Avantec-Mann folglich.
Doch es gibt auch hier Gegenmaßnahmen, die ergriffen werden können. Preid plädiert für den Einsatz eines Cloud Security Posture Managements, kurz CSPM.
„Ein CSPM vergleicht die Cloudumgebung mit einem definierten Satz von Best Practices und bekannten Sicherheitsrisiken“, erklärt er die Funktionsweise. „Einige dieser CSPM-Lösungen warnen hier nur, während andere in der Lage sind, solche Konfigurationsfehler automatisch zu beheben“, schiebt Preid nach.
Auch für Verwalter von Cloudumgebungen in Microsofts Azure gibt es Hilfsmittel, um schlecht konfigurierte Implementierungen zu vermeiden.
„Microsoft bietet innerhalb von Azure einen Security Score an, womit gewisse Fehlkonfigurationen respektive schwache Konfigurationen aufgezeigt werden können“, berichtet InfoGuards Berger. Dies könne für Administratoren enorm hilfreich sein, um schnell gute Resultate bei der Erhöhung der Sicherheit zu erzielen, betont er.
Im Rahmen des Beschaffungsprozesses müssen Unternehmen erörtern, wie Lieferanten und Anbieter mit Sicherheitslücken umgehen
Roman Stefanov, Cisco
All diese Fehler und Nachlässigkeiten führen schlussendlich dazu, dass hier den Angreifern auf Cloudinstallationen nicht nur Tür und Tor geöffnet wird, sondern dass auch immer mehr Daten quasi für jeden einsehbar in der Datenwolke offen herumliegen.
Die vielen Berichte über Datenlecks der letzten Zeit sprechen hier Bände. Die Security Community spricht denn auch von Schattendaten, die übers Netz zugänglich sind, aber von deren Existenz niemand mehr weiß.
Ein schon fast klassisches Beispiel in diesem Zusammenhang: Cloud-Speicher-Buckets werden für einen Test mit echten Daten befüllt, dann aber „vergessen“. Werden diese dann auch noch offen gelassen, haben Hacker leichtes Spiel. Sie brauchen nur noch die URL des Buckets aufzurufen, um die Inhalte zu sehen.
Gefährliche Schnittstellen
Eine weitere Gefahr für Cloudinstallationen lauert bei unsicheren Schnittstellen zwischen den Instanzen, namentlich bei der Verwendung von falsch konfigurierten Programmierschnittstellen (Application Programming Interface, API).
„Da Software zunehmend in der Cloud bereitgestellt und über APIs für Klienten und Kunden zugänglich gemacht wird, wird potenziell anfällige Software auf Servern gehostet, die über das allgemeine Internet erreichbar sind. Ein Teil des Codes hinter den APIs wird Schwachstellen enthalten, und es ist zu erwarten, dass diese irgendwann von Forschern und/oder ‹Black Hat›-Hackern entdeckt werden“, beschreibt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz, die Problematik.
„Organisationen sollten sicherstellen, dass jeder eingesetzte Code als Teil des Software-Entwicklungsprozesses gründlich getestet wird und nach dem Einsatz regelmäßig Penetrationstests durchgeführt werden“, empfiehlt er folglich. Denn sowohl Schwachstellen als auch Sicherheitslücken können sich während des gesamten Entwicklungs- und Bereitstellungsprozesses in die Systeme einschleichen.
Wie bei jeder Software sollten Organisationen versuchen, das Risiko der Entstehung von Schwachstellen genauso zu minimieren wie die Folgen von deren Ausnutzung. „Ebenso schlagen wir Organisationen vor, sicherzustellen, dass sie jeden Code, der sich als angreifbar erweist, schnell patchen können“, führt der Cisco-Mann aus.
Und schließlich empfiehlt Stefanov auch die Anbieter von Cloudservices in die Pflicht zu nehmen. „Im Rahmen des Beschaffungsprozesses müssen Unternehmen erörtern, wie Lieferanten und Anbieter mit Sicherheitslücken umgehen“, empfiehlt er. „Jedes Unternehmen, das API-basierte Dienste über die Cloud anbietet, sollte über ein robustes Verfahren zur Erkennung und Verwaltung von Sicherheitslücken verfügen.“
Fazit und Ausblick
Die Bedrohung von Cloudumgebungen hat verschiedene Facetten und Ursachen, deren Schwere oder Fokus sich zudem verschieben kann, wie die Untersuchungen der CSA aufzeigen. So hat sich der Fokus in letzter Zeit von Angriffen auf die Infrastruktur des Providers verlagert zu den konkreten Implementationen der Anwenderorganisationen.
Und deren Komplexität nimmt eher zu als ab, nicht zuletzt durch die Inanspruchnahme mehrerer Cloudanbieter, Stichwort: Multicloud. Auch die von vielen Unternehmen favorisierten Hybrid-Cloud-Umgebungen aus privaten und öffentlichen Daten- und Rechenwolken erschweren es, den Überblick zu bewahren.
„So vermehrt sich die Zahl der Cloud Services stark, es entstehen komplexe ICT-Architekturen mit einem individuellen Mix aus Cloud- und lokalen Daten“, beurteilt Veeams Herzig die Entwicklung.
„Eine sehr heterogene Service- und Datenlandschaft bildet sich. Das macht das Management hinsichtlich Sicherheit und Compliance sehr anspruchsvoll“, folgert er und meint, dass der Überblick über die Speicherorte der Daten verloren gehe. „Administratoren müssen sich bewusst sein, dass Unternehmensdaten heute ständig in Bewegung sind.“
Ein weiteres Beispiel dafür, dass gerade bei Cloudumgebungen die klassischen Abwehrmaßnahmen wie Perimeterschutz nicht mehr greifen, da es keine klaren Umgebungsgrenzen gibt.
Um den Sicherheitsrisiken des Cloud Computing Herr zu werden, müssen die IT-Security-Verantwortlichen ihre Abwehr datenzentriert ausrichten und beispielsweise Zero-Trust-Konzepte verinnerlichen.
*Jens Stark ist Autor bei com!professional.
Be the first to comment