Sichere Cloud-Nutzung

Immer mehr Unternehmen wollen von den Agilitätsvorteilen profitieren, die Amazon Web Services (AWS) als Cloud-Plattform verspricht. Palo Alto Networks schildert dazu acht Best Practices, die gewährleisten, dass AWS-Umgebungen sicher sind. [...]

Sichere Cloud-Nutzung ist eine Frage der Herangehensweise. Palo Alto gibt Tipps, wie es funktioniert. (c) Fotolia
Sichere Cloud-Nutzung ist eine Frage der Herangehensweise. Palo Alto gibt Tipps, wie es funktioniert. (c) Fotolia

1. Sichtbarkeit

Cloud-Ressourcen werden temporär genutzt, was es schwierig macht, den Überblick über Vermögenswerte zu behalten. Untersuchungen von Palo Alto Networks zufolge beträgt die durchschnittliche Lebensdauer einer Cloud-Ressource zwei Stunden und sieben Minuten. Viele Unternehmen verfügen zudem über Umgebungen, die mehrere Cloud-Accounts und Regionen umfassen, was es erschwert, Risiken zu erkennen.
Best Practice: Es empfiehlt sich eine Cloud-Sicherheitslösung, die einen Überblick über das Volumen und die Art der Ressourcen (virtuelle Maschinen, Load Balancer, Sicherheitsgruppen, Benutzer etc.) über mehrere Cloud-Konten und -Regionen auf einer zentralen Oberfläche bietet. Durch bessere Transparenz der Umgebung können detailliertere Regeln implementiert und Risiken reduziert werden.

2. Offene Root-Konten

Root-Konten können den größten Schaden anrichten, wenn Unbefugte darauf Zugriff erhalten. Administratoren vergessen oft, den Root-API-Zugriff zu deaktivieren.
Best Practice: Root-Konten müssen durch Multi-Faktor-Authentifizierung geschützt und sparsam verwendet werden. Nicht einmal die Top-Administratoren sollten die meiste Zeit über Zugriff auf das AWS-Root-Konto haben – und dieses niemals für andere Benutzer und Anwendungen freigeben.

3. IAM-Zugangsschlüssel

IAM-Zugriffsschlüssel (Identity and Access Management) werden oft nicht verändert. Dies schränkt die Fähigkeit von IAM ein, Ihre Benutzerkonten und Gruppen zu schützen, was Cyberangreifern ein längeres Zeitfenster einräumt, um an die Schlüssel zu gelangen.
Best Practice: Der Zugangsschlüssel sollte mindestens einmal alle 90 Tage verändert werden. Wenn Benutzer die erforderlichen Berechtigungen haben, können sie ihre eigenen Zugriffsschlüssel verändern. Außerdem wird sichergestellt, dass alte Schlüssel nicht für den Zugriff auf kritische Dienste verwendet werden.

4. Authentifizierungsverfahren

Verlorene oder gestohlene Zugangsdaten sind eine der Hauptursachen für Sicherheitsvorfälle in der Cloud. Es ist nicht besonders ungewöhnlich, Zugangsdaten für Public-Cloud-Umgebungen im Internet zu finden. Unternehmen benötigen daher eine Möglichkeit, kompromittierte Benutzerkonten zu erkennen.

Best Practice: Starke Kennwortregeln und Multi-Faktor-Authentifizierung (MFA) sollten in AWS-Umgebungen auf jeden Fall durchgesetzt werden. Amazon selbst empfiehlt, MFA für alle Konten zu aktivieren, die Konsolenpasswörter haben. Zunächst gilt es zu ermitteln, welche Konten bereits MFA nutzen.

5. Zugriffsrechte

AWS IAM kann zur Verwaltung aller Benutzerkonten und Gruppen mit Richtlinien und detaillierten Berechtigungsoptionen bereitgestellt werden. Leider vergeben Administratoren oft zu großzügigen Zugriff auf AWS-Ressourcen. Dadurch können Benutzer nicht nur Änderungen vornehmen und Zugriff haben, sondern wenn ein Cyberangreifer ihr Konto kapert, droht noch größerer Schaden.

Best Practice: Die IAM-Konfiguration sollte, wie jedes Benutzerberechtigungssystem, dem Prinzip der »geringsten Rechte« entsprechen. Das bedeutet, dass jeder Benutzer oder jede Gruppe nur die Berechtigungen haben sollte, die für die Ausführung ihrer Arbeit erforderlich sind, und nicht mehr.

6. IP-Bereiche

Sicherheitsgruppen sind wie eine Firewall, die den Datenverkehr mit der AWS-Umgebung steuert. Leider weisen Administratoren den Sicherheitsgruppen oft IP-Bereiche zu, die größer als nötig sind. Untersuchungen des Cloud-Forschungsteams Unit 42 ergaben, dass 85 Prozent der mit Sicherheitsgruppen verbundenen Ressourcen den ausgehenden Datenverkehr überhaupt nicht einschränken. Hinzukommt, dass immer mehr Unternehmen nicht die Best Practices für die Netzwerksicherheit befolgen und Fehlkonfigurationen oder riskante Konfigurationen vorliegen. Erforderlich ist eine Beschränkung des ausgehenden Zugriffs, um einen versehentlichen Datenverlust oder Datenexfiltration zu verhindern.
Best Practice: Die IP-Bereiche, die jeder Sicherheitsgruppe zugewiesen werden, gilt es zu begrenzen. Es muss sichergestellt sein, dass alles richtig vernetzt ist, aber nicht mehr geöffnet ist als nötig.

7. Audit-Historie

Die Virtualisierung und die Cloud bieten Agilität, da berechtigte Benutzer bei Bedarf Änderungen an der Umgebung vornehmen können. Der Nachteil ist eine unzureichende Sicherheitsüberwachung. Unternehmen müssen daher die Benutzeraktivitäten überwachen, um die Kompromittierung von Konten, Insider-Bedrohungen und andere Risiken aufzudecken.

Best Practice: AWS CloudTrail ist ein Webservice, der den Ereignisverlauf von AWS-Kontoaktivitäten bereitstellt, einschließlich Aktionen, die über die AWS Management Console, AWS SDKs, Kommandozeilen-Tools und andere AWS-Dienste durchgeführt werden. Die Aktivierung von CloudTrail vereinfacht die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlersuche.

8. Nicht gepatchte Hosts

Es liegt in der Verantwortung der Unternehmen, dafür zu sorgen, dass die neuesten Sicherheitspatches auf Hosts innerhalb der eigenen AWS-Umgebung angewendet wurden. Unit 42 weist auf ein damit zusammenhängendes Problem hin. Herkömmliche Netzwerk-Scanner für Schwachstellen sind für lokale Netzwerke effektiv, übersehen aber wichtige Schwachstellen, wenn sie zum Testen von Cloud-Netzwerken verwendet werden.

Best Practice: Es muss sichergestellt werden, dass die Hosts häufig gepatcht werden und alle notwendigen Hotfixes durchgeführt werden, die von OEM-Anbietern veröffentlicht werden. Dazu erforderlich sind Tools von Drittanbietern, die die Daten aus den Host-Sicherheitslücken-Feeds zuordnen können, wie z.B. Amazon Inspector, um einen cloudspezifischen Kontext zu erhalten.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*