Sichere Cloud-Nutzung

Immer mehr Unternehmen wollen von den Agilitätsvorteilen profitieren, die Amazon Web Services (AWS) als Cloud-Plattform verspricht. Palo Alto Networks schildert dazu acht Best Practices, die gewährleisten, dass AWS-Umgebungen sicher sind. [...]

Sichere Cloud-Nutzung ist eine Frage der Herangehensweise. Palo Alto gibt Tipps, wie es funktioniert. (c) Fotolia
Sichere Cloud-Nutzung ist eine Frage der Herangehensweise. Palo Alto gibt Tipps, wie es funktioniert. (c) Fotolia

1. Sichtbarkeit

Cloud-Ressourcen werden temporär genutzt, was es schwierig macht, den Überblick über Vermögenswerte zu behalten. Untersuchungen von Palo Alto Networks zufolge beträgt die durchschnittliche Lebensdauer einer Cloud-Ressource zwei Stunden und sieben Minuten. Viele Unternehmen verfügen zudem über Umgebungen, die mehrere Cloud-Accounts und Regionen umfassen, was es erschwert, Risiken zu erkennen.
Best Practice: Es empfiehlt sich eine Cloud-Sicherheitslösung, die einen Überblick über das Volumen und die Art der Ressourcen (virtuelle Maschinen, Load Balancer, Sicherheitsgruppen, Benutzer etc.) über mehrere Cloud-Konten und -Regionen auf einer zentralen Oberfläche bietet. Durch bessere Transparenz der Umgebung können detailliertere Regeln implementiert und Risiken reduziert werden.

2. Offene Root-Konten

Root-Konten können den größten Schaden anrichten, wenn Unbefugte darauf Zugriff erhalten. Administratoren vergessen oft, den Root-API-Zugriff zu deaktivieren.
Best Practice: Root-Konten müssen durch Multi-Faktor-Authentifizierung geschützt und sparsam verwendet werden. Nicht einmal die Top-Administratoren sollten die meiste Zeit über Zugriff auf das AWS-Root-Konto haben – und dieses niemals für andere Benutzer und Anwendungen freigeben.

3. IAM-Zugangsschlüssel

IAM-Zugriffsschlüssel (Identity and Access Management) werden oft nicht verändert. Dies schränkt die Fähigkeit von IAM ein, Ihre Benutzerkonten und Gruppen zu schützen, was Cyberangreifern ein längeres Zeitfenster einräumt, um an die Schlüssel zu gelangen.
Best Practice: Der Zugangsschlüssel sollte mindestens einmal alle 90 Tage verändert werden. Wenn Benutzer die erforderlichen Berechtigungen haben, können sie ihre eigenen Zugriffsschlüssel verändern. Außerdem wird sichergestellt, dass alte Schlüssel nicht für den Zugriff auf kritische Dienste verwendet werden.

4. Authentifizierungsverfahren

Verlorene oder gestohlene Zugangsdaten sind eine der Hauptursachen für Sicherheitsvorfälle in der Cloud. Es ist nicht besonders ungewöhnlich, Zugangsdaten für Public-Cloud-Umgebungen im Internet zu finden. Unternehmen benötigen daher eine Möglichkeit, kompromittierte Benutzerkonten zu erkennen.

Best Practice: Starke Kennwortregeln und Multi-Faktor-Authentifizierung (MFA) sollten in AWS-Umgebungen auf jeden Fall durchgesetzt werden. Amazon selbst empfiehlt, MFA für alle Konten zu aktivieren, die Konsolenpasswörter haben. Zunächst gilt es zu ermitteln, welche Konten bereits MFA nutzen.

5. Zugriffsrechte

AWS IAM kann zur Verwaltung aller Benutzerkonten und Gruppen mit Richtlinien und detaillierten Berechtigungsoptionen bereitgestellt werden. Leider vergeben Administratoren oft zu großzügigen Zugriff auf AWS-Ressourcen. Dadurch können Benutzer nicht nur Änderungen vornehmen und Zugriff haben, sondern wenn ein Cyberangreifer ihr Konto kapert, droht noch größerer Schaden.

Best Practice: Die IAM-Konfiguration sollte, wie jedes Benutzerberechtigungssystem, dem Prinzip der »geringsten Rechte« entsprechen. Das bedeutet, dass jeder Benutzer oder jede Gruppe nur die Berechtigungen haben sollte, die für die Ausführung ihrer Arbeit erforderlich sind, und nicht mehr.

6. IP-Bereiche

Sicherheitsgruppen sind wie eine Firewall, die den Datenverkehr mit der AWS-Umgebung steuert. Leider weisen Administratoren den Sicherheitsgruppen oft IP-Bereiche zu, die größer als nötig sind. Untersuchungen des Cloud-Forschungsteams Unit 42 ergaben, dass 85 Prozent der mit Sicherheitsgruppen verbundenen Ressourcen den ausgehenden Datenverkehr überhaupt nicht einschränken. Hinzukommt, dass immer mehr Unternehmen nicht die Best Practices für die Netzwerksicherheit befolgen und Fehlkonfigurationen oder riskante Konfigurationen vorliegen. Erforderlich ist eine Beschränkung des ausgehenden Zugriffs, um einen versehentlichen Datenverlust oder Datenexfiltration zu verhindern.
Best Practice: Die IP-Bereiche, die jeder Sicherheitsgruppe zugewiesen werden, gilt es zu begrenzen. Es muss sichergestellt sein, dass alles richtig vernetzt ist, aber nicht mehr geöffnet ist als nötig.

7. Audit-Historie

Die Virtualisierung und die Cloud bieten Agilität, da berechtigte Benutzer bei Bedarf Änderungen an der Umgebung vornehmen können. Der Nachteil ist eine unzureichende Sicherheitsüberwachung. Unternehmen müssen daher die Benutzeraktivitäten überwachen, um die Kompromittierung von Konten, Insider-Bedrohungen und andere Risiken aufzudecken.

Best Practice: AWS CloudTrail ist ein Webservice, der den Ereignisverlauf von AWS-Kontoaktivitäten bereitstellt, einschließlich Aktionen, die über die AWS Management Console, AWS SDKs, Kommandozeilen-Tools und andere AWS-Dienste durchgeführt werden. Die Aktivierung von CloudTrail vereinfacht die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlersuche.

8. Nicht gepatchte Hosts

Es liegt in der Verantwortung der Unternehmen, dafür zu sorgen, dass die neuesten Sicherheitspatches auf Hosts innerhalb der eigenen AWS-Umgebung angewendet wurden. Unit 42 weist auf ein damit zusammenhängendes Problem hin. Herkömmliche Netzwerk-Scanner für Schwachstellen sind für lokale Netzwerke effektiv, übersehen aber wichtige Schwachstellen, wenn sie zum Testen von Cloud-Netzwerken verwendet werden.

Best Practice: Es muss sichergestellt werden, dass die Hosts häufig gepatcht werden und alle notwendigen Hotfixes durchgeführt werden, die von OEM-Anbietern veröffentlicht werden. Dazu erforderlich sind Tools von Drittanbietern, die die Daten aus den Host-Sicherheitslücken-Feeds zuordnen können, wie z.B. Amazon Inspector, um einen cloudspezifischen Kontext zu erhalten.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*