Die zunehmende Verlagerung von unternehmenskritischen Applikationen und Services in die Cloud bringt leider auch Sicherheitsrisiken mit sich. Vor allem fünf Bereiche werden nur unzureichend betrachtet, adäquate Sicherheitsmaßnahmen sind hier aber unerlässlich. [...]
Cloud-Provider wie Amazon, Microsoft oder Google betonen mit Recht, dass Cloud-Sicherheit eine geteilte Verantwortlichkeit bedeutet. Zum Zuständigkeitsbereich des Providers gehört die Sicherheit der Infrastruktur mit Bereichen wie Rechenleistung, Netzwerk oder Storage sowie die Abschottung der Kundenumgebungen gegeneinander. Der Cloud-Kunde hingegen ist prinzipiell voll verantwortlich für den Schutz von allen Elementen, die »oberhalb“ des Hypervisors angesiedelt sind, einschließlich Betriebssystem, Applikationen, Daten oder den Zugang zu externen Ressourcen – und natürlich für die zentralen Zugangsdaten zur Verwaltung der Cloud-Ressourcen.
Auch wenn jedes Unternehmen einen individuellen Cloud-Ansatz verfolgt, so kristallisieren sich doch fünf zentrale Bereiche heraus, die für die Sicherung von Cloud-Workloads und Infrastrukturen eine herausragende Bedeutung einnehmen – abgesehen von klassischen IT-Sicherheitsmaßnahmen wie Firewalls, Anti-Viren-Scanner oder Webfilter-Techniken, deren Nutzung Standard ist.
Sicherung der Managementkonsolen
Leistungsstarke Cloud-Managementkonsolen und -portale ermöglichen das durchgängige Management der Cloud-Ressourcen. Sie sind gewissermaßen »die Schlüssel zum Cloud-Königreich“; damit sind Konsolen auch extrem attraktive Ziele für Angreifer.
Die Konsequenzen einer Attacke können weitreichend sein. Der nicht autorisierte oder unkontrollierte Zugang zu einer Management-konsole, direkt oder über Application Programming Interfaces (APIs), kann zum Datendiebstahl oder im schlimmsten Fall sogar zur vollständigen Übernahme der gesamten Cloud-Umgebung führen. Unternehmen müssen deshalb alle – auch potenzielle – Zugriffspfade auf Managementkonsolen sichern und überwachen, vor allem die Root-Accounts.
Root-Accounts werden bei der initialen Einrichtung eines Cloud-Zugangs angelegt. Über diese Accounts ist ein uneingeschränkter Zugriff auf die Managementkonsole und damit auf die gesamte Cloud-Infrastruktur möglich. Auch wenn viele Unternehmen Root-Zugänge nur unregelmäßig nutzen, müssen sie doch geschützt werden, denn ein Angreifer mit Root-Zugang kann die gesamte Cloud-Infrastruktur des Unternehmens kontrollieren. Für die Spei-cherung und Verwaltung von Root-Accounts und -Zugangsdaten sollte folglich ein digitaler Datentresor (Vault) genutzt werden, das heißt, ein speziell »gehärteter“ Server, der mit mehreren unter-schiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Als Best-Practice-Verfahren haben sich zudem die Multifaktor-Authentifizierung für den Root-Zugang sowie die Überwachung und Aufzeichnung aller mit Root-Accounts verbundenen Sessions oder Aktivitäten erwiesen. Generell sollten auch Least-Privilege-Prinzipien für alle Zugriffe auf Managementkonsolen angewendet werden.
Ein wesentlicher Punkt bleibt zudem vielfach unberücksichtigt: Es ist unerlässlich, dass der privilegierte Zugriff auf eine Managementkon-sole isoliert über sichere Proxy-Gateways erfolgt, das heißt, weder bei der Nutzung von Zugangsdaten noch bei privilegierten Sessions dürfen beliebige Endgeräte genutzt werden, die prinzipbedingt immer Schwachstellen aufweisen können. Von Vorteil ist auch, wenn Sicherheitsteams laufende Sessions in Echtzeit überwachen können, um sie bei Verdacht eines potenziellen Angriffs zu beenden. Nicht zuletzt sollte auch die Nutzung einer Single-Sign-on (SSO)-Lösung in Erwägung gezogen werden. Damit können Administratoren und Entwickler auch ohne Kenntnis von Zugangsdaten komfortabel auf Managementkonsolen zugreifen.
Sicherung der Cloud-Infrastruktur
Cloud-basierte Infrastrukturen ermöglichen eine vom Bedarf abhängige Provisionierung von virtuellen Servern, Datenspeichern oder Containern. Dabei werden allen neu bereitgestellten virtuellen Servern oder Infrastrukturressourcen privilegierte Zugangsdaten zuge-wiesen, die gesichert werden müssen.
Während in statischen Umgebungen Administratoren die Managementkonsole für die manuelle Einrichtung eines neuen Servers nutzen, kommen in dynamischen Umgebungen Provisionierungstools und Skripte zum Einsatz, um automatisch neue Rechnerinstanzen zu erstellen. Infolgedessen kann eine hohe Anzahl an Servern generiert werden, die oft nur für einige Minuten oder Stunden für eine spezifische Aufgabe genutzt werden, und das mehrfach am Tag. Entsprechend dynamisch und hoch ist dann auch die Anzahl privile-gierter Zugangsdaten, die verwaltet werden müssen. Für das Speichern und Abrufen dieser Daten müssen ebenfalls sichere digitale Vaults genutzt werden. Nur so können Unternehmen gewährleisten, dass die mit Cloud-Infrastrukturen verbundenen Zugangsdaten sicher sind, wenn neue Ressourcen provisioniert werden.
Sicherung der API-Zugriffsschlüssel
Zum einen ermöglicht Automation Unternehmen zwar eine optimale Nutzung der hohen Dynamik und Flexibilität der Cloud, zum anderen bedeutet Automation aber auch Einsatz von Skripten, Orchestrierungsservern und Automationstools, die API-Zugriffsschlüssel enthalten. Sie werden in großem Stil für Änderungen in der Cloud-Umgebung verwendet, etwa für das Stoppen oder Starten eines Servers, die Provisionierung eines Containers oder das Bereinigen einer Datenbank. Auch mit API-Zugriffschlüsseln ist ein hohes Risiko verbunden, denn sobald ein Angreifer in ihren Besitz gelangt, hat er freien Zugang zur gesamten Cloud-Umgebung. Die Sicherung der API-Zugriffsschlüssel muss deshalb ebenfalls einen hohen Stellenwert einnehmen. Gerade durch den Einsatz eines digitalen Vaults für die Speicherung und die Anwendung von Least-Privilege-Prinzipien kann eine sichere, richtlinienkonforme API-Schlüssel-Nutzung gewährleistet werden.
Sicherung der DevOps-Umgebung
Eine zunehmende Bedeutung im Cloud-Umfeld nimmt das Thema DevOps ein. Mit DevOps-Modellen steigern Unternehmen ihre Agilität, indem sie neue Applikationen und Services schneller zur Produktionsreife führen. In DevOps-Projekten werden vor allem auch Orchestrierungs- und Automationstools aus der Cloud genutzt, etwa CI (Continuous Integration)- und CD (Continuous Delivery)-Tools oder Source-Code-Repositories wie GitHub. Insgesamt gibt es eine große Bandbreite verschiedener Lösungen, die zudem in aller Regel durch einen unterschiedlichen Ansatz für die Verwaltung der erforderlichen Zugangsdaten gekennzeichnet sind; beispielsweise gibt es von Jenkins über Puppet bis zu Chef keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind.
Vor allem die Workflows für die Zugriffsteuerung auf privilegierte Zugangsdaten differieren in erheblichem Maße. Die Folge ist, dass viele Unternehmen inkonsistente und teilweise sogar manuelle Strategien für die Zugriffskontrolle verfolgen – Sicherheitslücken sind damit programmiert.
Ziel muss daher sein, eine Sicherheitsplattform zu etablieren, unter deren Dach die Administration aller DevOps-Tools und -Zugangsdaten erfolgen kann. Von essenzieller Bedeutung ist wiederum hauptsächlich die zentrale, automatische Verwaltung und Sicherung aller vertraulichen Zugangsdaten, die in einer evOps-Pipeline genutzt werden – wie Encryption- und API-Schlüssel, Datenbank-Passwörter oder Transport-Layer-Security (TLS)-Zertifikate.
Sicherung der Admin-Accounts für SaaS-Applikationen
Laut IDC werden 2021 rund 60 Prozent aller Cloud-Ausgaben auf die Nutzung von Software-as-a-Service (SaaS)-Angeboten entfallen. Obwohl bereits heute sehr viele Unternehmen SaaS-Geschäftsanwendungen wie Salesforce, Microsoft Office 365 oder SaaS-basierte Social-Media-Kanäle wie Twitter oder Facebook ein-setzen, wird die Notwendigkeit zur Sicherung der administrativen Konsolen dieser Cloud-basierten Applikationen vielfach nicht gesehen – bis zum Zeitpunkt, an dem ein Problem auftritt: etwa öffentlich gepostete Unternehmensdaten oder Tweets eines Hackers auf dem Unternehmensaccount.
Eine besondere Herausforderung im SaaS-Umfeld besteht darin, dass die Applikationen oft auch routinemäßig von Mitarbeitern außerhalb der IT genutzt und vielfach gängige Sicherheitsregeln nicht beachtet werden – etwa im Umfeld von Salesforce oder Social Media. So sind SaaS-Passwörter allzu oft sehr einfach strukturiert, mehreren Anwendern bekannt, schriftlich niedergelegt und über einen längeren Zeitraum unverändert. Je mehr User im Besitz bestimmter Zugangsdaten sind, desto schwerer ist auch die legitime Nutzung zu kontrollieren. Auch im SaaS-Bereich muss deshalb eine Lösung zum Einsatz kommen, die sowohl eine sichere Speicherung als auch regelmäßige, automatische Änderung von Passwörtern unterstützt.
Klar ist, dass die Verlagerung von Workloads in die Cloud signifikante geschäftliche Vorteile mit sich bringen kann, aber sie verändert und erweitert auch die potenzielle Angriffsfläche. Um Cloud-Workloads zu schützen, müssen Unternehmen die besonderen Sicherheitsherausforderungen verstehen, die Cloud-Umgebungen und Automationen mit sich bringen – und entsprechende Maßnahmen ergreifen. Dabei ist in erster Linie eine unternehmensweite Verankerung von Zugriffsrichtlinien erforderlich, das heißt, ein konsistentes Management von privilegierten Accounts und Zugangsdaten, und zwar sowohl in der Produktiv- als auch in der Entwicklungsumgebung.
*Michael Kleist ist Regional Director DACH bei CyberArk.
Be the first to comment