Mit Spezialwerkzeugen die Cloud Schwachstellen vermeiden

Das Konfigurieren von Ressourcen und Schnittstellen in Public-Cloud-Diensten ist komplex und produziert schnell Fehler, die angreifbar machen. Mit den richtigen Tools und einem geeigneten Vorgehen etablieren Unternehmen eine transparente Cloud-Sicherheit.

Ende Juli 2019 musste die US-Bank Capital One einen Hack einräumen: Jemandem war es gelungen, bei ihrem Cloud Provider die Kreditkartendaten von 100 Millionen Kunden zu kopieren. Außerdem umfasste der Datendiebstahl mehr als eine Million Sozialversicherungsnummern und Zugangsinformationen zu rund 80.000 Konten. Als Grund gab der Finanzdienstleister Konfigurationsfehler für seine Cloud Services an. Das Bespiel zeigt: Cloud-Infrastrukturen sind angreifbar.

Anzeige

In Deutschland nutzen 45 Prozent der Unternehmen Public Clouds, hat die Studie Cloud Security 2019 von IDG Research Services ermittelt. Fast die Hälfte (47 Prozent) der befragten Firmen hat bereits Angriffe auf ihre Cloud Services festgestellt. Gegen Angriffe wappnen sich viele Unternehmen mit vertrauten Cyber-Security-Konzepten wie Verschlüsselung, Firewall und lokalen Backups, schreiben die Studienautoren. Allerdings schützen Firewalls und IDS/IPS (Intrusion-Detection-and-Prevention-Systeme) nicht vor unbefugtem Zugriff bei unsicheren Schnittstellen, Fehlkonfigurationen und Account-Hijacking, die der Check Point Cloud Security Report 2019 als die größten Schwachstellen in der Public Cloud benennt. Der bewährte On-Premises-Schutz versagt, weil die Ressourcen verteilt in der Infrastruktur des Cloud-Anbieters liegen.

Geteilte Verantwortung und das Konfigurationsrisiko

Wer sich für einen Cloud-Anbieter entscheidet, teilt sich mit diesem die Verantwortung für die Sicherheit der eigenen Daten. Der Anbieter verantwortet die Verfügbarkeit der Systeme und Dienste und stellt beispielsweise sicher, dass nur Befugte physischen Zugriff auf die Hardware in den Rechenzentren haben. Das Unternehmen hingegen muss selbst die Integrität und Vertraulichkeit seiner Daten sicherstellen. Diese sogenannte „geteilte Verantwortung“ bedeutet auch, dass der Cloud-Anwender selbst regeln muss, wer auf die Daten zugreift. Dafür gilt es, alle Zugriffswege auf die Cloud Services etwa über Webplattformen oder APIs abzusichern. Jede Schnittstelle muss sicher konfiguriert sein.

Dies sicherzustellen, stellt für Cloud-Teams häufig eine Herausforderung dar, denn ein Fehler passiert beim Einrichten von Switching, Routing, Netzwerk oder der E-Mail-Kette schnell. Manche dieser komplexen Aufgaben ziehen weitere Schritte nach sich, was die Fehleranfälligkeit zusätzlich erhöht: Ein Administrator für Office 365 etwa muss auch geeignete Anti-Spam-, Verschlüsselungs-, Sandboxing- und Antivirus-Lösungen implementieren. Während bei On-Premises-Projekten das Konfigurieren der unterschiedlichen Teilaspekte normalerweise auf mehrere Teams verteilt wird, die das jeweilige Spezialwissen haben, erledigt in der Cloud in der Regel ein einziges Team all diese Aufgaben.

Ein Cloud Access Security Broker (CASB) scannt, warnt und verschlüsselt

Entsteht bei der Konfiguration einer Cloud-Instanz eine Schwachstelle, geht diese zusammen mit der Ressource mit einem Klick online. Das kann weitreichende Konsequenzen haben. Aufspüren lassen sich solche Fehlkonfigurationen, indem Unternehmen eine Bestandaufnahme ihrer Public Cloud Services machen. Als Tool eignet sich ein CASB wie Dome9. Diese Spezialwerkzeuge scannen alle Public Cloud Services im Unternehmen, wobei sie auch Schatten-IT aufdecken. Sie machen die Cloud-Umgebung transparent und zeigen genau, welcher Dienst von wo erreichbar ist und mit wem er kommuniziert. Ein CASB prüft die Konfiguration und warnt, sobald etwas von den empfohlenen Einstellungen abweicht. So weiß ein Administrator, wie er welche API korrigieren muss.

Mit ihm erstellt ein IT-Verantwortlicher auch Policies, die festlegen, welche Daten wie in die Cloud dürfen. Es lässt sich zum Beispiel ein Reverse Proxy zwischen Client und Cloud schalten, damit der Verkehr über ihn läuft. Der Reverse Proxy verschlüsselt die Daten und legt sie in der Cloud ab.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Spezialwerkzeug erhöht das Sicherheitsniveau

Ein weiterer Sicherheitsgewinn liegt darin, dass etwa Dome9 die Komplexität und damit die Fehleranfälligkeit in der Administration der Cloud reduziert. So bietet die Lösung eine zentrale Konsole, die das feingranulare Konfigurieren und Durchsetzen von Zugriffsregeln gestattet – und zwar für mehrere Public-Cloud-Dienste. Ein Unternehmen kann so alles was es von AWS, Azure und Google Cloud Platform bezieht, wesentlich einfacher verwalten und überwachen.

Der Anwender ist selbst dafür verantwortlich sicherzustellen, dass nur Berechtigte Zugriff auf die Daten in der Public Cloud haben. Mit einem soliden Identity & Access Management (IAM) lässt sich dies erreichen. Es sollte eine Zwei-Faktor-Authentifizierung für die Anmeldung an den Cloud Services vorsehen. Infrage kommt hier ein zusätzliches Einmal-Passwort oder ein Zertifikat. Zudem besteht die Möglichkeit, Geo-Informationen per CASB auszuwerten, um zu wissen, von wo sich ein Nutzer einloggt. Kombiniert man diese Information mit Threat-Intelligence-Technologie, lassen sich verdächtige Zugriffe herausfiltern und blockieren.

Sicherheit und Nutzerfreundlichkeit ausbalancieren

Den Sicherheitsgedanken sollten IT-Verantwortliche spätestens im Hinterkopf haben, wenn sie ihre Public Cloud Provider auswählen. Ein gute Orientierung bietet der C5-Katalog (Cloud Computing Compliance Controls Catalogue). Darin führt das Bundesamt für Sicherheit Kriterien für Cloud-Dienste auf, die ein Mindestmaß an Sicherheit gewährleisten. Wie ein Anbieter diese Anforderungen erfüllen will, sollten potenzielle Nutzer direkt bei ihm abfragen. Außerdem sollten sie im Cloud-Team relevantes Wissen aufbauen und gegebenenfalls durch externe Expertise ergänzen, sonst gelingt es nicht, ein Spezialwerkzeug wie den CASB einzusetzen. Ein solches Tool scannt und schließt Schwachstellen, verschlüsselt Daten und vereinfacht das Verwalten und Überwachen von komplexen Cloud-Umgebungen. Mit einem CASB stellt ein Unternehmen letztendlich die gewünschte Balance zwischen Sicherheit und Nutzerfreundlichkeit her.
 

Tobias Olgemöller

Axians IT Security -

Senior IT Security Consultant

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.