Sicherheitsherausforderungen
Fünf Maßnahmen sichern Cloud-Workloads
Fortsetzung des Artikels von Teil 1
Weitere Maßnahmen
3. Sicherung der API-Zugriffsschlüssel
Zum einen ermöglicht Automation Unternehmen zwar eine optimale Nutzung der hohen Dynamik und Flexibilität der Cloud, zum anderen bedeutet Automation aber auch Einsatz von Skripten, Orchestrierungsservern und Automationstools, die API-Zugriffsschlüssel enthalten. Sie werden in großem Stil für Änderungen in der Cloud-Umgebung verwendet, etwa für das Stoppen oder Starten eines Servers, die Provisionierung eines Containers oder das Bereinigen einer Datenbank. Auch mit API-Zugriffschlüsseln ist ein hohes Risiko verbunden, denn sobald ein Angreifer in ihren Besitz gelangt, hat er freien Zugang zur gesamten Cloud-Umgebung. Die Sicherung der API-Zugriffsschlüssel muss deshalb ebenfalls einen hohen Stellenwert einnehmen. Gerade durch den Einsatz eines digitalen Vaults für die Speicherung und die Anwendung von Least-Privilege-Prinzipien kann eine sichere, richtlinienkonforme API-Schlüssel-Nutzung gewährleistet werden.
4. Sicherung der DevOps-Umgebung
Eine zunehmende Bedeutung im Cloud-Umfeld nimmt das Thema DevOps ein. Mit DevOps-Modellen steigern Unternehmen ihre Agilität, indem sie neue Applikationen und Services schneller zur Produktionsreife führen. In DevOps-Projekten werden vor allem auch Orchestrierungs- und Automationstools aus der Cloud genutzt, etwa CI (Continuous Integration)- und CD (Continuous Delivery)-Tools oder Source-Code-Repositories wie GitHub. Insgesamt gibt es eine große Bandbreite verschiedener Lösungen, die zudem in aller Regel durch einen unterschiedlichen Ansatz für die Verwaltung der erforderlichen Zugangsdaten gekennzeichnet sind; beispielsweise gibt es von Jenkins über Puppet bis zu Chef keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmaßnahmen zu implementieren sind. Vor allem die Workflows für die Zugriffsteuerung auf privilegierte Zugangsdaten differieren in erheblichem Maße. Die Folge ist, dass viele Unternehmen inkonsistente und teilweise sogar manuelle Strategien für die Zugriffskontrolle verfolgen – Sicherheitslücken sind damit vorprogrammiert. Ziel muss daher sein, eine Sicherheitsplattform zu etablieren, unter deren Dach die Administration aller DevOps-Tools und -Zugangsdaten erfolgen kann. Von essenzieller Bedeutung ist wiederum hauptsächlich die zentrale, automatische Verwaltung und Sicherung aller vertraulichen Zugangsdaten, die in einer DevOps-Pipeline genutzt werden – wie Encryption- und API-Schlüssel, Datenbank-Passwörter oder Transport-Layer-Security (TLS)-Zertifikate.
5. Sicherung der Admin-Accounts für SaaS-Applikationen
Laut IDC werden 2021 rund 60 Prozent aller Cloud-Ausgaben auf die Nutzung von Software-as-a-Service (SaaS)-Angeboten entfallen (1). Obwohl bereits heute sehr viele Unternehmen SaaS-Geschäftsanwendungen wie Salesforce, Microsoft Office 365 oder SaaS-basierte Social-Media-Kanäle wie Twitter oder Facebook einsetzen, wird die Notwendigkeit zur Sicherung der administrativen Konsolen dieser Cloud-basierten Applikationen vielfach nicht gesehen – bis zum Zeitpunkt, an dem ein Problem auftritt: etwa öffentlich gepostete Unternehmensdaten oder Tweets eines Hackers auf dem Unternehmensaccount.
Eine besondere Herausforderung im SaaS-Umfeld besteht darin, dass die Applikationen oft auch routinemäßig von Mitarbeitern außerhalb der IT genutzt und vielfach gängige Sicherheitsregeln nicht beachtet werden – etwa im Umfeld von Salesforce oder Social Media. So sind SaaS-Passwörter allzu oft sehr einfach strukturiert, mehreren Anwendern bekannt, schriftlich niedergelegt und über einen längeren Zeitraum unverändert. Je mehr User im Besitz bestimmter Zugangsdaten sind, desto schwerer ist auch die legitime Nutzung zu kontrollieren. Auch im SaaS-Bereich muss deshalb eine Lösung zum Einsatz kommen, die sowohl eine sichere Speicherung als auch regelmäßige, automatische Änderung von Passwörtern unterstützt.
Klar ist, dass die Verlagerung von Workloads in die Cloud signifikante geschäftliche Vorteile mit sich bringen kann, aber sie verändert und erweitert auch die potenzielle Angriffsfläche. Um Cloud-Workloads zu schützen, müssen Unternehmen die besonderen Sicherheitsherausforderungen verstehen, die Cloud-Umgebungen und Automationen mit sich bringen – und entsprechende Maßnahmen ergreifen. Dabei ist in erster Linie eine unternehmensweite Verankerung von Zugriffsrichtlinien erforderlich, das heißt, ein konsistentes Management von privilegierten Accounts und Zugangsdaten, und zwar sowohl in der Produktiv- als auch in der Entwicklungsumgebung.
Michael Kleist ist Regional Director DACH bei CyberArk
- Fünf Maßnahmen sichern Cloud-Workloads
- Weitere Maßnahmen
Lesen Sie mehr zum Thema
