Cloud-Security
Penetrationstests im Zeitalter der Cloud
Fortsetzung des Artikels von Teil 1
Vorgehensweise: Trust but Verify
Je nach Art des eingesetzten Cloud-Services wird die Durchführung solcher Testmethoden sehr viel komplexer, wenn beispielsweise multimandantenfähige Systeme und geteilte Ressourcen eines Cloud-Anbieters genutzt werden. Unternehmen müssen in einem ersten Schritt abwägen, ob bei dem von ihnen eingesetzten Cloud-Modell Pentesting zur Sicherheitsevaluierung eingesetzt werden kann oder ob auf ein externes Cloud Assessment zurückgegriffen werden sollte. Eine Unterscheidung der verschiedenen Cloud Service Provider ist also als Ausgangspunkt notwendig, um die Besitzverhältnisse und dementsprechend Zugriffsmöglichkeiten auf Systeme wie Server, Kabel, Rechenzentren etc. zu klären.
Wenn Daten nicht mehr intern vorgehalten werden, sondern zu einem Cloud Service Provider (CSP) wandern, rückt das Prinzip von „Trust but Verify“ in den Mittelpunkt. Dabei macht es allerdings einen Unterschied, ob ein Hosted Service, eine Infrastruktur oder eine Applikation von einem Cloud Service Provider genutzt wird. Im Falle eines Hosted Cloud Services, bei dem Unternehmen von einem Anbieter die Cloud-Infrastruktur mit virtuellen Maschinen mieten und dort ihre eigenen Anwendung selbst aufbauen, kann ein klassischer Pentest auch diese Infrastruktur einbeziehen. Dort kann beispielsweise das Information System Security Assessment Framework (ISSAF) für Pentests mit seinen drei übergeordneten Stufen der Planung & Vorbereitung, den neuen Phasen der Durchführung und mit dem abschließenden Reporting eingesetzt werden. Wichtig ist allerdings, die IT Security-Abteilung in den Entwicklungsprozess zu integrieren, um den Test mit ausreichend Zeit durchzuführen bzw. ggf. bei einer stetigen Weiterentwicklung der Anwendung regelmäßig zu wiederholen.
Die Entscheidung, welche Prüfung der Sicherheit möglich ist, wird schwieriger, wenn es sich um eine Application as a Service oder gar geteilte Infrastrukturen handelt, die über die Cloud bezogen wird. Wenn eine reine Software vom Cloud-Anbieter genutzt wird, ist es nicht möglich, den Anbieter an sich in einen Pentest einzubeziehen. Hier müssen andere Kriterien für die Risikoabwägung des Nutzers herangezogen werden. Ist der Test einer Infrastruktur nicht möglich, so kann mit standardisierten Cloud Security Assessment Fragebögen wie beispielsweise von der Cloud Security Alliance (CSA), die, der Applikation zugrundeliegenden Infrastruktur, validiert werden.
Darüber hinaus können Zertifizierungen wie ISO27001 herangezogen werden, in denen der Anbieter seine Prozesse einer regelmäßigen externen Prüfung unterzieht sowie die Einhaltung der rechtlichen Vorschriften durch einen Datenschutzbeauftragten. In einem Vertrag zur Auftragsdatenverarbeitung stellt der Cloud Anbieter beispielsweise seine getroffenen Maßnahmen und Prozesse zur Sicherheit personenbezogener Daten dar. Zusätzlich werden in seinen Service Level Agreements Aussagen zur Verfügbarkeit des Services und gegebenenfalls Credit Points definiert.
Nutzt ein Unternehmen eine shared Infrastruktur eines Cloud Services Anbieters, ist die Sicherheitsevaluierung nicht grundsätzlich auszuschließen. Es ist aber in jedem Fall ratsam, sich mit dem Anbieter abzustimmen. Vor dem Hintergrund, dass ein unangekündigter Pentest Auswirkungen auf alle Kunden dieses Cloud Service Providers haben kann, ist Kooperation erforderlich. Zwar sollten auch Cloud Service Provider einen Tests der Infrastruktur nicht kategorisch ablehnen, aber es gilt zu bedenken, dass ein solcher Test mit Rücksicht auf die anderen Kunden gegebenenfalls in einer speziellen Umgebung und koordiniert ermöglicht werden muss. So wird sichergestellt, dass die unter Umständen durch einen Test ausgelösten Alerts in der Infrastruktur des Cloud Providers keinen Einfluss auf die gesamte Kundenbasis haben. Alternativ können Kunden eines solchen Anbieters ebenfalls den Weg des Cloud Assessments anstelle des Pentestings wählen und dabei auf regelmäßig durchgeführte Tests externer Auditoren zurückgreifen.
Spagat zwischen Black Box und Vertrauen
Die Geister scheiden sich, wenn es um das Security Assessment eines Cloud Anbieters geht. Zwischen der Wolke, die mit einer Black Box gleichzusetzen ist, bis zu dem Standpunkt, dass Pentesting auch durch alle Ebenen des Cloud Anbieters durchgezogen werden sollte, tauchen alle Spielformen in der Realität auf. Da die Cloud nach wie vor Vertrauenssache ist, sollte der Anbieter von sich aus durch regelmäßige Checks und Re-Evaluierung in Vorleistung gehen, um sein Sicherheitspostulat zu untermauern.
Florian Hartmann ist Sales Engineer Strategic Accounts DACH bei Zscaler
- Penetrationstests im Zeitalter der Cloud
- Vorgehensweise: Trust but Verify
Lesen Sie mehr zum Thema
