Gefahrenquelle Fehlkonfiguration
Cloud-Risiken vermeiden
Fortsetzung des Artikels von Teil 1
Weitere Fehlerquellen
Eine weitere kritische Fehlkonfiguration ist fehlende Verschlüsselung bei Amazon Elastic Block Store (EBS) Volumes. Da diese Speicher häufig sensible Daten enthalten, sollten Unternehmen sie unbedingt vor unbefugten Zugriffen schützen. Per Default sind EBS-Volumes im Ruhezustand jedoch nicht verschlüsselt. Anwender müssen dies aktivieren, indem sie die entsprechende Checkbox anwählen. Dasselbe gilt für EBS-Snapshots, die Nutzer verwenden, um Backups von EBS-Volumes zu bestimmten Zeitpunkten im Amazon Simple Storage Service (S3) zu sichern.
Oft unterschätzen Anwender zudem die Gefahr, die in verwaisten Cloud-Instanzen lauert. Diese verursachen nicht nur unnötige Kosten, sondern segeln auch unter dem Radar von Management-Tools. Dadurch können diese Tools sie nicht tracken, auf Schwachstellen scannen oder patchen, was sie leicht angreifbar macht. Kriminelle könnten sie kompromittieren und auf diesem Weg sogar einen ganzen Cloud-Account kapern. Letzteres ist auch dann möglich, wenn Zugangsdaten öffentlich sind. So kommt es zum Beispiel immer wieder vor, dass Entwickler Zertifikate oder API-Schlüssel in den Code von Applikationen integrieren und die Sourcen in öffentlichen Repositories wie GitHub oder Pastebin speichern. Dort sind sie leicht für Angreifer auffindbar, die Zugangsdaten für Cloud-Services regelmäßig im Darknet handeln. Sicherheitsforscher von Trend Micro entdeckten allein in einem beliebten Hackerforum rund 250 Angebote.
Es gibt noch viele weitere Beispiele dafür, wie Anwender selbstverschuldet Sicherheitslücken in der Cloud verursachen. Solche Fehler können leicht passieren, und Security-Teams entdecken diese oft zu spät. Ein Grund dafür liegt in der Komplexität und fehlenden Transparenz von Cloud-Umgebungen. Diese bestehen häufig aus Hunderten Services verschiedener Cloud-Provider. Jeder hat seine eigenen Besonderheiten und granularen Richtlinien. Kaum ein Administrator kennt sie alle bis ins Detail.
Zwar haben Amazon und Microsoft sogenannte Well-Architected Frameworks veröffentlicht, in denen sie Best Practices zur sicheren Cloud-Konfiguration empfehlen. Doch diese Regelwerke sind so umfangreich, dass niemand Zeit hat, sie gründlich zu lesen. Dazu kommt, dass bei Cloud-Migrationen oder beim Aufsetzen von neuen Services häufig alles ganz schnell gehen muss. Im Eifer des Gefechts übersieht man leicht einmal ein Häkchen oder denkt gar nicht an mögliche Konsequenzen für die Sicherheit – zumal Unternehmen Security-Teams bei Cloud-Projekten oft erst sehr spät hinzuziehen.
Ein großes Problem ist auch die hohe Dynamik, mit der sich Cloud-Umgebungen entwickeln. Laufend kommen neue Services hinzu oder Compliance-Vorgaben ändern sich. Selbst wenn eine Umgebung heute sicher konfiguriert war, hat sie morgen vielleicht schon Schwachstellen. Daher müssen Sicherheitsüberprüfungen kontinuierlich stattfinden. Herkömmliche Security-Tools erkennen Fehlkonfigurationen jedoch nicht, da es sich dabei auch um eine legitime Einstellung handeln könnte.
Der erste Schritt, um Cloud-Umgebungen besser abzusichern, besteht darin, sich die eigenen Verantwortung bewusst zu machen. Denn in der Cloud teilen sich Provider und Anwender die Security-Aufgaben. Je nach gewähltem Cloud-Modell fällt der Eigenanteil unterschiedlich groß aus. Das ist ähnlich wie beim Pizzaessen: Man kann eine Pizza selbst backen, sie beim Pizza-Service bestellen oder ins Restaurant gehen. Bei der hausgemachten Variante muss man sich auch um alle Zutaten, den Ofen, den Tisch sowie Teller und Besteck kümmern. Das entspricht der Private Cloud. Der Lieferservice macht das Leben leichter: Jetzt braucht man nur noch den Tisch und das Besteck. Ähnlich verhält es sich mit Platform as a Service (PaaS) und Infrastructure as a Service (IaaS). Hier sorgt der Cloud-Provider für die Absicherung der Infrastruktur, auf der er die Cloud-Services betreibt. Der Kunde muss sich aber selbst um die Absicherung seiner Daten, Applikationen und die sichere Konfiguration seiner Services kümmern. Software as a Service (SaaS) ist dagegen so, als würde man Pizza im Restaurant essen.
Cloud-Security-Posture-Management
Hat man den eigenen Verantwortungsbereich geklärt, geht es an die Umsetzung. Dafür empfiehlt sich eine Lösung für das CSPM (Cloud-Security-Posture-Management). Sie scannt die gesamte Cloud-Umgebung in Echtzeit und prüft sie auf unsichere Konfigurationen und Verstöße gegen Best Practices oder Compliance-Vorgaben. Dafür gleicht sie die Einstellungen mit Regelwerken wie den Well-Architected Frameworks von AWS und Azure sowie der DSGVO oder PCI-DSS ab. Findet die Cloud-Security-Lösung eine Schwachstelle, gibt sie eine Warnmeldung aus und zeigt an, wie kritisch diese ist. Dadurch sehen Administrationsteams auf einen Blick, wo akuter Handlungsbedarf besteht. Das CSPM unterstützt sie nun mit einer Schritt-für-Schritt-Anleitung dabei, die unsichere Einstellung zu ändern. Das spart wertvolle Zeit, denn Beschäftigte müssen nicht erst selbst nach Lösungen suchen. Je kürzer die MTTR (Mean Time to Remediation, also die Zeit, bis eine Schwachstelle geschlossen ist), desto geringer das Risiko für einen Cybervorfall. Wer zu langsam ist, lebt gefährlich. Denn für
Cyberkriminelle sind fehlkonfigurierte Cloud-Services wie ein „All you can eat“-Buffet: Sie brauchen das Internet nur automatisiert zu scannen und haben jede Menge Auswahl an Angriffszielen. Mittlerweile gibt es eine ganze Reihe von Tools, die es ermöglichen, exponierte S3-Buckets aufzuspüren, zum Beispiel Slurp oder S3Scanner. Andere Hilfsprogramme, darunter AWSBucketDump, nutzen Keywords, um Cloud-Speicher nach interessanten Dateien zu durchsuchen.
Fehler zu machen ist menschlich. Gerade im hochdynamischen und komplexen Cloud-Umfeld werden sie sich nie ganz vermeiden lassen. Wenn Unternehmen sich der Problematik bewusst sind und geeignete technische Hilfsmittel einsetzen, gelingt es jedoch, Fehlkonfigurationen möglichst schnell zu korrigieren. Um den zunehmend automatisierten Angriffsmethoden zu begegnen, brauchen Unternehmen ebenfalls automatisierte Tools, die die MTTR auf ein Minimum reduzieren. Dabei empfiehlt es sich, auf eine Cloud-Security-Plattform zu setzen, die neben CSPM auch Workload Security, Application Security und Container Image Security umfasst. Dies vereinfacht das Security-Management und ermöglicht es, ein ganzheitliches Sicherheitskonzept umzusetzen.
Richard Werner ist Business Consultant bei Trend Micro.
- Cloud-Risiken vermeiden
- Weitere Fehlerquellen
Lesen Sie mehr zum Thema
