Was Unternehmen beachten sollten
Cloud-Services sicher nutzen
Cloud-Technik und -Lösungen bieten ein großes Einsparungspotenzial, gepaart mit höherer Agilität. Doch bei der Einführung dürfen Unternehmen bewährte Prozesse nicht außer Acht lassen, sondern sollten diese für die neuen Gegebenheiten optimieren. Gerade weil bei Public-Cloud-Umgebungen der physische Durch-griff auf die Server fehlt, ist der sichere Betrieb umso wichtiger. Denn den Notschalter zu drücken, fällt als Option aus.Das Anlegen neuer Kundenkonten und Cloud-Server ist gerade in der Public Cloud eine Sache von Minuten und einer gültigen Kreditkarte. Erfahrungsgemäß können Unternehmen nicht verhindern, dass sich Mitarbeiter bei Bedarf Ressourcen beispielsweise für Simulationsreihen kaufen (und über die Reisekostenabrechnung oder Firmenkreditkarte bezahlen). Dies bedeutet leider auch, dass die Dunkelziffer an Cloud-Servern mit Firmendaten in der Regel viel höher liegen dürfte, als es vielen Verantwortlichen bewusst ist. Geregelte Nutzung von Ressourcen Daher ist es deutlich sicherer, seinen Mitarbeitern einen geregelten Zugang zu eben diesen Ressourcen zu ermöglichen - natürlich nur, sofern das im Rahmen des Bedarfs auch sinnvoll ist. Dies erlaubt es zudem, die Nutzung zu steuern und zu überwachen. Viele Public- und Private-Cloud-Broker bieten umfangreiche Möglichkeiten, Zugänge für einzelne Benutzer im Rahmen eines Benutzer-, Rollen- oder Mandantenmodells unterhalb eines Hauptzugangs zu verwalten. Auf der einen Seite bekommen Benutzer damit nur Rechte, die sie benötigen - auf der anderen Seite gewinnt das Unternehmen an Sicherheit, da es Rechte zentral und spezifisch verteilen kann. Alle heute gebräuchlichen Cloud-Broker wie beispielsweise Vcloud Director, Amazon/IAM, Openstack oder Cloudstack bieten diese Funktionen an, in vielen Fällen sogar kombiniert über lokale und externe Ressourcen. Nutzt man diese Funktionen nicht, ist dies mit einem gemeinsamen Passwort für alle Mitarbeiter in einer klassischen Desktop-Umgebung zu vergleichen - sicherlich kein positives Szenario. Daher ist die Nutzung und Einrichtung dieser Rollen, Benutzer oder Mandanten als Pflicht zu sehen. Unabhängig vom Betriebssystem der Cloud-Server stellt sich die Frage nach der Absicherung der Zugänge. Eine Möglichkeit besteht darin, sich auf die vom Cloud-Broker vergebenen Zufallskennwörter zu verlassen - dies führt in der Regel jedoch dazu, dass Anwender die Passwörter entweder aufschreiben oder auf einfache Standards zurücksetzen. Beides sind keine sinnvollen Alternativen. Zugang zu Cloud-Servern Eine Vorgehensweise besteht darin, interne und externe Berechtigungsnachweise (Credentials) zu trennen: Dies lässt sich zum Beispiel mit eigenen SSH/RDP-Proxies/Zugangs-Servern oder auch mit kommerziellen Lösungen erreichen: Hierbei melden sich Benutzer mit ihrem internen Passwort am Zugangs-Server an und werden dann, nach entsprechender Überprüfung der Zugriffsrechte, am Cloud-Server angemeldet. Die Benutzer können sich also immer bequem mit ihrem (Domänen-) Passwort anmelden, ohne dass dies die Sicherheit bei der Nutzung externer Ressourcen kompromittiert. Gerade im Windows-Bereich ist dies eine interessante Option, da damit aus Benutzersicht ein Login an Cloud-Servern mit einem Domänenpasswort möglich ist - allerdings ohne Teile des Active Directorys für diese externen Cloud-Server verfügbar machen oder diese in die Domäne aufnehmen zu müssen. Auch das periodische Austauschen von Passwörtern wird damit sehr viel einfacher oder überhaupt erst möglich, da interne und externe Anmeldungen getrennt sind. Log-Daten in der Cloud So wie jedes andere System erzeugen auch Cloud-Server Log-Daten. Gerade bei dynamisch gestarteten oder gestoppten Cloud-Servern werden Log-Daten als forensische Informationsquelle häufig vergessen. Im Falle einer forensischen Analyse, beispielsweise im Falle eines Angriffs, sind diese Daten (sofern vorhanden) in vielen Fällen der einzige Anhaltspunkt, da der entsprechende Cloud-Server vielleicht schon lange nicht mehr existiert. Daher ist die Sicherung wichtiger Log-Daten (Login/Logout, Integrität, Updates) über den Einsatzzeitraum der Cloud-Server hinaus eine zwingende Maßnahme. Das Sammeln, Zusammenfassen und Ausleiten der Daten an externe Werkzeuge wie beispielsweise einen Syslog-Server, eine Sicherheitsplattform mit Log-Inspection oder ein SIEM-System (Security-Information-and Event-Management) ermöglicht später überhaupt erst die Analyse. Ein Angriff auf eine Gruppe von Cloud-Servern bleibt vielleicht unentdeckt, wenn der Angreifer jeden Angriff auf einem neuen Cloud-Server versucht - aggregiert man jedoch die Daten über die Cloud-Server hinweg, so fällt ein entsprechendes Verhalten sehr schnell auf. Sicherheits-Management Aus reiner Sicherheitsperspektive ist die Cloud nur eine andere, wenn auch stark automatisierte Infrastrukturplattform. Bewährte Prozesse, die auf physischen Systemen ihre Berechtigung hatten, dürfen in der Cloud natürlich nicht fehlen. Elementare Funktionen wie Firewall, IDS/IPS, Virtual Patching, aber auch Anti-Virus sind Bestandteil jeder Sicherheitsrichtlinie - unabhängig, ob physisch, virtuell oder in der Cloud. Besondere Herausforderungen stellt hingegen das Management dieser Funktionen auf verschiedenen Infrastrukturen dar. Grundsätzlich gilt, dass alle Server - in der lokalen, privaten oder öffentlichen Cloud - bekannt und in das Sicherheits-Management eingebunden und geschützt sein sollten. Bei der Nutzung von Cloud-Services ist dies über eine direkte Integration mit dem Cloud-Broker zu erreichen, der zu jedem Zeitpunkt über das Vorhandensein verschiedener Cloud-Server Auskunft geben kann. Der manuelle Abgleich laufender Cloud-Server mit dem Sicherheits-Management ist bei dynamischen Umgebungen schlichtweg unmöglich - ansonsten auf jeden Fall fehleranfällig. Filterung der Daten Leider gilt hier das Prinzip des schwächsten Glieds: Ein Cloud-Server, der nicht in das Security-Management integriert und dementsprechend unsicherer ist, stellt aus Angreifersicht ein lohnendes Ziel dar. Sind hingegen alle Cloud-Server, unabhängig von der Lokation, automatisch bekannt, so lassen sich über Sicherheitsprofile Änderungen zeitnah auf eine beliebige Anzahl von Cloud-Servern verteilen. In die andere Richtung lassen sich Änderungen an den Cloud-Servern selbst (zum Beispiel an Dateien oder der Registry) zentral nachverfolgen. Um den Aufwand zur Sichtung dieser Ereignisse in Grenzen zu halten, ist eine automatische Filterung dieser Daten auf Basis bekannter Software ein Muss - die manuelle Einordnung aller Ereignisse auf einem Standard-Linux- oder -Windows-System, zum Beispiel bei einem Update, ist schlichtweg unmöglich. Unter Zuhilfenahme einer automatischen Filterung "guter" Ereignisse ist es dann möglich, sich die übrig gebliebenen Ereignisse näher anzuschauen, eventuelle Unregelmäßigkeiten zu entdecken und diese forensisch zu verfolgen. Datensicherheit Das Bereitstellen eines sicheren Cloud-Servers, der Daten verarbeitet, ist nur der erste Schritt bei der Nutzung von Cloud-Diensten. Im zweiten und dritten Schritt geht es darum, die Daten in den gesicherten Cloud-Server zu überführen und dafür zu sorgen, dass sie auch in der Wolke (also außerhalb der physischen Einflussnahme des Kunden) sicher bleiben. Der letzte Punkt lässt sich mit der vollständigen Verschlüsselung der virtuellen Festplatten adressieren: Die zu bearbeitenden Daten werden transparent beim Zugriff entschlüsselt und beim Zurückschreiben wieder verschlüsselt. Dies vermeidet, dass unverschlüsselten Daten auf persistentem Speicher beim Cloud-Service-Provider oder im Backup landen. Bei der Verschlüsselung stellt sich immer die Frage nach dem Schlüssel. Eine Speicherung innerhalb der Cloud-Server ist nicht sinnvoll, da jeder mit Zugriff auf den Cloud-Server oder die Vorlage auch Zugriff auf den Schlüssel und damit auf die entschlüsselten Daten haben könnte. Das "Eintippen" des Passworts beim Systemstart, wie bei lokaler Verschlüsselungssoftware üblich, gestaltet sich mangels echter Konsole schwierig - die grundsätzliche Idee ist aber eine Überlegung wert. Anstatt dass eine Person den Schlüssel physisch eingibt, fragt der Cloud-Server eine externe Quelle, einen Key-Management-Server (KMS), nach dem Schlüssel zum Entschlüsseln der Daten. Verschlüsselung der Daten Dieser KMS überprüft nun die Identität (beispielsweise nach Cloud-Server, IP-Adressen, Template, Rechenzentrum oder Lokation) und Integrität (Firewall, Patch-Stand, aktiver Anti-Virus-Scanner) des anfragenden Cloud-Servers - ähnlich wie ein Mensch bei einer klassischen Festplattenverschlüsselung. Im Erfolgsfall werden dann Schlüssel automatisch oder nach manueller Bestätigung durch eine berechtigte Person freigegeben. Damit sind die Daten für den Cloud-Server verfügbar - solange die Integrität oder Identität sich nicht negativ verändern. Ein entscheidender Sicherheitsaspekt einer solchen Lösung ist der disjunkte Betrieb von Cloud-Server und Key-Management-Server: Laufen beide beim (gleichen) Cloud-Service-Provider, sind dort wieder alle notwendigen Informationen an einer Stelle versammelt. Der Betrieb des KMS im lokalen Rechenzentrum oder als externe Dienstleistung bei einem anderen Anbieter als dem CSP stellt hingegen nützliche Alternativen dar. Getrennte Verwaltung der Schlüssel Abseits der oben genannten Festplattenverschlüsselung mit disjunkter Schlüsselverwaltung für IaaS-Umgebungen findet sich dieses Konzept auch in Form von Lösungen für den PaaS-Bereich wieder. Dabei werden Daten so verschlüsselt, dass keine Klartextdaten in der beim Cloud-Service-Provider bereitgestellten Datenbank landen. Die dazu notwendigen Schlüssel befinden sich auch hier unter Kontrolle des Benutzers. Beide Ansätze sind nicht mit einer Verschlüsselung auf Provider-Seite zu verwechseln. Bei diesem Ansatz (zum Beispiel Amazon S3 Server-Side Encryption) werden die (Klartext-)Daten auf Provider-Seite vor einer Ablage auf dem Storage oder im Backup verschlüsselt. Dieses Angebot schützt die Daten vor möglichen Dieben mit physischem Zugriff auf die Festplatten: Bei einem Einbruch ins Rechenzentrum sind gestohlene Daten unbrauchbar. Vor einem Übergriff innerhalb der Cloud-Service-Provider-Struktur schützt dieser Ansatz jedoch nicht. Verschlüsselte Übertragung Was bringt jedoch die verschlüsselte Speicherung von Daten, kombiniert mit einem sicheren Container, um diese Daten verarbeiten zu können, wenn die Übertragung im Klartext ohne Integritätsprüfung stattfindet? Die verschlüsselte Übertragung ist daher Pflicht. Die Kombination verschlüsselter Daten mit der eigentlichen sicheren Übertragung stellt eine interessante Möglichkeit dar. Die meisten SSL- und VPN-Protokolle unterstützen optional digitale Zertifikate zur Authentifizierung. Die Identität der Gegenstelle wird also mithilfe digitaler Zertifikate geprüft, und zwar vor Beginn der eigentlichen Übertragung. Genau diese digitalen Zertifikate können auf virtuellen Festplatten liegen, verschlüsselt abgelegt und nur dann nutzbar, wenn die Identität und Integrität der Cloud-Server vom Key-Management-Server geprüft wurde. Diese Abhängigkeitskette ermöglicht folglich, nur Daten an Cloud-Server zu übertragen, die vorher entsprechenden Identitäts- und Integritätsprüfungen standgehalten haben. Sicherheit in der Cloud ist ein umfangreiches Thema. Insbesondere den Kontext, in dem die Cloud-Server laufen, gilt es, mit Umsicht zu bedenken: Gerade in der Public Cloud kann der nächste Nachbar der schlimmste Konkurrent sein. Daher sollte man erst einmal davon ausgehen, dass man sich in "feindlichem Territorium" befindet, und die Sicherheitsmaßnahmen entsprechend auslegen. Leider sind insbesondere die Sicherheitsgarantien der Cloud-Service-Provider in vielen Fällen mit Vorsicht zu genießen: Letzten Endes bleibt die rechtliche Haftung für die Daten wie auch für deren Verlust beim Kunden. Technische Maßnahmen Abgesehen von diesen rechtlichen Rahmenbedingungen gibt es einige technische Maßnahmen, deren Beachtung die Sicherheit von Cloud-Rechenzentren erhöht. Vor allem dürfen Sicherheit und Sicherheits-Management nicht zum Hemmschuh werden. Dies erfordert auf der einen Seite die Nutzung bekannter Werkzeuge und Verfahren - wenn auch teilweise in erweiterter Art und Weise, wie das Beispiel der Verschlüsselung und disjunkten Schlüsselverwaltung zeigt. Auf der anderen Seite ist eine stärkere Integration der verschiedenen Sicherheitsfunktionen in den Cloud-Broker eine zwingende Voraussetzung für verstärkte Automation. Beides kombiniert erlaubt es dann, die Vorteile der Cloud ohne Kompromisse bei der Sicherheit zu nutzen.
Lesen Sie mehr zum Thema
