IaaS-Umgebungen und Eigenentwicklungen

Anwendungen sicher in die Cloud auslagern

| Autor / Redakteur: Daniel Wolf * / Stephan Augsten

Lagern Unternehmen ihre Anwendungen in die Cloud aus, bleibt die Sicherheitsanalyse der Umgebung oft auf der Strecke.
Lagern Unternehmen ihre Anwendungen in die Cloud aus, bleibt die Sicherheitsanalyse der Umgebung oft auf der Strecke. (Bild: IO-Images - Pixabay.com)

Infrastructure as a Service bringt Skalierbarkeit und Kostenvorteile. Für die Sicherheit in IaaS-Umgebungen müssen Unternehmen jedoch weitgehend selbst sorgen. Ein Cloud Access Security Broker, kurz CASB, hilft ihnen dabei.

Unternehmen lagern ihre selbst entwickelten Anwendungen immer häufiger in die Cloud aus. Das ergab eine aktuelle Studie der Cloud Security Association (CSA) in Kooperation mit Skyhigh Networks. In den meisten Fällen nutzen sie dafür Infrastructure-as-a-Service-Angebote aus der Public Cloud, um von Skalierbarkeit, Flexibilität und geringeren Kosten zu profitieren.

Die Verantwortung für die Sicherheit teilen sich der Cloud-Anbieter und der Anwender in einem Shared-Responsibility-Modell. Dabei liegt der Löwenanteil jedoch beim Kunden. Er muss sich selbst um die Absicherung der virtuellen Infrastruktur und der Applikationen kümmern. Das heißt, er ist für Datenschutz und Compliance ebenso selbst zuständig wie für die Zugriffskontrolle auf System- und Applikationsebene. Der Plattform-Anbieter betreibt und sichert lediglich die Hardware.

Der Umzug auf IaaS erfordert doppelte Schutzmaßnahmen

Wenn Unternehmen eigene Anwendungen in die Cloud verlagern, müssen Sicherheitsverantwortliche daher zwei Ebenen beachten: die Cloud-Umgebung und die Applikation. Dabei kämpfen sie mit vielen Hindernissen. Die Sicherheitsanalyse der Cloud-Umgebung bleibt oft auf der Strecke, da ein solcher Umzug meist unter enormem Zeitdruck stattfindet.

Bei den Applikationen wird die Absicherung dadurch erschwert, dass On-Premise-Anwendungen meist nicht über die Schnittstellen verfügen, die für eine einfache Anbindung an bestehende Sicherheitslösungen erforderlich wären. Zudem sind Sicherheitsverantwortliche oftmals nicht darüber informiert, welche Cloud-Applikationen überhaupt vorhanden sind. Laut Studie der CSA wissen sie im Schnitt lediglich über 38,4 Prozent der unternehmenseigenen Anwendungen Bescheid.

Gefahren lauern im Rechtemanagement und in virtuellen Firewalls

Die größten Risiken entstehen aufgrund einer unsicher konfigurierten IaaS-Umgebung, etwa durch Nachlässigkeiten im Rechtemanagement oder falsche Firewall-Einstellungen. Grundsätzlich sollte jeder Nutzer nur die Rechte erhalten, die er für seinen Aufgabenbereich unbedingt braucht. Wenn Unternehmen nicht darauf achten, wer Zugriff auf sensible Daten hat, können diese schnell in falsche Hände geraten. Da Administratoren oft mehrere Zehntausend Zugriffsrechte managen, ist es schwierig, den Überblick zu behalten.

Ähnlich verhält es sich mit virtuellen Firewalls: IT-Abteilungen betreiben in einer IaaS-Umgebung einige Hundert virtuelle Maschinen, die sie bedarfsweise hoch- oder runterfahren. Oft vergessen die Verantwortlichen jedoch, die Firewall-Richtlinien zu aktualisieren. Das führt dazu, dass zum Beispiel Protokolle wie der SSH-Port oder der RDP-Port, die für die Administration der Server gedacht sind, für alle IP-Adressen freigegeben werden.

Im schlimmsten Fall vergisst ein Administrator sogar ganz, die Firewall zu aktivieren – etwa, weil er eine virtuelle Maschine zum Testen hochgefahren und nicht wieder heruntergefahren hat. Die Firewall-Richtlinien aller virtuellen Maschinen im Auge zu behalten, ist ohne technische Unterstützung jedoch nahezu unmöglich.

So hilft ein CASB bei der Absicherung

Mit einem CASB können Sicherheitsverantwortliche die Konfiguration der virtuellen Firewalls und der IaaS-Konten zeitsparend analysieren und scannen. Dabei werden Sicherheits- sowie Compliance-Lücken aufgedeckt und der CASB gibt passend zu den Unternehmensvorgaben Handlungsempfehlungen ab, um Risiken zu senken. Er erkennt inaktive Konten und zeigt alle Identitäten mit ihren Zugriffsrechten an.

Der CASB prüft unter anderem die offenen Netzwerkports, die virtuellen Firewall-Richtlinien, die Konfiguration der virtuellen Netzwerkkarte oder die Berechtigungen der S3 Buckets. Findet er unsichere Einstellungen, schlägt er Alarm. Außerdem überwacht er alle Aktivitäten in der Cloud-Umgebung. Das laufende Monitoring fließt zusätzlich in einen Audit Trail ein. Damit können IT-Verantwortliche jederzeit den Sicherheitsstatus der IaaS-Umgebung nachweisen. So stehen die notwendigen Daten bei einem ISO-Audit per Knopfdruck bereit.

In Amazon Web Services ist der CASB für das Monitoring über eine Schnittstelle angebunden und nutzt die Amazon-Cloud-Trail-Funktionalität. Sie liefert ein Logfile mit allen Aktivitäten, die in einer Amazon-Instanz stattgefunden haben, und legt es in einem Bucket ab. Der CASB holt das Logfile dort mehrmals täglich ab und parst es. Er nimmt es in seine Big-Data-Infrastruktur auf, kategorisiert sämtliche Aktivitäten und filtert Anomalien heraus.

Um diese von Fehlalarmen zu unterscheiden, benötigt der CASB vom Unternehmen passende Algorithmen und setzt maschinelles Lernen ein. Dabei gleicht er seine Grenzwerte automatisch an etablierte Best Practices und Erfahrungen aus einer umfangreichen Datenbank an. Damit ist er in der Lage, täglich Milliarden von Events durchzuarbeiten und in Relation zu stellen.

Fazit

Mit IaaS profitieren Unternehmen von Flexibilität, Skalierbarkeit und Kostenersparnis. Zur Absicherung müssen sie sowohl die Plattform-, als auch die Applikationsebene berücksichtigen. Dafür braucht es Zugriffskontrollen, ein umfassendes Identitäts- und Rechtemanagement sowie ein intelligentes Sicherheitsmonitoring, welches einen vollständigen Audit Trail ermöglicht.

Daniel Wolf
Daniel Wolf (Bild: Skyhigh Networks)

Ein moderner CASB deckt diese Anforderungen ab. Dabei arbeitet er nahtlos mit bestehenden Systemen wie Proxys, Firewalls und SIEM (Security Information and Event Management) zusammen. Zusätzlich bietet der Cloud Access Security Broker weitere Sicherheitsfunktionen, um Risiken für Eigenanwendungen in IaaS-Umgebungen zu minimieren.

* Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44726203 / Allgemein)