Cloud Security

Incident Response in der hybriden Cloud

Seite: 2/3

Firma zum Thema

So funktioniert Incident Response innerhalb der verschiedenen Cloud Services

Von zentraler Bedeutung ist, ob Angriffe überhaupt erkannt werden und wer diese komplexe Aufgabe übernimmt. Wesentlich ist auch zu wissen, welche Möglichkeiten das Cloud-nutzende Unternehmen hat, um selbst Gegenmaßnahmen zu ergreifen. Die nachfolgende Übersicht zeigt den jeweiligen Aktionsradius von Cloud-Usern innerhalb der unterschiedlichen Cloud Services auf.

Infrastruktur-as-a-Service (IaaS): Für effektive Incident Response ideal, denn der User behält sowohl private wie public die Hoheit über die eigenen Systeme. Er ist für den Betrieb und das Funktionieren der eingesetzten Systeme selbst verantwortlich – und damit auch für die IT Security von Betriebssystemen, Applikationen und eigenen Services, für die Daten-Verschlüsselung und für die Sicherstellung der Integrität der Systeme bis hin zu Identitäts- und Zugriffskontrollen auf System- und Applikationsebene. Er kann eigeninitiativ über den Sensoren-Einsatz zu den Betriebssystemen entscheiden, selbst, wenn sie in der Public Cloud stehen.

IR-Lösungen für IaaS

Auf Systemebene erfolgt eine Anbindung an das eigene SIEM oder die APT-Sensoren werden in allen virtualisierten Computerhardware-Ressourcen wie Rechnern, Netzen und Speichern platziert, und die Ergebnisse werden zusammengeführt. Der Zugriff auf die Systeminfrastruktur ist die Basis für Gegenmaßnahmen im Sinne des Incident Response, z.B. für die Deaktivierung von Diensten, um weitere Härtungsmaßnahmen zu ergreifen oder auch forensisch aktiv zu werden. Weil das auf Netzwerk-Ebene für das Cloud-nutzende Unternehmen nur eingeschränkt möglich ist, da der Provider in der Regel keinen Zugriff auf seine physische Netzwerkinfrastruktur gestattet, ist eine gemeinsame Response-Strategie des Providers und des Cloud-nutzenden Unternehmens sinnvoll. Das erfordert einen regelmäßigen Austausch der Ereignisse aus dem pyhsikalischen Netzwerkbereich und der Systemüberwachung innerhalb der privaten Cloud zwischen Nutzer und Provider, außerdem abgestimmte Notfallpläne und definierte Eskalationsprozeduren.

Platform-as-a-Service (PaaS): Innerhalb von PaaS entwickeln Nutzer ihre eigenen Software-Anwendungen oder lassen diese innerhalb der Softwareumgebung ausführen, die vom Dienstanbieter (Service Provider) bereitgestellt und unterhalten wird. Da der Nutzer in der von ihm bereitgestellten Applikation die Logik zur Erkennung von Angriffen implementieren oder zumindest wichtige Ereignisdaten sammeln kann, kann er innerhalb des Private-Bereichs in der hybriden Cloud-Struktur alle erforderlichen Gegenmaßnahmen ausrollen.

Verantwortlich für die IT Security der zugrundeliegenden Infrastruktur ist der Provider.

IR-Lösungen für PaaS

Auch hier ist es nicht sinnvoll, verschiedene Systeme zur Zusammenführung der Incident-Informationen zu pflegen. Deshalb stellt sich die unmittelbare Frage der Integration in das unternehmenseigene SIEM. Für PaaS, die in einer hybriden Cloud-Struktur auf eigener Infrastruktur basieren, ergibt sich die volle Bandbreite an Gegenmaßnahmen. Für den Public-Cloud-Anteil ist das ein Problem, weil der Zugriff auf die Systeminfrastruktur fehlt, Informationen über Incidents kommen also in erster Linie aus einer auf dem PaaS betriebenen Applikation. Ein Incident Response basiert hier überwiegend auf der Abstimmung und Abhängigkeit vom Provider.

Software-as-a-Service (SaaS): Der User hat lediglich Zugriff auf die Applikation bspw. über ein Web-Frontend, nicht aber auf die darunterliegenden System- und Netzwerkstrukturen - und damit keine Chance für eine sinnvolle Integration der Überwachung für die Computing-Infrastruktur. Der Provider ist für die IT Security der zugrundeliegenden Infrastruktur verantwortlich. Für das Cloud-nutzende Unternehmen bedeutet das: Keine Implementierung der eigenen Sensoren-Technologie, damit kein Tapping und keine Detektionsmöglichkeiten, und damit nur sehr eingeschränkte eigene Incident Response.

Hendrik Andreas Reese, Experte für Cloud-Beratung und -Strategien beim TÜV Rheinland.
Hendrik Andreas Reese, Experte für Cloud-Beratung und -Strategien beim TÜV Rheinland.
(TÜV Rheinland)

IR-Lösung für SaaS

Der Einsatz von Cloud Access Security Brokers (CASB) zwischen dem Cloud-nutzenden Unternehmen und dem Cloud Service Provider eröffnet die Möglichkeit transparenter Überwachung des Zugriffs auf Cloud Services sowie die Umsetzung von Policies in den Bereichen Malware Prevention, Authentifizierung, Verschlüsselung und DLP (Data Leakage Prevention). Mittels CASB kann der Cloud-Nutzer das Monitoring auf Netzwerkebene sogar auf den SaaS-Service erweitern und in seine eigenen Systeme integrieren. Der CASB erlaubt sinnvolle Gegenmaßnahmen, die Einrichtung von DLP-Mechanismen bzw. Regelverschärfungen. Darüber hinaus bleibt nur die enge Zusammenarbeit mit dem Provider.

Artikelfiles und Artikellinks

(ID:43869510)