Suchen

Wichtige Elemente der Cloud-Sicherheit Wie man Cloud-Konfigurationen besser prüfen kann

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Elke Witmer-Goßner

Fehlerhafte Konfigurationen gehören zu den größten Sicherheitsrisiken im Cloud Computing. Es gibt eine Reihe von Möglichkeiten, Cloud-Konfigurationen zu testen, bei den Cloud-Providern, in Cloud-Security-Tools und in speziellen Cloud-Management-Werkzeugen. Wir geben einen Überblick über die verschiedenen Wege hin zu sicheren Cloud-Konfigurationen.

Firma zum Thema

Es ist oft nur eine Frage der Einstellung, wie sicher Cloud-Services sind.
Es ist oft nur eine Frage der Einstellung, wie sicher Cloud-Services sind.
(Bild: © Visual Generation - stock.addobe.com)

IT-Experten bewerteten die Fehlkonfiguration von Cloud-Plattformen, die zu Datenverlust oder -schutzverletzungen führt, mit 62 Prozent als größte Bedrohung, gefolgt von unberechtigtem Zugriff auf Cloud-Ressourcen (55%), unsicheren Schnittstellen (50%) und Entführung von Konten oder Datenverkehr (47%). Mit der Einschätzung, das Fehler in der Cloud-Konfiguration ein großes Risiko darstellen, ist der Check Point Security Report 2019 nicht allein.

Auch Skybox Security kommt in einer Studie zu dem Schluss: Fehlkonfigurationen sind das größte Risiko im Bereich Cloud Security. Ohne entsprechende Sicherheitslösungen und eine kontinuierliche Überwachung kann es zu Fehlkonfigurationen und Richtlinienverletzungen kommen, so der Security-Anbieter.

Falsch konfigurierte Clouds werden angegriffen

Fehlkonfigurationen von Clouds sind kein theoretisches Risiko. Laut einem Bericht des SANS-Instituts stellten 31 Prozent der befragten Unternehmen einen unbefugten Zugriff von Außenstehenden auf Cloud-Umgebungen oder Cloud-Assets fest. Während die meisten Angriffe auf dem vorherigen Diebstahl von Anmeldeinformationen basierten, lag eine schlechte Cloud-Konfiguration auf dem zweiten Platz. Bei diesen schlechten Konfigurationen geht es nicht nur um Datenbanken, die öffentlich zugänglich sind. Andere Cloud-Systeme wie Container-Management-Plattformen sind ebenfalls beliebte Ziele.

Doch warum sind viele Cloud-Konfigurationen unsicher? Der „Cloud Threat Report: Spring 2020“ von Unit 42 hat dies untersucht. Dabei wurde festgestellt, dass Unternehmen, die mehr von ihren Erstellungsprozessen für Cloud-Infrastrukturen automatisieren möchten, oftmals Infrastrukturen als Code-Vorlagen (IaC-Vorlagen) übernehmen. Ohne die Hilfe der richtigen Sicherheitstools und -prozesse können diese Infrastrukturbausteine mit Sicherheitslücken versehen sein.

Bereits frühere Untersuchungen von Unit 42 ergaben, dass 65 Prozent der Cloud-Vorfälle auf einfache Fehlkonfigurationen zurückzuführen waren. 43 Prozent der Cloud-Datenbanken sind nicht verschlüsselt. Und bei 60 Prozent der Cloud-Speicherdienste ist die Protokollierung deaktiviert. Die neuen Berichtsergebnisse geben nun Aufschluss darüber, warum Cloud-Fehlkonfigurationen so häufig sind: Forscher der Unit 42 von Palo Alto Networks identifizierten während ihrer Untersuchung eine große Zahl von Schwachstellen in Cloud-Vorlagen mit hohem und mittlerem Schweregrad. Demnach sind mehr als 199.000 unsichere Vorlagen im Einsatz.

Im Detail wurde zum Beispiel festgestellt:

  • Fast 50 Prozent aller gescannten CloudFormation-Vorlagen (CFT) enthalten eine potenziell anfällige Konfiguration.
  • 42 Prozent aller CloudFormation-Konfigurationsdateien enthielten mindestens eine unsichere Konfiguration.
  • 22 Prozent aller Terraform-Konfigurationsdateien enthielten mindestens eine unsichere Konfiguration.

Matthew Chiodi, Chief Security Officer Public Cloud, Palo Alto Networks, bemerkte dazu: „Es ist nur eine Fehlkonfiguration erforderlich, um eine gesamte Cloud-Umgebung zu kompromittieren. Wir haben 199.000 gefunden. Die gute Nachricht ist, dass Infrastruktur als Code Sicherheitsteams viele Vorteile bieten kann, zum Beispiel die Möglichkeit, Sicherheit frühzeitig in den Softwareentwicklungsprozess einfließen zu lassen und in die Bausteine der Cloud-Infrastruktur eines Unternehmens einzubetten.“

Wie man Cloud-Konfigurationen prüfen kann

Wer einen Provider wie AWS oder Microsoft Azure nutzt, kann Werkzeuge des Providers einsetzen, um seine Cloud-Konfigurationen zu überwachen. So bietet AWS das Werkzeug AWS Config. AWS Config ist ein Service, mit dem man die Konfigurationen seiner AWS-Ressourcen analysieren, prüfen und beurteilen kann. Config überwacht die Konfigurationen der AWS-Ressourcen und zeichnet diese auf. Man erhält die Möglichkeit, die Beurteilung der aufgezeichneten Konfigurationen im Hinblick auf gewünschte Konfigurationen zu automatisieren. Mit Config kann man Änderungen an Konfigurationen überprüfen, detaillierte Verläufe der Ressourcenkonfiguration analysieren und die Gesamtkonformität (Compliance) mit den in internen Richtlinien festgelegten Konfigurationen ermitteln. Dafür stellt AWS eine große Zahl von Regeln bereit, die man übernehmen kann. Es ist aber auch möglich, eigene Regeln zu definieren.

Einem Nutzer von Microsoft Azure bietet sich Azure Policy an. Azure Policy ist ein neuer Dienst, mit dem Kunden unternehmensweit geltende Standards innerhalb ihrer Azure-Umgebung auswerten und durchsetzen können, um eine Kontrolle und Konformität zu gewährleisten. Mit Azure Policy kann man Azure-Ressourcen hinsichtlich möglicher Richtlinienverletzungen auswerten und den Konformitätsstatus für jede Richtlinie überprüfen.

Funktionen zur Prüfung von Cloud-Konfigurationen befinden sich aber auch in verschiedenen Cloud-Security-Lösungen und in Cloud-Management-Lösungen. Gerade bei Multi-Cloud-Szenarien bieten sich natürlich externe Tools an, um Cloud-Konfigurationen übergreifend und möglichst einheitlich zu überwachen.

Der Security-Anbieter Fortinet erklärt, dass der erste Schritt sein sollte, eine zentralisierte Transparenz zu schaffen und Änderungen des Konfigurationsstatus und des gesamten Cloud-Infrastrukturprofils zu verfolgen. Eine Cloud Security-Lösung sollte dann in der Lage sein, eine umfassende Risikobewertung durchzuführen, einen Risiko-Score zu erstellen und Best Practice-Empfehlungen zu dessen Verbesserung anzubieten. Nach Abschluss der Bewertung sollte die Cloud-Infrastruktur eines Unternehmens weiterhin konsequent überwacht werden, um sicherzustellen, dass Probleme rechtzeitig erkannt und gelöst werden. Schließlich sollten Analyse-Tools zur Verfügung stehen, die den Security-Teams helfen, den Lebenszyklus von Konfigurationsänderungen über die Multi-Cloud-Umgebung hinweg zu verstehen.

Eine Frage der Einstellung

Fast alle erfolgreichen Angriffe auf Cloud-Services sind das Ergebnis von Kundenfehlkonfigurationen, Missmanagement und Fehlern, so auch das Analystenhaus Gartner. Verantwortliche für Sicherheits- und Risikomanagement sollten in Cloud-Sicherheitsmanagementprozesse und -tools investieren, um diese Risiken proaktiv und reaktiv zu identifizieren und zu beheben. Die Marktforscher von Gartner sehen eine eigene Gruppe von Werkzeugen, die zum Einsatz kommen sollte: Cloud Security Posture Management. Unter CSPM versteht Gartner eine aufstrebende Kategorie von Cybersicherheitslösungen, mit deren Hilfe Unternehmen Cloud-Fehlkonfigurationen erkennen, bewerten und beheben können.

Ganz gleich, mit welchen Tools man die Sicherheit der Cloud-Konfigurationen verbessert, ohne diese Maßnahme leidet die ganze Cloud-Sicherheit. Wenn man wie Gartner von CSPM sprechen will, kann man sagen: Cloud Security Posture Management gehört zum Pflichtprogramm der Cloud-Sicherheit.

(ID:46607075)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst, Influencer und News Analyst / Commentator bei Insider Research