:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Eigenverantwortung für Cloud-Sicherheit Die zehn größten AWS-Security-Fehler
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Mit einem Anteil von mehr als 30 Prozent am globalen Cloud-Markt und einer Vielzahl von anpassbaren Funktionen ist Amazon Web Services (AWS) für viele Unternehmen zum bevorzugten Anbieter von Cloud-Diensten geworden. Während AWS zwar die Sicherheit der Cloud verwaltet, liegt die Verantwortung für die Sicherheit in der Cloud trotzdem beim Kunden.
Sicherheitsteams müssen ihren Teil des Modells der geteilten Verantwortung verstehen, bei dem Kunden die Kontrolle darüber behalten, welche Sicherheit sie zum Schutz ihrer eigenen Inhalte, Plattform, Anwendungen, Systeme und Netzwerke implementieren – genauso wie bei einem eigenen Rechenzentrum. Je nach Erfahrung mit Cloud-Diensten und Phase der Nutzung der öffentlichen Cloud gibt es bestimmte Punkte, auf die man sein Augenmerk richten sollte. Werfen wir einen Blick auf die zehn größten Fehler in Bezug auf die Security, um zu erkennen, was Unternehmen tun können, um die Sicherheit zu gewährleisten.
Fehler 1: Nutzung des Root-Accounts für alltägliche Aktivitäten
Der Root-Account (Root User oder auch Superuser) verfügt über die volle Kontrolle über den Account, einschließlich der Möglichkeit, den Account und sämtliche Inhalte zu löschen. Diese Zugriffsebene ist für bestimmte Aufgaben erforderlich und sollte nur in den entsprechenden Fällen verwendet werden. Alltägliche Aufgaben sollten auf Benutzerkonten mit begrenzten Befugnissen delegiert werden.
Damit vermeidet man die übermäßige Nutzung des Root-Accounts, was zu unbeabsichtigten, weitreichenden Änderungen von Berechtigungen, Richtlinien, Einstellungen und ähnlichem führen kann. Die meisten Benutzer, besonders in größeren Unternehmen, können ihre Arbeit problemlos mit eingeschränkteren Befugnissen erledigen. Und die die Kompromittierung eines Root-Kontos, das einem Angreifer die Möglichkeit bietet, alles mit den Daten zu tun, einschließlich des Löschens, kann verhindert werden. In größeren Unternehmen erhöht schon die schiere Anzahl der Benutzer das Risiko einer Kompromittierung.
AWS gibt die Flexibilität, zu partitionieren und Rollenberechtigungen festzulegen. Mit Lösungen von Drittanbietern können zudem Aktivitäten von Root-Benutzern überprüft und Sicherheitsverantwortliche auf schlechte Praktiken, wie die regelmäßige Verwendung eines Root-Benutzers in einem AWS-Konto, hingewiesen werden.
Fehler 2: Keine Partitionierung von Benutzer- und Rollenberechtigungen
Eine bewährte AWS-Sicherheitspraxis für Berechtigungen besteht darin, dem Benutzer nur die Berechtigungsstufe zu gewähren, die für die effektive Ausführung seiner Arbeit erforderlich ist. Diese Art des eingeschränkten rollenbasierten Zugriffs erfordert möglicherweise einige Feinabstimmung, um genau das richtige Maß zu finden, jedoch schränkt sie die Gefährdung Ihrer Daten effektiv ein. Wenn ein bestimmter Benutzer gelegentlich mehr Zugriff benötigt, als Sie ihm für den täglichen Gebrauch gewährt haben (etwa um Amazon EC2-Instanzen zu erstellen), gewähren Sie ihm zusätzliche Privilegien für die Dauer einer bestimmten Aufgabe und setzen Sie dann wieder auf den Standard zurück.
Fehler 3: Unbeschränkter Zugang zu Amazon S3 Buckets
Ein Amazon S3-Bucket ist ein öffentlicher Cloud-Speicherdienst, in dem oft auch sensible Daten wie Kunden- oder Zahlungsinformationen gespeichert werden. Es kommt leider immer wieder vor, dass AWS-Nutzer vergessen, Einschränkungen vorzunehmen, so dass der Zugriff auf diese Container für jeden möglich ist, der den entsprechenden Namen erraten (oder erschließen) kann. Ohne angemessene Zugangsrichtlinien sind Daten in Amazon S3 anfällig. Auch hier gibt es Drittanbieter-Lösungen, die nach außen offene Buckets aufspüren und konkrete Schritte zur Abhilfe vorschlagen.
Fehler 4: Verzicht auf Multi-Faktor-Authentifizierung
Viele Datenverletzungen sind das Ergebnis von Passwörtern, die keinen ausreichenden Schutz bieten, etwa weil sie von Haus aus schwach sind oder kompromittiert wurden. Heutzutage reicht eine einzige Authentifizierung bei der Anmeldung nicht mehr aus, um Ihre Daten sicher zu halten. Entsprechend ist eine Multi-Faktor-Authentifizierung (MFA) zum Muss geworden. Indem Sie von den Benutzern verlangen, sich mit ihrem Kontopasswort anzumelden und dann einen zweiten Schritt zu durchlaufen, können Sie das Risiko für Ihr Unternehmen verringern.
Einige gängige Beispiele für MFA sind zum einen OTP (one-time passwords). Hier werden Einmal-Passwörter per Telefon oder E-Mail an den Benutzer zur Überprüfung seiner Identität geschickt, bevor er seine Anmeldung abschließt. Zum anderen die Authentifizierung über USB-Hardware-Token, wobei der Nutzer nur einen USB-Stick benötigt, der ein OTP erzeugt, bevor er Zugriff erhält.
AWS-Benutzer, die nach einer Möglichkeit suchen, MFA einzusetzen, ohne ihrem Sicherheitsbudget einen weiteren Posten hinzuzufügen, können auf kostenlose Tools wie Google Authenticator zurückgreifen. Grundsätzlich sollten Sie überwachen, ob Best Practices wie MFA befolgt werden, und eine kontinuierliche Sicherheitsbewertung Ihrer Umgebung durchführen, um Risiken schnell zu erkennen und zu beheben. Diese zusätzlichen Schritte sind relativ schnell und schmerzlos, und sie tragen wesentlich zur Sicherung Ihrer Daten bei.
Fehler 5: Keine Verschlüsselung abgelegter Daten
AWS verfügt über einen Key-Management-Service, mit dem Sie Verschlüsselungs-Keys verwalten können. Dieser sollte zur Verschlüsselung von gespeicherten Daten verwendet werden. Leider ist diese Möglichkeit vielen Benutzern jedoch nicht bewusst. Zu den besten Verschlüsselungspraktiken gehört die Festlegung eines Verschlüsselungsschlüssels und wer ihn verwenden kann, und dann das Sperren des Schlüssels. Eine Verschlüsselung verhindert zwar keinen Datenverstoß, aber sie stellt sicher, dass Ihre Daten im Falle eines Datenverlusts privat bleiben.
Fehler 6: Keine Verwendung von Netzwerk-ACLs
Port-Scans sind ein sehr beliebter Angriffsvektor, um das schwächste Glied zu finden, über das ein Netzwerk infiltriert werden kann. Ohne die Implementierung der richtigen Schutzmaßnahmen wird permanent eine Menge unnötiger, unerwünschter und potenziell unsicherer Datenverkehr Ihre Sicherheitsgruppen treffen. Diese Gruppen fungieren oft als Firewall auf Instanzebene, aber je mehr Datenverkehr auf sie trifft, desto schwieriger ist es, potenzielle Bedrohungen wirksam zu überwachen. Die Verwendung der Standard-Netzwerk-ACLs lässt viel Datenverkehr zu und erzeugt eine größere Anzahl von Warnungen im Downstream, wodurch sich das Signal-Rausch-Verhältnis erhöht.
Verwendet man hingegen spezifische Netzwerk-ACLs lässt sich der Verkehr begrenzen und entsprechend der Lärm reduzieren. Wenn Sie zum Beispiel zulassen, dass SSH nur von einem bestimmten IP-Block innerhalb der ACLs stammt, erhalten Sie von den Instanzen keine Blockbenachrichtigungen in den VPC-Flussprotokollen. Infolgedessen können kompromittierte Anmeldeinformationen nicht von anderen IP-Adressen verwendet werden, und das SSH-Scannen wird Ihre Instanzen nicht treffen.
Fehler 7: Kein Einsatz von Monitoring- und Protokollierungsdiensten
AWS bietet eine Reihe von Möglichkeiten, die Benutzer bei der Verwaltung, dem Verständnis und der Feinabstimmung ihrer Cloud-Dienste für mehr Sicherheit und einen insgesamt besseren Betrieb zu unterstützen. Insbesondere neue oder nicht besonders versierte Benutzer sollten die Nutzung folgender Services in Betracht ziehen:
- AWS Config hilft Ihnen bei der Beurteilung der Konfiguration Ihrer AWS-Ressourcen zur Unterstützung von Konformitätsprüfungen, Fehlerbehebung im Betrieb und Sicherheitsbewertungen.
- Mit AWS CloudWatch können Sie Metriken sammeln und verfolgen, Protokolldateien überwachen, Alarme einstellen, automatisch auf Änderungen reagieren und vieles mehr.
- AWS CloudTrail ermöglicht unter anderem die Prüfung von Risiken und Betriebsabläufen, protokolliert und überwacht Kontoaktivitäten und bietet Ereignisverläufe zur Vereinfachung der Sicherheitsanalyse.
Fehler 8: Keine Identifizierung (und Verhinderung) von anormalem Verhalten
Wann immer eine Änderung in Ihrer AWS-Umgebung vorgenommen wird, sollten Sie dies bemerken und dann den Gründen nachgehen. Nutzen Sie hierfür Ihre Protokolle und Daten. Alle bisher beschriebenen Maßnahmen sind nur dann erfolgreich, wenn Sie strenge Verfahren anwenden, die sofortige proaktive Reaktionen ermöglichen. Effektive Cloud-Security-Lösungen lösen Alarme und Schutzmaßnahmen aus, sobald anomale Aktivitäten entdeckt werden.
Sie können kompromittierte Anmeldeinformationen oder potenzielle Kontoübernahmesituationen und andere Anomalien schnell identifizieren, indem Sie beispielsweise Anmeldeversuche oder fehlgeschlagene Anmeldeversuche verfolgen. Wenn Sie nicht über ein solches System verfügen, das Sie bei ungewöhnlichem Verhalten benachrichtigt, werden Sie Sicherheitsprobleme möglicherweise erst sehr spät oder gar nicht bemerken.
Fehler 9: Keine regelmäßige Änderung der Anmeldeinformationen (Access Keys)
Kompromittierte Zugangsdaten geben einem potenziellen Eindringling Zugang zu Ihren Cloud-Ressourcen. Wenn Sie Ihre Anmeldeinformationen regelmäßig ändern, begrenzen Sie den Zeitraum für einzelnen Berechtigungen und damit die Auswirkungen auf Ihre Daten und Ihr Geschäft, sollten sie in falsche Hände geraten. Richten Sie hierfür einen Zeitplan und einen Prozess für die Rotation der Anmeldeinformationen ein, um die Risiken zu minimieren.
AWS lässt diese Berechtigungsnachweise in einigen Anwendungen automatisch ablaufen und erneuert sie automatisch, aber je nach Standort Ihrer Anwendungen müssen Sie möglicherweise zusätzliche Schritte unternehmen, um einen Prozess zur Rotation der Zugangsdaten einzurichten.
Fehler 10: Kein hinreichendes Verständnis für die Auswirkungen auf die Sicherheit bei der Einführung und Nutzung von Diensten
Zahlreiche neue Benutzer steigen in AWS ein, ohne die Wirkungsweise oder die damit verbundenen Implikationen in Bezug auf die Datensicherheit zu verstehen. Wenn Sie zum ersten Mal mit AWS arbeiten, sollten Sie sich ausreichend Zeit nehmen, um zu verstehen, wie sich die verschiedenen Zugangsmöglichkeiten in der „realen Welt“ auswirken und welche Richtlinien und Verfahren eingeführt werden müssen, um das Risiko nachhaltig zu verringern.
Die Cloud verleitet zu hohem Tempo. Dennoch: Fangen Sie einfach an und bauen Sie dann langsam auf den Basisdiensten auf. Wenn man schnell verschiedene Dienste einrichtet, ist es schwierig, zu erkennen, was benötigt wird und was nicht, und zu verstehen, welche Sicherheitskontrollen implementiert werden müssen. Auch in der Cloud muss Sicherheit stets oberste Priorität haben.
* Der Autor Thomas Ehrlich ist Country Manager DACH von Netskope.
(ID:46803727)
:quality(80)/p7i.vogel.de/wcms/a3/05/a305e0e195969946933fcf7e90951318/0108745086.jpeg "Über Benutzerverwaltung und die Einrichtung von Standardrichtlinien können AWS-Dienste sicherer gemacht werden. (Bild: yu_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/4a/694a356edcf1db25e71e1adc7057dfac/0113378979.jpeg "Vor der Einführung einer Multi-Faktor-Authentifizierung sollten Unternehmen die verfügbaren MFA-Methoden evaluieren, um diejenige auszuwählen, die am besten zu den Sicherheitsanforderungen und dem Budget des Unternehmens passt. (Bild: Urupong - stock.adobe.com)")