:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud-Sicherheit IaC-Templates bergen erhebliches Sicherheitsrisiko
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Infrastrucure-as-Code (IaC) beschleunigt den Aufbau einer Cloud-Umgebung, die Sicherheit bleibt aber häufig außen vor und das obwohl die Umsetzung von Sicherheitsstandards ermöglicht. Viele IaC-Templates weisen allerdings eine unzureichende Sicherheitskonfiguration auf. DevOps-Teams müssen dauerhaft eine sichere IaC-Konfigurationen gewährleisten können.
Eine IDG-Studie zur Cloud-Sicherheit in der DACH-Region von 2019 hat ergeben, dass fast die Hälfte (47 Prozent) der Unternehmen bereits von Cyberangriffen auf Cloud-Dienste betroffen war. Nicht gerade beruhigend ist zudem, dass zwölf Prozent der befragten Unternehmen gar nicht wissen, ob ein Cyberangriff auf ihre Cloud-Dienste schon einmal stattgefunden hat. Das Thema Sicherheit in der Cloud nimmt dennoch einen hohen Stellenwert ein. Entscheidende Auswahlkriterien bei der Wahl eines Cloud-Dienstes sind sicherer Datenzugriff und Datenverschlüsselung – und nicht etwa der Preis.
Cloud-Sicherheit ist aber ein anspruchsvolles Thema und es gilt verschiedene Aspekte zu berücksichtigen. Laut der Veritas-Studie „Truth in Cloud“ gehen die Befragten in 76 Prozent der Unternehmen davon aus, dass ihre Cloud-Betreiber sich um alle Datenschutz- und Compliance-Vorschriften kümmern. Gemäß dem Shared-Responsibility-Modell ist jedoch der Kunde für die Sicherheit, den Datenschutz und die Compliance seiner Workloads und Daten in der Cloud verantwortlich. So obliegt auch die Konfiguration von Infrastructure-as-Code-Templates vollständig dem Kunden, also dem Unternehmen als Nutzer der Cloud-Dienste.
Erhebliches Sicherheitsrisiko durch Fehlkonfiguration
Infrastructure-as-Code kommt vermehrt zum Einsatz, um Build-Prozesse in der Cloud zu automatisieren. Mit IaC Unternehmen müssen ihre Cloud-Infrastruktur nicht mehr manuell erstellen und konfigurieren. Da viele Unternehmen in der DACH-Region IaC erst seit kurzem einsetzen, fehlt noch die Erfahrung. Die daraus potenziell resultierenden Sicherheitsrisiken hat Unit 42, die Forschungsabteilung von Palo Alto Networks, im Rahmen einer Studie untersucht. Diese kommt zum Ergebnis, dass IaC zwar die Umsetzung von Sicherheitsstandards ermöglicht, was jedoch häufig nicht genutzt wird.
Ebenso wie der Anwendungscode sollten IaC-Templates bei jeder Erstellung oder Aktualisierung auf Sicherheitsprobleme gescannt werden. DevOps-Teams verzichten aber oft auf diesen wichtigen Sicherheitscheck. Liegt nur eine kritische Fehlkonfiguration vor, ist die gesamte Cloud-Umgebung gefährdet, weil sich Angreifer problemlos Zugang verschaffen können. Viele Unternehmen nutzen zudem mehrere Cloud-Dienste, entsprechend dem Multi-Cloud-Modell. Die Herausforderung liegt darin, sichere IaC-Konfigurationen über mehrere Public-Cloud-Konten und Entwicklungs-Pipelines zu gewährleisten.
Die wichtigsten Ergebnisse der Studie von Palo Alto Networks verdeutlichen das Problem der IaC-Templates und weitere kritische Aspekte der Cloud-Sicherheit:
Mehr als 199.000 unsichere Templates sind derzeit im Umlauf. Eine hohe Anzahl von Templates mit hochkritischen und mittelkritischen Schwachstellen ist bereits in Gebrauch. Dies belegt auch, dass 65 Prozent der Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind, wie Unit 42 in einer früheren Studie bekannt gegeben hat.
Bei 43 Prozent der Cloud-Datenbanken ist die Verschlüsselung nicht aktiviert. Diese verhindert, sofern sie aktiviert ist, dass Angreifer die gespeicherten Informationen lesen können. Datenverschlüsselung ist auch eine gängige Anforderung vieler Compliance-Standards. Hier sollten sich Unternehmen genau informieren, ob sie betroffen sind, oder – noch besser –standardmäßig Verschlüsselung nutzen.
Bei 60 Prozent der Cloud-Speicherdienste ist die Protokollierung nicht aktiviert. Wenn das Storage-Logging deaktiviert ist, können Cyberangreifer in das Speichersystem eindringen, ohne dass das Unternehmen etwas mitbekommt. Die Speicherprotokollierung ist ebenso wichtig, um das Schadenausmaß bei Datenlecks in der Cloud zu ermitteln.
Der Studie zufolge sind die am häufigsten genutzten IaC-Templates Google Kubernetes YAML (39 Prozent), HashiCorp Terraform (37 Prozent) und AWS CloudFormation (24 Prozent). Dabei wiesen 42 Prozent der CloudFormation-Templates, 22 Prozent der Terraform-Templates und 9 Prozent der Kubernetes YAML-Templates unsichere Konfigurationen auf. Damit ist die Wahrscheinlichkeit, dass ein anfälliges Cloud-Template eingesetzt wird, nicht unerheblich. Dies spricht dafür, jedes IaC-Template, das aus einem öffentlichen Repository wie GitHub stammt, unbedingt gründlich auf Schwachstellen zu überprüfen, bevor damit ein System erstellt und in einer Produktionsumgebung eingesetzt wird. Bereits im Vorfeld sollten Entwickler grundlegende Sicherheitsfunktionen wie Protokollierung und Verschlüsselung in jedem Template aktivieren.
Cloud-native Sicherheit, Durchsetzung von Standards und „Shift Left“
Eine umfassende Sicherheitslösung für Cloud-native Anwendungen während des gesamten Entwicklungszyklus und für jede beliebige Cloud unterstützt Unternehmen bei der Umsetzung einer vorbildlichen Cloud-Sicherheit. Eine Cloud Native Security Platform (CNSP) deckt hierbei sämtliche Anforderungen hinsichtlich Sichtbarkeit, Governance und Compliance, Computing-Sicherheit, Netzwerkschutz und Identitätssicherheit mit entsprechenden Funktionen ab. Unternehmen sollten sich vor Augen halten, dass es schwierig ist, etwas zu schützen, was nicht sichtbar oder bekannt ist. Daher muss eine CNSP-Lösung neben Containern, Serverless-Implementierungen und CI/CD-Pipelines auch den nötigen Einblick in alle öffentlichen, privaten und hybriden Clouds bieten.
Die strikte Durchsetzung von Cloud-Sicherheitsstandard, wie die vom Center for Internet Security (CIS) erstellten Benchmarks, ist ebenso ratsam. Eine weitere Maßnahme ist der „Shift Left“-Ansatz. Dies bedeutet, Sicherheitsoptionen so früh wie möglich im Entwicklungsprozess in das Projekt zu integrieren, also auch Sicherheitsstandards in IaC-Templates einzubetten. Mit diesen grundlegenden Best Practices und einer Cloud-nativen Sicherheitsplattform sind Fehlkonfigurationen in der Cloud vermeidbar, zugunsten einer deutlich besseren Cloud-Sicherheit.
Über den Autor: Sergej Epp ist CSO für Zentraleuropa bei Palo Alto Networks.
(ID:46639277)
:quality(80)/images.vogel.de/vogelonline/bdb/1891000/1891031/original.jpg "Mit der Lösung von Accurics verbessert Tenable die Cloud-Sicherheit. (kran77 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1880800/1880849/original.jpg "Drei neue Studien von führenden Marktakteuren betrachten die Themen Cloud-Sicherheit, Bedrohungen für Office 365 und den Hype um SASE. (gemeinfrei)")