Suchen

Cloud-Sicherheit IaC-Templates bergen erhebliches Sicherheitsrisiko

Autor / Redakteur: Sergej Epp / Peter Schmitz

Infrastrucure-as-Code (IaC) beschleunigt den Aufbau einer Cloud-Umgebung, die Sicherheit bleibt aber häufig außen vor und das obwohl die Umsetzung von Sicherheitsstandards ermöglicht. Viele IaC-Templates weisen allerdings eine unzureichende Sicherheitskonfiguration auf. DevOps-Teams müssen dauerhaft eine sichere IaC-Konfigurationen gewährleisten können.

Firmen zum Thema

Ebenso wie der Anwendungscode sollten IaC-Templates bei jeder Erstellung oder Aktualisierung auf Sicherheitsprobleme gescannt werden.
Ebenso wie der Anwendungscode sollten IaC-Templates bei jeder Erstellung oder Aktualisierung auf Sicherheitsprobleme gescannt werden.
(Bild: gemeinfrei / Pixabay )

Eine IDG-Studie zur Cloud-Sicherheit in der DACH-Region von 2019 hat ergeben, dass fast die Hälfte (47 Prozent) der Unternehmen bereits von Cyberangriffen auf Cloud-Dienste betroffen war. Nicht gerade beruhigend ist zudem, dass zwölf Prozent der befragten Unternehmen gar nicht wissen, ob ein Cyberangriff auf ihre Cloud-Dienste schon einmal stattgefunden hat. Das Thema Sicherheit in der Cloud nimmt dennoch einen hohen Stellenwert ein. Entscheidende Auswahlkriterien bei der Wahl eines Cloud-Dienstes sind sicherer Datenzugriff und Datenverschlüsselung – und nicht etwa der Preis.

Cloud-Sicherheit ist aber ein anspruchsvolles Thema und es gilt verschiedene Aspekte zu berücksichtigen. Laut der Veritas-Studie „Truth in Cloud“ gehen die Befragten in 76 Prozent der Unternehmen davon aus, dass ihre Cloud-Betreiber sich um alle Datenschutz- und Compliance-Vorschriften kümmern. Gemäß dem Shared-Responsibility-Modell ist jedoch der Kunde für die Sicherheit, den Datenschutz und die Compliance seiner Workloads und Daten in der Cloud verantwortlich. So obliegt auch die Konfiguration von Infrastructure-as-Code-Templates vollständig dem Kunden, also dem Unternehmen als Nutzer der Cloud-Dienste.

Erhebliches Sicherheitsrisiko durch Fehlkonfiguration

Infrastructure-as-Code kommt vermehrt zum Einsatz, um Build-Prozesse in der Cloud zu automatisieren. Mit IaC Unternehmen müssen ihre Cloud-Infrastruktur nicht mehr manuell erstellen und konfigurieren. Da viele Unternehmen in der DACH-Region IaC erst seit kurzem einsetzen, fehlt noch die Erfahrung. Die daraus potenziell resultierenden Sicherheitsrisiken hat Unit 42, die Forschungs­abteilung von Palo Alto Networks, im Rahmen einer Studie untersucht. Diese kommt zum Ergebnis, dass IaC zwar die Umsetzung von Sicherheitsstandards ermöglicht, was jedoch häufig nicht genutzt wird.

Ebenso wie der Anwendungscode sollten IaC-Templates bei jeder Erstellung oder Aktualisierung auf Sicherheitsprobleme gescannt werden. DevOps-Teams verzichten aber oft auf diesen wichtigen Sicherheitscheck. Liegt nur eine kritische Fehlkonfiguration vor, ist die gesamte Cloud-Umgebung gefährdet, weil sich Angreifer problemlos Zugang verschaffen können. Viele Unternehmen nutzen zudem mehrere Cloud-Dienste, entsprechend dem Multi-Cloud-Modell. Die Herausforderung liegt darin, sichere IaC-Konfigurationen über mehrere Public-Cloud-Konten und Entwicklungs-Pipelines zu gewährleisten.

Die wichtigsten Ergebnisse der Studie von Palo Alto Networks verdeutlichen das Problem der IaC-Templates und weitere kritische Aspekte der Cloud-Sicherheit:

Mehr als 199.000 unsichere Templates sind derzeit im Umlauf. Eine hohe Anzahl von Templates mit hochkritischen und mittelkritischen Schwachstellen ist bereits in Gebrauch. Dies belegt auch, dass 65 Prozent der Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind, wie Unit 42 in einer früheren Studie bekannt gegeben hat.

Bei 43 Prozent der Cloud-Datenbanken ist die Verschlüsselung nicht aktiviert. Diese verhindert, sofern sie aktiviert ist, dass Angreifer die gespeicherten Informationen lesen können. Daten­verschlüsselung ist auch eine gängige Anforderung vieler Compliance-Standards. Hier sollten sich Unternehmen genau informieren, ob sie betroffen sind, oder – noch besser –standardmäßig Verschlüsselung nutzen.

Bei 60 Prozent der Cloud-Speicherdienste ist die Protokollierung nicht aktiviert. Wenn das Storage-Logging deaktiviert ist, können Cyberangreifer in das Speichersystem eindringen, ohne dass das Unternehmen etwas mitbekommt. Die Speicherprotokollierung ist ebenso wichtig, um das Schadenausmaß bei Datenlecks in der Cloud zu ermitteln.

Der Studie zufolge sind die am häufigsten genutzten IaC-Templates Google Kubernetes YAML (39 Prozent), HashiCorp Terraform (37 Prozent) und AWS CloudFormation (24 Prozent). Dabei wiesen 42 Prozent der CloudFormation-Templates, 22 Prozent der Terraform-Templates und 9 Prozent der Kubernetes YAML-Templates unsichere Konfigurationen auf. Damit ist die Wahrscheinlichkeit, dass ein anfälliges Cloud-Template eingesetzt wird, nicht unerheblich. Dies spricht dafür, jedes IaC-Template, das aus einem öffentlichen Repository wie GitHub stammt, unbedingt gründlich auf Schwachstellen zu überprüfen, bevor damit ein System erstellt und in einer Produktionsumgebung eingesetzt wird. Bereits im Vorfeld sollten Entwickler grundlegende Sicherheitsfunktionen wie Protokollierung und Verschlüsselung in jedem Template aktivieren.

Cloud-native Sicherheit, Durchsetzung von Standards und „Shift Left“

Eine umfassende Sicherheitslösung für Cloud-native Anwendungen während des gesamten Entwicklungszyklus und für jede beliebige Cloud unterstützt Unternehmen bei der Umsetzung einer vorbildlichen Cloud-Sicherheit. Eine Cloud Native Security Platform (CNSP) deckt hierbei sämtliche Anforderungen hinsichtlich Sichtbarkeit, Governance und Compliance, Computing-Sicherheit, Netzwerkschutz und Identitätssicherheit mit entsprechenden Funktionen ab. Unternehmen sollten sich vor Augen halten, dass es schwierig ist, etwas zu schützen, was nicht sichtbar oder bekannt ist. Daher muss eine CNSP-Lösung neben Containern, Serverless-Implementierungen und CI/CD-Pipelines auch den nötigen Einblick in alle öffentlichen, privaten und hybriden Clouds bieten.

Die strikte Durchsetzung von Cloud-Sicherheitsstandard, wie die vom Center for Internet Security (CIS) erstellten Benchmarks, ist ebenso ratsam. Eine weitere Maßnahme ist der „Shift Left“-Ansatz. Dies bedeutet, Sicherheitsoptionen so früh wie möglich im Entwicklungsprozess in das Projekt zu integrieren, also auch Sicherheitsstandards in IaC-Templates einzubetten. Mit diesen grundlegenden Best Practices und einer Cloud-nativen Sicherheitsplattform sind Fehlkonfigurationen in der Cloud vermeidbar, zugunsten einer deutlich besseren Cloud-Sicherheit.

Über den Autor: Sergej Epp ist CSO für Zentraleuropa bei Palo Alto Networks.

(ID:46639277)