Cloud Penetration Testing

Penetrationstests für Cloud-Dienste durchführen

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit korrekt durchgeführten Sicherheitsanalysen können Unternehmen selbst für mehr Sicherheit beim Einsatz ihrer Cloud-Anwendungen sorgen.
Mit korrekt durchgeführten Sicherheitsanalysen können Unternehmen selbst für mehr Sicherheit beim Einsatz ihrer Cloud-Anwendungen sorgen. (© BillionPhotos.com - stock.adobe.com)

Unternehmen, die Cloud-Dienste nutzen, sollten auch selbst sicherstellen, dass diese Dienste möglichst sicher sind. Penetrationstests, die Sicherheitslücken schnell entdecken, sind dafür ein probates Mittel. Auch beim Einsatz von Open-Source-Cloud-Lösungen ist es durchaus sinnvoll, mit Pentests für mehr Sicherheit zu sorgen.

Natürlich spielt es eine essentielle Rolle, ob Unternehmen die eigene Cloud-Infrastruktur auf Sicherheitslücken testen, oder eine öffentliche Cloud nutzen. Cloud-Provider wie Microsoft, Google oder Amazon führen regelmäßig eigene Tests durch. Wollen Unternehmen öffentliche Cloud-Infrastrukturen, die sie gebucht haben, auf Sicherheitslücken hin überprüfen, sollte vorher der Vorgang genau mit dem jeweiligen Cloud-Provider kommuniziert werden. Denn auch Penetrationstests stellen Angriffe dar, die beim Provider wiederum Gegenmaßnahmen auslösen. Diese sollten zuvor also genau abgesprochen werden.

Betreiben Unternehmen eine eigene, private Cloud, kann natürlich alles getestet werden, was auch im internen Rechenzentrum getestet werden kann. Das ist der Vorteil beim Betrieb einer eigenen Cloud-Umgebung. Der Nachteil besteht dafür darin, dass Unternehmen selbst für die Sicherheit sorgen müssen. Aus diesem Grund sind Penetrationstests beim Einsatz eigener Cloud-Umgebungen in jedem Fall anzuraten.

IaaS, SaaS und PaaS unterscheiden

Wollen Unternehmen eine SaaS-Umgebung testen, also Software-as-a-Service, muss vorsichtig vorgegangen werden. Denn in diesen Umgebungen besteht keine Hoheit auf die darunterliegende Server-Infrastruktur, sondern lediglich auf die Software, die gebucht wird. So ist zum Beispiel Office 365 ein SaaS-Dienst. Tests gegen die Server von Office 365 beeinflussen auch andere Abonnenten.

Buchen Unternehmen wiederum IaaS-Dienste, können die einzelnen Objekte im Abonnement durchaus getestet werden. Allerdings sollte auch hier Rücksprache mit dem Cloud-Provider genommen werden. Auch bei PaaS sollte überprüft werden, welche Tests erlaubt sind. Hier spielt zum Beispiel das Patchmanagement der zu Grunde liegenden Server eine wichtige Rolle. Auch die Sicherheitsrichtlinien der Basis-Server und unter Umständen auch die Maßnahmen, die bereits zum Härten der Betriebssysteme durchgeführt wurden, spielen eine wichtige Rolle.

Beim Einsatz kompletter PaaS-Umgebungen ist die Absicherung der Plattform besonders wichtig. Hier muss abgeklärt werden, wer für die Absicherung der Server verantwortlich ist. Das sieht beim Einsatz von SaaS anders aus, da hier der Anbieter für die Sicherheit sorgt. Auch bei IaaS-Umgebungen sollte geklärt werden, inwieweit der Kunde selbst auf die Sicherheit der Server Einfluss nehmen kann und soll, und diese auch entsprechend testen muss.

Zusammenfassend lässt sich also festhalten, dass beim Buchen von IaaS und PaaS der größte Einfluss auf die Sicherheit besteht, und Penetrationstests sehr umfangreich ausgeführt werden sollten und können. Aber auch hier muss vorher eine Kommunikation mit dem Provider stattfinden, um sicherzustellen, dass nicht gegen die Richtlinien oder AGB verstoßen wird.

Penetrationstests beim Provider anfragen

Buchen Unternehmen Saas-Dienste oder eine IaaS-Infrastruktur, bei der nicht komplett klar ist, wer die Sicherheits-Tests durchführt, sollte klargestellt sein, dass die wichtigsten Penetrationstests durchgeführt wurden. Hier spielt OWASP eine wichtige Rolle. Können Unternehmen nicht selbst die bekanntesten Sicherheitslücken überprüfen, sollte der Provider das getan haben und das Ergebnis zur Verfügung stellen.

In den meisten Fällen beschäftigen Cloud-Anbieter eigene Teams für das Penetration-Testing. Wenn ein Unternehmen eigenen Tests durchführen will, sollte die Kommunikation mit dem Cloud-Anbieter gesucht werden, idealerweise zum internen Pentesting-Team. Ist das nicht möglich, muss dennoch abgeklärt werden, ob eigene Tests durchgeführt werden dürfen, und wenn ja welches das sind. Denn Penetrationstests können einen Cloud-Server lahmlegen, da interne Sicherheitsmechanismen diesen vom Netz nehmen können, wenn Penetrationstests den Anschein erwecken echte Angriffe zu sein. Manche Anbieter wie zum Beispiel Amazon, bietet die Möglichkeit Penetrationstests anzufragen.

Lösungen für das Durchführen von Penetrationstests für Cloud-Anwendungen

Im Grunde genommen unterscheiden sich Penetrationstests für lokale Serveranwendungen nicht vom Testen von Cloudlösungen. Hier stehen auch verschiedene kostenlose oder zumindest kostengünstige Lösungen zur Verfügung. Die bekannte Sicherheits-Linux-Distribution Kali bietet dafür einige Ansätze. Kali können Administratoren im Internet als ISO-Datei herunterladen. Hier stehen verschiedene Editionen zur Verfügung, auch für 32-Bit, 64-Bit und ARM.

Kali Linux installieren und Hacking-Lab aufsetzen

Kali Linux Workshop, Teil 1

Kali Linux installieren und Hacking-Lab aufsetzen

20.04.18 - Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. lesen

Über das Menü „Applications\Kali Linux“ sind die Tools zu finden, mit denen sich Netzwerke und Server auf Sicherheitslücken hin testen lassen. Über die einzelnen Menüs im Bereich Applications\Kali Linux lassen sich weitere Tools starten um Netzwerke zu überprüfen. Eines der bekanntesten Sicherheitstools in Kali ist OpenVAS. Dieses wird über „Applications\Kali Linux\Vulnerability Analysis“ gestartet. Mit der kostenlosen Live-DVD Fedora Security Lab können ebenfalls Penetrationstests im Netzwerk und der Cloud durchgeführt werden.

Hochsichere Linux-Distributionen im Überblick

Qubes OS, Tails, Whonix und Co.

Hochsichere Linux-Distributionen im Überblick

24.04.18 - Linux gilt als sehr sicheres Betriebssystem, aber manchmal gibt es Einsatzgebiete, für die es ein noch sichereres System braucht. Wer vertraulich arbeiten und kommunizieren muss, oder die Sicherheit des eigenen Netzwerks überwachen will, greift zu speziellen Linux-Distributionen wie z.B. Qubes OS, Tails oder Whonix. Wir stellen einige der bekanntesten und besten Distributionen in diesem Bereich vor. lesen

Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP) und OpenVAS

Zed Attack Proxy Project ist ein weiteres Tool, das in der Lage ist Webanwendungen auf Sicherheitslücken zu testen. Das Tool ist auch in der Lage Cloud-Anwendungen auf Sicherheitslücken hin zu überprüfen . Das Tool gehört zum OpenSource-Projekt „Open Web Application Security Project (OWASP)“.

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

Tool-Tipp: OWASP Zed Attack Proxy (ZAP)

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

10.07.18 - Administratoren oder Entwickler, die Webanwendungen betreiben, kämpfen ständig mit Sicherheitslücken. Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiert Web-Apps auf Sicherheitslücken zu überprüfen und Angriffe durchzuführen. lesen

OpenVAS ist eine Software zu Analyse von Sicherheitslücken im Netzwerk. Die Sicherheitslösung kann ebenfalls über Kali-Linux verwendet werden. Dadurch erhalten Administratoren sehr schnell eine Lösung, um Penetrationstests durchzuführen.

Mit OpenVAS Schwachstellen im Netzwerk finden

Tool-Tipp: OpenVAS

Mit OpenVAS Schwachstellen im Netzwerk finden

23.05.17 - Mit OpenVAS können Administratoren für mehr Sicherheit in ihrem Netzwerk sorgen. Die Open-Source-Software durchsucht Netzwerke nach Sicherheitslücken und zeigt diese übersichtlich in Berichten an. So lassen sich unsichere Netzwerke recht schnell absichern. Dank einer eigenen Benutzerverwaltung kann man auch in großen Umgebungen effizient nach Schwachstellen suchen. lesen

Fazit

Penetrationstests sind für Cloud-Anwendungen genauso unerlässlich, wie für lokal betriebene Anwendungen, die im Internet zur Verfügung stehen. Bei Penetrationstests für die Cloud müssen Unternehmen aber zwischen dem Betrieb von privaten Cloud und öffentlichen Clouds unterscheiden. Wird auf öffentliche Clouds von Cloud Service Providern (CSP) wie Microsoft, Amazon oder Google gesetzt, muss weiterhin unterschieden werden, ob IaaS, SaaS, oder PaaS zum Einsatz kommen.

Außerdem muss mit dem CSP abgesprochen werden, was getestet werden darf, und wann die Tests durchgeführt werden. Auf jeden Fall sollten keine Penetrationstests durchgeführt werden, ohne mit dem CSP Kontakt aufzubauen. Denn Penetrationstests können leicht als Angriffe ausgelegt werden, die beim Provider wiederum Gegenmaßnahmen auslösen.

Sobald klar ist, was getestet werden soll, und wann das passieren soll, können verschiedene Tools zum Einsatz kommen. In vielen Fällen reichen OpenSource-Tools wie OpenVAS oder Zed Attack Proxy Project aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45262341 / Security-Testing)