Suchen

Cloud Penetration Testing Penetrationstests für Cloud-Dienste durchführen

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Unternehmen, die Cloud-Dienste nutzen, sollten auch selbst sicherstellen, dass diese Dienste möglichst sicher sind. Penetrationstests, die Sicherheitslücken schnell entdecken, sind dafür ein probates Mittel. Auch beim Einsatz von Open-Source-Cloud-Lösungen ist es durchaus sinnvoll, mit Pentests für mehr Sicherheit zu sorgen.

Firmen zum Thema

Mit korrekt durchgeführten Sicherheitsanalysen können Unternehmen selbst für mehr Sicherheit beim Einsatz ihrer Cloud-Anwendungen sorgen.
Mit korrekt durchgeführten Sicherheitsanalysen können Unternehmen selbst für mehr Sicherheit beim Einsatz ihrer Cloud-Anwendungen sorgen.
(© BillionPhotos.com - stock.adobe.com)

Natürlich spielt es eine essentielle Rolle, ob Unternehmen die eigene Cloud-Infrastruktur auf Sicherheitslücken testen, oder eine öffentliche Cloud nutzen. Cloud-Provider wie Microsoft, Google oder Amazon führen regelmäßig eigene Tests durch. Wollen Unternehmen öffentliche Cloud-Infrastrukturen, die sie gebucht haben, auf Sicherheitslücken hin überprüfen, sollte vorher der Vorgang genau mit dem jeweiligen Cloud-Provider kommuniziert werden. Denn auch Penetrationstests stellen Angriffe dar, die beim Provider wiederum Gegenmaßnahmen auslösen. Diese sollten zuvor also genau abgesprochen werden.

Betreiben Unternehmen eine eigene, private Cloud, kann natürlich alles getestet werden, was auch im internen Rechenzentrum getestet werden kann. Das ist der Vorteil beim Betrieb einer eigenen Cloud-Umgebung. Der Nachteil besteht dafür darin, dass Unternehmen selbst für die Sicherheit sorgen müssen. Aus diesem Grund sind Penetrationstests beim Einsatz eigener Cloud-Umgebungen in jedem Fall anzuraten.

Bildergalerie
Bildergalerie mit 6 Bildern

IaaS, SaaS und PaaS unterscheiden

Wollen Unternehmen eine SaaS-Umgebung testen, also Software-as-a-Service, muss vorsichtig vorgegangen werden. Denn in diesen Umgebungen besteht keine Hoheit auf die darunterliegende Server-Infrastruktur, sondern lediglich auf die Software, die gebucht wird. So ist zum Beispiel Office 365 ein SaaS-Dienst. Tests gegen die Server von Office 365 beeinflussen auch andere Abonnenten.

Buchen Unternehmen wiederum IaaS-Dienste, können die einzelnen Objekte im Abonnement durchaus getestet werden. Allerdings sollte auch hier Rücksprache mit dem Cloud-Provider genommen werden. Auch bei PaaS sollte überprüft werden, welche Tests erlaubt sind. Hier spielt zum Beispiel das Patchmanagement der zu Grunde liegenden Server eine wichtige Rolle. Auch die Sicherheitsrichtlinien der Basis-Server und unter Umständen auch die Maßnahmen, die bereits zum Härten der Betriebssysteme durchgeführt wurden, spielen eine wichtige Rolle.

Beim Einsatz kompletter PaaS-Umgebungen ist die Absicherung der Plattform besonders wichtig. Hier muss abgeklärt werden, wer für die Absicherung der Server verantwortlich ist. Das sieht beim Einsatz von SaaS anders aus, da hier der Anbieter für die Sicherheit sorgt. Auch bei IaaS-Umgebungen sollte geklärt werden, inwieweit der Kunde selbst auf die Sicherheit der Server Einfluss nehmen kann und soll, und diese auch entsprechend testen muss.

Zusammenfassend lässt sich also festhalten, dass beim Buchen von IaaS und PaaS der größte Einfluss auf die Sicherheit besteht, und Penetrationstests sehr umfangreich ausgeführt werden sollten und können. Aber auch hier muss vorher eine Kommunikation mit dem Provider stattfinden, um sicherzustellen, dass nicht gegen die Richtlinien oder AGB verstoßen wird.

Penetrationstests beim Provider anfragen

Buchen Unternehmen Saas-Dienste oder eine IaaS-Infrastruktur, bei der nicht komplett klar ist, wer die Sicherheits-Tests durchführt, sollte klargestellt sein, dass die wichtigsten Penetrationstests durchgeführt wurden. Hier spielt OWASP eine wichtige Rolle. Können Unternehmen nicht selbst die bekanntesten Sicherheitslücken überprüfen, sollte der Provider das getan haben und das Ergebnis zur Verfügung stellen.

In den meisten Fällen beschäftigen Cloud-Anbieter eigene Teams für das Penetration-Testing. Wenn ein Unternehmen eigenen Tests durchführen will, sollte die Kommunikation mit dem Cloud-Anbieter gesucht werden, idealerweise zum internen Pentesting-Team. Ist das nicht möglich, muss dennoch abgeklärt werden, ob eigene Tests durchgeführt werden dürfen, und wenn ja welches das sind. Denn Penetrationstests können einen Cloud-Server lahmlegen, da interne Sicherheitsmechanismen diesen vom Netz nehmen können, wenn Penetrationstests den Anschein erwecken echte Angriffe zu sein. Manche Anbieter wie zum Beispiel Amazon, bietet die Möglichkeit Penetrationstests anzufragen.

Lösungen für das Durchführen von Penetrationstests für Cloud-Anwendungen

Im Grunde genommen unterscheiden sich Penetrationstests für lokale Serveranwendungen nicht vom Testen von Cloudlösungen. Hier stehen auch verschiedene kostenlose oder zumindest kostengünstige Lösungen zur Verfügung. Die bekannte Sicherheits-Linux-Distribution Kali bietet dafür einige Ansätze. Kali können Administratoren im Internet als ISO-Datei herunterladen. Hier stehen verschiedene Editionen zur Verfügung, auch für 32-Bit, 64-Bit und ARM.

Über das Menü „Applications\Kali Linux“ sind die Tools zu finden, mit denen sich Netzwerke und Server auf Sicherheitslücken hin testen lassen. Über die einzelnen Menüs im Bereich Applications\Kali Linux lassen sich weitere Tools starten um Netzwerke zu überprüfen. Eines der bekanntesten Sicherheitstools in Kali ist OpenVAS. Dieses wird über „Applications\Kali Linux\Vulnerability Analysis“ gestartet. Mit der kostenlosen Live-DVD Fedora Security Lab können ebenfalls Penetrationstests im Netzwerk und der Cloud durchgeführt werden.

Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP) und OpenVAS

Zed Attack Proxy Project ist ein weiteres Tool, das in der Lage ist Webanwendungen auf Sicherheitslücken zu testen. Das Tool ist auch in der Lage Cloud-Anwendungen auf Sicherheitslücken hin zu überprüfen . Das Tool gehört zum OpenSource-Projekt „Open Web Application Security Project (OWASP)“.

OpenVAS ist eine Software zu Analyse von Sicherheitslücken im Netzwerk. Die Sicherheitslösung kann ebenfalls über Kali-Linux verwendet werden. Dadurch erhalten Administratoren sehr schnell eine Lösung, um Penetrationstests durchzuführen.

Fazit

Penetrationstests sind für Cloud-Anwendungen genauso unerlässlich, wie für lokal betriebene Anwendungen, die im Internet zur Verfügung stehen. Bei Penetrationstests für die Cloud müssen Unternehmen aber zwischen dem Betrieb von privaten Cloud und öffentlichen Clouds unterscheiden. Wird auf öffentliche Clouds von Cloud Service Providern (CSP) wie Microsoft, Amazon oder Google gesetzt, muss weiterhin unterschieden werden, ob IaaS, SaaS, oder PaaS zum Einsatz kommen.

Außerdem muss mit dem CSP abgesprochen werden, was getestet werden darf, und wann die Tests durchgeführt werden. Auf jeden Fall sollten keine Penetrationstests durchgeführt werden, ohne mit dem CSP Kontakt aufzubauen. Denn Penetrationstests können leicht als Angriffe ausgelegt werden, die beim Provider wiederum Gegenmaßnahmen auslösen.

Sobald klar ist, was getestet werden soll, und wann das passieren soll, können verschiedene Tools zum Einsatz kommen. In vielen Fällen reichen OpenSource-Tools wie OpenVAS oder Zed Attack Proxy Project aus.

(ID:45262341)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist