Cloud Security Public Cloud-Umgebungen richtig absichern
Unberechtigte Zugriffe, unsichere Schnittstellen und Fehlkonfigurationen: Das sind laut einer aktuellen Umfrage die drei größten Sicherheitsrisiken in der Public Cloud. Sie in den Griff zu bekommen, ist komplex – wie unter anderem ein Datenschutzvorfall bei Facebook zeigt. Es gibt einige wichtige Sicherheitsmaßnahmen, die Unternehmen treffen sollten.
Anbieter zum Thema

Im vergangenen September stand wieder einmal eine große Social-Media-Plattform wegen einer Datenschutzverletzung in der Kritik: Ein IT-Sicherheitsexperte hatte entdeckt, dass die Telefonnummern von etwa 420 Millionen Facebook-Anwendern öffentlich im Internet zugänglich waren. Das Gefährliche daran: Kriminelle könnten mit den Telefonnummern die Passwörter von Facebook-Nutzern zurücksetzen und Accounts kapern. Wie es dazu kam, dass die Daten öffentlich zugänglich waren, ist bisher nicht geklärt. Hinweise auf einen Hackerangriff gab es offensichtlich keine. Vermutlich liegt dem Vorfall schlichtweg eine Fehlkonfiguration zu Grunde, sodass die Daten nicht nur intern für befugte Nutzer, sondern öffentlich erreichbar waren. Nicht umsonst zählen Fehlkonfigurationen zu den Top-Drei-Sicherheitsbedrohungen in Public Clouds, so der Check Point Cloud Security Report 2019. 40 Prozent der befragten Unternehmen sehen diese als größte Gefahr, neben unsicheren Schnittstellen (42 Prozent) und unberechtigten Zugriffen (42 Prozent).
Wer ist wofür verantwortlich?
Genau wie Facebook stehen viele Unternehmen vor der Herausforderung, ihre Cloud-Umgebungen richtig abzusichern. Dabei müssen sie sich zunächst bewusst machen, für welche Bereiche sie selbst verantwortlich sind. Grundsätzlich gilt für die Public Cloud das Shared-Responsibility-Modell. Demnach kümmert sich der Cloud Provider um die Sicherheit der Cloud an sich – je nach gebuchtem Service also um die Cloud Infrastruktur bei IaaS, die Plattform (PaaS) oder die Anwendung (SaaS). Alles, was der Kunde jedoch in der Cloud macht, liegt in seiner eigenen Verantwortung. Er muss also zum Beispiel selbst dafür sorgen, dass seine Daten verschlüsselt sind und nur befugte Personen Zugriff haben. Bei IaaS ist er auch für die Absicherung seiner Plattformen, Applikationen und Betriebssysteme, die er in der Cloud betreibt, selbst zuständig. Er muss sie sicher konfigurieren und Patches einspielen.
Herausforderungen für IT-Administratoren
Cloud-Umgebungen richtig zu schützen ist alles andere als trivial. Denn Administratoren müssen sich mit einer komplexen IT-Landschaft auseinandersetzen, die neben On-Premises-Infrastruktur auch viele verschiedene Systeme umfasst, die sie nicht unter eigener Kontrolle haben. Zudem setzen Unternehmen oft Public Cloud Services von verschiedenen Providern ein, die jeweils unterschiedliche Administrationsportale haben. Sich auf jedem einzelnen gut auszukennen ist aufwendig. Dadurch kann es leicht einmal passieren, dass man eine wichtige Einstellung übersieht und Daten nicht richtig geschützt sind. Hinzu kommt, dass IT-Verantwortliche auch alle Zugriffswege auf die Cloud berücksichtigen müssen – sei es eine Webplattform oder APIs, über die andere Anwendungen an die Cloud angebunden sind. All diese Schnittstellen müssen sicher konfiguriert sein. Zudem ist zwischen SaaS und Endpoint meist keine Absicherung möglich. Daher kommen Daten, die in der Cloud liegen, häufig ungefiltert bis auf den Client und können erst dort wieder analysiert werden. Auch dafür muss der Administrator Sorge tragen.
Bei Public Cloud Services sind viele Konfigurationsschritte durchzuführen – genau wie bei On-Premises-Systemen. Doch während für die lokale Infrastruktur in der Regel verschiedene, spezialisierte Teams zuständig sind, muss sich das Cloud-Team meist um alle Bereiche selbst kümmern – ob Webtraffic oder die E-Mail-Kette. Kaum jemand verfügt über tiefes Fachwissen in allen geforderten Gebieten. Auch dadurch passieren schnell einmal Fehler mit weitreichenden Folgen. Es gilt trotzdem, dieselben Anforderungen wie für On-Premises Security auch in der Public Cloud zu erfüllen. Für Office 365 bedeutet das beispielsweise, geeignete Anti-Spam-, Verschlüsselungs-, Sandboxing- und Antivirus-Lösungen zu implementieren.
Fehlkonfigurationen vermeiden
Um das Risiko für Fehlkonfigurationen in den Griff zu bekommen, müssen sich Cloud-Teams zunächst einmal einen Überblick über alle im Unternehmen eingesetzten Public Cloud Services verschaffen. Oft gibt es hier einen großen Anteil an Schatten-IT, was die Absicherung erschwert. Hilfreich ist der Einsatz eines Cloud Access Security Brokers (CASB) wie Dome9 von Check Point oder Mvision Cloud von McAfee/Skyhigh Networks. Axians hat als erster ICT-Systemintegrator Erfahrung mit der Einführung von Dome9 in Deutschland gesammelt. Solche auf Cloud Security spezialisierten Sicherheitslösungen scannen alle Public Cloud Services im Unternehmen. Sie machen die Cloud-Umgebung transparent und zeigen genau, welcher Dienst von wo erreichbar ist und mit wem er kommuniziert. Außerdem prüfen sie die Konfiguration und geben Warnmeldungen aus, falls Einstellungen von Best Practices abweichen. Dome9 bietet zudem eine zentrale Administrationskonsole, um Sicherheitsrichtlinien in verschiedenen Public Cloud Services wie AWS, Azure und Google Cloud Platform zu konfigurieren und durchzusetzen. Das reduziert Komplexität und erleichtert es Administratoren erheblich, für ein hohes Sicherheitsniveau zu sorgen.
Schutz vor unberechtigtem Zugriff
Ein noch größeres Risiko als Fehlkonfigurationen sind laut der Check-Point-Studie unberechtigte Zugriffe. Kein Wunder, denn Cloud Services sind von überall erreichbar. Sicherzustellen, dass sich nur befugte Nutzer anmelden, ist daher essenziell, gleichzeitig aber auch schwieriger als bei On-Premises-Systemen. So kann man im eigenen Netzwerk zum Beispiel Zugangskontrollen umsetzen, indem man Anwender anhand von IP-Adressen identifiziert und filtert. Nur der Nutzer, der von einer bestimmten IP-Adresse kommt, hat dann überhaupt Zugriff. In der Cloud funktioniert dies nicht, da man Anwender keinen bestimmen IP-Adressen zuordnen kann. Nur Zugriffe per VPN oder von der IP-Adresse der eigenen Firma zuzulassen, wäre zwar möglich, ist aber meist nicht praktikabel. Eine einfache Authentifizierung des Nutzers mit Login-Name und Passwort bietet nur unzureichende Sicherheit. Denn Kriminellen gelingt es immer wieder, Account-Daten zu stehlen – sei es per Phishing oder Social Engineering. Trickreiche Hacker machen sich sogar die Mühe, Login-Seiten täuschend echt nachzubauen und Nutzer dorthin zu leiten. Für Laien ist es meist nicht möglich, diesen Betrug zu erkennen. Auf diese Weise können die Gauner in großem Stil Anmeldedaten kapern.
Um die Nutzer-Identifikation sicherer zu machen, empfiehlt es sich daher, eine Zwei-Faktor-Authentifizierung einzusetzen, zum Beispiel mit einem zusätzlichen Einmal-Passwort oder einem Zertifikat. Ein weiterer Schutzmechanismus ist die Auswertung von Geo-Informationen, also von wo sich ein Nutzer versucht einzuloggen. Kombiniert mit Threat Intelligence lassen sich auf diese Weise verdächtige Zugriffe herausfiltern und blockieren. Ein CASB kann solche Schutzmechanismen auf Public Cloud Services anwenden, indem er eine zusätzliche Authentifizierungs-Ebene vorschaltet.
Fazit
Mit ihrer Flexibilität und Skalierbarkeit fördern Public Cloud Services die Digitalisierung. Daher ist davon auszugehen, dass Unternehmen immer mehr Workloads dorthin auslagern. Parallel dazu setzen sie auch weiterhin On-Premises-Systeme und Private Clouds ein, sodass komplexe IT-Landschaften entstehen. Um für Sicherheit zu sorgen, empfiehlt es sich, spezialisierte Sicherheitslösungen für Public Cloud Services einzusetzen, die die Komplexität reduzieren. Cloud Teams müssen zudem Know-how in allen Bereichen der Cloud Security aufbauen. Ein spezialisierter Dienstleister kann dabei helfen.
Über den Autor: Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security.
(ID:46323951)