Cloud-Computing Risk-Management für die Cloud entwickeln

Anbieter zum Thema

Arvato Systems

SEPPmail - Deutschland GmbH

Keeper Security EMEA Ltd.

Kein Cloud-Service-Provider (CSP) kann absolute Sicherheiten in der Cloud gewährleisten. Ein Teil der Verantwortung obliegt jedoch immer auch bei den Anwendern. Für ein höchstes Maß an Cloud-Sicherheit bieten sich Best Practices sowie mehrschichtige Sicherheitsansätze an.

Mithilfe des Cloud Computing konnten viele Unternehmen und Anwender bereits die Effizienz ihrer Abläufe verbessern und gleichzeitig IT-Kosten senken. Obwohl Cloud-Computing-Modelle im Vergleich zu On-Site-Modellen viele Vorteile bieten, sind sie dennoch anfällig für Angriffe von innen und außen. Daher müssen Cloud-Entwickler und Anwender Maßnahmen ergreifen, um die sensiblen Daten vor Hacker-Angriffen zu schützen.

Schwachstellen in Cloud-Umgebungen

Einige der häufigsten Problemfelder sind hier in der Folge zusammengestellt:

Fehlkonfigurationen

Cloud Service Provider (CSP) bieten unterschiedliche Service-Ebenen, je nachdem wie viel Kontrolle ein Unternehmen über seine Cloud-Bereitstellung benötigt. Diese Angebote umfassen im Wesentlichen Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Die Anwender müssen diese Bereitstellungen entsprechend ihren Anforderungen konfigurieren, um dadurch eine robustere IT-Security zu erhalten.

Da viele Unternehmen mit der Absicherung von Cloud-Infrastrukturen nicht unbedingt in der Tiefe vertraut sind, oft mehrere Cloud-Services vorhalten und jede Cloud über andere Sicherheitskontrollen des Anbieters verfügt, ist es leicht möglich, dass eine Fehlkonfiguration oder ein Sicherheitsversehen die Cloud-basierten Ressourcen eines Unternehmens angreifbar macht. Hinzu kommt, dass Fehlkonfigurationen in Cloud-Einstellungen die Auswirkungen eines Angriffs durch die hohe Skalierbarkeit dieser Umgebungen und der Menge der zur Verfügung stehenden Services noch vervielfachen können.

API-Schnittstellen

APIs und ähnliche Schnittstellen können Defizite aufweisen, die unter anderem auf Fehlkonfigurationen, Mängel in der Codierung oder fehlende Authentifizierung bzw. Autorisierung zurückzuführen sind. Solche Versäumnisse bieten dann ideale Ziele für Hacker-Attacken. Diese Angriffsflächen, die APIs dadurch bieten, sollten daher von den Anwendern unbedingt kontinuierlich überwacht werden. Herkömmliche Kontroll- und Änderungsmanagement-Richtlinien und -Ansätze müssen stets aktualisiert werden, um mit dem Wachstum und den Veränderungen von Cloud-basierten APIs Schritt zu halten.

Identity and Access Management (IAM)

Der häufigste Grund für Sicherheitsvorfälle in der Cloud liegt im Bereich des Identity and Access Management (IAM), da Unternehmen zunehmend auf Cloud-basierte Infrastrukturen und Anwendungen für zentrale Geschäftsfunktionen angewiesen sind. Mit den Anmeldedaten eines Mitarbeiters kann ein Hacker auf sensible Daten oder Funktionen zugreifen, und die volle Kontrolle über ein Online-Konto erhalten.

Bei vielen Anwendern ist leider immer noch die Sicherheit von Passwörtern zu schwach ausgeprägt, einschließlich der Wiederverwendung und der Verwendung von schwachen Passwörtern. Dieses Problem verschlimmert die Auswirkungen von Phishing-Angriffen und Datenschutzverletzungen, da ein einziges gestohlenes Passwort dann gleich für mehrere verschiedene Konten verwendet werden kann.

Logging und Monitoring

Für die Sicherheit einer Cloud-Umgebung spielen wie bei On-Premise-Umgebungen Logging und Monitoring eine ebenso wichtige Rolle. In der Praxis werden diese Sicherheitsvorkehrungen in Cloud-Umgebungen jedoch häufig nicht ausreichend oder nicht rechtzeitig genug umgesetzt. Viele Anwender fokussieren sich zunächst darauf, den Betrieb ihrer Applikationen in der Cloud überhaupt erst zu ermöglichen und ihre Funktionalität sicherzustellen. Sicherheitsmaßnahmen wie beispielsweise Logging oder Monitoring werden aufgrund der meist vorherrschenden Kapazitätsmangel aufgeschoben oder geraten sogar völlig in Vergessenheit.

Schutzmaßnahmen gegen Cloud-Angriffe

Dynamische Cloud-Services brechen mit dem traditionellen Sicherheitsmodell, das für On-Site-Software verwendet wird. In der Folge sind einige wichtige Schutzmaßnahmen gegen Hacker-Attacken skizziert:

Sichere APIs und Zugriff

Cloud-Entwickler sollten sicherstellen, dass Clients nur über sichere APIs auf die Anwendung zugreifen können. Dazu kann es erforderlich sein, den Bereich der IP-Adressen einzuschränken oder den Zugriff nur über Unternehmensnetzwerke oder VPNs bereitzustellen. Dieser Ansatz kann jedoch für öffentlich zugängliche Anwendungen nicht immer Anwendung finden. Stattdessen können Sicherheitsmaßnahmen über eine API mit speziellen Skripten, Vorlagen und Rezepten implementiert werden. Man könnte sogar noch weitergehen und den Sicherheitsschutz in die API integrieren.

Sicherheitsrichtlinien verbessern

Bei der Bereitstellung von Cloud-Services sollten die Anbieter den Umfang ihrer Verantwortung für den Schutz von User-Daten und Prozessen in der Cloud in den Sicherheitsrichtlinien einschränken. Der Anwender ist darauf hinzuweisen, welche Sicherheitsmaßnahmen er seinerseits ergreifen muss.

Zugriffsverwaltung implementieren

Für die Optimierung der Sicherheit von Services, sollten Cloud-Anbieter den Anwendern erlauben, rollenbasierte Berechtigungen verschiedenen Administratoren zuzuweisen, damit die User nur über die ihnen zugewiesenen Funktionen verfügen können. Darüber hinaus sollte die Cloud-Orchestrierung es privilegierten Usern ermöglichen, den Umfang der Berechtigungen anderer User entsprechend ihren Aufgaben im Unternehmen festzulegen.

Authentifizierung optimieren

Das Stehlen von Passwörtern ist die häufigste Methode, um auf die Daten und Services von Usern in der Cloud zuzugreifen. Daher sollten Cloud-Entwickler eine starke Authentifizierung bzw. Identitätsverwaltung wie beispielsweise eine Multi-Faktor-Authentifizierung einrichten. Es gibt verschiedene Tools, die sowohl statische Passwörter als auch dynamische Passwörter erfordern. Letztere bestätigen die Anmeldeinformationen eines Users, indem ein Einmalpasswort auf einem Handy bereitgestellt oder biometrische Schemata bzw. Hardware-Token verwendet werden.

Daten verschlüsseln

Daten in einer Cloud-Umgebung müssen in allen Phasen ihrer Übertragung und Speicherung verschlüsselt werden:

• an der Quelle (Userseite)

• während der Übertragung (Übertragung vom User zum Cloud-Server)

• im Ruhezustand (Cloud-Datenbank)

Daten sollten verschlüsselt werden, noch bevor sie in die Cloud gelangen. Moderne Datenverschlüsselungs- und Tokenisierungs-Technologien sind eine wirksame Verteidigung gegen Konto-Hijacking. Darüber hinaus ist es von Bedeutung, eine End-to-End-Verschlüsselung nachzuweisen, um Daten während der Übertragung vor Man-in-the-Middle-Angriffen zu schützen. Die Verwendung starker Verschlüsselungs-Algorithmen, die Salt und Hashes enthalten, kann Cyber-Angriffe effektiv abwehren.

(ID:49223201)