Fachartikel

Mit SIEM die Multi Cloud überwachen

Sicherheit ist ein Dauerthema und bei der Multi Cloud keine einfache Angelegenheit. Ein System für Security Information and Event Management (SIEM) hilft dabei, ungewöhnlichen Datenverkehr und damit potenzielle Sicherheitsvorfälle aufzudecken. Es analysiert alle Datenströme im Netzwerk und triggert einen Alarm, wenn Anomalien auftreten. Der Beitrag zeigt, wie definierte Use Cases und eine angepasste Informationsbasis an Log-Quellen für einen zielführenden SIEM-Einsatz innerhalb von Multi-Cloud-Umgebungen sorgen.
SIEM-Systeme eignen sich auch in Multi-Cloud-Umgebungen als Schutzschild gegen Gefahren.
Die Zunahme von Multi-Cloud-Szenarien steht für den Erfolg dieser Technologie in den letzten Jahren. Unternehmen virtualisieren immer mehr Prozesse und Workloads und verlagern sie in die Cloud. Der parallele und verzahnte Einsatz verschiedener Cloudmodelle und Services hat Vorteile. Aber in Hinblick auf die Sicherheit im täglichen Betrieb birgt die Komplexität der Multi Cloud einige Herausforderungen. Hier gilt es, den Überblick über eine Vielzahl von vernetzten Systemen und Anwendungen zu behalten.

Sicherheit dreht sich hier um Aspekte wie Identity und Access Controls, den Schutz von Workloads, Daten und Netzwerken sowie Compliance-Themen. Um Auffälligkeiten zu entdecken, die auf Sicherheitsvorfälle oder Störungen in diesen Bereichen hindeuten, ist ein SIEM-System ideal. Es analysiert alle Datenströme im Netzwerk und triggert einen Alarm, sobald eine Anomalie auftritt. Ein solches Frühwarnsystem ermöglicht im Ernstfall kurze Reaktionszeiten und eine Auswertung betroffener Systeme. SIEM kommt bereits seit Jahren in Unternehmen zum Einsatz.

Laut einer Erhebung des Branchenverbandes Bitkom verfügt heute gut ein Drittel der Unternehmen in Deutschland über ein SIEM. Mit der fortschreitenden Digitalisierung steigt die Nachfrage, um die notwendige Transparenz für die IT-Sicherheit zu erhalten. Deshalb planen auch weitere 25 Prozent die Einführung eines SIEM. Mit der Cloud ergeben sich daraus allerdings zusätzliche Anforderungen an Einführung und Betrieb.
Datenbasis für SIEM schaffen
Mit dem Einsatz von Cloud Services verändert sich die Gefährdungslage von Unternehmen. Die veränderten Risiken müssen sie beim Betrieb von SIEM-Systemen berücksichtigen. Zwar propagieren einige Cloud Provider das Modell der Shared Responsibility – der geteilten Verantwortung – für die Sicherheit, dennoch gilt es Vorsichtsmaßnahmen zu treffen. Nutzen Unternehmen etwa externe Cloud Repositories auf GitHub, um bestimmte Konfigurationen abzulegen, muss der Cloud Provider dort hinterlegte Login-Daten schützen.

Darauf sollten sich Unternehmen allerdings nicht zwangsläufig allein verlassen. Kommt es etwa zum Diebstahl dieser Login-Daten und ein Internetkrimineller versucht über diese auf den Service des zuzugreifen, schlägt ein SIEM-System beim Unternehmen im Idealfall Alarm. Auslöser dafür wären etwa mit dem üblichen Login-Verhalten nicht übereinstimmendende Parameter wie Tageszeit, Standort oder IP-Adresse. Welche Werte für einen bestimmten Parameter als zulässig gelten, ist vorher durch die IT-Administratoren festzulegen.

Für einen Abgleich von zulässigen und unzulässigen Werten analysiert ein SIEM-System in Echtzeit alle relevanten Daten im Netzwerk (Datenaggregation) und stellt diese in Zusammenhang (Korrelation). Ein SIEM ist daher nur so gut, wie die angebundenen Log-Quellen. Multi-Cloud-Risiken gilt es, durch die Erzeugung von neuen Log Events durch entsprechenden Monitoring-Aktivitäten sichtbar zu machen.

Ein Bespiel für Log Events durch eine fehlerhafte Rechtevergabe auf einem Storage-Bereich innerhalb einer Public Cloud: Ein Angreifer ist in den Besitz eines API Access Key gelangt und versucht auf weitere Systeme in der Cloud zuzugreifen. Es entstehen fehlerhafte API-Aufrufe, die etwa aufgrund von eingeschränkten Rechten für die Aktionen entsprechende Log Events erzeugen. Nicht zuletzt deshalb müssen IT-Administratoren vor allem einen Überblick über die vorhandenen Cloud Accounts und -Instanzen haben, um diese für SIEM aufzubereiten. Im Regelfall sind SIEM-Systeme an Informationsquellen wie Syslogs (Firewall, Switches, Router, Systemlogs, Virenschutz), Netflow-Daten, Asset-Informationen über eine Configuration Management Database (CMDB) sowie Business-Intelligence- und Prozess-Informationen anbindbar.

Je nach Hersteller umfasst ein SIEM auch Agenten, die tiefergehende Informationen der Systeme bereitstellen etwa zum Patch-Stand einer Anwendung oder die CPU-Auslastung. SIEM-Systeme erhalten durch das Einbinden von vielfältigen Log-Quellen eine möglichst breite Informationsbasis. Gleichzeitig gilt hier nicht automatisch "viel hilft viel". Es gibt Logs, die für SIEM nicht relevant sind. Deshalb sollten sich IT-Administratoren vorher genau überlegen, welche Risiken sie mit einem SIEM-System abdecken wollen. Daraus ergeben sich dann die Rahmenbedingungen für einzelne Alarm-Szenarien. Diese werden in Use Cases vorab erfasst und beschrieben.

Seite 1: Datenbasis für SIEM schaffen
Seite 2: Use Cases für den Ernstfall erstellen


Seite 1 von 2 Nächste Seite >>
16.05.2018/ln/Torsten Jensen, Senior Security Consultant bei Nexinto.

Nachrichten

8-TByte-SSD in schlankem Gewand [21.06.2018]

Mit dem Modell 'NF1 SSD' stellt Samsung einen neuen NVMe-Flash-Speicher mit hoher Dichte vor. Insgesamt 8 TByte finden Platz auf dem Speicherriegel, der unter dem Formfaktor 'NGSFF' firmiert und damit nur geringfügig größer ausfällt als M.2-SSDs. [mehr]

Wasserkühlung im Namen des Meeresgottes [21.06.2018]

Lenovo hat unter dem Namen 'Neptune' seinen Ansatz zur ganzheitliche Kühlung von Rechenzentren auf Basis von Flüssigkeit vorgestellt. Der Hersteller setzte auf einen 'Dreizack der Kühltechnologien', der den Rechenzentrumsbetrieb um bis zu 50 Prozent effizienter machen soll. [mehr]

Tipps & Tools

Ruckeln im Legacy-Grafikmodus von XenDesktop beheben [24.06.2018]

Nach einem Update des Acrobat Reader DC auf die Version 17.012.20098 kann es in einer XenDesktop-Session (v7.15) unter Verwendung des Legacy-Grafikmodus zu stockenden Mausbewegungen kommen. Das Problem lässt sich jedoch relativ einfach auf mehrere Arten lösen. [mehr]

Lounge-Atmosphäre mit Glitterlava [23.06.2018]

Wenn Sie für ein Infrastruktur-Update mal wieder länger am Arbeitsplatz verweilen müssen, kann eine gemütliche Lounge-Atmosphäre nicht schaden. Mit der schicken Miniatur-USB-Glitterlampe sorgen Sie nicht nur für Entspannung am Notebook, sondern erhalten auch einen echten Hingucker am Schreibtisch. Von Vorteil ist, dass das Computer-Gadget keine lange Aufwärmzeit benötigt wie der große Bruder mit Wachselementen im Glas. [mehr]

Buchbesprechung

Anzeigen