Fachartikel

Selbstgemachte Cloudlücken vermeiden

Immer mehr Unternehmen erkennen, dass Geschwindigkeit und Agilität von Clouddiensten mit Risiken verbunden sind. Das liegt auch am Modell der geteilten Verantwortung, bei dem Cloudanbieter die Infrastruktur absichern, der Kunde aber alles, was darauf läuft, einschließlich der Daten. Der Fachartikel zeigt praktische Schritte für Unternehmen auf, um ihre Mitarbeiter, Prozesse und Technologien für die Cloud fit zu machen und warum auf Machine Learning basierende Analysetechnologien hier einen echten Mehrwert bieten können.
Um Schaden zu vermeiden, gilt es besonders in der Cloud, gängige Sicherheitslücken zu vermeiden.
Da Unternehmen immer mehr Anwendungen und Daten in die Cloud migrieren, rücken die Herausforderungen bei der Verwaltung und beim Schutz dieser globalen Off-Premises-Ressourcen in den Mittelpunkt. Die größte Herausforderung für Organisationen stellt das Modell der geteilten Verantwortung sowie die Schaffung des dafür nötigen Verständnisses dar. Denn im Rahmen dieses Modells sind die Cloudanbieter für die Sicherheit der Cloud verantwortlich (Speicher, Vernetzung, globale Infrastruktur et cetera), während die Cloudkunden für die Sicherheit der von ihnen in die Cloud gestellten Anwendungen und Dateien zuständig sind.

Das Modell der geteilten Verantwortung sieht also vor, dass der Cloudanbieter seine Infrastruktur regelmäßig aktualisiert, bereinigt, sichert und Fehler behebt, während der Cloudkunde für den Schutz all dessen verantwortlich ist, was er selbst über die Cloudinfrastruktur betreibt, etwa Anwendungen und Datenspeicherung.

Neue Sicherheitsparadigmen bringen neue Herausforderungen
Traditionelle – und zunehmend veraltete – Sicherheitskonzepte basieren darauf, dass die Anwendungs- und Datensicherheit gleichzeitig die unterstützende Infrastruktur schützen. Für die Abwehr von Bedrohungen und den Schutz sensibler Daten sorgt ein sogenannter Perimeterschutz. In der Cloud existiert ein solcher Schutzwall jedoch nicht, und die Spezialisten, die die Infrastruktur schützen, haben kein Interesse an ihren Inhalten.

Die Cloud als Infrastruktur selbst ist sehr sicher. Cloudprovider wissen, dass davon ihr Geschäft und ihr Ruf abhängen, und haben deshalb ein ureigenes Interesse daran, dass das auch so bleibt. Doch innerhalb der Cloud haben sich die Anwendungs- und Datensicherheit als kompliziert erwiesen, wobei ein überraschend großer Anteil der Schäden selbst verschuldet ist. Im Jahr 2019 erreichten sowohl die Zahl der veröffentlichten Daten-Leaks als auch die der kompromittierten Erhebungen ein Allzeithoch.

Bemerkenswert daran: Während böswillige Akteure für die größte Anzahl von Verstößen verantwortlich waren, gelangen auch immer mehr Datensätze durch unabsichtlich falsch konfigurierte Clouddienste und -portale ins Internet. Im Jahr 2018 waren etwa fast 50 Prozent der gefährdeten Daten auf Fehlkonfigurationen zurückzuführen. Eine echte Verbesserung ist nicht in Sicht. Gartner stellt fest, dass bis 2022 der Kunde an mindestens 95 Prozent der Vorfälle in Bezug auf die Cloudsicherheit selbst Schuld haben wird.

Das ist kein Wunder, denn laut einem Bericht von McAfee werden 99 Prozent aller Fehlkonfigurationen in der Public Cloud überhaupt nicht gemeldet. Zwar führt nicht jede Fehlkonfiguration auch zu einer Verletzung der Datensicherheit, es veranschaulicht jedoch, warum so viele Datensätze auf diese Weise gefährdet sind. Eine Organisation meldet im Durchschnitt etwa 37 bekannt gewordene Fehlkonfigurationen pro Monat. Tatsächlich geschehen aber – ohne dass sie darüber informiert wird – im selben Zeitraum etwa 3500 Fehlkonfigurationen.
Die typischen Sicherheitsprobleme in der Cloud
Das Sicherheitsproblem der Cloud hängt mit ihren eigenen Versprechen von Freiheit und Geschwindigkeit zusammen. Es ist so einfach, Cloudinstanzen von fast überall im Unternehmen anzulegen, sodass ungeschultes Personal dies ohne entsprechende Aufsicht von Sicherheitsteams und auf nicht fachmännische Weise tun kann. Die vielversprechende Freiheit und Optionalität der Cloud machen leider somit Fehlkonfigurationen von Instanzen und in der Folge eine ungewollte Offenlegung von sensiblen Daten möglich.

Es gibt eine Vielzahl unterschiedlichster Konfigurationsfehler, die Enterprise-Nutzer machen können. Sehr häufig fehlen schlichtweg die entsprechenden Sicherheitseinstellungen. Oft verbinden Benutzer die Cloudressourcen mit dem öffentlichen Internet, ohne dass Firewalls vorhanden sind, oder aktivieren die Verschlüsselung der Cloudinstanzen nicht. In anderen Fällen ist der Zugang das Problem.

Die Möglichkeit der Aktivierung globaler Berechtigungen in der Cloud mag zwar verlockend sein, dadurch jedoch gerät der ungehinderte Zugang von außen in die Unternehmenscloud zum sicherheitskritischen Faktor. Unternehmen sollten daher der internen Zugang zur Cloud streng an die Rolle und Verantwortlichkeit des jeweiligen Benutzers anpassen. In vielen Fällen ist der uneingeschränkte Zugang zu wichtigen Ports – einschließlich der HTTP/HTTPS-Ports – zu leicht verfügbar.

Ein weiteres Problem ist, dass Plug-ins und Erweiterungen zu Anwendungen von Mitarbeitern hinzugefügt werden, die, unabhängig von Wissen und Überwachung der IT-Abteilung, die Cloudressourcen aufstocken – eine weitere kritische Variable, die zu einer ungewollten Gefährdung führen kann.

Für unternehmensinterne Sicherheitsteams stellen all diese Faktoren eine enorme Herausforderung dar. Entweder existieren die normalen Kontrollen in der Cloud nicht oder sie lassen sich zu leicht umgehen. Selbst wenn die Sicherheitsabteilung über eine Cloudauslastung informiert ist, wird die Protokollierung oftmals nicht aktiviert was Authentifizierungsanfragen oder den Zugriff auf kritische Ressourcen unsichtbar macht.

Kritisch angesichts all der Fehler, die regelmäßige Cloudnutzer machen: Viele Organisationen verfügen oft nicht über die Mittel, um die Nutzung zu überwachen, zu prüfen und auf eine unsichere Anwendung und auftretende Fehlkonfigurationen hinzuweisen. Geschieht dies doch, wird es oft unregelmäßig und uneinheitlich ausgeführt, sodass Sicherheitsteams die Fehlkonfigurationen leicht übersehen können.

10.06.2020/ln/Ronnen Brunner, Technology Evangelist EMEA bei ExtraHop

Nachrichten

Mehr Angriffe auf IIoT-Plattformen im Gesundheitswesen [2.08.2021]

Die Gesundheitsbranche wird seit der Corona-Pandemie zunehmend von digitalen Angriffen bedroht. Im Gesundheitssektor sind auch IIoT-Plattformen und somit Geräte wie etwa Magnetresonanztomographen (MRT) und Computertomographen (CT) betroffen. Ebenso angreifbar sind tragbare, medizinische Devices zur Fernüberwachung von Patienten, wie etwa Messgeräte für Blutzucker oder Blutdruck, sofern diese an die Büroinfrastruktur angebunden sind. [mehr]

Bequemere Forensik [2.08.2021]

ElcomSoft aktualisiert sein System Recovery, ein bootfähiges Tool zum Entsperren von Windows-Konten und verschlüsselter VMs sowie dem Zugriff auf verschlüsselte Volumes. Version 7.08 bietet die Möglichkeit, WLAN-Passwörter und den Windows-Lizenzschlüssel zu extrahieren. [mehr]

Tipps & Tools

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Vorschau Juli 2021: Container- und Applikationsmanagement [21.06.2021]

Das flexible Bereitstellen von Anwendungen und Software-Umgebungen ist dank der Container-Technologie kein Hexenwerk mehr. Dennoch gilt es für Admins, so manche Fallstricke zu umgehen. In der Juli-Ausgabe befasst sich IT-Administrator mit dem Thema "Container- und Applikationsmanagement". Darin lesen Sie, wie Sie Ihre eigenen Container-Templates erstellen und serverlose, cloudnative Anwendungen mit Knative automatisiert betreiben. Außerdem beleuchten wir das Windows Subsystem für Linux 2 und zeigen, wie Sie Kubernetes in vSphere ohne Cloud Foundation betreiben. In de Produkttests werfen wir einen Blick auf Red Hat OpenShift. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen