Fachartikel

Was Cloud Penetration Testing ausmacht

Unternehmen verlagern viele Teile ihrer Anwendungen und auch IT-Infrastruktur in die Cloud. Ziel ist es, sie dort flexibler und günstiger zu betreiben als in eigenen Rechenzentren. Die neu konzipierte IT-Umgebung erhöht jedoch die Angriffsfläche für Hacker und das sollte Auswirkungen auf die IT-Sicherheitsstrategie haben. Um alle Gefahren frühzeitig zu erkennen, müssen Cloudsysteme regelmäßig und präzise unter die Lupe genommen werden – am besten im Rahmen eines Penetration-Tests. Unser Artikel erläutert, wobei es darauf ankommt.
Je nach Servicemodell sind beim Cloud Penetration Tetsting nicht alle Ebenen für einen Test zugänglich.
Den Rahmen des Tests abstecken
Aufgrund des Konzepts der geteilten Verantwortung gibt es einige Überlegungen, die IT-Verantwortliche vor einem Cloud-Penetration-Test anstellen sollten. Dabei muss von drei Entitäten ausgegangen werden, die beteiligt sind: Der Cloud-Service-Provider, dessen Kunde (also das Unternehmen) und der Penetration-Tester. Wenn ein Unternehmen nach einem solchen Test verlangt, wird darunter gewöhnlich eine Überprüfung aller Services und IT-Infrastrukturen verstanden. Das gibt dem Experten sehr viel Freiheit, um gezielte, spezialisierte und hinterlistige Angriffe durchzuführen.

Aus diesem Grund aber sind vorab einige Maßnahmen zu treffen, um sicherzustellen, dass die Aktionen des Penetration-Tests innerhalb des gewollten Rahmens bleiben und sie nicht plötzlich auf unbeteiligte Bereiche und sogar dritte Parteien übergreifen. Hier kommt der Dreiklang wieder ins Spiel, denn im ersten Schritt muss der erwähnte Rahmen festgelegt und hierfür bestimmt werden, ob der Auftraggeber ein Cloud-Service-Provider oder ein Kunde ist. Danach geht es um die Art der Cloudumgebung (Cloud Deployment Model) und die Weise ihrer Anbindung an das Netzwerk des Unternehmens (Cloud Service Model).

Folgende Unterschiede gibt es bezüglich der Cloud-Deployment-Modelle:

  • Private
  • Public
  • Community
  • Hybrid
Wird ein Sicherheitsexperte gebeten, eine Private-Cloud-Umgebung zu prüfen, kann er ohne große Umschweife die gesamte Struktur attackieren. Innerhalb einer Public Cloud aber muss er zuvor die Verbindungen und Verantwortungsbereiche zwischen Cloud-Service-Provider und Kunde (also dem Unternehmen) herausheben und abgrenzen.
Bezüglich der Cloud-Servicemodells sieht die Unterteilung so aus:

  • Infrastructure-as-a-Service (IaaS)
  • Platform-as-a-Service (PaaS)
  • Software-as-a-Service (SaaS)
Sicherheitslösungen und Kontrollmechanismen, die unter die Aufsicht des Cloud-Service-Providers fallen, gehören natürlich nicht zum Arbeitsbereich des Penetration-Testers, wenn er von einem Unternehmen beauftragt wurde. Beispielhaft sei hier SaaS genannt: Der Penetration-Tester soll unter anderem die Zugriffsrechte der einzelnen Nutzer überprüfen und exzessive Berechtigungen ausnutzen. Er soll aber nicht die Implementierung der Zugriffskontrolle (Session Validation) testen oder das Input-Filtering der SaaS-Anwendung, wie SQL Injection.

Das rührt daher, dass ein solcher Test die gesamte zugrundeliegende Cloudinfrastruktur einbezöge, was in diesem Fall nicht im Rahmen des in Auftrag gegebenen Tests läge. Die Prüfung der Cloudinfrastruktur ist also niemals Teil eines Penetration Testings, bis der Cloud-Service-Provider seine ausdrückliche Zustimmung erteilt hat. Daher ist es wichtig, diese Überlegungen vorab anzustellen. Die folgende Grafik verdeutlicht das Modell der geteilten Verantwortung.


Bild 1: Das Prinzip der geteilten Verantwortung (blau=Cloudprovider, grau=Unternehmen) bringt mit sich,
dass der Penetration-Tester gerade in Cloudumgebungen nicht alle Bereiche prüft.


Das Bild zeigt deutlich, dass der Rahmen eines Penetration Testings stark variiert, und zwar je nach Service-Modell. SaaS schränkt ihn am engsten ein und erlaubt nur die Prüfung der Zugangsberechtigungen und der Dateien. Bei PaaS kommt die Anwendung selbst in den erlaubten Spielraum hinzu und bei IaaS das Betriebssystem. Überall ausgeschlossen aber bleiben Virtualisierung, Netzwerk, Infrastruktur und Hardware. Diese dürfen nicht Teil eines Penetrationstests sein, den das Unternehmen in Auftrag gibt. Das müssen sowohl das Unternehmen als auch der angeheuerte Sicherheitsexperte selbst immer bedenken. Lautet der Auftrag etwa, das Betriebssystem einer Prüfung zu unterziehen, und der Kunde ist Nutzer einer Public Cloud, dann ist dies nur in einem IaaS-Modell erlaubt . In den anderen beiden Fällen (PaaS und SaaS) kontrolliert der Cloud-Service-Provider das Betriebssystem und es bedarf daher seiner Zustimmung.

14.10.2020/ln/Hassan Moradi, Head of Cyber Security Technical Assessment bei TÜV SÜD

Nachrichten

Sophos startet Rapid Response Service [29.10.2020]

Sophos geht mit seinem neuen "Rapid Response Service" live. Dieser bietet remote und zu einem festen Budget die Identifizierung und Bekämpfung von Sicherheitsvorfällen in einem 45-Tage-Zeitfenster. Unternehmen, die den Service in Anspruch nehmen, steht ein dediziertes und rund um die Uhr einsatzbereites Team aus Security-Experten und Forensikern zur Verfügung, um Angriffe zu stoppen und Eindringlinge aus den Netzwerken zu entfernen. [mehr]

E-Mail-Verschlüsselung für Riesen-Files [28.10.2020]

Das aktuelle Release von WeEncrypt Mail ermöglicht nun auch den sicheren Transfer von Dateien, die 30 GByte oder größer sind. Die Integration des Service in das WeEncrypt-Mail-Add-In für Microsoft Outlook soll so die digitale Geschäftskorrespondenz sowohl für Sender als auch Empfänger sicherer, produktiver und effizienter gestalten. [mehr]

Tipps & Tools

Im Test: IONOS Private Cloud [29.10.2020]

Für die flexible Bereitstellung von Rechen- und Speicherkapazität bedienen sich viele Unternehmen Clouddiensten. Amazon Web Services und Microsoft Azure beispielsweise bieten skalierbare Umgebungen, um IT nach Bedarf zu nutzen. Für die Virtualisierung sensibler, interner Server hat sich hingegen die Private Cloud etabliert. Mit IONOS Private Cloud lassen sich auch derartige Daten und Dienste sicher auslagern. Wir haben das Angebot getestet. [mehr]

Vorschau November 2020: Server- und Storage-Virtualisierung [26.10.2020]

Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie es in Zukunft weitergehen könnte. Dabei beleuchten wir auch die Unterschiede zu Containern und befassen uns mit Software-defined Storage und hyperkonvergenten Systemen. In den Tests werfen wir unter anderem einen Blick auf das Private-Cloud-Angebot von IONOS. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen