Fachartikel

Was Cloud Penetration Testing ausmacht

Unternehmen verlagern viele Teile ihrer Anwendungen und auch IT-Infrastruktur in die Cloud. Ziel ist es, sie dort flexibler und günstiger zu betreiben als in eigenen Rechenzentren. Die neu konzipierte IT-Umgebung erhöht jedoch die Angriffsfläche für Hacker und das sollte Auswirkungen auf die IT-Sicherheitsstrategie haben. Um alle Gefahren frühzeitig zu erkennen, müssen Cloudsysteme regelmäßig und präzise unter die Lupe genommen werden – am besten im Rahmen eines Penetration-Tests. Unser Artikel erläutert, wobei es darauf ankommt.
Je nach Servicemodell sind beim Cloud Penetration Tetsting nicht alle Ebenen für einen Test zugänglich.
Den Rahmen des Tests abstecken
Aufgrund des Konzepts der geteilten Verantwortung gibt es einige Überlegungen, die IT-Verantwortliche vor einem Cloud-Penetration-Test anstellen sollten. Dabei muss von drei Entitäten ausgegangen werden, die beteiligt sind: Der Cloud-Service-Provider, dessen Kunde (also das Unternehmen) und der Penetration-Tester. Wenn ein Unternehmen nach einem solchen Test verlangt, wird darunter gewöhnlich eine Überprüfung aller Services und IT-Infrastrukturen verstanden. Das gibt dem Experten sehr viel Freiheit, um gezielte, spezialisierte und hinterlistige Angriffe durchzuführen.

Aus diesem Grund aber sind vorab einige Maßnahmen zu treffen, um sicherzustellen, dass die Aktionen des Penetration-Tests innerhalb des gewollten Rahmens bleiben und sie nicht plötzlich auf unbeteiligte Bereiche und sogar dritte Parteien übergreifen. Hier kommt der Dreiklang wieder ins Spiel, denn im ersten Schritt muss der erwähnte Rahmen festgelegt und hierfür bestimmt werden, ob der Auftraggeber ein Cloud-Service-Provider oder ein Kunde ist. Danach geht es um die Art der Cloudumgebung (Cloud Deployment Model) und die Weise ihrer Anbindung an das Netzwerk des Unternehmens (Cloud Service Model).

Folgende Unterschiede gibt es bezüglich der Cloud-Deployment-Modelle:

  • Private
  • Public
  • Community
  • Hybrid
Wird ein Sicherheitsexperte gebeten, eine Private-Cloud-Umgebung zu prüfen, kann er ohne große Umschweife die gesamte Struktur attackieren. Innerhalb einer Public Cloud aber muss er zuvor die Verbindungen und Verantwortungsbereiche zwischen Cloud-Service-Provider und Kunde (also dem Unternehmen) herausheben und abgrenzen.
Bezüglich der Cloud-Servicemodells sieht die Unterteilung so aus:

  • Infrastructure-as-a-Service (IaaS)
  • Platform-as-a-Service (PaaS)
  • Software-as-a-Service (SaaS)
Sicherheitslösungen und Kontrollmechanismen, die unter die Aufsicht des Cloud-Service-Providers fallen, gehören natürlich nicht zum Arbeitsbereich des Penetration-Testers, wenn er von einem Unternehmen beauftragt wurde. Beispielhaft sei hier SaaS genannt: Der Penetration-Tester soll unter anderem die Zugriffsrechte der einzelnen Nutzer überprüfen und exzessive Berechtigungen ausnutzen. Er soll aber nicht die Implementierung der Zugriffskontrolle (Session Validation) testen oder das Input-Filtering der SaaS-Anwendung, wie SQL Injection.

Das rührt daher, dass ein solcher Test die gesamte zugrundeliegende Cloudinfrastruktur einbezöge, was in diesem Fall nicht im Rahmen des in Auftrag gegebenen Tests läge. Die Prüfung der Cloudinfrastruktur ist also niemals Teil eines Penetration Testings, bis der Cloud-Service-Provider seine ausdrückliche Zustimmung erteilt hat. Daher ist es wichtig, diese Überlegungen vorab anzustellen. Die folgende Grafik verdeutlicht das Modell der geteilten Verantwortung.


Bild 1: Das Prinzip der geteilten Verantwortung (blau=Cloudprovider, grau=Unternehmen) bringt mit sich,
dass der Penetration-Tester gerade in Cloudumgebungen nicht alle Bereiche prüft.


Das Bild zeigt deutlich, dass der Rahmen eines Penetration Testings stark variiert, und zwar je nach Service-Modell. SaaS schränkt ihn am engsten ein und erlaubt nur die Prüfung der Zugangsberechtigungen und der Dateien. Bei PaaS kommt die Anwendung selbst in den erlaubten Spielraum hinzu und bei IaaS das Betriebssystem. Überall ausgeschlossen aber bleiben Virtualisierung, Netzwerk, Infrastruktur und Hardware. Diese dürfen nicht Teil eines Penetrationstests sein, den das Unternehmen in Auftrag gibt. Das müssen sowohl das Unternehmen als auch der angeheuerte Sicherheitsexperte selbst immer bedenken. Lautet der Auftrag etwa, das Betriebssystem einer Prüfung zu unterziehen, und der Kunde ist Nutzer einer Public Cloud, dann ist dies nur in einem IaaS-Modell erlaubt . In den anderen beiden Fällen (PaaS und SaaS) kontrolliert der Cloud-Service-Provider das Betriebssystem und es bedarf daher seiner Zustimmung.

14.10.2020/ln/Hassan Moradi, Head of Cyber Security Technical Assessment bei TÜV SÜD

Nachrichten

Geschützte und deduplizierte Daten [23.11.2020]

Die Purity-Betriebsumgebung für Pure Storage FlashArray unterstützt jetzt das mit Windows kompatible EncryptReduce. Es nutzt die Vormetric Transparent Encryption von Thales, um die Blockspeicherung auf FlashArray zu sichern, ohne die Vorteile der ständig aktiven Datendeduplizierungstechnologie im Array zu verlieren. [mehr]

Datenrisiko Finanzsektor [23.11.2020]

Der neue Datenrisiko-Report für den Finanzsektor von Varonis Systems zeigt ein besorgniserregendes Ausmaß an Exposition interner und sensibler Dateien bei Banken und Versicherungen. So hat jeder Mitarbeiter durchschnittlich Zugriff auf knapp 11 Millionen Dateien, in größeren Unternehmen sogar auf rund 20 Millionen. In knapp zwei Dritteln der Unternehmen können zudem alle Mitarbeiter auf mehr als 1000 sensible Dateien zugreifen. [mehr]

Tipps & Tools

Jetzt schon vorbestellen: Sonderheft vSphere 7 [16.11.2020]

Auch 2021 erwarten Sie neben den zwölf Monatsheften des IT-Administrator wieder zwei unserer beliebten Sonderhefte. Das erste liefert unter dem Titel "VMware vSphere 7 – Server, Netze und Storage virtualisieren" auf 180 Seiten Know-how zur Planung, Verwaltung und Absicherung der neuen vSphere-Version. Nach einer Übersicht der Lizenzformen und Gedanken zum Sizing der vSphere-Landschaft widmet sich das Autorenteam unter anderem ausführlich Fragen der Migration. Das Sonderheft erscheint im April 2021. Abonnenten des IT-Administrator profitieren wie immer von einem Sonderpreis. [mehr]

Im Test: IONOS Private Cloud [29.10.2020]

Für die flexible Bereitstellung von Rechen- und Speicherkapazität bedienen sich viele Unternehmen Clouddiensten. Amazon Web Services und Microsoft Azure beispielsweise bieten skalierbare Umgebungen, um IT nach Bedarf zu nutzen. Für die Virtualisierung sensibler, interner Server hat sich hingegen die Private Cloud etabliert. Mit IONOS Private Cloud lassen sich auch derartige Daten und Dienste sicher auslagern. Wir haben das Angebot getestet. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen