Cloud-sicherheit

David Puzas - Januar 25, 2022

Was ist Cloud-Sicherheit?

Cloud-Sicherheit, also eigentlich Cloud-Computing-Sicherheit, ist der Schutz aller Elemente innerhalb einer Cloud-Umgebung, einschließlich der Cloud-Infrastruktur, Cloud-Daten und Cloud-Anwendungen.

Informationsquellen zum Thema Cloud-Sicherheit

Arten von Cloud-Umgebungen

Es gibt drei Kategorien von Cloud-Umgebungen: Public Clouds, Private Clouds und Hybrid Clouds. Alle Cloud-Plattformen haben den gleichen Zweck – die gemeinsame Nutzung von Computing-Ressourcen in einem Netzwerk und die Bereitstellung cloudbasierter Services.

Eine Public Cloud kann Technologie-Services im öffentlichen Internet über einen Cloud-Drittanbieter bereitstellen und unterstützen. Public Cloud-Zugriff wird über ein Abonnementmodell wie Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) oder Software-as-a-Service (SaaS) bereitgestellt. Beispiele für bekannte Public Cloud-Anbieter sind Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure.

Private Clouds erfüllen den gleichen Zweck wie Public Clouds, dienen aber nur einem Kunden. Sie stellen eine Cloud-Infrastruktur für die exklusive Nutzung durch ein Unternehmen oder eine Behörde bereit. Da die Private Cloud nicht gemeinsam mit anderen Benutzern verwendet wird, bietet diese Art von Netzwerk tendenziell viel mehr Kontroll-, Datenschutz- und Sicherheitsfunktionen – solange der Benutzer eine umfassende Sicherheitsstrategie anwendet, die speziell für die Cloud entwickelt wurde.

Mit einem Hybrid Cloud-Modell können Unternehmen oft von den Kosteneinsparungen einer Public Cloud profitieren und gleichzeitig das höhere Sicherheitsniveau für ausgewählte Funktionen in einer Private Cloud nutzen. In einem hybriden Modell kann eine Firma zum Beispiel eine Public Cloud für umfangreiche risikoarme Aktivitäten (z. B. das Hosten webbasierter Anwendungen wie E-Mail oder Instant Messaging) nutzen und gleichzeitig eine Private Cloud für Funktionen reservieren, die mehr Sicherheit erfordern (z. B. die Verarbeitung von Zahlungen oder das Speichern persönlicher Daten).

Lesen ‚Was ist der Unterschied zwischen einer Public Cloud und einer Private Cloud?‘ >

Funktionsweise von Cloud-Sicherheit

Cloud-Sicherheit folgt häufig dem so genannten Modell der gemeinsamen Verantwortung. Ein Cloud-Service-Anbieter (CSP) – das Unternehmen oder die Entität, die Infrastruktur als Service bereitstellt – muss Sicherheitsbedrohungen für die Cloud-Infrastruktur überwachen und abwehren.

Auf der anderen Seite müssen die Endbenutzer – Einzelpersonen und Firmen – die Daten und andere in der Cloud gespeicherte Assets vor Diebstahl, Preisgabe oder anderen Kompromittierungen schützen.

Unternehmen, die einem cloudbasierten Modell folgen oder in die Cloud wechseln, müssen eine umfassende Sicherheitsstrategie entwickeln und bereitstellen, die speziell für den Schutz und die Verteidigung von cloudbasierten Assets konzipiert wurde.

Drei Hauptprinzipien von Cloud-Sicherheit

Der Vorteil des Cloud-Computings ist gleichzeitig auch sein größter Nachteil: Benutzer können über eine Internet-Verbindung von jedem Ort aus auf die Cloud-Umgebungen zugreifen – und leider auch Cyberkriminelle und Angreifer.

Für Unternehmen, die zu einem cloudbasierten Modell wechseln, hat Sicherheit höchste Priorität. Unternehmen müssen eine umfassende Sicherheitslösung entwickeln und implementieren, um sich vor einer immer größeren Palette von Bedrohungen und immer raffinierteren Angriffen innerhalb der Cloud-Umgebung zu schützen. In der dafür erforderlichen Cloud-Sicherheitsstrategie müssen folgende Prinzipien gelten:

1. Auf den Angreifer fokussieren

In allen Bereichen der Sicherheit, einschließlich der Cloud, ist das Wissen um die Angreifer und deren Vorgehensweise von zentraler Bedeutung: Wer sie sind, welches Ziel sie haben, was sie zum Erfüllen ihrer Ziele tun müssen und wie sich all dies auf die Angriffsfläche auswirkt. CrowdStrike hat beobachtet, dass oft die gleichen Angreifer in der Cloud und in anderen Teilen der IT-Landschaft aktiv sind.

Der Unterschied ist, dass die Cloud ihnen die Gelegenheit gibt, neue Taktiken, Techniken und Prozeduren (TTPs) einzusetzen.

CrowdStrike erforscht kontinuierlich diese cloudnativen Bedrohungen und hat herausgefunden, dass die TTPs bei AWS-Nutzern immer ausgereifter werden und sich bei der Google Cloud Platform (GCP) und Microsoft Azure in der Entstehung befinden. Zumeist werden in aktuellen Techniken traditionelle Angriffsmodi an die Cloud angepasst, allerdings werden raffinierte Angreifer in Zukunft wahrscheinlich speziell auf die Cloud zugeschnittene Techniken entwickeln.

Beispiele für topaktuelle Techniken:

  • Angriffstools und Post-Exploitation-Frameworks: Diese Tools stehen jetzt für Public Cloud-Anbieter mit Software wie Pacu und Barq zur Verfügung. Angreifer können über IAM Berechtigungen ausweiten oder Lambda-Funktionen für Persistenz und Verschleierung nutzen.
  • S3-Ransomware: Es wurden Forschungsergebnisse zu S3-Ransomware veröffentlicht, die theoretisch auf beliebige Cloud-Services ausgeweitet werden können, die Bring-Your-Own-Key (BYOK) und einfache Rotation anbieten, da auch diese Technologien potenziell anfällig sind.
  • Traffic Sniffing (Überwachung des Datenverkehrs): Einige Public Cloud-Anbieter haben kürzlich Funktionen für die Spiegelung von Netzwerken eingeführt, die zusätzlich zur verbesserten Netzwerküberwachung auch neue Möglichkeiten für Paket-Sniffing und die Exfiltration großer Datenmengen bieten.

Über diese Bedrohungen auf dem Laufenden zu bleiben, kann zu einer Herausforderung werden. Es ist daher hilfreich, starke Partner für die Bedrohungs- und Situationsanalyse an seiner Seite zu haben. Auch Tests von Drittparteien, internes Red-Teaming und Bug-Bounty-Programme sind bei der Umsetzung eines angreiferfokussierten Ansatzes von Vorteil.

2. Gefährdung verringern

CrowdStrike ist bestrebt, das Gefährdungsrisiko von Unternehmen auf das betriebsnotwendige Minimum zu reduzieren. Dazu gehört die kontinuierliche Suche nach notwendigen Angriffsflächen und deren Beseitigung. Die Firmenkultur von CrowdStrike stellt Sicherheit an erste Stelle. Diese Kultur wird auf allen Ebenen umgesetzt – von der Geschäftsführung bis hin zum neu eingestellten Entwickler.

Beispiele für Taktiken, mit denen CrowdStrike Angriffsflächen reduziert:

Segmentierung, wo möglich, um potenzielle Auswirkungen eines Angriffs zu verringern. Dabei werden verschiedene Cloud-Konten, Virtual Private Clouds (VPCs), Subnetze und Rollen für verschiedene Workload-Typen verwendet. Sich überschneidende Workloads für Produktion, Entwicklung und Integration sollten vermieden werden.

Möglichst umfassender Einsatz cloudnativer Verschlüsselung bei der Übertragung und Speicherung von Daten in der Cloud und proaktiver Umgang mit Verschlüsselungsverfahren, Protokollen, Schlüsseln und Zertifikaten – mit Unterstützung durch interne Tools.

Sicherheit früher in Prozesse einbinden (auch bekannt als Shift-Left-Ansatz– Implementierung von Tools, Automatisierungen und Standards, die Entwicklern die Einhaltung des gewünschten Sicherheitsverhaltens erleichtern. Diese Tools verringern Reibungsverluste für Entwickler und reduzieren die Wahrscheinlichkeit, dass unsichere oder standardmäßige Konfigurationen verwendet werden.

Einsatz von MFA (sofern verfügbar) und Hardware-Token für wichtige Umgebungen wie GovCloud-Bereitstellungen.

Proaktive Pflege guter IT-Hygiene-Standards durch automatische Erkennung des Ressourcenbedarfs von Cloud-Workloads.

3. Angriffsfläche überwachen

Seien Sie stets darum bemüht, sich einen besseren Überblick über die mögliche Angriffsfläche zu verschaffen. Sie machen es Angreifern damit schwerer, unbemerkt einzudringen; zudem treibt es die Angriffskosten in die Höhe. Die CrowdStrike Falcon-Plattform bietet einen umfassenden Überblick über die Cloud-Infrastruktur von CrowdStrike. Genau genommen lässt sich das Wesen der CrowdStrike-internen Strategie für Cloud-Transparenz mit den Worten „Falcon ist überall“ zusammenfassen.

Der Ansatz besteht aus dem Einsatz des Falcon-Agenten auf allen Cloud-Workloads und -Containern sowie der aktiven Suche nach Bedrohungen rund um die Uhr durch das Falcon OverWatch-Team. Zudem nutzt CrowdStrike bestimmte cloudnative Angriffsindikatoren (Indicators of Attack, IOAs), analysiert Machine Learning-Muster und absolviert formfreie Bedrohungssuchen, bei denen in Workloads und im Kontrollzentrum von CrowdStrike nach „Hands-on-keyboard“-Aktivitäten gesucht wird.

Dank dieses Transparenzniveaus kombiniert mit proaktiver Bedrohungssuche kann CrowdStrike subtiles, nahezu nicht wahrnehmbares Verhalten mit verblüffender Genauigkeit erkennen – wie zum Beispiel bei einem Vorfall, bei dem ein Angreifer das System auf die Existenz bestimmter S3-Buckets gescannt hatte. Diese Buckets waren nicht öffentlich zugänglich und ihre Bezeichnungen konnten auch nicht über Brute-Force erraten werden. Die CrowdStrike-Analysten ermittelten daraufhin, wie der Angreifer an eine Liste der S3-Buckets gekommen sein könnte.

Nach umfangreichen Recherchen gingen Informationsquellen von CrowdStrike davon aus, dass die Angreifer die S3-Bucket-Bezeichnungen wahrscheinlich aus Teilen von DNS-Anfragedaten ausgelesen haben, die sie aus mehreren öffentlichen Feeds gesammelt hatten. Diese Daten lassen sich leicht abgreifen, wenn über öffentliches WLAN auf Ressourcen zugegriffen wird. Daraus lässt sich schließen, dass Angreifer in einigen Fällen mehr Wissen und Einblick in die Cloud-Nutzung von Unternehmen haben, als man annehmen würde.

Was macht die Cloud-Sicherheit anders?

Die Cloud ist dynamisch

Der Cloud-Markt wächst äußerst schnell: Jedes Jahr kommen Dutzende neue cloudnative Services auf den Markt. Diese Services richten sich oft an vielbeschäftigte Entwickler, die möglichst reibungslos und schnell arbeiten wollen.

Die meisten Sicherheitsteams verstehen zwar ihre Rolle im Modell der gemeinsamen Verantwortung, doch haben sie mitunter Probleme, mit der dynamischen IT-Landschaft Schritt zu halten. Selbst Unternehmen, die über ein umfangreiches Sicherheitsprogramm und erwiesene Fachkenntnisse verfügen, haben eventuell einen unzureichenden Schutz.

Beispielweise wurde ein großes Finanzdienstleistungsunternehmen, das über ein ausgeklügeltes Cloud-Sicherheits-System verfügte, Opfer einer Sicherheitsverletzung in seiner Cloud-Infrastruktur, obwohl das Unternehmen zuvor an einem Cloud-Sicherheits-Toolkit auf Open-Source-Basis mitgearbeitet hatte. Um dynamische Multi-Cloud-Umgebungen zuverlässig zu schützen, müssen auch die Sicherheitstools dynamisch und mobil sein.

Multi-Cloud-Umgebungen und verschiedene Workloads

Angriffe können sich auf mehreren Ebenen ausbreiten und verschiedene Workload-Typen betreffen. Der Angriff auf das Finanzdienstleistungsunternehmen umfasste Taktiken, die traditionelle Webanwendungen, Endpunkte und cloudnative Ressourcen berührten. In Berichten über den Zwischenfall wird erwähnt, dass ein Anwendungsfehler ausgenutzt wurde, um einen temporären Station-to-Station-Schlüssel (STS) aus dem vom Host bereitgestellten EC2-Metadaten-Service (Amazon Elastic Compute Cloud) auszulesen. Mit diesem Schlüssel erlangten die Angreifer anschließend von außen Zugriff auf vertrauliche Cloud-Ressourcen, darunter S3-Buckets.

CrowdStrike untersuchte einen Zwischenfall, der von einer Insider-Bedrohung ausging und bei dem der Angreifer ein Exploit auf den Ressourcen des Amazon Web Service (AWS) ausführte. Durch die Ausnutzung einer AWS-Schwachstelle gelangte er an Daten, die in S3-Buckets gespeichert waren. CrowdStrike geht davon aus, dass Angriffe, die sich gegen mehrere Workload-Typen und die Cloud richten, zukünftig häufiger auftreten werden.

Um Angriffe erkennen zu können, die sich von einem Endgerät über verschiedene Cloud-Services bewegen, benötigen Sicherheitsteams einen Überblick, den isolierte, nur auf eine bestimmte Nische ausgerichtete Sicherheitsprodukte nicht bieten können. Nur eine Kombination von Endgerät- und cloudnativen Sicherheitstools kann Angriffe dieser Art erkennen. Unternehmen müssen oft mehr als eine Cloud unterstützen. Wenn sie Workloads in der Public Cloud betreiben, versuchen sie damit, die Zuverlässigkeit und Verfügbarkeit durch eine Multi-Cloud-Strategie zu verbessern. Obwohl dies definitiv ein Schritt in die richtige Richtung ist, stellen diese Unternehmen fest, dass nicht alle Cloud-Anbieter die gleichen Sicherheitsfunktionen bieten.

Unterschiedliche Sicherheitskontrollen können zu Fehlkonfigurationen führen

Jede Cloud hat unterschiedliche Sicherheitsstellschrauben. Auch wenn sich die Kontrollmöglichkeiten verschiedener Cloud-Service-Anbieter auf den ersten Blick ähneln, können sie sich in ihrer Funktion und Anwendung unterscheiden. Selbst einfache Elemente wie Sicherheitslogs, die für eine Bedrohungssuche notwendig sind, sowie deren Abruf unterscheiden sich von Cloud zu Cloud.

Diese Unterschiede sorgen für eine steile Lernkurve, da jeder Public Cloud-Anbieter unterschiedliche Sicherheitsmaßnahmen bietet. Auch die Standardkonfigurationseinstellungen sind bei jedem Anbieter anders. Selbst wenn es hier und da Überschneidungen gibt, werden die Implementierungen doch unterschiedlich bereitgestellt und weisen feine Unterschiede auf. Solange Unternehmen den Schutz all ihrer verschiedenen Cloud-Systeme nicht verbessern, werden Angreifer Fehlkonfigurationen weiterhin für ihre Zwecke ausnutzen.

CrowdStrike-Lösungen für Cloud-Sicherheit

Das Stoppen von Kompromittierungen mithilfe cloudbasierter Daten und Analysen erfordert eine stark integrierte Plattform. Jede der folgenden Funktionen spielt eine wichtige Rolle bei der Erkennung aktueller Bedrohungen und muss mit den Prämissen Geschwindigkeit, Skalierung und Zuverlässigkeit entwickelt und erstellt werden.

Moderne Cloud-Sicherheit geht über Ad-hoc-Ansätze hinaus, indem sie alles Notwendige in einer einzigen Plattform vereint:

  • Falcon Horizon (CSPM): Falcon Horizon automatisiert die Identifizierung und Behebung von Risiken für alle Cloud-Infrastrukturen, einschließlich IaaS, SaaS und PaaS.
  • Falcon Cloud Workload Protection: Falcon Cloud Workload Protection bietet Transparenz und Schutz vor hochentwickelten Bedrohungen und kann gleichzeitig nahtlos mit DevOps und CI/CD-Pipelines integriert werden. Dadurch erhalten Sie eine unveränderliche Infrastruktur, die Cloud-Ressourcen optimiert und dafür sorgt, dass Anwendungen immer sicher sind.
  • Falcon Container Security: Falcon Container Security schützt Container kontinuierlich vor Schwachstellen. Dazu gehören die Container-Pipeline, Bereitstellungsinfrastruktur und Lieferkette.

INFORMATIONEN ZUM AUTOR

David Puzas hat sich in mehr als zwei Jahrzehnten als Marketing-Spezialist und Führungskraft auf dem Gebiet der Cybersicherheits-, Cloud- und IT-Services bewährt. Dabei legte er sein Hauptaugenmerk stets auf die Steigerung des Mehrwerts für Kunden und auf innovative Ergebnisse für Firmen wie CrowdStrike, Dell SecureWorks sowie IBM-Kunden weltweit. Besonders am Herzen liegen ihm die Optimierung von Computing-Innovationen, Trends und ihre geschäftlichen Auswirkungen auf die Marktexpansion und das Wachstum.