Drei Säulen der Cloud Security

Die rasche Innovation treibt Unternehmen dazu, Cloud-Dienste als kritische Infrastruktur einzusetzen. Die beschleunigte Cloud-Adaption ist zu einem Thema in der Vorstandsetage geworden, wobei vor allem eher wenig technisch versierte Führungskräfte oft lautstarke Cloud-Befürworter sind. Allerdings kann der Weg in die Cloud Sicherheitsrisiken in sich bergen, wenn er überstürzt beschritten wird.

Die Anbieter von Cloud-Sicherheitsdiensten verbessern ständig ihre Sicherheitsangebote und -funktionen. Daher könnten Unternehmen versucht sein, sich auf diese Cloud-nativen Sicherheitsdienste zu verlassen. Die effektivsten Ansätze beruhen jedoch darauf, dass die IT-Sicherheitsteams des Unternehmens intern Fachwissen und Fähigkeiten aufbauen, um selbst ein proaktives Cloud Sicherheitsprogramm zu entwickeln.

IT-Sicherheitsexperten brauchen Zeit und Ressourcen, um einen angemessenen Schutz für das Unternehmen zu gewährleisten. Im Folgenden werden einige Punkte aufgeführt die als eine Art Blueprint für Cloud Security-Strategien genutzt werden können.

Erste Schritte bei der Modellierung von Bedrohungen in der Cloud

Unternehmen verlagern wichtige Assets, Daten und Prozesse in die Cloud, was sie zu einem offensichtlichen Ziel für Angreifer macht. Cyberkriminelle wissen immer besser, wie sie sich Zugang verschaffen, Konten kompromittieren, Berechtigungen ausweiten, Fehlkonfigurationen ausnutzen und vieles mehr.

IT-Sicherheitsteams müssen sich an Modelle für Bedrohungen halten, um Cloud-Angriffe und deren Auswirkungen zu skizzieren. Wenn man die Taktiken und Techniken der Angreifer in Cloud-Angriffsszenarien versteht, kann man Sicherheitsverletzungen erkennen, bevor Daten oder Vermögenswerte gefährdet sind und so dauerhafte Schäden verhindern.

Die Modellierung von Cloud-Bedrohungen, wie sie beispielsweise im Whitepaper „Cloud Security: Making Cloud Environments a Safer Place“ beschrieben wird, erfordert die Berücksichtigung einer Reihe von Faktoren: Angreifer, Angriffstechniken, Ergebnisse und Risiken sowie Gegenmaßnahmen. Zunächst muss festgelegt werden, wofür die Bedrohungen modelliert werden sollen, z. B. für ein ganzes System oder eine Komponente. Zweitens: Die Bedrohungen müssen betrachtet werden – was kann schief gehen? Account-Hijacking? Ein verwundbares Datenpaket, das in einem Container-Image ausgenutzt wird? Drittens: Nach Abhilfemaßnahmen und Kontrollen suchen, die das Risiko verringern oder beseitigen können. Abschließend ist zu überprüfen, ob die durchgeführte Analyse gründlich und angemessen war.

Entmystifizierung der Strategien von Angreifern

Viele Unternehmen nutzen heute das MITRE ATT&CK™-Rahmenwerk, um Bedrohungen zu erkennen. Das Verständnis der typischen Angriffsphasen kann in den Aufbau eines proaktiven Cloud-Bedrohungsmodells einfließen. Der erste Zugriff erfolgt beispielsweise durch die Ausnutzung öffentlich zugänglicher Anwendungen, die Ausnutzung vertrauenswürdiger Beziehungen oder die Entdeckung gültiger Konten in Cloud-Umgebungen.

Bei der Persistenz ergreift ein Angreifer Maßnahmen, um sicherzustellen, dass er nach Belieben zurückkehren kann. Gleichzeitig ist die Ausweitung von Berechtigungen ein häufiges Ziel, um auf gültige Konten zuzugreifen oder Rollenzuweisungen zu manipulieren. Daneben nutzen Angreifer den Zugang oft, um andere Ressourcen ausfindig zu machen, die möglicherweise anfällig sind. Bei der anschließenden Erfassung und Exfiltration werden die Daten an einen Ort unter der Kontrolle des Angreifers verschoben.

Die Modellierung von Cloud-Bedrohungen über den gesamten Lebenszyklus des Angreifers hinweg wird potenzielle Schwachstellen aufdecken und proaktive Sicherheitsvorkehrungen schaffen. Die drei folgenden Säulen sollten als IT-Sicherheitsmaßnahmen für die Cloud-Absicherung eingeführt werden.

Security Säule #1 – Identity & Access Management

Das Identity & Access Management (IAM) legt fest, wer Zugriff auf was benötigt und steuert den gesamten Lebenszyklus der Benutzer- und Zugriffsverwaltung über alle Ressourcen hinweg. Ausgereifte Unternehmen zentralisieren Identität und Zugang, wo immer dies möglich ist. Ein weiterer Vorteil eines zentralisierten Identitätsansatzes ist der geringere betriebliche Aufwand.

Ein bedeutender Cloud-bedingter Wandel im Identitätsmanagement ist das Aufkommen von Maschinenidentitäten im Gegensatz zu herkömmlichen menschlichen Identitäten. Maschinenidentitäten umfassen Servicekonten für Systeme wie Cloud-VMs, Cloud-Funktionen und Container und tragen dazu bei, das Risiko anderer technischer Konten zu mindern, die für programmatische Aktionen und Bereitstellungen verwendet werden.

Security Säule #2 Datensicherheit

Eine solide Strategie für die Datensicherheit in der Cloud ist eine weitere grundlegende Voraussetzung. Eine der wichtigsten Sicherheitskontrollen für den Datenschutz in der Cloud ist die Verschlüsselung. Cloud-Anbieter sind in der Lage, Verschlüsselung in großem Umfang relativ einfach zu implementieren. Für einige Unternehmen wird diese automatische Verschlüsselung ausreichen. In vielen anderen Fällen wird die Datensicherheit jedoch spezifischer sein müssen.

Ein weiterer Schlüsselfaktor ist die Verwaltung von Geheimnissen. Die Verwaltung sensibler Geheimnisse (einschließlich Verschlüsselungsschlüsseln, API-Schlüsseln, Kennwörtern und anderen Berechtigungsnachweisen) hat sich für die meisten Unternehmen als große Herausforderung erwiesen. Auch die Verhinderung von Datenverlusten (Data Loss Prevention, DLP) ist von entscheidender Bedeutung, wobei viele Unternehmen auf DLP-Tools und -Dienste zurückgreifen, die bekanntermaßen schwierig zu implementieren und zu warten sein können.

Es gibt Möglichkeiten, all diese schwierigen Faktoren innerhalb der Cloud zu verwalten, aber idealerweise dort, wo die Bedrohungsmodellierung ergeben hat, dass das Risiko am besten gemindert werden kann.

Security Säule #3 Transparenz

Die dritte wichtige Säule der Cloud-Sicherheit ist die Transparenz, wobei der Schwerpunkt auf Protokollierung, Ereignisverwaltung und Automatisierung durch Leitplanken liegt. Die Sichtbarkeit geht über die traditionelle System- und Netzwerksichtbarkeit hinaus und muss Anwendungen, Systeme, Netzwerke und deren Konfigurationen in der Cloud abdecken. Dieses Konzept gilt auch für die Sichtbarkeit der Steuerungsebene und die Sichtbarkeit der Cloud-Umgebung selbst. Neben einer umfassenden Protokollierung aller Aktivitäten innerhalb der Cloud stehen mehrere neue Dienste zur Verfügung, mit denen Cloud-Konten und -Infrastrukturen kontinuierlich auf Best-Practice-Konfiguration und den Status der Sicherheitskontrollen überwacht werden können.

Zur Erzielung von Netzwerktransparenz können Tools wie Netzwerk-Firewalls und Intrusion Detection & Prevention neben der Erfassung von Netzwerkdaten eingesetzt werden. Cloud-native Zugangskontrollen und Überwachungsfunktionen können auch Ereignisse und abweichendes Verhalten überwachen und verfolgen.

Fazit

Cloud Security wird stetig verbessert. Der Hauptvorteil der Public Cloud besteht darin, dass sich die Cloud-Anbieter in einem positiven Kreislauf der Verbesserungen der IT-Sicherheit befinden. Dies bietet eine solide Grundlage für IT-Sicherheitsexperten, um ihre Cloud-Sicherheitsprogramme aufzubauen.

Mit dem Wachstum der Cloud-Dienste müssen die IT-Sicherheitsteams jedoch fortschrittlichere Kontrollen einsetzen und dynamischere Prozesse zur Bewertung der Sicherheit in der Cloud entwickeln, um den Erfolg zu gewährleisten. Dies bedeutet, dass regelmäßige Übungen zur Bedrohungsmodellierung durchgeführt werden müssen und dass man sich auf drei Säulen zur Risikominderung konzentrieren muss – Identity & Access Management, Datensicherheit und Transparenz – um eine dynamische Grundlage für die Cloud-Sicherheit zu schaffen.

ZDNet.de Redaktion

Recent Posts

Digitale Matching-Plattform für Unternehmen und IT-Freelancer

Damit IT-Freelancer und Unternehmen einfacher zueinander finden, hat der Personaldienstleister Hays die Matching-Plattform "Tribeworks" gelauncht.

9 Stunden ago

Mit ChatGPT und Dall-E richtig starten

Kostenloses Webinar der Online-Marketing-Academy am 18.7. zum Einstieg in KI-Tools.

9 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

10 Stunden ago

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Tagen ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

2 Tagen ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

2 Tagen ago