ADMIN

2022

02

2022-01-30T12:00:00

Cloudmanagement

SCHWERPUNKT

096

AWS

Azure

Cloud

Sicherheit

Cloud-Sicherheitslücken durch Fehlkonfigurationen

Richtig schalten

von Richard Werner

Veröffentlicht in Ausgabe 02/2022 - SCHWERPUNKT

Das größte Sicherheitsrisiko in der Cloud sind Fehlkonfigurationen. 99 Prozent aller Cloud-Sicherheitsvorfälle werden im Jahr 2023 darauf zurückgehen, prognostizieren Analysten. Die Security-Spezialisten von Trend Micro haben untersucht, was Unternehmen bei der Konfiguration ihrer AWS- und Azure-Services am häufigsten falsch machen.

Lange Zeit hatten Unternehmen Sicherheitsbedenken beim Thema Cloud. Das hat sich geändert. Mittlerweile sind viele IT-Verantwortliche sogar der Ansicht, dass die Cloud die Security erhöht [1]. Tatsächlich sichern die großen Hyperscaler ihre Services oft besser ab, als die meisten Unternehmen das selbst könnten. In der Cloud gilt jedoch das Prinzip der geteilten Verantwortung: Der Cloudprovider kümmert sich um die Sicherheit der Cloudinfrastruktur. Für alles, was Kunden innerhalb der Cloud betreiben, sind sie selbst verantwortlich.
Das betrifft auch die Konfiguration ihrer Cloudservices. Und genau hier passieren häufig Fehler, die sich gravierend auswirken können. So stehen plötzlich sensible Daten ungeschützt im Netz oder Unbefugte haben Schreibzugriff auf Dateien. Cyberkriminelle können Malware einschleusen oder Ressourcen für Kryptomining missbrauchen.
Laut einer Studie von DivvyCloud [2] entstand Unternehmen durch Fehlkonfigurationen zwischen Januar 2018 und Dezember 2019 weltweit rechnerisch ein Schaden von fast fünf Billionen US-Dollar. Dies ergebe sich aus 33,4 Milliarden exponierten Datensätzen multipliziert mit 150 US-Dollar durchschnittlichem Schaden je verlorenem Datensatz.
Lange Zeit hatten Unternehmen Sicherheitsbedenken beim Thema Cloud. Das hat sich geändert. Mittlerweile sind viele IT-Verantwortliche sogar der Ansicht, dass die Cloud die Security erhöht [1]. Tatsächlich sichern die großen Hyperscaler ihre Services oft besser ab, als die meisten Unternehmen das selbst könnten. In der Cloud gilt jedoch das Prinzip der geteilten Verantwortung: Der Cloudprovider kümmert sich um die Sicherheit der Cloudinfrastruktur. Für alles, was Kunden innerhalb der Cloud betreiben, sind sie selbst verantwortlich.
Das betrifft auch die Konfiguration ihrer Cloudservices. Und genau hier passieren häufig Fehler, die sich gravierend auswirken können. So stehen plötzlich sensible Daten ungeschützt im Netz oder Unbefugte haben Schreibzugriff auf Dateien. Cyberkriminelle können Malware einschleusen oder Ressourcen für Kryptomining missbrauchen.
Laut einer Studie von DivvyCloud [2] entstand Unternehmen durch Fehlkonfigurationen zwischen Januar 2018 und Dezember 2019 weltweit rechnerisch ein Schaden von fast fünf Billionen US-Dollar. Dies ergebe sich aus 33,4 Milliarden exponierten Datensätzen multipliziert mit 150 US-Dollar durchschnittlichem Schaden je verlorenem Datensatz.
Was sind die häufigsten Fehler, die Administratoren bei der Konfiguration ihrer Clouddervices machen? Das wollten die Sicherheitsforscher von Trend Micro wissen. Sie haben ein Jahr lang die anonymisierten Daten der Cloudsecurity-Plattform "Trend Micro Cloud OneTM – Conformity" ausgewertet und dabei die Sicherheitsmeldungen zu AWS- und Azure-Umgebungen aus der gesamten Kundenbasis untersucht. So ermittelten sie, welche AWS- und Azure-Services am stärksten von Fehlkonfigurationen betroffen sind und welche Fehler am häufigsten auftreten.
AWS-Services mit der höchsten Fehlerrate
Die meisten Fehler machen AWS-Anwender bei der Konfiguration der "Amazon Virtual Private Cloud" (VPC). Dieser Service ermöglicht es, AWS-Ressourcen in einem logisch isolierten, virtuellen Netzwerk zu definieren und zu starten. Am häufigsten passiert es dabei, dass die Network Access List (NACL) eingehenden Datenverkehr von allen Ports zulässt.
Dadurch kann sie als Angriffsvektor für Denial-of-Service-(DoS)- und Distributed-Denial-of-Service-(DDoS)-Angriffe dienen. Um dies zu vermeiden, sollten Administratoren die Zugriffsrechte auf die unbedingt erforderlichen Ports oder Portbereiche beschränken.
Dicht hinter VPC folgen die "AWS Resource Groups", ein Service, der die Verwaltung und Automatisierung von Aufgaben auf einer großen Anzahl von AWS-Ressourcen gleichzeitig ermöglicht. Unternehmen sollten dort niemals kritische oder sensible Daten speichern.
Amazons "AWS Cloud Formation" landete auf Platz drei der fehleranfälligsten Dienste. Er ermöglicht eine schnellere Cloudbereitstellung durch Infrastructure-as-Code. Besonders stark betroffen von Best-Practices-Verstößen sind die CloudFormation-Stack-Policies. Sie definieren, welche Aktionen für bestimmte Ressourcen erlaubt sind. Sind diese Policies falsch konfiguriert, kann das sensible Daten exponieren oder Kryptomining-Angriffe ermöglichen.
Typische Fehlkonfigurationen in AWS
Die AWS-Konfigurationsoption, die Anwender insgesamt am häufigsten schlecht einstellen, ist "Instance in Auto Scaling Group". Diese Regel stellt sicher, dass ungenutzte Amazon-Elastic-Compute-Cloud-(EC2)-Instanzen innerhalb einer AWS-Auto-Scaling-Gruppe starten. AWS Auto Scaling überwacht Anwendungen und passt die Kapazität automatisch an, um eine stabile, vorhersagbare Leistung zu den geringstmöglichen Kosten zu erreichen.
Verwaiste EC2-Instanzen stellen eine signifikante Sicherheitslücke dar, da sie nicht überwacht, von Sicherheitstools verwaltet und mit den neuesten Sicherheitsupdates gepatcht werden. Cyberkriminelle können sie ausnutzen, um Kryptomining-Angriffe durchzuführen oder sogar den kompletten Cloudaccount zu übernehmen.
Die zweithäufigste Fehlkonfiguration in AWS ist fehlende Verschlüsselung von Elastic-Block-Store-(EBS)-Snapshots. Diese dienen dazu, die Daten auf EBS-Volumes zu bestimmten Zeitpunkten in Amazon Simple Storage Service (S3) zu sichern. Solche Snapshots können sensible Informationen wie personenbezogene Daten, Authentifizierungstoken, Passwörter, private Secure-Shell-(SSH)-Schlüssel, TLS-Zertifikate und Quellcode von Anwendungen enthalten.
Daher sollten sie unbedingt verschlüsselt werden. Als besonders kritisch einzustufen ist fehlende Verschlüsselung bei "AWS Amazon Machine Images" (AMI) und EBS-Volumes. Diese Fehlkonfigurationen gelten als hochriskant und sollten unbedingt behoben werden, da sie sensible Daten öffentlich zugänglich machen.
Azure Services mit der höchsten Fehlerrate
Bei Azure-Umgebungen ist das "Azure Activity Log" – ein Tool, das Aktivitäten wie das Ändern einer Ressource oder das Starten eines virtuellen Computers protokolliert – oftmals von Verstößen gegen Best Practices betroffen. Ein häufiger Fehler besteht darin, für die Datenbank-as-a-Service-Plattform PostgreSQL keine Warnungen zu aktivieren, die melden, wenn Datenbank-Events erstellt oder gelöscht werden. Cyberkriminelle können PostgreSQL dann unbemerkt für Kryptomining missbrauchen.
Dicht dahinter folgt das "Service Azure Virtual Management" (VM). Hier sollten Administratoren darauf achten, dass nur autorisierte Erweiterungen installiert werden dürfen und automatisierte Betriebssystemupgrades aktiviert sind. Beide Einstellungen fehlen häufig. Unsichere Er- weiterungen in Azure-Umgebungen können zu Privilege-Escalation- und Remote-Execution-Angriffen führen. Vor Kurzem haben Cyberkriminelle zum Beispiel die Azure-OMIGOD-Schwachstellen [3] im Open-Management-Infrastructure-(OMI)-Framework ausgenutzt, das von mehreren Azure-VM-Management-Extensions verwendet wird. Microsoft hat inzwischen Updates für diese Erweiterungen veröffentlicht.
Häufigste Fehlkonfigurationen in Azure
Viele Administratoren versäumen es, die Einstellung "Immutable Blob Storage" zu aktivieren. Das ist hochriskant, denn sie schützt vor Verschlüsselung durch Ransomware. Immutable Blob Storage ermöglicht es, geschäftskritische Daten in einem WORM-Zustand (Write-Once, Read-Many) zu speichern, sodass sie nicht geändert oder gelöscht werden können. Bei Blob-Containern ist es wichtig, den anonymen Zugriff zu deaktivieren. Auch diese Einstellung fehlt häufig. Jeder kann dann die Daten in einem Container und seinen Blobs lesen. Microsoft empfiehlt, anonymen Zugriff nur zu aktivieren, wenn bestimmte Anwendungsszenarien dies erfordern. Administratoren sollten außerdem den "Azure Metrics Explorer" verwenden, um alle anonymen Anfragen an ein Speicherkonto zu verfolgen.
Fehlkonfigurationen vermeiden
Die Liste der häufigsten Fehler ist lang und zeigt, wie komplex es ist, Cloudumgebungen sicher zu konfigurieren. Administratoren müssen sich bis ins Detail mit den Feinheiten des jeweiligen Providers auskennen. Ein fehlendes oder falsch gesetztes Häkchen kann Daten kompromittieren oder Sicherheitslücken öffnen, die Cyberkriminelle ausnutzen könnten. Amazon und Microsoft geben in ihren Well Architected Frameworks zwar Empfehlungen zur sicheren Konfiguration.
Kaum jemand hat jedoch die Zeit, die umfangreichen Best-Practice-Sammlungen zu lesen. Gerade wenn es schnell gehen muss – was beim Aufsetzen neuer Cloudservices häufig der Fall ist – passieren Fehler. Sie ohne technische Hilfe aufzudecken und zu beheben, ist nahezu unmöglich. Denn große Multicloud-Umgebungen verändern sich hochdynamisch und umfassen zu viele Einzelservices mit jeweils granularen Richtlinien.
Herkömmliche Sicherheitsprodukte sind jedoch nicht in der Lage, Fehlkonfigurationen zu erkennen, sodass sie oft lange unbemerkt bleiben. Daher empfiehlt es sich, eine Software für das "Cloud Security Posture Management" (CSPM) einzusetzen. Sie scannt die gesamte Cloudumgebung und prüft ihre Konfiguration automatisiert auf Verstöße gegen Best Practices, Security-Richtlinien und Compliance-Vorgaben. Dabei greift sie auf eine umfangreiche Knowledge-Base zu, die unter anderem Informationen aus Regelwerken wie DSGVO, PCI DSS und den Well Architected Frameworks von AWS und Azure enthält. Wenn das CSPM eine Fehlkonfiguration entdeckt, schlägt es Alarm.
Außerdem bewertet es ihre Kritikalität und gibt eine Schritt-für-Schritt-Anleitung, um sie zu korrigieren. Das erleichtert Administratoren die Arbeit erheblich: Sie müssen nicht erst recherchieren, was zu tun ist, sondern können die gefährliche Einstellung sofort ändern. So lässt sich die Mean Time to Remediation (MTTR) – also die Zeit, bis eine Schwachstelle geschlossen ist – auf wenige Minuten reduzieren. Die MTTR gilt als wichtiger Messwert für die Cloudsecurity.
Fazit
Fehlkonfigurationen zu vermeiden, ist eine der größten Herausforderungen, vor denen Unternehmen bei der Absicherung ihrer Cloudumgebungen stehen. Dafür ist es wichtig, sich zunächst der eigenen Verantwortung im Rahmen des Shared-Responsibility-Modells bewusst zu werden. IT-Teams müssen die Konfiguration sämtlicher Cloudinstanzen kontinuierlich prüfen und Schwachstellen schnell schließen. Dies gelingt nur mit einem automatisierten CSPM-System. Es sollte Teil einer umfassenden Cloud-Security-Plattform sein, die auch Workload-, Application- und Container-Image-Sicherheit umfasst. Damit lässt sich das Security-Management vereinfachen und Unternehmen können ein ganzheitliches Security-Konzept umsetzen.
(dr)
Richard Werner, Business Consultant bei Trend Micro
Link-Codes