Stabiles Fundament

von Raphaël Peyret

Die Sicherheit der in die Cloud ausgelagerten Daten, Applikationen und Dienste wird immer wichtiger. Um ihrer Verantwortung für die IT-Sicherheit nachzukommen, benötigen IT-Teams Tools, mit denen sie ihre Cloudumgebungen sicher konfigurieren können. Das Cloud Security Posture Management verschafft den Überblick über die Konfigurationslandschaft und bildet ein Sicherheitsfundament in der Cloud.

Das Cloud Security Posture Management (CSPM) ist eine unverzichtbare Grundlagenarbeit, um Sichtbarkeit der Konfigurationen zu bieten und Gefahren zu erkennen. Wenn große Unternehmen Clouddienste nutzen, wächst ihre Angriffsfläche angesichts oft mehrerer Tausend Instanzen und Services sowie bis zu 100.000 Identitäten an Menge und Komplexität. Laut Gartner ermöglicht CSPM, die Sicherheitslage von IaaS und PaaS durchgehend zu überwachen, um Risiken für die Cloudinfrastruktur zuvorzukommen, sie zu erkennen und abzuwehren.

Im Kern nutzt CSPM gängige Frameworks, gesetzliche Vorgaben und Unternehmensrichtlinien, um Risiken in Clouddienst-Konfigurationen proaktiv und reaktiv zu untersuchen und zu bewerten. Bei einem Problem werden Abhilfemaßnahmen automatisiert oder manuell bereitgestellt.

Sicherheitsrisiken in der Cloud

Administratoren benötigen Informationen im Kontext, um vorhandene Risiken zu überprüfen. In der Cloud wiederholen sich die Hauptrisikofaktoren der On-Premises-IT:

- Transparenz und Nachvollziehbarkeit: In der Cloud verwalten Applikations- wie auch Projektteams für gewöhnlich ihre Infrastruktur selbst. Die zentrale IT kann ohne Sichtbarkeit nicht eingreifen.

- Authentifikation: Nachlässige Passwortrichtlinien und das Fehlen von Multifaktor-Authentifizierung sind weit verbreitet.

- Rechte von Identitäten: In einem Fall ergab eine CSPM-Analyse, dass eine Web-Application-Firewall eines Finanzdienstleisters Schreibzugriff auf Kundendaten hatte. Großzügig vergebene Rechte kaskadieren die Folgen eines offengelegten Passworts dramatisch und erleichtern es den Hackern, sich lateral im Netz zu bewegen.

- Netzwerkkonnektivität: Angreifer suchen nach offenen IP-Adressen und von Anwendungen geöffneten Ports. Auch eine Virtual-Machine-Instanz außerhalb einer Sicherheitsgruppe oder Default-Settings für Sicherheitsgruppen vergrößern die Angriffsfläche. Die zunehmende Abkehr von klassischer Perimeter- Sicherheit in der Cloud – wie etwa Firewalls – verlangt nach neuen Abwehrstrategien. Direkt vom Internet aus erreichbare Speicherinstanzen waren für Sicherheitsvorfälle in der Vergangenheit verantwortlich. Hier haben die Cloudprovider reagiert und ermöglichen von vornherein eine größere Anzahl an Sicherheitskonfigurationen. IT-Administratoren müssen mittlerweile bewusst oder fahrlässig agieren, um Buckets im Internet öffentlich zu stellen.

- Verschlüsselung: Unzureichend verwaltete und nicht regelmäßig rotierte Schlüssel erhöhen das Risiko, dass Hacker vergessene oder nicht verwaltete Infrastrukturen ausnutzen, die im Laufe der Zeit immer verwundbarer werden.

- Protokolle und Überwachung: Ohne Monitoring lassen sich Angriffe oder der Missbrauch legitimer Identitäten und Tools nicht erkennen. Unklar bleibt, welche Daten abgeflossen sind, wie lange sich die Angreifer im Netzwerk aufgehalten haben oder wo sie noch sind. Detaillierte Protokolle liefern Strafverfolgungsbehörden wichtige Informationen.

Schlüsselbereiche von CSPM

Der Schlüssel liegt in sicheren Konfigurationen. Um sie zu verbessern, bedarf es der Sichtbarkeit aller Cloudinstanzen – automatisch, kontinuierlich skalierbar und dynamisch angesichts sich immer schneller verändernder Konfigurationen im möglichen Wildwuchs von Clouddiensten. Ein CSPM sammelt ohne Agenten alle Daten für jede Ressource direkt von der Control Plane des Providers und dockt dafür an deren API an. Der parallele Scan verschiedener Providerumgebungen ist in der Regel schon nach wenigen Minuten abgeschlossen. Die Arbeit des Posture Managements fängt freilich damit erst an.

Damit bewährte Sicherheitsansätze aus der On-Premises-Welt auch in der Cloud wirksam sind, müssen sie dorthin übertragen und angepasst werden. Bei CSPM sind die Risikoparameter Vielfalt, Granularität, Umfang sowie die Frequenz sich verändernder Assets und Konfigurationen ungleich größer.

Identitäten und Zugriffsrechte

CSPM ermöglicht einen überwachten Login im Konfigurationsmanagement. Über CSPM erhalten die IT-Sicherheitsverantwortlichen ein aktuelles Inventar aller Identitäten und ihrer Zugangsrechte über eine intuitive Graphenansicht. Ihnen stehen Protokolle darüber zur Verfügung, welcher Nutzer was, wann und wie getan hat. Eine handhabbare Zugangskontrolle auf Applikations-Level für IaaS- und PaaS-Dienste der Cloudprovider wird erst so möglich.

Eine Multifaktor-Authentifizierung (MFA) ist ebenso ein Muss wie der permanente Wechsel von Zugangsdaten und -schlüsseln. Zudem sollte ein Administrator das rollenbasierte Steuern von Zugriffen (RBAC) und den Zugriff nach dem Prinzip der geringsten Rechte (Principle of Least Privilege; PoLP), die für eine Aufgabe nötig sind, durchsetzen. Ein Definieren von Gruppen mit bestimmten Privilegien statt der Vergabe individueller Rechte erleichtert die Rechtevergabe und ihr Management und erhöht die Sicherheit. Schnell eliminieren lassen sich nicht mehr genutzte Rechte von Servicekonten oder Applikationen.

Netzwerksicherheit

Wer Konnektivität zur Cloud schafft, muss seine lokalen Netzwerke anpassen. Eine softwaredefinierte Netzwerkkonfiguration ermöglicht stark segmentierte Netzwerke mit granular festgelegten Zugriffsrechten. Auch für den Datenschutz protokollieren Systeme für die Netzwerksicherheit mögliche verdächtige Aktivitäten wie etwa laterale Bewegungen von Living-off-the-land-Hackern auf der Suche nach Informationen. Auf diese Weise isolieren Administratoren Kundendatenressourcen und sperren nicht autorisierte Ports sowie IP-Adressen.

Datenschutz

In Sachen Datenschutz geht es vor allem um das präzise Regeln des Zugriffs auf Daten nach dem Need-to-know-Prinzip sowie um das proaktive Gegensteuern gegen Manipulation, um die Integrität sensibler Daten zu gewährleisten. Zu den Aufgaben des Administrators gehört es auch, Daten zu kategorisieren und mit automatisierten Abläufen zu taggen, um so Richtlinien durchsetzen zu können.

Ein CSPM unterstützt beim Klassifizieren nur eingeschränkt, berücksichtigt aber diese Kategorien. Für die Prävention externer Datenzugriffe lassen sich native oder externe Dienste nutzen, um Gefahren zu erkennen und nachzuverfolgen sowie um erste Aktionen von Angreifern möglichst früh ausmachen und bekämpfen zu können.

Auditprotokolle überwachen

Auditereignisse regelgerecht zu erfassen, zu verwalten und zu analysieren ist unabdingbar, um Cyberangriffe zu entdecken und sich möglichst schnell und nachhaltig von ihnen zu erholen. Auch hier kann ein Admin das Seine beitragen, um native Konfigurationsprotokolle präzise zu aktivieren. Veränderte Konfigurationen können Vorboten eines Angriffs sein. Vom Lesen und Bearbeiten der relevanten Alarme wie fehlgeschlagene Anmeldeversuche an der Verwaltungskonsole oder signifikant veränderte Netzwerkkonfigurationen befreit eine CSPM allerdings nicht. Das Erkennen von Anomalien reduziert aber die Arbeitsbelastung des Administrators, indem sie nur auf solche Ereignisse hinweist, die dieser tatsächlich verfolgen muss.

Überschaubarer Aufwand

CSPM ist nach dem initialen Scan ein langfristiger Prozess. Dennoch ist er machbar. In einem Beispiel benötigte ein Unternehmen aus der Gaming-Branche mit über 1000 Mitarbeitern und einer Single-Cloud Hilfe zu Konfiguration und Sichtbarkeit, um ein erneutes Offenlegen von Kundendaten zu verhindern. Innerhalb von zwölf Monaten schloss es dank CSPM 80 Prozent der kritischen Fehlkonfigurationen und erhöhte die CIS-Compliance in Amazon Web Services von 62 Prozent auf 96 Prozent. Für kritische Ereignisse war nun ein Service Level Agreement von einer Stunde möglich.

Um diese Sicherheitsaufstellung in der Cloud zu erreichen, waren mit Einsatz von CSPM rund drei Manntage pro Monat nötig. Drei Manntage entsprechen zwei Stunden die Woche für die Analyse und vier Meetings mit den Entwicklern. Der CSPM-Aufwand hängt ebenso von der Größe und Komplexität der Infrastruktur ab wie von der Zahl der Entwicklerteams, die zu involvieren sind. Letztlich bietet CSPM Unternehmen jeder Größe wichtige Hilfe. Für cloudnative Start-ups mit 50 Personen bis zu 20.000 Mitarbeitern ebenso wie für eine IT von 20 bis 15.000 virtuellen Maschinen.

Weitere wichtige Elemente einer cloudnativen Sicherheit neben CSPM sind das Cloud Infrastructure Entitlement Management (CIEM) für das Verwalten von Identitäten und eine Cloud Workload Protection (CWPP) für den agentenbasierten Schutz von Runtime-Umgebungen in virtuellen Maschinen und Containern, Detection und Response sowie das Integritätsmonitoring für VM- und Container-Endpunkte. Eine Cloud Detection and Response erkennt Risiken in Echtzeit durch das Monitoring der Cloud-Auditlogs.

Fazit

Wer von der Flexibilität der Cloud profitieren will, muss seine Aufgaben in Sachen Sicherheit erfüllen. Wichtige Verantwortlichkeiten haben Cloudprovider wieder auf den Administrator übertragen, vor allem im Identitätsmanagement, Netzwerk- und Datenschutz. CSPM bietet die notwendige Sichtbarkeit für den Schutz von Cloudinfrastrukturen.