Massnahmen zur Sicherung von Cloud-Workloads

Cloud-Provider wie Amazon, Microsoft oder Google betonen mit Recht, dass Cloud-Sicherheit eine geteilte Verantwortlichkeit bedeutet. Zum Zuständigkeitsbereich des Providers gehört die Sicherheit der Infrastruktur mit Bereichen wie Rechenleistung, Netzwerk oder Storage sowie die Abschottung der Kundenumgebungen gegeneinander.

Der Cloud-Kunde hingegen ist prinzipiell voll verantwortlich für den Schutz von allen Elementen, die «oberhalb» des Hypervisors angesiedelt sind, einschliesslich Betriebssystem, Applikationen, Daten oder Zugang zu externen Ressour­-
cen – und natürlich für die zentralen Zugangsdaten zur Verwaltung der Cloud-Ressourcen.

Fünf Sicherheitsmassnahmen

Auch wenn jedes Unternehmen einen individuellen Cloud-Ansatz verfolgt, so kristallisieren sich doch fünf zentrale Bereiche heraus, die für die Sicherung von Cloud-Workloads und Infrastrukturen eine herausragende Bedeutung einnehmen – abgesehen von klassischen IT-Sicherheitsmassnahmen wie Firewalls, Anti-Viren-Scanner oder Webfilter-Techniken, deren Nutzung Standard ist.

Sicherung der Managementkonsolen
Leistungsstarke Cloud-Managementkonsolen und auch -portale ermöglichendas durchgängige Management der Cloud-Ressourcen. Sie sind gewissermassen «die Schlüssel zum Cloud-Königreich»; damit sind Konsolen auch extrem attraktive Ziele für Angreifer. Die Konsequenzen einer Attacke können weitreichend sein. Der nicht autorisierte oder unkontrollierte Zugang zu einer Managementkonsole, direkt oder über Application Programming Interfaces (APIs), kann zum Datendiebstahl oder im schlimmsten Fall sogar zur vollständigen Übernahme der gesamten Cloud-Umgebung führen. Unternehmen müssen deshalb alle – auch potenzielle – Zugriffspfade auf Managementkonsolen sichern und überwachen, vor allem die Root-Accounts.

Root-Accounts werden bei der initialen Einrichtung eines Cloud-Zugangs angelegt. Über diese Accounts ist ein uneingeschränkter Zugriff auf die Managementkonsole und damit auf die gesamte Cloud-Infrastruktur möglich. Auch wenn viele Unternehmen Root-Zugänge nur unregelmässig nutzen, müssen sie doch geschützt werden, denn ein Angreifer mit Root-Zugang kann die gesamte Cloud-Infrastruktur des Unternehmens kontrollieren. Für die Speicherung und Verwaltung von Root-Accounts und -Zugangsdaten sollte folglich ein digitaler Datentresor (Vault) genutzt werden, das heisst, ein speziell «gehärteter» Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Als Best-Practice-Verfahren haben sich zudem die Multifaktor-Authentifizierung für den Root-Zugang sowie die Überwachung und Aufzeichnung aller mit Root-Accounts verbundenen Sessions oder Aktivitäten erwiesen. Generell sollten Least-Privilege-Prinzipien für alle Zugriffe auf Managementkonsolen angewendet werden.

Ein wesentlicher Punkt bleibt zudem oft unberücksichtigt: Es ist unerlässlich, dass der privilegierte Zugriff auf eine Managementkonsole isoliert über sichere Proxy-Gateways erfolgt, das heisst, weder bei der Nutzung von Zugangsdaten noch bei privilegierten Sessions dürfen beliebige Endgeräte genutzt werden, welche prinzipbedingt immer Schwachstellen aufweisen können. Von Vorteil ist auch, wenn Sicherheitsteams laufende Sessions in Echtzeit überwachen können, um sie bei Verdacht eines potenziellen Angriffs zu beenden. Nicht zuletzt sollte auch die Nutzung einer Single-Sign-on (SSO)-Lösung in Erwägung gezogen werden. So können Administratoren sowie Entwickler ohne Kenntnis von Zugangsdaten komfortabel auf Managementkonsolen zugreifen.

Sicherung der Cloud-Infrastruktur
Cloud-basierte Infrastrukturen ermöglichen eine vom Bedarf abhängige Provisionierung von virtuellen Servern, Datenspeichern oder Containern. Dabei werden allen neu bereitgestellten virtuellen Servern oder Infrastrukturressourcen privilegierte Zugangsdaten zugewiesen, die gesichert werden müssen.

Während in statischen Umgebungen Administratoren die Managementkonsole für die manuelle Einrichtung eines neuen Servers nutzen, kommen in dynamischen Umgebungen Provisionierungstools und Skripte zum Einsatz, um automatisch neue Rechnerinstanzen zu erstellen. Infolgedessen kann eine hohe Anzahl an Servern generiert werden, die oft nur für einige Minuten oder Stunden für eine spezifische Aufgabe genutzt werden, und das mehrfach am Tag.

Entsprechend dynamisch und hoch ist dann auch die Anzahl der privilegierten Zugangsdaten, die verwaltet werden müssen. Für das Speichern und Abrufen dieser Daten müssen ebenfalls sichere digitale Vaults genutzt werden. Nur so können Unternehmen gewährleisten, dass die mit Cloud-Infrastrukturen verbun­denen Zugangsdaten sicher sind, wenn neue Ressourcen provisioniert werden.

Sicherung der API-Zugriffsschlüssel
Zum einen ermöglicht Automation Un­ternehmen zwar eine optimale Nutzung der hohen Dynamik und Flexibilität der Cloud, zum anderen bedeutet Automation aber auch der Einsatz von Skripten, Orchestrierungsservern und Automationstools, die API-Zugriffsschlüssel enthalten. Sie werden in grossem Stil für Änderungen in der Cloud-Umgebung verwendet, etwa für das Stoppen oder Starten eines Servers, die Provisionierung eines Containers oder das Bereinigen einer Datenbank.

Auch mit API-Zugriffsschlüsseln ist ein hohes Risiko verbunden, denn sobald ein Angreifer in ihren Besitz gelangt, hat er freien Zugang zur gesamten Cloud-Umgebung. Die Sicherung der API-Zugriffsschlüssel muss deshalb ebenfalls einen hohen Stellenwert einnehmen. Gerade durch den Einsatz eines digitalen Vaults für die Speicherung und die Anwendung von Least-Privilege-Prinzipien kann eine sichere, richtlinienkonforme API-Schlüssel-Nutzung gewährleistet werden.

Sicherung der Devops-Umgebung
Eine zunehmende Bedeutung im Cloud-Umfeld nimmt das Thema Devops ein. Mit Devops-Modellen steigern Unternehmen ihre Agilität, indem sie neue Applikationen und Services schneller zur Produktionsreife führen. In Devops-Projekten werden vor allem auch Orchestrierungs- und Automationstools aus der Cloud genutzt, etwa CI (Continuous Integration)- und CD (Continuous Delivery)-Tools oder Source-Code-Repositories wie Github. Insgesamt gibt es eine grosse Bandbreite verschiedener Lösungen, die zudem in aller Regel durch einen unterschiedlichen Ansatz für die Verwaltung der erforderlichen Zugangsdaten gekennzeichnet sind; beispielsweise gibt es von Jenkins über Puppet bis zu Chef keine gemeinsamen Standards, sodass für jedes Tool individuelle, spezifische Sicherheitsmassnahmen zu implementieren sind.

Vor allem die Workflows für die Zugriff-steuerung auf privilegierte Zugangsdaten differieren in erheblichem Masse. Die Folge ist, dass viele Unternehmen inkonsistente und teilweise sogar manuelle Strategien für die Zugriffskontrolle verfolgen – Sicherheitslücken sind damit vorprogrammiert. Ziel muss daher sein, eine Sicherheitsplattform zu etablieren, unter deren Dach die Administration aller Devops-Tools und -Zugangsdaten erfolgen kann. Von essenzieller Bedeutung ist wiederum hauptsächlich die zentrale, automatische Verwaltung und Sicherung aller vertraulichen Zugangsdaten, die in einer Devops-Pipeline genutzt werden – wie Encryption- und API-Schlüssel, Datenbank-Passwörter oder die Transport-Layer-Security (TLS)-Zertifikate.

Sicherung der Admin-Accounts für SaaS-Applikationen
Laut IDC (International Data Corporation) werden 2021 rund 60 Prozent aller Cloud-Ausgaben auf die Nutzung von Software-as-a-Service (SaaS)-Angeboten entfallen («Worldwide Semiannual Public Cloud Services Spending Guide», 18. Juli 2017). Obwohl bereits heute sehr viele Unternehmen SaaS-Geschäftsanwendungen wie Salesforce, Microsoft Office 365 oder SaaS-basierte Social-Media-Kanäle wie Twitter oder Facebook einsetzen, wird die Notwendigkeit zur Sicherung der administrativen Konsolen dieser Cloud-basierten Applikationen vielfach nicht gesehen – bis zum Zeitpunkt, an dem ein Problem auftritt: etwa öffentlich gepostete Unternehmensdaten oder Tweets eines Hackers auf dem Unternehmensaccount.

Eine besondere Herausforderung im SaaS-Umfeld besteht darin, dass die Applikationen oft auch routinemässig von Mitarbeitern ausserhalb der IT genutzt und vielfach gängige Sicherheitsregeln nicht beachtet werden – etwa im Umfeld von Salesforce oder Social Media. So sind SaaS-Pass­wörter allzu oft sehr einfach strukturiert, mehreren Anwendern bekannt, schriftlich niedergelegt und über einen längeren Zeitraum unverändert. Je mehr User im Besitz bestimmter Zugangsdaten sind, desto schwerer ist auch die legitime Nutzung zu kontrollieren. Auch im SaaS-Bereich muss deshalb eine Lösung zum Einsatz kommen, die sowohl eine sichere Speicherung als auch regelmässige, automatische Änderung von Passwörtern unterstützt.

Die Verlagerung von Workloads in die Cloud kann signifikante geschäftliche Vorteile mit sich bringen, aber sie ver­ändert und erweitert auch die potenzielle Angriffsfläche. Um Cloud-Workloads zu schützen, müssen Unternehmen die besonderen Sicherheitsherausforderungen verstehen, die Cloud-Umgebungen und Automationen mit sich bringen, und entsprechende Massnahmen ergreifen. Dabei ist vor allem eine unternehmensweite Verankerung von Zugriffsrichtlinien erforderlich, das heisst, ein konsistentes Management von privilegierten Accounts und Zugangsdaten, sowohl in der Produktiv- als auch in der Entwicklungsumgebung.

Glossar

Devops
Devops beschreibt einen Prozessverbesserungs-Ansatz aus den Bereichen der Softwareentwicklung und Systemadministration. Devops ist ein Kunstwort aus den Begriffen Development (englisch für Entwicklung) und IT Operations (englisch für IT-Betrieb). Devops soll durch gemeinsame Anreize, Prozesse und Werkzeuge (englisch: Tools) eine effektivere und effizientere Zusammenarbeit der Bereiche Dev, Ops und Qualitätssicherung (QS) ermöglichen.

API
Eine Programmierschnittstelle, genauer Schnittstelle zur Anwendungsprogrammierung, häufig nur kurz API genannt (englisch application programming interface, wörtlich «Anwendungs­program­mier­­schnittstelle»), ist ein Programmteil, der von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird.

Software as a Service
Software as a Service (SaaS) ist ein Teilbereich des Cloud-Computings. Das SaaS-Modell basiert auf dem Grundsatz, dass die Software und die IT-Infrastruktur bei einem externen IT-Dienstleister betrieben und vom Kunden als Dienstleistung genutzt werden. Für die Nutzung von Online-Diensten wird ein internetfähiger Computer sowie die Internetanbindung an den externen IT-Dienstleister benötigt. Der Zugriff auf die Software wird meist über einen Webbrowser realisiert.

Github
Github ist ein webbasierter Online-Dienst, der Software-Entwicklungsprojekte auf seinen Servern bereitstellt.

Encryption
Eine Form der Datenverschlüsselung, bei der nur ein autorisierter Empfänger die Daten entschlüsseln kann.

Transport Layer Security
Transport Layer Security (TLS, englisch für Transportschichtsicherheit), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

Hypervisor
Der Begriff Hypervisor setzt sich aus den griechischen Wörtern Hyper (deutsch: über) und Visor (lateinisch videre, deutsch: sehen) zusammen. Er wird auch als Virtual Machine Manager bezeichnet, der Hardware-Ressourcen dynamisch und transparent zuweisen kann, wodurch auf einer physikalischen Hardware mehrere Betriebssysteme parallel ausgeführt werden können. Die einzelnen Betriebssysteme sind so voneinander isoliert, dass sie die Existenz des jeweils anderen nicht kennen. Dadurch wird jedem System suggeriert, dass es alleine über die vollständigen Ressourcen wie Prozessorleistung, Arbeitsspeicher, Festplattenspeicher etc. der darunter liegenden physikalischen Hardware verfügt. Der Hypervisor ist für die Kontrolle des Prozessors und aller Ressourcen zuständig und weist diese den jeweiligen Betriebssystemen (Gastsysteme, Virtual Machines) je nach Bedarf zu. Weiterhin sorgt er dafür, dass die einzelnen Gastsysteme ungestört voneinander arbeiten können und sich nicht gegenseitig während des Betriebs stören.

Quelle: Wikipedia, Crisp Research AG