English

Sicherheitsbasics für die Cloud

von VPNHaus | 05.06.2019 |Cloud, Cybersecurity Strategy, Data Security, Endpoint Management

Immer mehr Firmen nutzen Public Cloud-Rechenressourcen für ihre IT-Anforderungen. Oft sind es Pilotprojekte, um herauszufinden, wie mit der Cloud in der Praxis gearbeitet werden kann, aber die mutigeren Unternehmen, außerhalb Deutschlands sowieso, schieben große Teile ihrer Workloads Richtung Azure, AWS oder Google Cloud. Ob das in punkto Kosten, Datenschutz und Intellectual Property Protection sinnvoll ist, steht auf einem anderen Blatt, aber dafür sind ja die vielen Testballons gedacht. Klar ist, dass die Cloud-Anbindung abgesichert sein muss. Organisationen benötigen dafür im Detail eine passende Architektur und ein Sicherheitskonzept, aber ein paar Grundregeln gelten immer und in jedem Fall.

Ein wesentlicher Faktor für die Sicherheit aller IT-Ressourcen, On-Premise oder Cloud sind die Zugangsberechtigungen. Wenn Credentials, im schlimmsten Fall Priviliged Accounts, kompromittiert werden, helfen alle wundervollen technischen Barrieren nichts mehr, egal ob sie an Edge, Perimeter, im Core oder an den Endgeräten wirken sollen. Gewinnt der Angreifer Root-Rechte auf einem Server heißt es erstmal „Game Over“ und man kann nur hoffen, dass eine sinnvolle Segmentierung den Schaden eingrenzt, bis der Angriff entdeckt wird. Ein schönes Beispiel dafür ist der jüngst bekannt gewordene Fall bei Tesla, als ein Angreifer mit den erbeuteten Zugangsdaten eines DevOps-Entwicklers Ressourcen in der Amazon Cloud kaperte, um mit ihnen Crypto-Währungen zu schürfen.

Nicht umsonst zählt bei Azure das rollenbasierte Rechtekonzept RBAC zu den wirkungsvollsten Sicherheitsmaßnahmen. Die uneingeschränkte Empfehlung lautet also, die Rechtevergabe und Zugriffskontrolle ernst zu nehmen. Dazu gehört als erstes, ein gemeinsames Sicherheitsmodell mit entsprechender Rollen- und Rechteverteilung für alle Ressourcen zu nutzen. Es ist fehleranfällig und schlicht unnötig Cloud und On-Premise im Sicherheitsmodell zu trennen. Compliance ist Compliance und die gilt für alle Systeme, egal wo sie physisch stehen. Natürlich gibt es Aspekte, die sich bei Cloud und On-Premise unterschieden, gerade was die Compliance angeht. Aber die Vorgaben sind identisch und die sollten auch in einem übergreifenden Sicherheitsmodel abgebildet werden. Dazu gehört in jedem Fall, Active Directory auf die Cloud-Ressourcen auszudehnen und ein gemeinsames Rechte- und Rollenkonzept über AD abzubilden. Der Cloud-Provider sollte kein separates Identity- und Access Management für die Cloud Ressourcen betreiben. Wenn er es tut ist es wichtig, die Zugriffe über eine Priviliged Access Management (PAM)Lösung abzusichern.

Generell ist es heute Best Practice, nicht mehr mit Non-Personalized Accounts (NPA) wie „root“ zu administrieren. Administratoren sollten immer mit einem personalisierten Account arbeiten, damit Aktivitäten in den Logs leichter zugeordnet werden können. Falls sich das aus technischen oder organisatorischen Gründen nicht umsetzen lässt, oder wenn die Compliance-Anforderungen eine nicht-umgehbare Aufzeichnung verlangen, sind PAM-Lösungen die perfekte Antwort. Anbieter wie CyberArk oder BeyondTrust haben passende Produkte, die auch in Cloud-Umgebungen funktionieren.

Bevor Personalized Accounts und passende Log-Produkte ihre Wirkung entfalten können, sollten die vergebenen Rechte genau und kritisch betrachtet werden. Oft sammeln sich im Admin-Leben Rechte an, die zwar nicht mehr gebraucht aber auch nicht mehr zurückgegeben werden. Zumindest für die Cloud-Ressourcen ist es wichtig, die Verantwortungen granular zu vergeben. Cloud-Management-Konsolen bieten viele Möglichkeiten der Delegation von Rechten auf Rollenbasis, so dass sich „allmächtige“ Admins vermieden werden können. Zu guter Letzt ist eine weitere altbekannte Empfehlung für Cloud-Umgebungen ein absolutes Muss: Kein administrativer Zugang ohne Zwei- oder Mehr-Faktor Authentisierung!  Mit 2FA und MFA werden gestohlene oder anderweitig kompromittierte Credentials nicht komplett unschädlich gemacht. Angreifer haben aber deutlich mehr Mühe, den oder die zusätzlichen Faktoren zu erbeuten. Wer Cloud sagt, muss also auch Rechtemanagement und Multi-Faktor-Authentisierung sagen.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK