Security-Herausforderungen im Cloud-Kontext 2023
19. Mai 2022
0 Min. LesezeitDie Cloud: Game Changer mit vielen Facetten Beachtliche Kostenvorteile gegenüber lokalen Storage-Lösungen und unkomplizierte Skalierung sind nur einige der enormen Vorteile, die die Technologie gegenüber dem klassischen Rechenzentrum hat. So setzt sich die Liste fort mit mehr Resilienz, globaler Reichweite und der Sicherheit und Innovationskraft, die Cloud-Provider bieten.
Gerade beim Stichwort Sicherheit stehen allerdings auch äußerst spezifische Risiken und Problematiken im Raum – eine Einschätzung, die tatsächlich nicht weniger als 99 % aller Unternehmen teilen. Doch diese lassen sich allesamt bewältigen. Worauf es dabei zu achten gilt, welche Best Practices zu mehr Sicherheit beitragen und wie Sie Bedrohungen effektiv aus Ihrer Cloud-Infrastruktur fernhalten, erfahren Sie im Folgenden.
Was ist Cloud-Sicherheit?
Cloud-Sicherheit umfasst von Software, Policies und Prozessen bis hin zu Teams und Infrastruktur sämtliche Aspekte der Sicherheit von Daten in der Cloud. Speziell geht es dabei um Security-Prozesse, die den spezifischen Herausforderungen und Anforderungen im Zusammenhang mit Cloud-Architektur Rechnung tragen.
Mit Cloud-Infrastruktur geht ein Bedrohungsprofil einher, das sich vollkommen von dem früherer Hosting-Modelle unterscheidet. In punkto Cloud-Sicherheit gilt es dabei zunächst einmal zu verstehen, dass die Thematik geteilten Verantwortung unterliegt. Umso wichtiger ist es daher, die erheblich komplexeren und dynamischeren Angriffsvektoren zu kennen, die mit den diversen in der Cloud provisionierten Ressourcen verbunden sind. Der Schlüssel liegt daher in Sicherheit als Designprinzip der Architektur. Denn dadurch lässt sich die Angriffsfläche auf ein Minimum reduzieren und auch der potenzielle Wirkungsradius von Incidents an Eintrittspunkten minimieren.
Methodisch ist Cloud-Sicherheit zwar anders umzusetzen als gewohnt. Doch die Kernsäulen der IT-Sicherheit kommen auch weiterhin zum Tragen: Vertraulichkeit von Daten, Integrität der Infrastruktur und Verfügbarkeit der Systeme. Um dieses Dreigespann erhalten zu können, gilt es zuallererst, die spezifischen Security-Herausforderungen der Cloud genauer zu beleuchten.
Sicherheit als Kernprämisse effektiver Cloud-Nutzung
In erster Linie geht es darum, Ihre Gesamtumgebung transparent zu durchblicken – und Angreifern genau das zu verwehren. Hierzu braucht es Klarheit darüber, wo sensible Daten in der Cloud verortet sind. Außerdem gilt es, Lücken innerhalb der zugrunde liegenden Architektur zu schließen, über die Angreifer Aufklärungsaktionen starten, sich durch die Umgebung bewegen und Daten abgreifen können.
Denn nicht zu Unrecht gelten Daten heute als einer der wertvollsten Rohstoffe, können sie doch von Kunden- und gesundheitsbezogenen Daten bis hin zu Business-Plänen und Finanzinformationen verschiedenste höchst vertrauliche Details umfassen. Entsprechend gravierend sind die Folgen einer Datenpanne, vom Verlust von Kundenvertrauen über Strafzahlungen bis hin zu langwierigen Rechtsstreits und anderen nur schwer kalkulierbaren Unannehmlichkeiten und Kosten.
Top 11 der Security-Herausforderungen 2023
Kleine wie große Unternehmen setzen heute wenigstens zu einem gewissen Grad auf Cloud Computing – und tendenziell nimmt die Nutzung analog zum weiteren Unternehmenswachstum zu. Umso wichtiger also, dass dies mit einer starken Security-Architektur unterfüttert wird, die klassische Risiken wie Konfigurationsfehler auf ein Minimum reduziert. Vor Problematiken wie diesen ist niemand gefeit, und so kann man gar nicht früh genug damit beginnen, Sicherheitsmaßnahmen in diesem Kontext zu implementieren bzw. auszuweiten.
Nachfolgend ein Blick auf einige der drängendsten Problematiken im Security-Kontext 2023:
1. System-Altlasten
Cloudbasierte Architektur erfordert cloudnatives Security-Tooling, unterfüttert durch spezifisch abgestimmte Policies, umgesetzt durch Teams mit dem nötigen Know-how. Wenig zielführend sind daher Strategien, die Legacy-Tools auf die Cloud-Infrastruktur loszulassen versuchen – zumal Netzwerk-Monitoring oder Firewalls dieser Generationen in aller Regel überhaupt nicht kompatibel sind. Entsprechend sind sie auch nicht in der Lage, die Cloud-Umgebung adäquat gegen Kompromittierungen abzusichern.
Zurückzuführen ist dies auf die Struktur: Die Grenzen des Netzwerks verschwimmen, sind somit auch mit vollkommen anderen Bedrohungsszenarien verbunden als Legacy-Umgebungen. Denn in der Vergangenheit bildeten Firewalls wie auch die physische Netzwerktopologie eine klare Grenzen zwischen internem und externem Perimeter. Werden interne Ressourcen hier extern zur Verfügung gestellt, sind spezifische Konfigurationen für Netzwerkgeräte wie auch die Firewall vonnöten. Ebenfalls ein Faktor ist dabei die jeweilige Routing-Topologie.
Cloud-Ressourcen wiederum können mittels Konfiguration direkt bei ihrer Provisionierung öffentlich verfügbar gemacht werden. Um hier Sicherheit gewährleisten zu können, braucht es eine Zero-Trust-Policy. Dies bedeutet, dass jeder Node zunächst einmal als potenziell kompromittiert angesehen wird und Authentifizierung wie auch Verschlüsselung für sämtliche Kommunikationsversuche vorausgesetzt werden – unabhängig davon, wo sie sich in der Netzwerkarchitektur befinden. Hierdurch wird zudem eine Beurteilung des potenziellen Wirkungsradius einer Kompromittierung unabdingbar. Denn Angreifer nutzen API-Schlüssel für Ressourcen, über die sie sich in die Kontrollebene einnisten, um so ihre Optionen zu sondieren, sich lateral zu bewegen und unbemerkt Daten auszuschleusen.
2. Sicherheit für Container-Workloads
Cloud-Anwendungen und -Workloads unterscheiden sich gravierend von denen aus Zeiten von Workstations und Bare-Metal-Servern. Bereitgestellt wird Software heute zumeist in Form von Web-Anwendungen. Für ihre Ausführung kommen in aller Regel Container zum Einsatz: Mehr als 78 % der Produktions-Workloads werden in Container-Deployments ausgerollt.
Neben den Containern selbst sind Tools für ihre Orchestrierung wie Kubernetes populär. Sie bieten enormes Potenzial zur Skalierung von Anwendungen, bringen aber auch zusätzliche Komplexität und Security-Problematiken mit sich.
Im Cloud-Kontext noch vergleichsweise neu, sind Containern Security-Herausforderungen inhärent, die in klassischen Architekturen quasi nicht existent waren. So liegen etwa Container auf Basis der Docker-Engine häufig Base-Images zugrunde, die aus öffentlich verfügbaren Repositories stammen. Bisweilen sind diese jedoch veraltet, oder es handelt sich gar um kompromittierte Versionen, die von böswilligen Akteuren hinterlegt wurden.
Umso wichtiger sind daher Sicherheitsmechanismen, die über das gesamte SDLC und die zugehörige Toolchain greifen. Denn werden entsprechende Probleme erst in der Produktion erkannt, nimmt die Kompromittierung des Unternehmens womöglich schon ihren Lauf.
3. Datenpannen
Als Top-Vertreter in der Liste möglicher Security Incidents machen Datenpannen immer wieder Schlagzeilen – selbst bei vermeintlich höchst fortgeschrittenen Cloud-Nutzern.
Dabei gilt es zum Schutz vor ihnen allem voran zu verstehen, wie wertvoll Daten sind. Und wie gravierend die Folgen ihrer Preisgabe sein können – selbst wenn dies womöglich ungewollt erfolgt. Als erster Schutzmechanismus ist Verschlüsselung daher unbedingt anzuraten, dies zudem flankiert durch einen rigoros getesteten Incident-Response-Plan. Nicht weniger wichtig sind dabei konsequente Routinen zur Gewährleistung der Integrität von Daten-Inputs und -Outputs. Entsprechende Kontrollmechanismen müssen daher umfassend dokumentiert werden, um Risiken effektiv minimieren zu können.
Erwähnt wurden die potenziell mit Datenpannen verbundenen Reputationsschäden ja bereits; ein prominentes Beispiel hierfür liefert etwa Capital One mit einem Incident infolge falscher Cloud-Konfigurationen. Komplizierte Rechtsstreitigkeiten sind dabei nur ein Faktor, können solche Vorfälle doch auch ungewollte Aufmerksamkeit von Regulierungsbehörden auf sich ziehen. Darüber hinaus landen personenbezogene Daten wie etwa auch gesundheitsbezogene Informationen, die Angreifer erbeuten können, womöglich auch auf einschlägigen Marktplätzen der Schattenwirtschaft.
4. Konfigurationsfehler und Change-Management
Unabdingbar ist Klarheit darüber, welche Daten in der Cloud abgelegt sind, welche Personen und Systeme Zugriff auf sie haben und – was wohl am wichtigsten ist – inwieweit diese sowohl durch interne wie auch durch Maßnahmen des Cloud-Providers geschützt sind.
Dabei gilt allerdings gerade bei Letzteren: Die Liste an Sicherheitsmaßnahmen kann noch so lang sein, doch sie allein werden zum Schutz der Daten noch immer nicht ausreichen. Denn die Konfiguration von Cloud-Umgebungen verändert sich quasi ununterbrochen. Entsprechend leicht schleichen sich also auch Fehler mit der Folge von Schwachstellen ein, die sich mit gezielten Angriffen mitunter binnen weniger Minuten ausnutzen lassen. So kommt es unseren Untersuchungen nach tatsächlich bei nicht weniger als 56 % der Unternehmen aufgrund von Konfigurationsfehlern im Verbund mit bekannten Schwachstellen zu Security Incidents.
Minimieren lassen sich entsprechende Risiken am besten durch konsequentes Change Management: Sämtliche Änderungen innerhalb Ihrer Systeme gilt es abzufragen, abzunehmen, zu validieren und in Logs festzuhalten. Denn fehlt es hier an wirksamen Kontrollen, sind Konfigurationsfehlern und damit Incidents Tür und Tor geöffnet.
Ein Riegel vorschieben lässt sich Konfigurationsfehlern äußerst effektiv mittels Policy as Code. Nicht nur, dass sich darüber Security-Checks automatisieren lassen. Es werden auch für alle Stakeholder geltende Regelwerke etabliert, was wiederum Fehlinterpretationen oder inkonsistenten Evaluierungs- und Umsetzungsverfahren vorbeugt. Ein weiterer Vorteil: Humanfehler oder langwierige manuelle Prozesse sind ebenfalls passé. Als Standard für die Umsetzung etabliert sich zunehmend der Open Policy Agent, etwa auch bei so namhaften Unternehmen wie Netflix, Pinterest oder Cloudflare.
5. Cloudspezifische Security-Architektur
Häufig gehen Unternehmen den Weg in die Cloud, ohne ihn mit einer adäquaten Security-Architektur oder -Strategie zu flankieren. Ein kardinaler Fehler. Denn zunächst gilt es, damit verbundene Bedrohungen en détail zu kennen und zudem alle Teams mit dem nötigen Know-how zur Umsetzung einer hierzu passenden Architektur auszustatten. Denn am effektivsten lässt sich Sicherheit in der Cloud direkt über die ihr zugrunde liegende Umgebung gewährleisten. Dies betrifft etwa die Verfahren zur Migration, bevor es ans Deployment geht, ebenso wie die genaue Prüfung der Security-Programme der jeweils genutzten Public-Cloud-Provider (sofern denn einer genutzt wird).
Hierzu sollte ein externer Audit in Auftrag gegeben werden, die zudem sämtliche potenziellen Schwachstelle klar kommuniziert, damit der Anbieter seine Lösungen entsprechend härten kann.
6. Open Source
Von der Prozesskultur rund um Support und Maintenance von Programmpaketen bis hin zum Dev-Tooling macht die Open-Source-Community enorme Fortschritte, was die Sicherheit und Reife ihrer Cloud-Ökosysteme anbelangt. So sind Open-Source-Tools und -Plattformen wie auch Code-Pakete eine durchaus featurestarke Bereicherung für Ihre Cloud-Systeme. Zugleich ist es aber auch unabdingbar, die Risiken zu kennen, die Sie sich damit potenziell ins Haus holen.
Dies betrifft insbesondere auch den Support: Nicht selten bestehen für Open-Source-Tools überhaupt keine entsprechenden Strukturen, oder aber der Support ist nicht offiziell oder nur lückenhaft. Hinzu kommt, dass Schwachstellen in Open-Source-Komponenten häufig von der Community selbst oder auf sie spezialisierten Organisationen veröffentlicht werden. Als Nutzer der Komponenten müssen Sie so ggf. mit unbequemen Audits rechnen und sind logischerweise auch potenziell über darin bestehende Schwachstellen angreifbar.
7. Identitäts-, Account- und Zugriffsmanagement
Abhängig von der Unternehmensgröße umfassen die Dev-Teams gut und gerne einmal mehrere Hundert oder auch Tausend Entwickler. Entsprechend wichtig also, dass Zugriffsrechte nur in dem Umfang vergeben werden, wie sie für die jeweilige Rolle benötigt werden. Grundsätzlich ist hier tatsächlich am besten das Prinzip der geringsten Rechte anzuwenden, dies zudem flankiert durch adäquate Verfahren und Policies zur sicheren Ablage und Löschung von Daten.
Umsetzen lässt sich dies am besten durch durchgängiges Auditing, Tracking, Monitoring und Management von Cloud-Anmeldedaten, um Problemen rund um (De)-Provisionierung, „Zombie“- und nicht mehr benötigte Admin-Accounts sowie Nutzern vorzubeugen, die an IAM-Kontrollen (Identity & Access Management) vorbei gelangen können.
Moderne Cloud-Umgebungen sind gegenüber Security Incidents im Zusammenhang mit IAM besonders anfällig. Dies nicht zuletzt auch deshalb, weil diese weit mehr betreffen als nutzerseitige Zugriffe. Denn diese Kontrollen fungieren vielmehr als das Netzwerk, das die Interaktion zwischen Cloud-Ressourcen ermöglicht. Entsprechend wichtig ist es, die Cloud-Umgebung laufend auf unsichere Konfigurationen in diesem Zusammenhang zu untersuchen, die bei Compliance-Audits oder Security-Checks bestimmter Tools durchs Raster fallen. Policy as Code kann hierbei helfen, da unsichere IAM-Konfigurationen so direkt bei der Definition von Infrastructure as Code aufgedeckt werden können.
Ebenfalls unabdingbar ist in diesem Zusammenhang Zwei-Faktor-Authentifizierung, um im Verbund mit stringenten IAM-Kontrollen, regelmäßigem Durchwechseln von API-Schlüsseln und der Löschung nicht genutzter Accounts für starke Cloud-Sicherheit zu sorgen.
8. Compliance
Sicherheitsmaßnahmen gilt es im Cloud-Kontext bereits verschiedenste zu beachten. Nicht weniger umfangreich ist aber auch der damit verbundene Anforderungskatalog branchenspezifischer und gesetzlicher Bestimmungen insbesondere auch im Zusammenhang mit gesundheits- oder finanzbezogenen Daten. Dabei ist nicht nur die große Bandbreite an Bestimmungen enorm, sondern auch die Dynamik, mit der sie sich verändern. Umso wichtiger also, dass der jeweils genutzte Cloud-Provider ebenso wie die auf seinen Services ausgeführten Anwendungen für die Verarbeitung sensibler Daten zertifiziert sind.
Unter den diversen Standards gilt dabei mindestens den folgenden vier besonderes Augenmerk:
HIPAA: Der Health Insurance Portability and Accountability Act bzw. HIPAA sieht spezielle Vorgaben für die Datenschutz- und Sicherheitsmechanismen von Anwendungen vor, die gesundheitsbezogene bzw. Patientendaten verarbeiten. So müssen Unternehmen, die im Gesundheitswesen operieren, Nachweise von ihren Cloud-Providern einholen, dass diese adäquaten Schutz für Daten dieser Art gewährleisten.
PCI: Der Payment Card Industry Data Security Standard bzw. PCI DSS reguliert die Verarbeitung von Kreditkartenzahlungen über die Systeme gängiger Anbieter wie American Express, Discover, Mastercard oder Visa. Vorausgesetzt wird seine Erfüllung von den Anbietern selbst, formuliert wurde er vom Payment Card Industry Security Standards Council als Maßnahme zur Vorbeugung von Betrugsfällen im Zusammenhang mit Kreditkartenzahlungen.
Personenbezogene Daten: Hierzu gehören neben Daten von Verbrauchern, Mitarbeitern und Partnern auch solche von allen anderen Entitäten, die als juristische Personen gelten. Viele der Bestimmungen rund um den Schutz personenbezogener Daten sehen Nachweise für ihre Erfüllung ebenso vor wie die Bekanntgabe etwaiger Sicherheitsvorfälle in diesem Zusammenhang.
DSGVO: Speziell für den Datenschutz von Personen innerhalb der Europäischen Union gilt die Datenschutz-Grundverordnung bzw. DSGVO. In ihrem Rahmen müssen von Namen und Anschriften über E-Mail-Adressen und Bankdaten bis hin zu Beiträgen in Social Media, gesundheitsbezogenen Informationen und IP-Adressen sämtliche auf eine Person lautende Daten auf Servern gespeichert und verwahrt werden, deren Standort in der EU liegt. Im Falle von Incidents mit Auswirkungen auf die Integrität dieser Daten sind zudem die Betroffenen zu benachrichtigen.
9. Ungeschützte APIs
APIs sind gewissermaßen eine der Grundessenzen der Cloud. Ihre Konfigurationen sind in der Regel zwar umfassend dokumentiert. Unterlaufen dabei jedoch Fehler, öffnet sich oft direkt ein Einfallstor für Angreifer. Als ein solches kann sich zudem auch die vom Cloud-Service-Provider angebotene Dokumentation ungewollt erweisen.
Denn über die API-Dokumentation können Cyberkriminelle potenziell Schwachstellen ausmachen, über die sich Daten aus der Cloud-Umgebung des Cloud-Kunden ausschleusen lassen.
Daher gilt es, eine Reihe von Best Practices zur API-Hygiene zu befolgen. Neben standardbasierten, offenen API-Frameworks ist hier wichtig, keinen der zugehörigen Schlüssel mehr als einmal zu verwenden. Ferner sollten APIs umfassend auf ihre Sicherheit getestet und dabei auch sämtliche Anforderungen rechtlicher Art bzw. aus anderen Compliance-Kontexten abgeglichen werden.
10. Insider-Bedrohungen
Relevant sind diese freilich nur im Kontext der Cloud. Ausgehen können sie von bestehenden oder ehemaligen Mitarbeitern ebenso wie Auftragnehmern oder Partnern. Verursacht werden können durch sie neben Datenpannen und Downtime auch Vertrauensverluste bei Kunden.
Von Datenlecks und -diebstahl über Probleme im Zusammenhang mit Anmeldedaten, Humanfehlern und falschen Cloud-Konfigurationen decken Insider-Bedrohungen quasi das gesamte Spektrum ab. Zum Schutz davor braucht es einmal Aufklärung zu Security-Themen. Außerdem gilt es, Konfigurationsfehler bei Cloud-Servern zu beheben und stringente Zugriffskontrollen für kritische Systeme zu implementieren.
11. Wissenslücken interner Teams
Gewissermaßen die Insider-Bedrohung Nummer 1, kommen hier quasi alle Ausführungen aus diesem Artikel zusammen.
Denn fehlerhafte Konfigurationen Ihrer Cloud-Plattformen und APIs sind das Resultat mangelnder Kenntnis um die Vielzahl damit verbundener Schwachstellen. Daraus wiederum folgen potenzielle Verstöße gegen Bestimmungen zu Datenschutz und -sicherheit, die Ihnen Schwierigkeiten mit Behörden und zugleich empfindliche Rufschädigungen einbringen können. Fehlt es an zielführenden, umfassend dokumentierten Zugriffskontrollen und Change-Management-Prozessen, sind Anfälligkeiten gegenüber Bedrohungen von innerhalb wie außerhalb Ihres Unternehmen die Folge, ebenso wie öffentliches Aufsehen und potenzielle Klagen mit unvorhersehbarem Ausgang.
Snyk: Ihr Partner für starke Cloud-Sicherheit
Cloud Computing ist immer weiter auf dem Vormarsch. Zugleich wächst aber auch bei knapp 60 % der Unternehmen, die auf eine cloudnative Umgebung setzen, die Besorgnis um die Sicherheit.
Ursächlich für schwerwiegende Cyberangriffe auf die zugrunde liegende Infrastruktur sind zumeist Schwachstellen in Anwendungen, die über Cloud-Konfigurationsfehler entweder eingebracht oder vergrößert wurden. Umso wichtiger ist es daher, dass Dev- und Security-Teams gleichermaßen mit Security Best Practices für cloudnative Anwendungen vertraut sind.
Genau diese vermitteln ihnen die Lösungen für Developer-First Security von Snyk. Security-Grundsätze implementieren Entwickler damit direkt in sämtlichen Elementen moderner Anwendungen – von proprietärem und Open-Source-Code über Container bis hin zur Cloud-Infrastruktur.
Sicherheit für Ihre Konfigurationen von der IDE bis in die Live-Cloud-Umgebung
Mit Snyk entwickeln Ihre Dev-Teams sichere Cloud-Infrastruktur und beheben IaC-Probleme bereits im Quellcode.