Skip to main content

Deep-Dive: Cloud Security Posture Management

0 Min. Lesezeit

Was ist Cloud Security Posture Management (CSPM)?

Konzeptionell geht es dabei darum, die Erkennung und Mitigierung von Sicherheitsrisiken über die gesamte Cloud-Infrastruktur hinweg zu automatisieren. Abgedeckt werden dabei von Hybrid- und Multiclouds bis hin zu Containern sämtliche Umgebungen, adressiert werden Sicherheitsbedrohungen und Fehlkonfigurationen ebenso wie etwa eine missbräuchliche oder nonkonforme Nutzung von Cloud-Services. Effektive CSPM-Lösungen vereinen dazu Security-Evaluierung, Incident Response und Compliance-Monitoring mit der Integration entsprechender Features in DevOps-Workflows zu einem Verbund, sodass die Sicherheit in der Cloud insgesamt gestärkt wird.

CSPM als Kernprämisse

Viele Unternehmen gehen den Weg in die Cloud unter der Annahme, dass ihr Provider – sei es AWS, Google Cloud, Microsoft Azure oder ein anderer – für die Sicherheit verantwortlich ist. Tatsächlich aber gehen sämtliche uns bekannten Security Incidents im Cloud-Kontext auf Fehlkonfigurationen zurück, die vom Cloud-Kunden und nicht dessen Provider verursacht wurden.

Genau hier setzt CSPM mit einer Methodik an, die Sicherheits- und Compliance-Risiken anhand automatisierter Checks adressiert. Für Cloud-Nutzer bedeutet dies: Potenzielle Fehlkonfigurationen und damit Risikoherde für Datenpannen erkennen und beheben sie erheblich leichter. Mehr als die Hälfte der im Rahmen unseres State of Cloud Native Application Security Report Befragten gab an, schon einmal mit einem Security Incident infolge von fehlerhaften Konfigurationen oder bekannten Schwachstellen konfrontiert worden zu sein – ein deutliches Anzeichen für den dringenden Bedarf, Cloud-Sicherheit mittels CSPM umfassender anzugehen.

Ursachen für Cloud-Fehlkonfigurationen

Definiert werden können diese als das Fehlen passender Kontrollen für Anwendungen, Container, Infrastruktur oder andere Software-Komponenten. Ursächlich ist dafür häufig unzureichende Visibility für die Gesamtinfrastruktur und dafür, wie Container, Kubernetes und Cloud-Services miteinander interagieren. Daneben sind zuweilen aber auch die Standardeinstellungen oder -anmeldedaten der jeweiligen Komponenten der Übeltäter. Denn aus Security-Perspektive sind einige davon wenig adäquat.

Shared Responsibility: Das Modell der geteilten Verantwortung

Wie bereits erwähnt, obliegt Sicherheit in der Cloud nicht einzig dem Provider. Vielmehr gilt es ebenso für den Nutzer des jeweiligen Public-Cloud-Services, für dessen Sicherheit zu sorgen.

Wie dieses Modell der Shared Responsibility bzw. geteilten Verantwortung im Einzelnen ausgestaltet ist, hängt vom jeweiligen Nutzungsmodell der Infrastruktur ab. Anders als bei On-Prem-Infrastruktur, bei der die Verantwortlichkeit für die Sicherheit ausschließlich dem Unternehmen selbst obliegt, ist sie bei Cloud-Services abhängig von ihrem Typ gestaffelt:

  • Infrastructure as a Service (IaaS): Bei diesem Modell verwaltet der Cloud-Provider die physische Hardware einschließlich Infrastruktur, Netzwerk und Storage.

  • Platform as a Service (PaaS): Neben der Infrastruktur übernimmt der Cloud-Provider hier auch die Verwaltung von Betriebssystem, Umgebung und allen weiteren Komponenten, die zur Ausführung von Anwendungen erforderlich sind.

  • Software as a Service (SaaS): Hier verwaltet der Provider von der Infrastruktur und Plattform bis hin zur Software sämtliche Elemente.

So nehmen die Verantwortlichkeiten des Cloud-Providers von IaaS zu SaaS zwar schrittweise zu, doch fällt darunter nicht die Frage, ob die Interaktion mit dem Cloud-Service unternehmensseitig durch korrekte Konfigurationen gesichert ist.

Use Cases für CSPM

CSPM ist eines der Tools im Cybersecurity-Toolset, das von der Bedrohungserkennung und Incident Response bis hin zu Compliance und Infrastruktursicherheit verschiedenste Use Cases abdeckt.

Erkennung von Bedrohungen

Mit einer Lösung für CSPM wird es möglich, Bedrohungen über verschiedenste Cloud-Umgebungen hinweg proaktiv aufzudecken. Hierzu erhalten Unternehmen durchgängige, zentralisierte Visibility in Fehlkonfigurationen und verdächtige Aktivitäten, auf die gestützt sie Risiken klar beurteilen und effektiv minimieren können.

Incident Response

Ein zentrales Element von CSPM bildet darüber hinaus die Erkennung von Indicators of Compromise wie die Änderung von mittels IAM zugewiesenen Rollen oder die Deaktivierung von Verschlüsselung durch einen Angreifer oder Schwachstellen infolge von Fehlkonfigurationen. Anhand von Features zur Incident Response können Unternehmen dann sämtliche erkannten Bedrohungen schnell einsehen und effektiv eliminieren.

Compliance

Mittels CSPM wird überdies auch lückenloses Compliance-Monitoring und -Reporting für HIPAA, SOC2 und andere branchenspezifische und gesetzliche Bestimmungen umsetzbar. So lassen sich nicht nur Verstöße gegen diese vermeiden, sondern auch die Anwendung interner Sicherheits-Policies effektiver gewährleisten.

Absicherung der Infrastruktur

In diesem Kontext punktet CSPM durch Scans der Cloud-Infrastruktur zugrunde liegenden Konfigurationsdateien auf Sicherheitsprobleme, die zugleich auch Aufschluss über die Interaktion verschiedener Cloud-Services liefern. Deployments von Anwendungen in unsicheren Cloud-Umgebungen lassen sich so effektiv vorbeugen.

CSPM und DevSecOps

Infrastructure as Code (IaC) etabliert sich zunehmend als bevorzugtes Modell zur Einrichtung und Verwaltung von Cloud-Infrastruktur. Da die entsprechenden Aufgaben in diesem Zuge auf die Entwickler übergehen, braucht es eine klare Abstimmung hinsichtlich der Zuständigkeiten für Cloud- und Infrastruktursicherheit zwischen Dev-, DevOps- und Security-Teams.

Im Rahmen einer DevSecOps-Methodik fließen Sicherheitsthemen hierzu direkt ins gesamte SDLC ein, so auch in automatisierte IaC-Deployments. Dies ist wichtig, da Provisionierung und Management bei IaC anhand von Konfigurationsdateien erfolgen, in die sich allzu leicht Fehler einschleichen. Mittels CSPM lassen sich jedoch passende Monitoring-Mechanismen implementieren, mit deren Hilfe anfällige Konfigurationen für IaC-Deployments aufgedeckt und behoben werden können.

Flankiert durch Policy as Code (PaC) wird CSPM dabei zu einer noch effektiveren Ergänzung des DevSecOps-Modells. Konzeptionell geht es bei PaC darum, Code und Produktionsumgebungen auf unerwünschte Bedingungen oder unsichere Konfigurationen zu untersuchen. Der bedeutende Vorteil dabei: Security-Prozesse lassen sich anhand eines Frameworks automatisieren, das sämtlichen Cloud-Stakeholdern unmissverständlich vermittelt, welche Regeln wie und in welcher Phase des SDLC anzuwenden sind.

CSPM-Lösungen bilden innerhalb einer cloudnativen AppSec-Plattform eine weitere wichtige Säule zur Stärkung der Sicherheit nicht nur der Anwendungen, die in der Cloud ausgeführt werden, sondern auch der ihnen zugrunde liegenden Umgebung. Mit der Übernahme von Fugue ergänzen wir die Snyk Plattform um einen weiteren bedeutenden Puzzlestein hierfür, durch den nun auch Kontext zu den potenziellen Auswirkungen von Cloud-Fehlkonfigurationen zur Verfügung steht. Dies erleichtert ihre Behebung noch einmal zusätzlich. Integriert wurden die Technologien von Fugue in das Toolset rund um Snyk IaC – und diverse weitere Feature-Entwicklungen werden daraus noch entstehen.

FAQs

Warum ist CSPM so wichtig?

Mechanismen zur Erkennung böswilliger Aktivitäten von internen und externen Akteuren finden sich in den meisten Unternehmen. Nicht davon abgedeckt sind jedoch ungewollt eingebrachte Sicherheitsrisiken in Form von Fehlkonfigurationen. Unsichere Standardeinstellungen oder etwa auch unzureichende Zugriffskontrollen hinterlassen jedoch ebenfalls Sicherheitslücken. Genau diesen trägt Cloud Security Posture Management (CSPM) anhand von automatisierten Checks Rechnung, die von Containern und Kubernetes bis hin zu Multicloud-Umgebungen die gesamte Cloud-Infrastruktur auf Fehlkonfigurationen ausleuchten.

Worin liegen die Unterschiede zwischen CSPM von CASB?

Cloud Security Access Broker (CASB) implementieren Sicherheits-Policies rund um die Nutzung von Cloud-Ressourcen. Als eine Art Firewall gewährleisten sie, dass nutzerseitige Interaktionen mit der Cloud nur gemäß den jeweiligen Richtlinien des Unternehmens erfolgen. Beim Cloud Security Posture Management (CSPM) geht es dagegen um die Sicherheit von Cloud-Ressourcen im Kontext der ihnen zugrunde liegenden Konfiguration. Gewährleistet wird dies durch automatische Erkennung potenzieller Fehlkonfigurationen.

Worin liegen die Unterschiede zwischen CSPM von CWPP?

Als Cloud Workload Protection Platform (CWPP) werden Lösungen zum Schutz von Workloads innerhalb von Legacy-Rechenzentren, Private Clouds und Public-Cloud-Umgebungen bezeichnet. Cloud Security Posture Management (CSPM) ist spezifisch auf Cloud-Umgebungen ausgerichtet, CWPPs dagegen adressieren Workloads über sämtliche Deployments hinweg. Das Ziel der beiden Cybersecurity-Tools ist jedoch das gleiche: der Schutz von Daten in der Cloud.

Nächster Artikel dieser Serie

Cloud Security Architecture - Secure by Design

The leading cloud platforms like Amazon Web Services (AWS), Google Cloud (GCP), and Microsoft Azure have thousands of security professionals working to secure their public cloud infrastructure around the clock, but they are not solely responsible for securing cloud deployments.

Weiterlesen