Inhaltsübersicht
Cloud Network Security ist ein Bereich der Cybersecurity, bei dem es darum geht, die Chancen den Datenzugriffs, der Datenmanipulation oder -zerstörung durch böswillige Akteure in einer öffentlichen oder privaten Cloud-Umgebung zu minimieren. Auch wenn die Sicherung von Cloud-Netzwerken in ihren Grundsätzen Ähnlichkeiten mit der Sicherung von lokalen Netzwerken aufweist, erfordern die individuellen Aspekte von Cloud-Umgebungen den Einsatz anderer Taktiken.
Laden Sie Rapid7's Annual Cloud Misconfigurations Report herunter ▶︎
Die Sicherheit von Cloud-Netzwerken ist wichtig, weil sensible Informationen in die Cloud verlagert werden, wo sie anfälliger sind. Diese Informationen müssen geschützt sein, aber mit der Cloud treten neue Herausforderungen hervor, wodurch die Sicherheit mitunter problematisch wird.
Die Herausforderungen für die Sicherheit von Cloud-Netzwerken sind es auch, die die Operationalisierung in der Cloud so leistungsfähig machen. Zunächst einmal ist die Bereitstellung neuer Assets in einem Cloud-Netzwerk sehr einfach. In einem lokalen Netzwerk haben die IT- und Sicherheits-Teams den Überblick über neue Infrastruktur. Der Ausbau des Netzwerks erfolgt langsam und ist aufwändig, aber er erfolgt mit der Gewissheit, dass die neue Infrastruktur von Sicherheitsexperten konfiguriert wird.
In einem Cloud-Netzwerk kann neue Infrastruktur von jeder beliebigen Person oder jedem System mit den passenden Zugriffsrechten sofort hinzugefügt werden, ohne dass die IT- oder Sicherheits-Teams unmittelbar beteiligt sind. Das macht den Netzwerkausbau sehr viel einfacher, vergrößert jedoch auch das Risiko, dass neue Infrastruktur nicht auf Sicherheit konfiguriert wurde und daher Schwachstellen aufweist.
Eine weitere einzigartige Herausforderung der Netzwerksicherheit beim Cloud Computing ist die Geschwindigkeit der Veränderung in Cloud-Umgebungen. Beim Einsatz von Technologien wie Autoscaling und serverlosem Computing tauchen Assets in einem Cloud-Netzwerk ständig neu auf und verschwinden dann wieder.
Herkömmliche Sicherheitsmaßnahmen wie Vulnerability Scans reichen nicht mehr aus, da das anfällige Asset möglicherweise nur wenige Minuten existiert; allerdings bietet das für böswillige Akteure mehr als genug Zeit, um es zu finden und auszunutzen, aber bei Weitem nicht genug Zeit, um von einem wöchentlich oder gar täglich ausgeführten Scan erkannt zu werden.
Durch die einfache Bereitstellung und hohe Veränderungsrate wird es für Sicherheits-Teams sehr viel schwieriger, einen vollständigen Überblick über die Cloud-Umgebung aufrechtzuerhalten. In Hybrid-Umgebungen (IT-Umgebungen, die Netzwerke vor Ort wie auch Cloud-Netzwerke vereinen) verschlechtert sich diese Lage weiter, da diverse Daten in verschiedenen Systemen gelagert und von unterschiedlichen Sicherheits-Tools geschützt werden.
In diesen Umgebungen muss das Sicherheitsteam zwischen verschiedenen Systemen hin und her springen, um seine Sicherheitsmaßnahmen umzusetzen. Der Mangel an vereinheitlichten Daten erschwert oder verhindert es sogar, sich einen genauen Überblick über die gesamte Sicherheitslage des Unternehmens zu verschaffen oder einen böswilligen Akteur zu verfolgen, der zwischen der Cloud und den lokalen Netzwerken hin und her wechselt.
Nicht zuletzt ist der Eigentümer eines Netzwerks bei einem öffentlichen Cloud-Anbieter wie AWS oder Azure gemeinsam mit dem Anbieter für die Sicherheit des Netzwerks verantwortlich. Obwohl die Einzelheiten dieses Modells der geteilten Verantwortung je nach Anbieter variieren, sind sie im Allgemeinen für die Sicherung der Cloud selbst verantwortlich, z. B. für die physische Sicherheit der Rechenzentren, die Wartung und Aktualisierung der Hardware usw. Der Netzwerkinhaber wiederum trägt die Verantwortung für die Sicherheit aller Dinge, die er in diese Cloud-Umgebung setzt.
Viele Benutzer sind besorgt über diese Art von Kontrollverlust bei der Sicherung der Hardware und der Datenzentren, aber etablierte öffentliche Cloud-Serviceanbieter wie Amazon, Microsoft und Google verfügen über ausreichend Ressourcen für beispielsweise den Schutz der physischen Sicherheit. Das echte Risiko dieses Shared Responsibility-Modells ist die Verwirrung, die es innerhalb eines Unternehmens hervorrufen kann. Es sind mehr als ein paar Sicherheitsvorfälle aufgetreten, da Personen irrtümlicherweise davon ausgingen, dass sie sich um die Cloud-Sicherheit keine Sorgen machen müssten, da sie sich um alles kümmere.
Über die Einführung von DevSecOps und die Schulung der Mitarbeiter in der sicheren Nutzung eines Cloud-Netzwerks ist die Definition einer Sicherheitsgrundlage für die Cloud-Umgebung am effektivsten, um Risiken im Cloud-Netzwerk zu minimieren. Die Grundlage oder Baseline sollte idealerweise erstellt werden, bevor das Unternehmen das Cloud-Netzwerk zur Nutzung freigibt, aber selbst eine nachträgliche Einrichtung ist hilfreich.
Diese Baseline legt fest, wie das Cloud-Netzwerk unter dem Sicherheitsaspekt aussehen sollte. Ziel ist die Gewährleistung, dass alle — Sicherheit, IT, Engineering, DevOps, usw. — wissen, was zu tun ist, um das Netzwerk auf Dauer sicher zu betreiben. Eine genau definierte Baseline kann dazu beitragen, eine Reihe von Herausforderungen im Cloud-Netzwerk bearbeiten zu können, einschließlich einfache Bereitstellung, rasante Veränderungen und die geteilte Verantwortung.
Es gibt einige Best Practices für die Cloud Network Security, die Unternehmen umsetzen können, um diese Baseline zu etablieren. Zuerst sollte die Baseline die Architektur der Cloud-Umgebung benennen und festlegen, wie jedes Asset konfiguriert werden soll. Zudem muss festgelegt werden, wer Lese- oder Schreibzugang zu den einzelnen Teilen der Umgebung hat. Der Einsatz von Leitfäden wie CIS Benchmarks und das AWS Well-Architected Framework empfiehlt sich als hilfreich bei der Definition der Baseline.
Achten Sie darauf, dass die Baseline für Pre-Production- und Testumgebungen gilt. In vielen Fällen dienten diese Umgebungen beim Angriff als Einstiegspunkt. Sorgen Sie dafür, dass die Baseline Richtlinien und Kontrollen für Testzwecke enthält, beispielsweise welche Produktionsdatenbanken zum Test verwendet oder dupliziert werden können (falls zutreffend).
Die Baseline sollte auch den Incident Response Plan enthalten und klar definieren, wer im Unternehmen für welche Aspekte der Cloud-Sicherheit dauerhaft zuständig ist.Darüber hinaus sollte sie immer wieder überprüft und regelmäßig aktualisiert werden, um auf neue Bedrohungen vorbereitet zu sein und neue Best Practices zu reflektieren.
Sobald die Baseline erstellt oder aktualisiert wurde, muss sie an alle verteilt werden, die das Cloud-Netzwerk nutzen. Darüber hinaus muss das Sicherheitsteam mit DevOps zusammenarbeiten und Möglichkeiten implementieren, um die Baseline durchzusetzen. Dazu gehört die Einrichtung von Cloud-Infrastrukturvorlagen (wobei die Infrastruktur als Codelösung des Cloud-Anbieters oder Lieferanten wie Terraform fungiert), in denen alles richtig konfiguriert ist. Weiterhin umfasst es die Implementierung kontinuierlicher Überwachung, um erkennen zu können, wann ein Element veraltet ist oder nach der Bereitstellung verändert wurde und somit nicht mehr der Baseline entspricht. Vorlagen für virtuelle Rechner sollten einen Embedded Agent enthalten, damit die kontinuierliche Überwachung und Schwachstellenerkennung ab dem Zeitpunkt der Bereitstellung erfolgen kann.
Was die Herausforderungen im Bereich der Visibility oder Transparenz in Cloud-Netzwerken betrifft, sollten Sicherheitsteams zu Beginn sicherstellen, dass sie (mindestens) über schreibgeschützten Zugriff auf alle Cloud-Konten des Unternehmens verfügen. Unternehmen, die die Visibilität in einer Hybrid- oder Multi-Cloud-Umgebung sichern und aufrechterhalten wollen, wird empfohlen, ein einziges Team mit der Aufsicht aller Teile der gesamten IT-Umgebung zu betrauen.
Ein Team einzusetzen, das für die lokale Sicherheit verantwortlich ist, und ein weiteres, das für die Cloud-Sicherheit zuständig ist, führt häufig zu Silobildung, toten Winkeln und Schwierigkeiten bei der Verfolgung eines bösartigen Akteurs, der zwischen den Netzwerken hin und her wechselt.
Teams, die die Sicherheit in Hybrid- oder Multi-Cloud-Umgebungen betreuen, sollten auch die von ihnen eingesetzten Tools neu bewerten. Viele Legacy-Sicherheitslösungen wurden nicht auf Unterstützung von Cloud-Netzwerken optimiert. Das führt zu Teams, die verschiedene Tools verwenden, um ihre lokalen und Cloud-Umgebungen zu sichern. Stattdessen sollte das Team Tools wählen, mit denen es die Sicherheit der gesamten IT-Umgebung im Unternehmen zentral verwalten kann.
Die meisten Teams profitieren von Tools wie diesen:
Sicherheitsteams sollten auch die Nutzung eines Sicherheits-Automations-Tools in Betracht ziehen, das sie bei der Sicherung von Cloud-Netzwerken unterstützt. Automatisierung kann das Team dabei unterstützen, mit den schnellen Veränderungen in Cloud-Netzwerken Schritt zu halten, die Transparenz durch Datenaustausch unter den Systemen zu verbessern, effizienter zu arbeiten, indem sinnlose Arbeitsschritte eliminiert werden, und die Schäden aus einem Vorfall zu minimieren, indem auf erkannte Bedrohungen sofort reagiert wird.
Eine Möglichkeit der Automationsnutzung ist die Automatisierung der Bereitstellung von Cloud-Infrastrukturvorlagen (aus Ihrer Sicherheits-Baseline) unter Einsatz eines Tools wie Chef oder Puppet.Dies kann die Erstellung komplexer Architektur vereinfachen und die Chancen menschlicher Fehler mindern.Eine weitere Nutzung von Automation ist der Einsatz einer Sicherheitsorchestrierungs-, -automatisierungs- und -reaktionslösung (SOAR).
Ein derartiges Tool ermöglicht es dem Team, problemlos Daten zwischen Systemen auszutauschen, ohne sich die Zeit zur Integration über APIs nehmen zu müssen.Eine SOAR-Lösung kann sogar viele der manuellen Prozesse automatisieren, die zum Alltag eines Sicherheitsanalysten zählen oder die die Untersuchung eines Problems verlangsamen.So kann das Sicherheitsteam beispielsweise Workflows im SOAR-Tool aufbauen, die verdächtige Phishing-E-Mails automatisch untersuchen, Malware in Quarantäne setzen, sobald sie erkannt wurde, Benutzer einrichten oder deren Einrichtung beenden, den Patching-Prozess zu beschleunigen und vieles mehr.
Zusätzlich zu allem, was wir bereits angesprochen haben, gibt es eine Reihe weiterer Best Practices für Unternehmen, die Webanwendungen in ihrem Cloud-Netzwerk entwickeln und bereitstellen möchten. Diese Unternehmen sollten nach vorn schauen und so früh wie möglich Sicherheit in ihren Softwareentwicklungszyklus (SDLC) integrieren. Anders ausgedrückt sollten Sicherheitsfragen im Rahmen der Vorab-Tests des Codes bewertet und wie jeder andere Fehler behandelt werden.
Das sorgt nicht nur dafür, dass implementierter Code frei von Sicherheitslücken ist, sondern markiert auch Schwachstellen während der Tests, sodass Entwickler die Möglichkeit haben, zu erfahren, welche Schwachstellen im Code vorhanden sind und wie sie sich in Zukunft vermeiden lassen. Die Arten der modernen Webanwendungen, die derzeit in Cloud-Netzwerken eingesetzt werden, sind in der Regel ziemlich komplex. Unternehmen, die also nach Wegen suchen, wie sie diese Art von Apps testen können, sollten sicherstellen, dass die von ihnen erwägten SAST-, DAST- oder IAST-Lösungen die Codebasis ihrer Apps verarbeiten können.
Die beste Weise, dies zu bestimmen, ist der Test des Tools in einer kostenlosen Probezeit. Auch wenn dies nicht exklusiv für Cloud-Netzwerke gilt, sollte erwähnt werden, dass Organisationen, die Web-Apps bereitstellen, auch zusätzliche Schutzmaßnahmen wie eine Web Application Firewall (WAF) in Erwägung ziehen sollten, um böswillige Akteure daran zu hindern, auf die App zuzugreifen. Weiterhin ist Runtime Application Security Protection (RASP) sinnvoll, um auf einen Live-Angriff zu reagieren, dem es gelingt, die WAF zu umgehen.
2022 Cloud Misconfigurations Report: Neueste Cloud Security-Verstöße und Angriffstrends
Erfahren Sie mehr über die Cloud Security Lösung von Rapid7: InsightCloudSec