Cloud-Fehlkonfigurationen entgegenwirken

Originalbeitrag von Aaron Ansari, VP Cloud Security

Fehlkonfigurationen gehören zu den häufigen Kinderkrankheiten, wenn ein Unternehmen im Zuge seiner digitalen Transformation in die Cloud wechselt. Sie werden leider in der Regel auf die harte Tour entdeckt – nämlich dann, wenn ein Cyberangriff oder ein Datendiebstahl bereits stattgefunden hat und das Unternehmen mit den Folgen konfrontiert ist. Unternehmen benötigen Strategien, um diese Fehlkonfigurationen zu vermeiden.

Laut einer Studie von DivvyCloud aus dem Jahr 2020 kosteten Cloud-Fehlkonfigurationen zwischen 2018 und 2019 Unternehmen fünf Billionen US-Dollar. Der größte Teil davon entfiel auf Datenschutzverletzungen, die durch Fehlkonfigurationen verursacht wurden. Außerdem können diese Unternehmen auf weitere Weise Kosten verursachen: so zum Beispiel durch ungenutzte Instanzen (bei denen der Dienst nicht ausgeführt aber dennoch bezahlt wird), ungenutzten Speicherplatz und zu viel Provisioning. Sicherheitsverletzungen – exponierte Datensätze, Daten und Infrastruktur – führen zu Geldstrafen, Geschäftseinbußen, Kundenverlusten und mehr.

Erhöhtes Risiko

Die Verschlüsselung von Online-Speichern ist so einfach wie das Umlegen eines Schalters. Wird dieser Schalter hingegen nicht umgelegt (da er in der Regel nicht standardmäßig aktiviert ist), können die gespeicherten Daten exponiert werden. Bedrohungsakteure sind immer auf der Suche nach diesen Sicherheitslücken. Sie programmieren ihre Skripts und Bots so, dass sie genau nach dieser Art von Lücken suchen, um darüber alle möglichen Daten extrahieren können.

Die Kosten eines Angriffs hängen von den Daten und der zugrunde liegenden Cloud-Infrastruktur ab, die mit der Konfiguration verbunden ist. Laterale Bewegung innerhalb einer Cloud-Umgebung wird möglich, sobald eine Fehlkonfiguration ausgenutzt worden ist. Zur Veranschaulichung: Die Kosten pro verlorenem oder gestohlenem Datensatz beträgt durchschnittlich 161 $, für Personal Identifiable nformation (PII) bei 180 $.

Fehlkonfigurationen werden zu Schwachstellen

Für eine Fehlkonfiguration sind in erster Linie das Unternehmen und seine Entwickler verantwortlich, während die Behebung einer Schwachstelle in erster Linie den Service Providern obliegt, die einen Patch veröffentlichen müssen. Wir haben kürzlich die häufigsten Cloud-Fehlkonfigurationen untersucht, die zu Datenschutzverletzungen führen können. Einige davon sind hochgradig gefährlich, so etwa der aktivierte Just-in-Time-Zugriff auf virtuelle Maschinen und der aktivierte unveränderliche Blob-Speicher.

Bild 1. Fehlkonfigurationsraten der 10 wichtigsten Trend Micro Cloud One™ – Conformity Configuration Regeln für Microsoft Azure (Juni 2020 bis Juni 2021)

Unsere Daten zeigen auch sehr häufige Verstöße gegen die Amazon Simple Storage Service (S3)-Regeln. Doch sollte man die Daten genauer untersuchen, bevor man das Schlimmste annimmt. Es müssen nicht alle Amazon S3-Buckets verschlüsselt werden, wenn etwa die Daten im Klartext bereitgestellt werden müssen, z. B. für öffentliche Websites oder Daten, auf die über eine Anwendung offen zugegriffen werden muss.

Datenklassifizierung hingegen sollte immer vorgenommen werden. Die Fragen sind: Was wird in den Speichercontainer gelegt? Sollte er verschlüsselt werden? Da Cloud Security Posture Management (CSPM)-Technologien keinen Zugriff auf die Unternehmensdaten haben sollten (und der Cloud-Anbieter auch nicht), liegt es am Unternehmen, das Verschlüsselungs-Level der Daten zu bestimmen. Es ist daher ein Muss zu prüfen, ob das Unternehmen solche Bewertungen durchführen und ob es einen Überblick über die Vorgänge in ihrer Cloud haben will.

Vermeiden von Fehlkonfigurationen in der Cloud

Angriffe, die auf eine Fehlkonfiguration zurückzuführen sind, hätten in den allermeisten Fällen leicht vermieden werden können, wenn die Fehlkonfiguration von vornherein bemerkt worden wäre. Mithilfe einiger Best Practices lässt sich dies vermeiden.

Automatisierung der Sicherheit

Automatisierung und Transparenz sind das größte Problem in den Cloud-Umgebungen. Zwar gibt es Technologien, um den Umzug in die Cloud sicher zu bewältigen, aber gleichzeitig auch einen Mangel an Mitarbeitern. DevOps-Teams entwickeln in Rekordtempo und geben Anwendungen täglich oder stündlich frei, aber die Sicherheitsteams können nicht immer mithalten. Eine Möglichkeit, dies zu erreichen, besteht darin, ihre Arbeit zu automatisieren und zu erweitern. Eine Software-definierte Infrastruktur (SDI), Infrastructure as Code (IaC) und aktuelle Vorlagen und Container helfen bei der Automatisierung und Erweiterung.

Automatisierung der Einhaltung von Vorschriften

Die Integration der Compliance in den Automatisierungszyklus des Unternehmens sollte zu einer Basismaßnahme werden. Dies ist ein wichtiger Standard, der von Cloud-Anbietern gesetzt wird. Bezüglich der Cloud muss die Sicherheit über die verschiedenen globalen Standards hinausgehen und die von den Cloud-Anbietern genannten Standards sowie die Best Practices für die spezifische Branche eines Unternehmens berücksichtigen.

Höhere Qualifizierung der Arbeitskräfte

Programmierer haben keinen inhärenten sicherheitsorientierten Fokus bei der Entwicklung ihrer Arbeit, so dass Fehler, die die Sicherheit betreffen, ständig auftreten. IaC und SDI sowie die Integration von CSPM in den DevOps-Zyklus helfen, diese Herausforderung zu meistern. Daher kann die Weiterbildung der Mitarbeiter die Sicherheit bereits in der Entwurfsphase gewährleisten.

Fazit

Insgesamt ist es wichtig, im Hinterkopf zu behalten, dass die Cloud für Angriffe anfällig ist. Für ihre Sicherheit sind der Cloud-Service-Anbieter (CSP) und das Unternehmen gemeinsam verantwortlich. Die Unternehmen sollten daher ihren Teil dazu beitragen und ihrer Rolle bei der Sicherung ihrer Cloud-Umgebungen gerecht werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.