nobeastsofierce - Fotolia

AWS und Microsoft Azure: Neue Cloud-Security-Funktionen

In der Cloud kümmert sich meist vor allem der Provider um den Schutz der Daten. AWS und Microsoft bieten nun aber neue Dienste an, die einen Teil der Aufgaben in Kundenhand geben.

Viele Unternehmen sind derzeit dabei, einen größeren Teil ihrer Geschäftsanwendungen in die Cloud umzuziehen. Häufig entscheiden sie sich dabei für große IaaS-Provider (Infrastructure as a Service) wie Microsoft Azure oder AWS (Amazon Web Services). Nicht allen IT-Verantwortlichen ist dabei aber klar, dass die bisher von ihnen gemanagten Sicherheitsmaßnahmen nun weitgehend in der Hand dieser Provider liegen.

Mittlerweile gibt es zwar einige Konfigurationsmöglichkeiten für wichtige Security-Einstellungen in der Cloud – durch Automatisierung und einen modernen softwarebasierten Schutz sind hier auch einige neue Möglichkeiten hinzugekommen. Bei vielen anderen sicherheitsrelevanten Punkten ist aber völlig undurchsichtig, was wirklich hinter den Kulissen in der Umgebung des Cloud-Anbieters geschieht.

Spezielle Logging-Dienste wie AWS CloudTrail und Microsoft Azure Activity Log sind ein guter Einstieg, um sich intensiver mit der Materie zu beschäftigen. Sie bieten den Security-Teams in den Unternehmen viele Möglichkeiten, um Daten zu sammeln und um sie mit bereits lokal eingesetzten SIEM-Lösungen (Security Information and Event Management) sowie anderen Tools zu kombinieren, um sie so später auszuwerten.

Nichtsdestotrotz werden jedoch meist noch tiefergehende Daten benötigt, um herauszufinden, was wirklich in der genutzten Cloud-Umgebung geschieht. Dazu gehören Analysen der diversen User-Aktivitäten, des Netzwerk-Traffics, bestimmter Verhaltensweisen der verwendeten Systeme und Anwendungen und noch einiges mehr, das durchgeführt werden sollte. Bislang gab es für einen Cloud-Kunden aber keine Möglichkeit, auf diese Daten umfassend zuzugreifen und sie selbst auszuwerten. Dies hat sich jedoch geändert.

Sowohl Amazon als auch Microsoft bieten ihren Nutzern inzwischen Dienste an, mit denen sie weit mehr über die jeweiligen Cloud-Umgebungen erfahren und so Bedrohungen schneller erkennen können.

Amazon GuardDuty

GuardDuty von Amazon ist ein vom Provider verwalteter Dienst, um Bedrohungen zu erkennen. Dabei aggregiert er Daten aus verschiedenen Quellen wie CloudTrail und VPC Flow Logs zur Analyse der Kommunikation im Netzwerk und im DNS-System (Domain Name System). Dazu kommen Informationen über aktuelle Gefahren aus dem Internet, die von Dritten bereitgestellt werden und die dazu dienen sollen, ein umfassendes Bild der momentanen Bedrohungslage erstellen zu können.

Der Dienst ist nicht nur in der Lage, alle Daten zu scannen, die von den AWS-Accounts eines Unternehmens stammen, sondern sie auch mit anderen automatisierten Erkennungs- und Überwachungsservices innerhalb von AWS abzugleichen. Auf Basis dieser Informationen können Accounts automatisch deaktiviert, verdächtige Instanzen erkannt und von ihnen ausgehende Datenströme blockiert werden und vieles mehr. In der Regel wird dies durch ein Event-Monitoring in CloudWatch erreicht, so dass automatisch Funktionen in AWS Lambda ausgelöst werden.

GuardDuty konzentriert sich dabei auf wesentliche API-Aufrufe innerhalb von AWS, die zum Beispiel auftreten, wenn Systemänderungen vorgenommen werden sollen, wenn neue Assets angelegt werden oder wenn auf Accounts und zugehörige Anmeldedaten zugegriffen wird. GuardDuty erkennt automatisch verdächtige Aktivitäten in diesem Zusammenhang, indem es nach bestimmten Mustern bei der Nutzung, bei den Zugriffen und bei der allgemeinen Aktivität sucht.

Bereits bei der Freigabe von GuardDuty im November 2017 bot der Dienst rund 34 verschiedene Möglichkeiten, um verschiedene Manipulationen an AWS-Accounts zu erkennen. Im März 2018 fügte der Provider ein weiteres Dutzend Funktionen zum Schutz der Cloud hinzu. So erkennt GuardDuty nun mittlerweile auch verdächtige Aktivitäten, wenn ein Angreifer etwa versucht, Informationen über in einem Unternehmen verwendete Cloud-Ressourcen zu sammeln, wenn ein Hacker Anstrengungen unternimmt sich dauerhaft festzusetzen, indem er Zugriffsrechte in ungewöhnlicher Weise manipuliert, oder wenn unerwartete Fehler bei Anmeldungen und Authentifizierungen auftreten. GuardDuty kann außerdem erkennen, wenn jemand versucht, sich zu tarnen, indem er etwa das Logging deaktiviert oder wenn DNS-Anfragen von AWS aus an bekannte Malware-Domains gesendet werden. Letztere Daten werden laufend aktualisiert.

Cloud Threat Intelligence von Microsoft

Auch Microsoft hat seine Fähigkeiten zum Schutz der Cloud- und SaaS-Umgebungen (Software as a Service) Azure und Office 365 erheblich erweitert. Derzeit bietet das Unternehmen drei Dienste an, die Kunden nutzen können:

  • Windows Defender Advanced Threat Protection: Dieser Dienst ermöglicht es, verdächtige Anwendungen in einer Sandbox innerhalb von Azure zu isolieren und dort zu analysieren. So können Admins schnell herausfinden, wofür eine Anwendung wirklich dient. So lassen sich auch Hinweise über mögliche Infektionen sammeln, um besser auf bereits erkannte Bedrohungen reagieren zu können.
  • Microsoft Advanced Threat Analytics (ATA): ATA ist ein On-Premises einsetzbarer Dienst, den Microsoft bereits seit 2015 anbietet. Er dient dazu, Daten aus Logs und anderen Events zu sammeln, die innerhalb von Windows Active Directory (AD) auftreten. So lassen sich schädliche Aktivitäten im Firmennetz, Account-Diebstähle, aber auch fortgeschrittene Angriffstechniken wie „Pass the Hash“ oder „Kerberos Golden Ticket“ erkennen, bei denen Nutzerdaten missbraucht werden. ATA bietet darüber hinaus Möglichkeiten, um gegen entdeckte Attacken vorzugehen und um den durch sie verursachten Schaden zu minimieren. Manche dieser Methoden sind auch im Azure Security Center zu finden. Dort sind die Kontrollmöglichkeiten aber etwas eingeschränkter.
  • Azure Advanced Threat Protection (ATP): ATP ist ein erst 2018 von Microsoft eingeführter Dienst, der ähnlich wie AWS GuardDuty funktioniert. Im Prinzip handelt es sich dabei um eine Umsetzung von ATA für die Azure-Cloud. Der Service setzt deswegen auf den Fähigkeiten von ATA zur Erkennung von Bedrohungen auf, erfordert aber eine Integration in den Domänen-Controller und eine Koordinierung mit Microsoft, um ihn innerhalb von Azure voll nutzen zu können.

Sowohl Microsoft als auch AWS können verdächtige Aktivitäten innerhalb der Umgebungen ihrer Kunden nun sehr ausführlich überwachen. So lassen sich böswillige Vorgänge weit schneller erkennen als früher. Bislang unentdeckte Eindringlinge in ihren Cloud-Umgebungen können so schneller bekämpft werden. Die neuen Funktionen und Dienste, die den Kunden nun zur Verfügung stehen, verbessern die Sicherheit in vielen Cloud-Instanzen teilweise erheblich. In manchen Fällen dürfte der Schutz der Daten eines Unternehmens sogar nun weit besser sein als noch vor einem Umstieg auf die Cloud.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloser E-Guide: Azure Active Directory in der Praxis

Das Azure Security Center im Detail

Azure: Anwendungen für DDoS-Attacken schützen

Erfahren Sie mehr über Cloud-Sicherheit