Artur Marciniec - Fotolia
Blast Radius: Auswirkungen des Diebstahls von Nutzerkonten
Der tatsächliche Schaden, der zum Beispiel durch den Diebstahl von Account-Daten entsteht, ist meist weit höher als anfangs angenommen. Dieser Blast Radius muss begrenzt werden.
Sicherheitsteams haben längst gelernt und akzeptiert, dass die Cloud nicht per se ein wirklich sicherer Platz ist, um da geschäftlichen Aktivitäten abzuwickeln. Cloud-Umgebungen sind vielen Bedrohungen ausgesetzt. Sie reichen von Account-Hijacking bis zu DoS-Attacken (Denial of Service). Es ist deswegen die Aufgabe von Security-Teams auf der ganzen Welt, ihre Cloud-basierten Ressourcen umfassend zu schützen und die potentiellen Schäden zu begrenzen, die Angriffe verursachen können.
Dabei ist schon vielfach belegt worden, dass die direkten Auswirkungen von Angriffen auf die Benutzerkonten einzelner Anwender weit über das ausgewählte Opfer hinausgehen. Nicht selten sind ganze Unternehmen und ihre Kunden von solchen Attacken betroffen.
In einer vom SANS Institute 2019 veröffentlichten Studie zur Sicherheit in der Cloud nannten die Teilnehmer vor allem grundlegende Probleme bei der Konfiguration der Dienste. Als Ursache dafür wurden häufig fehlende Kenntnisse, Fehler beim erwünschten schnellen Deployment sowie unsichere APIs (Application Programming Interfaces) genannt.
Der Großteil der Befragten betonte zudem die offensichtlich noch nicht ausgereiften Methoden zum Schutz der Cloud. Bei mehr als der Hälfte der von ihnen registrierten Attacken sei es auch zu einem Diebstahl von Anmeldedaten gekommen. Diese Tatsache und der Anteil von rund 38 Prozent, bei denen sogar die Accounts von Superusern in fremde Hände fielen, belegt, dass Unternehmen noch nicht genug tun, um die Accounts ihrer normalen Nutzer und ihrer Admins vor Missbrauch zu schützen.
Security-Abteilungen benötigen deshalb neue Strategien, um Angriffe auf ihre Cloud-Ressourcen rechtzeitig erkennen und bekämpfen zu können. Ein dafür geeignetes Konzept, das bereits von einigen DevOps-Teams genutzt wird, ist der sogenannte Blast Radius (Englisch für Explosionsradius). Der Blast Radius beschreibt den echten Schaden, der auftritt, wenn etwas schiefgeht. Nehmen wir zum Beispiel einen gehackten Account oder Server oder den Ausfall einer wichtigen Komponente. Der eigentliche Schaden, also der Blast Radius dieses Ereignisses, ist oft weit größer als ursprünglich angenommen.
Viele Security-Teams sollten diese Tatsache bei ihren Planungen mit einbeziehen. Durch die Frage „Was wäre, wenn…?“ für alle Bedrohungen ihrer Cloud-Umgebungen können sie sich angemessen auf sie vorbereiten und entstehenden weiteren Schaden verhindern.
Wie sich die Auswirkungen von Angriffen auf die Cloud eingrenzen lassen
Das Blast-Radius-Konzept wirkt sich umgehend auf das Cloud-Security-Modell eines Unternehmens aus, indem damit der gesamte Schaden begrenzt wird, der durch einen Sicherheitsvorfall entstehen kann. Wenn Sie diesem Konzept folgen, werden Sie schnell feststellen, dass das Deployment und der Betrieb Ihrer Cloud-Umgebung weit weniger nervenaufreibend sind als bisher.
Dazu kommt, dass Admins, die das Blast-Radius-Konzept bei ihren Anwendungen und im laufenden Betrieb einsetzen wollen, einige Übereinstimmungen bemerken werden, wenn es um die Einführung von Zugriffskontrollen und verwandten Technologien geht.
Ein Beispiel für die Begrenzung des Blast Radius sieht so aus:
- Was kann alles passieren, wenn ein für die Cloud oder auch für Azure Active Directory genutzter Account kompromittiert wird?
- Angreifer könnten sich lateral im Netz bewegen, auf sensible Daten zugreifen und sich dabei als der betroffene Anwender ausgeben.
- Diese Gefahr lässt sich mit dem Einsatz einer Multifaktor-Authentifizierung, mit einem umfangreichen Logging sowie Monitoring und mit strikt greifenden Zugriffskontrollen begrenzen.
Ein weiteres Beispiel sieht so aus:
- Was kann alles passieren, wenn eine fehlerhaft konfigurierte Security Group in Azure eingeführt wird?
- Angreifer könnten sich wiederum lateral in der Struktur bewegen und auf Netzwerkdienste und Systeme zugreifen, die normalerweise geschützt sein sollten.
- Diese Bedrohung kann durch ein Auditing der Regeln für die Security Groups, einen Einsatz von Infrastructure-as-Code-Templates und Host-basierten Sicherheits-Tools begrenzt werden.
Eine der innovativsten neuen Ideen im Bereich Cloud-Architektur und -Design, die in den vergangenen Jahren an Bedeutung gewonnen hat, beruht auf einer verstärkten Kontrolle der Zugriffe und des Blast Radius durch eine Verwendung zusätzlicher Accounts. Sie können zum Beispiel für die unterschiedlichen Gruppen in jeder größeren Cloud-Umgebung angelegt werden. Dabei immer wieder verwendete Account-Rollen können etwa für Entwickler, Mitarbeiter des operativen Teams, Fachabteilungen wie Vertrieb und Marketing sowie für dedizierte Accounts für den oder die Security-Spezialisten angelegt werden.
Bei einem solchen Aufbau können dann die Logs und Aufzeichnungen über alle anderen Benutzerkonten in einem zentralen Repository gespeichert werden, auf das nur die Security-Spezialisten Zugriff haben. So haben sie eine direkte Kontrolle über die Logs und die darin aufgezeichneten Ereignisse. Darüber hinaus können spezielle Nutzerkonten für die jeweils ersten Zugriffe auf die Cloud eingerichtet werden. Alle weiteren Assets werden dann über zusätzliche Accounts verwaltet, die mit spezifischen Rollen ausgestattet sind, die ihnen je nach Bedarf zugeteilt wurden.
AWS Landing Zone, ein meist vom jeweiligen Service-Provider angebotener Dienst, ist bei dem Einrichten solcher Multi-Account-Umgebungen hilfreich. Der Dienst lässt sich zudem mit dem AWS Control Tower Service noch erweitern und automatisieren. Er wurde erstmals auf der AWS re:Invent 2018 vorgestellt. Microsoft Azure verwendet ein etwas anderes Modell mit nur einem einzigen Account und unterschiedlichen Abonnements, die für die jeweils benötigten Funktionen implementiert werden können.
Zusätzlich zu einer auf Multi-Account oder -Abonnements aufsetzenden Strategie benötigen Unternehmen effektive Zugangskontrollen, um damit festzulegen, wer, was, wo erledigen darf. Das „Wer“ kann dabei ein Nutzer sein oder auch eine App, ein System oder ein Subnetz innerhalb der Umgebung. Moderne Strategien für sichere Zugriffe in der Cloud entwickeln sich zunehmend auf Basis einer solchen Objekt-orientierten Sicherheit, die auch als Mikrosegmentierung oder Zero Trust bezeichnet wird. Aber wie auch immer Sie dieses Vorgehen nennen wollen, die wichtigsten Elemente bei dieser Strategie sind das Identity and Access Management (IAM), das Management der Zugriffe auf das Netzwerk sowie das Design der Segmentierung.
Viele Unternehmen greifen auf mehrere Sicherheitsmechanismen zurück, wenn es um den Aufbau ihrer Zugriffskontrollen geht. Dieses Gebiet entwickelt sich derzeit sehr schnell weiter. Security-Spezialisten sollten deswegen ihr Augenmerk sowohl auf den kommerziellen Markt als auch auf die in diesem Bereich aktiven Open-Source-Communities legen. Wichtig sind ferner eine sorgfältige Planung und Umsetzung der Zugriffskontrollen für das gesamte Netzwerk sowie ein intensives Logging, um alle Veränderungen an der Umgebung im Blick zu behalten. Diese Maßnahmen helfen Ihnen dabei, die Auswirkungen auftretender IT-Security-Vorfälle, also den Blast Radius, zu begrenzen.