Henrik Dolle - Fotolia
Checkliste: Die Sicherheit bei der Cloud-Nutzung optimieren
Der Datensicherheit hat in modernen IT-Umgebungen eine besondere Bedeutung. Mit der dieser Checkliste können Unternehmen sicherstellen, keine wichtigen Aspekte zu übersehen.
Wenn IT-Abteilungen Workloads zu den führenden Public-Cloud-Anbietern auslagern, werden Sicherheitsrichtlinien und Best Practices häufig nicht im dem von internen Betrieb gewohnten Maße umgesetzt.
Exemplarisch sei hier die Absicherung von AWS Simple Storage Service Buckets genannt. Tritt hier ein Datenverstoß auf, sind die direkt und indirekt damit verbunden Kosten meist deutlich höher, als der Aufwand, der nötig gewesen wäre, um angemessene Sicherheitsvorkehrungen zu treffen.
Es gibt keine Zauberformel, wie Administratoren außerhalb ihres eigenen Rechenzentrums die Daten des Unternehmens angemessen schützen können. Die folgende Checkliste unterstützt einen mehrstufigen Ansatz und berücksichtigt zudem die Standardangebote der großen Cloud-Anbieter.
Cloud-Konten absichern und Gruppen bilden
Es muss sichergestellt werden, dass der Admin-Zugang für das Cloud-Angebot abgesichert ist. Um Sicherheitsrichtlinien einzuhalten und trotzdem die tägliche Administration zu vereinfachen, kann man administrative Gruppen erstellen und nicht einem Einzelnen Rechte zuweisen.
Um die Sicherheit möglichst granular abzubilden, empfiehlt es sich ohnehin, mit zusätzlichen Gruppen zu arbeiten. Für einige Nutzer genügen Leserechte, meist für mehr Anwender, als man denkt. Leserechte genügen etwa für diejenigen Personen und Dienste, die nur Berichte erstellen. Andere Benutzer sollten zwar in der Lage sein, bestimmte Anwendungsaufgaben zu erledigen, dürfen aber natürlich keine virtuelle Maschine neu starten. Viele Cloud-Anbieter stellen entsprechende Rollen zur Verfügung. So sollten sich Cloud-Admins damit auseinandersetzen, welche Rolle für welchen eigenen Anwendungsfall am besten geeignet ist. Bestehende Rollen sollten nicht geändert werden, sondern gegebenenfalls kopiert werden.
Erstellen Sie eine No-Access-Richtlinie, um ein Konto vorübergehend zu deaktivieren. So können Sie diese Richtlinie auf jegliche Art Konto anwenden, um es zu deaktivieren und die Richtlinie entfernen, um es wieder zu deaktivieren. Damit vermeiden Sie das Risiko unbeabsichtigter Änderungen.
Angebote auf zusätzliche Sicherheitsfunktionen überprüfen
Nahezu alle größeren Cloud-Anbieter unterstützen die Zwei-Faktor-Authentifizierung (2FA).
Es gibt keinen Grund, Zwei-Faktor-Authentifizierung für die eigene Cloud-Nutzung nicht einzusetzen, da dies den Schutz vor missbräuchlichen Anmeldungen deutlich verbessert.
Den Zugriff über Firewalls beschränken
Die meisten Unternehmen nutzen Cloud-Infrastruktur, die sie webbasiert verwalten können. So lassen sich dort laufende Server meist einfach vor externem Zugriff schützen.
Es empfiehlt sich, die entsprechende Firewall-Richtlinien zu beachten. Falls der Provider entsprechende Funktionalitäten zur Verfügung stellt, nutzen Sie die Firewall-Einstellungen, um den Zugriff auf die Infrastruktur zu beschränken. Geben Sie Ports nur frei, wenn es einen wirklich guten Grund dafür gibt. Gesperrte Ports sollten ein standardmäßiger Teil der eigenen Cloud-Sicherheitsrichtlinien sein.
Die Cloud beschränken
Oftmals dürften viele Cloud-basierte Workloads nur von Anwendern oder Kunden in einer bestimmten geografischen Region genutzt werden. Für derlei Anwendungen können Sie eine entsprechende Zugriffsbeschränkung zu Ihren Sicherheitsrichtlinien hinzufügen. Beschränken Sie den Zugriff auf diese Region, oder besser noch auf bestimmte IP-Adressen. Diese relativ einfache Entscheidung kann unter Umständen die Angriffsfläche deutlich reduzieren.
Passwörter durch Schlüssel ersetzen
Die Erkenntnis ist nicht neu, aber Passwörter sind in allen Bereichen ein Sicherheitsrisiko. Machen Sie eine Public-Key-Infastruktur (PKI) zum Bestandteil Ihrer Cloud-Sicherheitsrichtlinien. PKI arbeitet mit einem öffentlichen und einem privaten Schlüssel, um die Identität des Benutzers vor dem Datenaustausch zu überprüfen. Mit Hilfe von PKI lassen sich Risiken wie Passwortdiebstahl oder Brute-Force-Angriffe in den Griff bekommen.
Auch wenn es selbstverständlich erscheint: Eine entsprechende sichere Schlüsselverwaltung ist dabei natürlich zwingend erforderlich. Hierfür sind unterschiedliche Tools verfügbar. Die großen Public-Cloud-Anbieter bieten in unterschiedlichen Formen PKI an. Sollten Sie mit eigenen Schlüsseln arbeiten, stellen Sie sicher, dass diese entsprechend sicher aufbewahrt werden. Dies gibt Ihnen im Falle des Verlustes gegebenenfalls genügend Zeit, den verlorenen Schlüssel zu ersetzen.
Monitoring und Überwachung nutzen
Es ist oftmals gelebte Admin-Realität, dass man sich erst dann wieder ums Monitoring kümmert, wenn es eigentlich zu spät ist. Die komplexen Umgebungen erzeugen heute Unmengen von Log-Daten und -Dateien. Nutzen Sie die Tools, die in der Lage sind, aus den Datenmengen sinnvolle Informationen zu filtern und generieren. Die Informationen lassen sich vielfältig nutzen, von der Kapazitätsplanung über die Fehlerbehebung bis hin zu Audits.
Sowohl von den Cloud-Anbietern als auch von Drittanbietern stehen Werkzeuge zur Verfügung, die aus den Datenmengen sinnvolle Informationen zusammenstellen können. Viele dieser Tools kann man zumindest unverbindlich ausprobieren, um zu sehen, ob das passende dabei ist. Oftmals werden dabei die Daten auch grafisch aufbereitet. Administratoren können so Trends und Anomalien sofort erkennen und entsprechende Maßnahmen einleiten, um Probleme zu beheben oder zu reagieren. SIEM-Lösungen unterstützen Admins dabei, Probleme und Bedrohungen rechtzeitig zu erkennen.
Es gibt viele Ansätze, um Cloud-Umgebungen besser zu schützen. Die Cloud-Anbieter stellen inzwischen viele Werkzeuge zur Verfügung, die Kunden helfen sollen, ihre Infrastrukturen besser zu abzusichern. Es ist durchaus sinnvoll, diese auch zu nutzen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!