Sergey Nivens - Fotolia
Cloud-Dienste: Sichere und fehlerfreie Konfiguration
Die sichere Konfiguration von Cloud-Diensten ist nicht nur Aufgabe der Provider. Auch die Kunden selbst sind hier gefragt, wenn sie Fehler vermeiden und ihre Daten schützen wollen.
Hand aufs Herz. Können Sie sich eine Situation vorstellen, in der Sie auch Fremden volle Zugriffsrechte auf einen Dateiserver mit sensiblen Informationen über Ihr Unternehmen gewähren würden? Falls ja, würden Sie diesen Server auch frei zugänglich im Internet betreiben? Wenn Sie ein Sicherheitsexperte sind, werden sich Ihre Haare wahrscheinlich schon allein beim Gedanken an solch ein Szenario sträuben.
Auch wenn das obige Beispiel verheerend wirken mag, machen viele Unternehmen jedoch ihre Daten in der Cloud auf ähnliche Weise verfügbar. So haben wir etwa im vergangenen Jahr erleben müssen, wie nicht sicher konfigurierte S3-Buckets (Amazon Simple Storage Service) zu unerwarteten Datenverlusten führten.
Zu den betroffenen Firmen gehörten unter anderem Dow Jones, World Wrestling Entertainment, Verizon und zahlreiche andere. Gefährdet sind aber nicht nur S3-Repositories. Forscher von RedLock fanden vor Kurzem vergleichbare Probleme mit ungenügend abgesicherten Konfigurationen bei der so genannten G Suite. Dabei handelt es sich um die online zur Verfügung stehenden Office-Anwendungen von Google. Nach Erkenntnissen von RedLock kam es durch einen Konfigurationsfehler in den Google Groups zu unbeabsichtigten Datenverlusten.
Nicht wenige IT-Verantwortliche sind überzeugt, dass sie das Konfigurations-Management der von ihnen genutzten Cloud-Dienste ruhig ihrem Provider überlassen können. Oder dass sie sich diese Aufgabe zumindest mit dem Anbieter teilen können, da er sich ja ebenfalls darum kümmert.
Die Ereignisse der jüngeren Vergangenheit zeigen jedoch, dass die Situation etwas komplizierter ist, als zunächst erscheinen mag. Ein solides Konfigurations-Management ist in der Cloud genauso wichtig wie in anderen Anwendungsfällen. Man kann sogar davon ausgehen, dass es hier noch essentieller ist, da fehlerhafte Konfigurationen schnell dazu führen können, dass interne Daten frei für jedermann zugänglich sind. Das Thema ist auch deswegen so brisant, weil Cloud-Umgebungen laufend sowohl von Sicherheitsforschern als auch von potentiellen Angreifern auf Lücken abgeklopft werden.
Wie konnte es soweit kommen?
Viele werden sich nun fragen, ob bei ihnen dieselben Probleme auftreten können? Die Antwort auf diese Frage hängt von ein paar Faktoren ab. Der wichtigste Punkt ist dabei der Umstand, dass diese Datenverluste nicht aufgrund von Schwachstellen in den genutzten Cloud-Plattformen, sondern aufgrund von fehlerhaften Konfigurationen aufgetreten sind. Das bedeutet, dass es dazu kam, weil jemand ganz konkret die genutzten Dienste so eingerichtet hat, dass Daten geklaut werden konnten.
Im Grunde ist dies jedoch eine gute Nachricht, da sie bedeutet, dass Unternehmen nicht betroffen sind, die ihre Dienste sicher konfiguriert haben. Auf der anderen Seite ist es aber auch eine schlechte Nachricht, weil es im Notfall keinen Patch gibt, mit dem sich ein auftretendes Problem schnell beheben lässt.
Es gibt mehrere Möglichkeiten, wie es zu fehlerhaften Konfigurationen kommen kann. Sie können allein schon wegen Missverständnissen darüber auftreten, wie zum Beispiel Access Control Lists (ACLs) in der Cloud funktionieren. So hat etwa S3 eine Einstellung, die es authentifizierten Anwendern erlaubt, auf bestimmte Daten zuzugreifen. Man kann nun annehmen, dass sich diese Einstellung nur auf authentifizierte Anwender bezieht, die zu dem Unternehmen gehören, um dessen Daten es hier geht. Das trifft jedoch nicht zu. Die Einstellung bezieht sich auf alle Anwender, die gegenüber der Amazon-Plattform authentifiziert wurden und hängt nicht davon ab, wer ihr Arbeitgeber ist oder zu welcher Organisation sie gehören.
Vergleichbare Fehler können auch immer dann auftreten, wenn unerfahrene Admins dafür verantwortlich sind, bestimmte Zugriffsrechte zu verwalten. Es kommt spätestens dann zu Problemen, wenn sie beispielsweise nicht genau verstehen, was einzelne Zugriffsrechte bedeuten oder wenn es ihnen nicht gelingt, bestimmte Sperren sorgfältig einzurichten. Dann sorgen sie unter Umständen unbeabsichtigt dafür, dass sensible Daten für Fremde zugänglich sind. Dazu kann es ebenfalls kommen, weil immer wieder auch Probleme mit zu komplexen oder schwer verständlichen User Interfaces (UIs) in Cloud-Umgebungen auftreten. Viele Oberflächen sind nicht intuitiv zu bedienen, nicht flexibel genug oder es lassen sich mit Hilfe der grafischen UI bestimmte Einstellungen gar nicht vornehmen.
Die kurze Antwort auf die oben gestellte Frage lautet, dass es spätestens dann zu Fehlern kommt, sobald Menschen involviert sind. Das lässt sich nur verhindern, wenn im Vorfeld bereits Schritte gegen fehlerhafte Konfigurationen unternommen wurden. Menschliche Fehler können und werden auftreten. Vorausschauende blickende Unternehmen sind sich dessen bewusst und treffen rechtzeitig Vorkehrungen, um sie zu erkennen oder um sie gleich ganz zu vermeiden.
Wie lassen sich Konfigurationsfehler verhindern?
Alle Unternehmen, die Daten in der Cloud speichern, sollten rechtzeitig Maßnahmen treffen, um Konfigurationsfehler zu vermeiden beziehungsweise zu identifizieren, sollten sie doch auftreten.
Zunächst sollten, sofern möglich, alle menschlichen Fehler vermieden werden. Dazu gehört es, die Sicherheitsfunktionen der genutzten Plattform genau zu verstehen, sich außerdem damit zu beschäftigen, wie Anwender mit der Plattform interagieren und wie es dabei eventuell zu Fehlern kommen kann. Zum Beispiel ermöglicht Google Groups for Business den Administratoren, bestimmte Zugriffsrechte einzuschränken, so dass Außenstehende nicht auf interne Gruppen zugreifen können.
Auch Amazon S3 bietet IAM-Einstellungen (Identity Access Management), um Zugriffe auf einzelne Buckets einzuschränken. Der Detailgrad dieser Konfigurationsmöglichkeiten hängt davon ab, welche Dienste jeweils genutzt werden. Wichtig ist aber, dass Administratoren genau ihre Einsatzzwecke und Grenzen verstehen und auch wissen, wie sie in Anbetracht möglicher menschlicher Fehler funktionieren. Das setzt allerdings voraus, dass den Administratoren noch ein paar andere Dinge bekannt sind: Welche Cloud-Dienste werden überhaupt genutzt? Wie werden sie eingesetzt und welche Daten sind darin gespeichert?
Zum Glück lassen sich viele Grundsätze und Mechanismen auch in der Konfiguration der Cloud anwenden, die Sicherheitsspezialisten bereits aus anderen Umgebungen her bekannt sind. Werkzeuge wie der Amazon Web Services Foundations Benchmark des Center for Internet Security (CIS) geben Hinweise darauf, welche spezifischen Sicherheitseinstellungen es für eine Plattform gibt und wie sich etwa IAM oder CloudTrail am besten konfigurieren lassen. Auch in der G Suite Administrator Console findet sich mit dem G Suite Security Best Practices Guide ein nützlicher Ratgeber, der viele hilfreiche Informationen enthält.
Ein erster Schritt ist jedoch, überhaupt einen Verantwortlichen für die sichere Konfiguration der genutzten Dienste zu definieren und ihm genügend Zeit und auch die Autorität im Unternehmen zu geben, damit er seine Aufgabe zufriedenstellend erfüllen kann.
Abgesehen davon ist es vorteilhaft, Mechanismen einzurichten, die nach fehlerhaften Konfigurationen Ausschau halten und die Administratoren sofort informieren, wenn es zu Problemen kommt oder auch nur kommen könnte. Für diesen Zweck gibt es bereits automatisierte Tools, mit denen sich zumindest die größeren Cloud-Dienste überwachen und kontrollieren lassen.
Aber selbst, wenn ein Unternehmen keinen Zugriff darauf hat, gibt es noch Möglichkeiten, sich selbst zu helfen. Manche mögen etwas „old school” erscheinen, indem man etwa genau darauf achtet, wie die einzelnen Teams und Abteilungen die Cloud-Dienste nutzen. Auch ist es natürlich möglich, sich fachkundige Helfer zu holen, die die getroffenen Konfigurationen überprüfen. Manchmal sind das sogar die Anwender selber, die betroffen sind.
In größeren Organisationen lassen sich zudem interne Audit-Teams einrichten beziehungsweise nutzen, wenn sie über genügend technischen Sachverstand verfügen. Die am besten passenden Maßnahmen hängen von dem jeweiligen Unternehmen, seiner IT-Umgebung und seinen Anforderungen ab. Je früher jedoch damit begonnen wird, sich mit diesen Themen zu beschäftigen, desto besser.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!