Sergey Nivens - stock.adobe.com
Mit den CIS-Benchmarks die Cloud-Sicherheit optimieren
Auch wenn sie in Deutschland noch nicht sehr weit verbreitet sind, können die CIS-Benchmarks doch vielen Unternehmen bei der Absicherung ihrer Public-Cloud-Umgebungen helfen.
Das amerikanische Center for Internet Security (CIS) stellt interessierten Unternehmen auf gemeinsamer Basis entwickelte, herstellerunabhängige Konfigurationsstandards für die Absicherung der wichtigsten Cloud-Umgebungen zur Verfügung.
Hierzulande sind sie noch nicht sehr bekannt, aber sie sind durchaus nützlich. Die sogenannten CIS Foundations Benchmarks bestehen aus bewährten und geprüften Maßnahmen, mit denen Unternehmen ihre öffentlichen Cloud-Umgebungen vor Cyberattacken schützen können.
IT-Security-Verantwortliche und Cloud-Teams können die CIS-Benchmarks nutzen, um die Sicherheit ihrer Cloud-Infrastrukturen auf mehrere Arten zu erhöhen. Erstens ist der Einsatz von unabhängigen Standards und Methoden hilfreich, um interne Anforderungen an sichere Cloud-Deployments zu formulieren.
So lassen sich Richtlinien und Standards leichter definieren und durchsetzen, an die sich dann die verschiedenen Fachabteilungen und IT-Teams bei ihren Cloud-Accounts und -Abonnements halten sollen. Zweitens helfen die Benchmarks Unternehmen dabei, eine fortlaufende Monitoring- und Reporting-Strategie aufzubauen, mit der sie die Kontrolle über ihre Cloud-Umgebungen behalten. Außerdem sorgen sie dafür, dass die aktuellen Compliance-Vorgaben eingehalten werden können.
Positive Wirkung der CIS-Benchmarks für die IT-Sicherheit
Nutzer von öffentlichen Cloud-Umgebungen haben durch den Einsatz der CIS-Benchmarks sowohl kurz- als auch langfristige Vorteile. Zu den schnell erreichbaren Zielen gehören eine verbesserte IT-Sicherheitslage sowie eine geringere Zahl an Schwachstellen in Cloud-Bereichen wie virtuellen Maschinen (VMs) und anderen Workloads. Die Integration des Frameworks verringert zudem die aktuelle Angriffsfläche, die aufgrund von exponierten oder schlecht konfigurierten Cloud-Umgebungen ansonsten entstehen kann.
Zu den positiven Langzeiteffekten gehören des Weiteren eine insgesamt verbesserte IT-Sicherheitssituation für das gesamte Unternehmen und die von ihm genutzten Cloud-Umgebungen. Auch die Überwachung und das Reporting über die getroffenen Konfigurationen werden verbessert. Auf dieser Basis können anschließend zum Beispiel auch genauere Metriken entwickelt werden, mit denen sich etwa Schwachstellen bewerten lassen. Letztlich entstehen durch den Einsatz der Benchmarks zahlreiche Verbesserungen sowohl bei der IT-Security insgesamt als auch im operativen Betrieb.
Viele Beobachter fragen sich aber trotzdem, ob das Cloud Security Framework des Centers for Internet Security nur ein fernes Ziel vorgibt oder der Einstieg in eine bessere IT-Sicherheit ist. In den meisten Fällen ist die Antwort: beides ist der Fall. CIS-Benchmarks enthalten in der Regel zwei Ebenen mit Empfehlungen.
Ratschläge der Stufe 1 sind darauf ausgerichtet, sofort für sicherheitsrelevante Vorteile zu sorgen. Sie sind sehr praxisnah aufgebaut, einfach zu implementieren und behindern oder stören Cloud-Dienste sowie die Funktionsfähigkeit der Systeme nur äußerst selten. Elemente aus den Level 1 Benchmarks sind damit ein gut geeigneter Startpunkt für die meisten Unternehmen. Sie gelten daher gemeinhin auch als grundlegende Best Practices, die von nahezu Jedem schnell und ohne größere Probleme umgesetzt werden können.
Elemente aus der Stufe 2 sorgen oft für mehr Sicherheit und sorgen meist auch einen mehrstufigen Aufbau der Verteidigungsmaßnahmen. Die vom Center for Internet Security empfohlenen Maßnahmen in diesen Kategorien können aber dazu führen, dass manche Systeme zunächst schlechter als vorher funktionieren oder unter Umständen sogar gar nicht mehr.
Organisationen wie etwa aus der Finanzindustrie, die sich in der Regel an äußerst strenge Vorgaben halten müssen, werden viele der vom CIS empfohlenen Level-2-Maßnahmen als kurzfristige Ziele ansehen. Die meisten IT-Abteilungen in anderen Firmen werden die Level-2-Maßnahmen aber eher in ihre Langzeitstrategie aufnehmen, für die sie sich mehr Zeit lassen können.
Umfang der vom CIS empfohlenen Maßnahmen für die Public Cloud
Derzeit bietet das Center for Internet Security Benchmarks für die folgenden Public-Cloud-Umgebungen zum Download an:
- Alibaba Cloud
- AWS
- Google Cloud Platform
- Google Workspace
- IBM Cloud
- Microsoft Azure
- Oracle Cloud Infrastructure
Auch wenn sich die CIS-Empfehlungen von Plattform zu Plattform unterscheiden, gibt es doch eine Reihe von bemerkenswerten Gemeinsamkeiten. So verwenden etwa alle Benchmarks für die Public Cloud die gleichen Kategorien. Sie reichen von VM Workload Security, über Storage and Data Security bis zu Privileged Access Control.
CIS-Empfehlungen für Cloud-Umgebungen
Zu den am häufigsten und zugleich am leichtesten umzusetzenden Empfehlungen des Centers for Internet Security gehören die folgenden Maßnahmen:
- Legen Sie nur sicher konfigurierte Workloads in der Cloud an, die sich an allgemein akzeptierte Best Practices und Security-Standards in Ihrer Branche halten. Speichern und überwachen Sie alle neuen Images.
- Sorgen Sie dafür, dass alle Aktivitäten auf der Cloud Control Plane mit Tools wie AWS CloudTrail oder den von Google für diesen Zweck bereitgestellten Werkzeugen überwacht werden. So erhalten Sie auch einen Einblick über alle API-Aufrufe (Application Programming Interfaces), die mit einem dazu ermächtigten Account durchgeführt werden. Darüber hinaus sollten auch das Cloud-basierte Monitoring sowie das Auslösen von Alerts aktiviert und konfiguriert werden.
- Aktivieren Sie für alle Cloud-Verwaltungsoberflächen starke Authentifizierungsmaßnahmen, egal ob es sich um Web-Portale oder die Kommandozeile handelt. Verwenden Sie das Prinzip der geringsten benötigten Rechte (Least Privilege) für alle genutzten Rollen in Ihren Cloud-Umgebungen.
- Setzen Sie Verschlüsselung und andere Maßnahmen zum Schutz aller Daten ein, die in der Cloud gespeichert sind oder die dorthin übertragen werden.
- Sichern Sie alle Cloud-basierten Login-Möglichkeiten ab, um unerwünschte Zugriffe zu verhindern. Aktivieren Sie zudem die Überwachung der im Netzwerk übertragenen Daten, um ungewöhnliches Verhalten frühzeitig aufspüren zu können.
Wie das CIS-Cloud-Sicherheits-Framework verbessert werden kann
Große Cloud-Umgebungen entwickeln sich in einem immer höheren Tempo weiter. Die CIS Foundations Benchmarks decken die grundlegenden Sicherheitsmaßnahmen für die Cloud ab. Aufgrund der schnellen Veränderungen in der Cloud-Branche werden häufige Updates der gemeinsam beschlossenen Empfehlungen benötigt, um den Nutzern möglichst aktuelle Ratschläge geben zu können.
Außerdem sollten die Benchmarks mit weiteren Zugriffsmodellen und -Frameworks wie zum Beispiel Mitre ATT&CK for Cloud abgeglichen werden. Dadurch können Sie überprüfen, welche der empfohlenen Maßnahmen wirklich gegen echte Angriffe auf Ihre Cloud-Umgebungen schützen.