demonishen - Fotolia
Multi-Cloud-Umgebungen mit CSPM-Lösungen schützen
Heutige Cloud-Umgebungen sind häufig heterogen und basieren auf gemischten Plattformen. Das erschwert ihre Absicherung durch traditionelle Lösungen. CSPM-Tools schließen die Lücke.
Die zunehmende Nutzung von Cloud-Diensten und -Ressourcen in Unternehmen hat zu einer erstaunlichen Vielfalt bei Cloud-Admin-Konsolen und -Schnittstellen gesorgt. Im Zuge dessen sind aber auch die Verantwortlichkeiten gestiegen.
Im englischen Sprachraum wird für diese Konsolen und Interfaces der Begriff „Cloud Control Plane“ genutzt. Die Cloud Control Plane ist in ihrer Gesamtheit nur schwer zu schützen. Das liegt an der hohen Vielfalt der Bestandteile, die sie umfasst.
Der noch am einfachsten zu schützende Teil ist die Admin-Konsole selbst, die zur Verwaltung der Cloud benötigt wird. Begrenzte Berechtigungen und nur die wirklich benötigten Nutzer-Accounts, die zusätzlich mit einer Multi-Faktor-Authentifizierung (MFA) gesichert werden müssen, gehören zu den absolut notwendigen Maßnahmen, um die einzelnen Cloud-Admin-Konsolen vor Angreifern zu schützen.
Weil die Cloud aber eine auf Software basierende Infrastrukturplattform ist, gibt es noch viele andere Aspekte, die in den Aufgabenbereich der Cloud Control Plane fallen. Da sind zum Einen die zahlreichen offenen APIs (Application Programming Interfaces), die in der Cloud genutzt werden. Zu ihnen gehören auch Kommandozeilen-Interfaces für IaaS-Umgebungen (Infrastructure as a Service), Kubernetes und andere Orchestrierungsplattformen. Zum anderen ist der zweite wesentliche Bereich der Cloud Control Plane das Netzwerk und seine Unterteilung in Zonen und Segmente. Dies wird genutzt, um die einzelnen Bestandteile voneinander und von externen Netzen abzuschirmen.
Typische Probleme bei der Absicherung der Cloud Control Plane
Viele Schwierigkeiten bei der Absicherung von Cloud-Umgebungen entstehen, weil oft unklar ist, welche Kontrollen überhaupt bereits vorhanden und aktiviert sind. Ebenso ist meist nicht ausreichend bekannt, wie sie konfiguriert und welche Änderungen schon vorgenommen wurden. Viele der aktuellen Gefahren für die Cloud gehen auf relativ leicht vermeidbare Fehler bei ihrer Konfiguration zurück. Die IT-Security-Teams sollten sich daher zunächst auf die folgenden Aspekte konzentrieren:
- Die Cloud ist programmierbar. Es ist nicht sehr schwer, einen Konfigurationsfehler in der Cloud zu begehen. In der aktuellen Situation, in der es meist an Kontrolle fehlt, sind sie sogar kaum zu vermeiden.
- Die Cloud führt zu einer deutlichen Zersplitterung. Das liegt unter anderem daran, dass so viele unterschiedliche Technologien und Lösungen verfügbar sind, deren Einsatz meist verführerisch und „nur einen Klick entfernt“ ist.
- Die Cloud funktioniert anders als lokale Werkzeuge, Techniken und Dienste. Auch wenn manche der Konzepte einander ähneln, hat die Cloud doch immer ihre eigene, dedizierte Softwareplattform. Es sollte außerdem nie vergessen werden, dass jede gemischte Cloud-Umgebung auf ihre Art einzigartig ist.
- Ein sicheres Management von Cloud-Umgebungen ist eine anspruchsvolle Aufgabe. Dieser Punkt trifft besonders in Fällen zu, bei denen es zu der genannten Zersplitterung und einem Mangel an Kontrollmöglichkeiten kommt. Obwohl viele Cloud-Plattformen tatsächlich mehr Flexibilität beim Einrichten und Inventarisieren von Assets bieten, ist es meist keine leichte Aufgabe, kontinuierlich den Überblick über sie zu behalten, ohne umfangreiche und aufwändige Monitoring-Maßnahmen zu ergreifen.
Erschwerend kommt hinzu, dass regional höhere Ansprüche an den Datenschutz gelten, die ein gründliches Management der Cloud aus Security-Sicht nicht immer unbedingt erleichtern. Das gilt insbesondere für Multi-Cloud-Umgebungen. Aber es stehen zum Glück eine Reihe von erprobten Schritten zur Verfügung, die ein Security-Team ergreifen kann, um die Sicherheit der Cloud Control Plane zu verbessern.
Die Cloud Control Plane absichern
Die Marktforschungsgesellschaft Gartner definiert den Markt für Cloud Security Posture Management (CSPM) als eine Gruppe aus Sicherheitsprodukten und -diensten, die sich um Compliance-Überwachung, Dynamic Clouds, Risikobewertung und die Integration von DevOps kümmern. Außerdem bieten sie Fähigkeiten, um sicherheitsrelevante Vorfälle intensiver untersuchen und beantworten zu können. Eine weitere Funktion ist die Möglichkeit, ausführliche Reports über alle Ereignisse auf der Cloud Control Plane zu erstellen.
CSPM-Tools und -Dienste können ein breites Feld an möglichen Problemen und Ereignissen innerhalb einer Cloud-Umgebung überwachen. Das Ziel ist dabei meist, einen „gewünschten Zustand“ oder eine „gewünschte Konfiguration“ für die Cloud-Infrastruktur festzulegen. Zusätzlich kümmern sie sich auch um das Monitoring der tatsächlich vorhandenen Cloud-Umgebung.
CSPM-Tools sind zum Beispiel geeignet, um die folgenden Probleme in der Cloud Control Plane zu identifizieren:
- Es wurde keine Verschlüsselung für den Cloud-Speicher und die zugehörigen Datenbanken aktiviert;
- es gibt keine Verschlüsselung für vertrauliche Daten bei der Übertragung über das Netzwerk;
- es gibt kein sorgfältig geplantes Key-Management, so dass auch noch veraltete oder ungültige Schlüssel vorhanden sind;
- die IAM-Richtlinien (Identity and Access Management) wurden mangelhaft umgesetzt; so dass sie sich nicht an das Prinzip der geringsten benötigten Berechtigungen halten;
- es gibt noch Admin-Accounts mit erweiterten Rechten, für die keine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde;
- es gibt keine oder zu durchlässige Zugriffskontrollen im Netzwerk;
- zusätzlich sind öffentlich zugängliche Datenspeicher wie zum Beispiel aus dem Internet erreichbare S3 Buckets vorhanden; außerdem
- gibt es nur ein minimales oder sogar gar kein Logging innerhalb der Cloud-Umgebung.
Die wichtigsten Funktionen moderner CSPM-Dienste im Überblick
Es gibt auf dem Markt bereits einige verfügbare Lösungen aus dem Bereich Cloud Security Posture Management. Beispiele sind Prisma Cloud von Palo Alto Networks, DivvyCloud von Rapid7, CloudCheckr, CloudSploit von Aqua Security, Cloudvisory von FireEye sowie Cloudsec Inspect von Outpost24.
Wenn ein IT-Security-Team versucht, das am besten passende CSPM-Tool zu finden, sollte es einen besonderen Wert auf die folgenden Funktionen legen:
- Konfigurierbare und automatisierbare Fähigkeiten, um schnell auf Vorfälle reagieren zu können. Im Idealfall sollte auf alle erkannten sicherheitsrelevanten Vorfälle eine automatische oder mit minimalem manuellem Aufwand durchführbare Reaktion erfolgen.
- Eine individuell einstellbare Engine für eigene Richtlinien und Regeln, die sich auch in einer Multi-Cloud-Umgebung einsetzen lassen. Eine fein justier- und einstellbare moderne Policy Engine gehört zu den wichtigsten Funktionen eines CSPM-Tools. Die Policies müssen aber auch für Funktionen und Assets in unterschiedlichen Cloud-Umgebungen eingesetzt werden können.
- Eine enge Integration in vorhandene DevOps-Abläufe und -Tools. Eine CSPM-Plattform muss auch alle Aktivitäten in zum Beispiel Code- oder Image-Repositories und in den von DevOps-Mitarbeitern verwendeten Built-Tools integrieren und überwachen können.
- Ein detailliertes und hoch konfigurierbares Reporting. Da CSPM im Kern ein Monitoring-Produkt ist, gehört ein umfassendes Reporting ebenfalls zu den kritischen Funktionen.
Wenn ein Unternehmen eine CSPM-Lösung einführen möchte, sollten dabei die folgenden Punkte geprüft werden:
- Wie sieht es mit der Geschwindigkeit und Genauigkeit des Asset Managements und der Klassifizierung aus?
- Liegt ein Fokus auf dem Identifizieren aller Zugriffe auf die Cloud Control Plane?
- Bietet sie ein Monitoring der Richtlinien für Konfigurationen und zur Einhaltung der Compliance?
- Bietet sie ein Monitoring der Richtlinien für den aktiven Betrieb und für alle Performance-relevanten Einstellungen?
- Ist ein Sammeln von Daten und Informationen über alle sicherheitsrelevanten Vorfälle möglich, um besser und schneller darauf reagieren zu können?
- Ist eine Visualisierung und ein Reporting der Risiken in der Cloud Control Plane möglich?
Wichtig ist zudem die Frage, wie sich die genutzte CSPM-Plattform in die vorhandenen Cloud-Umgebungen integrieren lässt? Die meisten Lösungen zum Cloud Security Posture Management lassen sich über APIs und IAM-Dienste der Provider einfügen. Dabei müssen jedoch alle benötigten Berechtigungen genauestens geprüft werden. Nur so kann sichergestellt werden, dass alle IAM-Accounts fehlerfrei aufgesetzt und dauerhaft überwacht werden können.