Romolo Tavani - stock.adobe.com
Typische Cloud-Fehlkonfigurationen und Gegenmaßnahmen
Cloud-Sicherheit bedeutet, die Konfiguration von Ressourcen genau zu überwachen. Folgende bewährte Verfahren können vor Angreifern und schädlichen Aktivitäten schützen.
Je mehr Cloud-Dienste und -Ressourcen Unternehmen nutzen, desto mehr sind sie für eine Vielzahl von Verwaltungskonsolen, Ressourcen, Dienste und Schnittstellen verantwortlich. Cloud Computing ist ein großes und oft miteinander verbundenes Ökosystem aus softwaredefinierter Infrastruktur und Anwendungen. Infolgedessen kann die Cloud-Kontrollebene - ebenso wie die in Cloud-Umgebungen erstellten Assets - zu einem Sammelsurium von Konfigurationsoptionen werden.
Es ist nur allzu einfach, Elemente von Cloud-Umgebungen falsch zu konfigurieren und die Infrastruktur und Cloud-Dienste möglicherweise bösartigen Aktivitäten auszusetzen. In seinem „Cloud Threat Report 2023“ stellte das Forschungsteam von Palo Alto Unit 42 fest, dass 76 Prozent der Cloud-Kunden keine Multifaktor-Authentifizierung für Konsolenbenutzer durchsetzen und 58 Prozent keine MFA für Benutzer mit Root- und Admin-Rechten verlangen.
Diese Arten von Fehlkonfigurationen im Bereich der Cybersicherheit, sei es im Zusammenhang mit Identität, Exposition, mangelhaftem Schwachstellenmanagement oder anderen Gründen, können zu einem erhöhten Risiko für Cloud-Bereitstellungen aller Art führen.
Betrachten wir typische Fehlkonfigurationen in Sachen Cloud und wie man sie beheben kann.
1. IAM-Fehlkonfigurationen
Im Spektrum der Cloud-Fehlkonfigurationen sind es vor allem allzu freizügige Identitäts- und Zugriffsverwaltungsrichtlinien und andere unzureichende IAM-Praktiken, die Cloud-Nutzern zu schaffen machen. Cloud-Umgebungen umfassen in der Regel menschliche Identitäten, wie zum Beispiel Cloud-Admins und DevOps-Experten, und nicht-menschliche Identitäten, wie zum Beispiel Service-Rollen, die die Interaktion von Cloud-Diensten und -Ressourcen innerhalb der Infrastruktur ermöglichen. In vielen Fällen gibt es mehrere nicht-menschliche Identitäten. Diese verfügen häufig über zu weitreichende Berechtigungen, die einen uneingeschränkten Zugriff auf mehr Cloud-Ressourcen als erforderlich ermöglichen könnten.
Um dieser Problematik zu begegnen, sollten folgende Maßnahmen ergriffen werden:
- Die Verwaltung von Identitäten und Zugriffsberechtigungen sollten zentralisiert werden, wo immer dies möglich ist. Legen Sie sorgfältig fest, wie Sie die Erstellung und den Lebenszyklus von Identitäten und Gruppen handhaben. Eine Option ist der Aufbau und die Implementierung zentraler Cloud-IAM-Teams, die sich ausdrücklich auf diesen Bereich der Cloud-Sicherheit konzentrieren.
- Aktivieren Sie Multifaktor-Authentifizierung (MFA) für alle privilegierten menschlichen Benutzerkonten.
- Führen Sie regelmäßige Überprüfungen aller Identitätsrollen und -richtlinien durch, indem Sie Cloud-native Services wie AWS IAM Access Analyzer oder Produkte von Drittanbietern verwenden, die kontinuierlich Berechtigungen bewerten und übermäßige Privilegien kennzeichnen.
- Erstellen Sie Konzepte für die Verwaltung von Geheimnissen, die eine zentrale Speicherung und Kontrolle von Zugangsschlüsseln und anderen Geheimnissen wie Passwörtern vorsehen.
- Deaktivieren Sie alle Standardanmeldeinformationen. Dies ist besonders wichtig für SaaS und bestimmte Arten von PaaS und IaaS, die diese verwenden.
2. Fehlkonfigurationen bei der Cloud-Speicherung und der Datensicherheit
Eine weitere häufige Cloud-Fehlkonfiguration betrifft ungeschützte oder unzureichend gesicherte Cloud-Speicherknoten. Unternehmen können versehentlich Speicherressourcen, wie zum Beispiel Storage Buckets, für das Internet oder andere Cloud-Dienste freigeben und auch interne Ressourcen offenlegen. Darüber hinaus versäumen sie es oft, Verschlüsselung und Zugriffsprotokollierung ordnungsgemäß zu implementieren, wo dies angebracht ist.
Um sicherzustellen, dass der Cloud-Speicher nicht gefährdet oder kompromittiert wird, sollten die Sicherheitsteams Folgendes tun:
- Suchen Sie regelmäßig nach allen Speicherknoten, die als öffentlich gekennzeichnet sind.
- Überwachen Sie alle internen Speicherzugriffsmuster, um jeden unnötig übermäßig erlaubten oder exponierten Zugriff zu unterbinden.
- Aktivieren Sie starke Verschlüsselung und Schlüsselrotation für sensible Daten in den Cloud-Speicherknoten - viele Cloud-Dienste aktivieren standardmäßig starke Verschlüsselung.
3. Fehlkonfigurationen der Netzzugangskontrolle
Zu liberale Cloud-Netzwerk-Zugangskontrollen sind ein weiterer Bereich, der für Cloud-Fehlkonfigurationen anfällig ist. Diese Zugriffskontrolllisten sind Richtlinien, die auf Cloud-Abonnements oder einzelne Workloads anzuwenden sind. Oft geht es dabei um unbeschränkte ein- und ausgehende TCP/UDP -Ports innerhalb nativer Cloud-Zugangskontrollmodelle wie HTTP/HTTPS, was zu übermäßig exponierten Diensten und Workloads führen kann.
Um dieses Problem zu entschärfen, sollten Sicherheits- und Betriebsteams alle Sicherheitsgruppen und Cloud-Firewall-Regelsätze überprüfen, um sicherzustellen, dass nur die benötigten Netzwerkports, Protokolle und Adressen kommunizieren können. Richtlinien sollten niemals den Zugriff von irgendwoher auf administrative Dienste erlauben, die auf den Ports 22 (Secure Shell) oder 3389 (Remote Desktop Protocol) laufen.
4. Fehlkonfigurationen von Workloads und Images
Anfällige und falsch konfigurierte Workloads und Images sind ebenfalls eine Bedrohung für Cloud-Anwender. In einigen Fällen verbinden Unternehmen Workloads versehentlich mit dem Internet oder ohne zu wissen, welche Dienste offengelegt werden. Diese Offenheit ermöglicht es potenziellen Angreifern, diese Systeme auf Schwachstellen zu untersuchen. Veraltete Softwarepakete oder fehlende Patches sind weitere häufige Probleme. Die Offenlegung von APIs von Cloud-Service-Anbietern über Orchestrierungs-Tools und -Plattformen wie Kubernetes kann dazu führen, dass Workloads unerlaubt gekapert oder verändert werden.
Um diese häufigen Konfigurationsprobleme zu beheben, sollten Cloud- und Security-Teams regelmäßig folgende Maßnahmen ergreifen:
- Aktualisieren Sie Workload-Images mit Patches und Konfigurationshärtungskontrollen unter Verwendung der Center-for-Internet-Security-Benchmarks und anderer Best Practices der Branche. Verwenden Sie diese Images zum Starten neuer und aktualisierter Workloads (siehe auch Mit den CIS-Benchmarks die Cloud-Sicherheit optimieren).
- Scannen und Überprüfen aller Workloads auf Schwachstellen.
- Stellen Sie sicher, dass Cloud-Orchestrierungs-Tools und APIs für Container und andere PaaS-Workloads nicht offengelegt werden und nicht mehr Zugriff als nötig bieten, insbesondere im Internet.
- Ermitteln Sie Komponenten und Bibliotheken von Drittanbietern in Images und Workloads, die anfällig sein könnten, und korrigieren oder ersetzen Sie diese.
5. Protokollierung und Überwachung von Fehlkonfigurationen
Viele Unternehmen aktivieren die Protokollierung und Überwachung der richtigen sicherheitsrelevanten Ereignisse nicht korrekt. Die Bandbreite reicht von fehlgeschlagener Authentifizierung über blockierten Netzwerkverkehr bis hin zur ungewöhnlichen Verwendung von IAM-Richtlinien und -Rollen.
Sicherheitsteams müssen wichtige Protokollierungstools aktivieren, wie AWS CloudTrail, Azure Monitor und Google Cloud Logging. Der Export von Daten in ein Cloud- oder lokales SIEM-System sollte heutzutage relativ einfach zu aktivieren sein, und es ist wichtig, „störende“ Ereignisse herauszufiltern, zum Beispiel schreibgeschützte Protokolle.
Aktivieren Sie zusätzliche Überwachungstools wie Amazon CloudWatch, Azure Security Center und Google Cloud Security Command Center, um einen Überblick über die Vorgänge in der Cloud-Umgebung zu erhalten. Der Einsatz von CSPM-Tools (Cloud Security Posture Management) hilft bei Multi-Cloud-Umgebungen.
6. DNS-Fehlkonfigurationen
Eine häufige Fehlkonfiguration ist das Vergessen, ungenutzte DNS-Subdomänen oder DNS-Einträge zu entfernen, wenn sie nicht mehr benötigt werden. Dies kann zu Hijacking- und Betrugsaktivitäten führen. Aktualisieren Sie DNS-Einträge und ändern Sie die Lebenszyklen von DNS-Einträgen, um exponierte und verfügbare Ressourcen besser zu verwalten.
7. Fehlkonfigurationen durch Dritte
Der Markt für Plattformen von Drittanbietern in der Cloud ist mit der Ausweitung der Marktplatzdienste großer Anbieter exponentiell gewachsen. Auch wenn dies die Effizienz und Implementierung erheblich verbessern kann, sollten Sie diese Tools und Integrationselemente vor der Einführung prüfen. Stellen Sie sicher, dass alle Verbindungen und Tools von Drittanbietern innerhalb der Cloud-Umgebung sicher und auf dem neuesten Stand sind.
Cloud-Fehlkonfiguration mit Cloud-Diensten begegnen
Tools können Unternehmen helfen, Cloud-Fehlkonfigurationen zu vermeiden. Die großen Anbieter von Cloud-Infrastrukturen bieten eine Vielzahl von Sicherheitsdiensten im Hintergrund an, darunter Protokollierung und Verhaltensüberwachung, um die Daten eines Unternehmens besser zu schützen.
In einigen Fällen ist die Konfiguration dieser Dienste so einfach wie ihr Aktivieren. Amazon GuardDuty, Azure Security Center und Google Cloud Security Command Center zum Beispiel beginnen mit der Überwachung von Cloud-Konten innerhalb kurzer Zeit nach der Aktivierung. Andere Tools, wie Microsoft Sentinel, Google Chronicle und AWS Security Hub, erfordern zusätzliche Konfiguration und Abstimmung.
Zwar können Cloud-Umgebungen auch ohne solche Dienste sicher sein, doch je mehr Tools ein Unternehmen zum Schutz seiner Abläufe einsetzt, desto größer ist die Chance, dass es erkennt, wenn eine Ressource oder ein Dienst falsch konfiguriert ist.