SFIO CRACHO - stock.adobe.com
Worauf müssen IT-Teams bei Cloud-Pentests achten?
Penetrationstests in der Cloud stellen IT-Teams vor neue Herausforderungen. Ein Playbook der Cloud Security Alliance kann dabei helfen, Strategien für Cloud-Pentests zu entwickeln.
Die Cloud hat viele Aspekte der Informationssicherheit radikal verändert. Einige grundlegende Konzepte gelten aber immer noch. Dazu gehören kritische Komponenten einer Sicherheitsstrategie, wie etwa Penetrationstests.
Zu verstehen, wo und wie man eine Cloud-Umgebung einem Penetrationstest unterzieht, ist ein wichtiger Aspekt des Risikomanagements. Die regelmäßige Durchführung von Penetrationstests aller unternehmenskritischen Cloud-Systeme hilft dabei, verbesserungswürdige Bereiche in einer Sicherheitsstrategie zu identifizieren. Je nach verfügbaren Ressourcen können IT-Teams Pentests durchführen, bevor ein System in Betrieb genommen wird, auf einem Live-System oder sogar während des Designprozesses.
Die Cloud Security Alliance (CSA) Top Threats Working Group hat ein Cloud Penetration Testing Playbook veröffentlicht. Dieses beschreibt, wie man Systeme und Dienste, die in Public-Cloud-Umgebungen gehostet werden, einem Penetrationstest unterzieht.
Dabei werden Aspekte wie der Umfang der Pentests, die Anwendungsfälle sowie die Durchführung bei dem Modell der geteilten Verantwortung berücksichtig. Und nicht zuletzt bleiben auch die Bedenken nicht außen vor.
Die besonderen Herausforderungen bei Pentests in der Cloud
Cloud-Penetrationstests unterscheiden sich von Pentests in traditionellen Umgebungen. So besteht ein Unterschied darin, dass ja nach Umfang eine Abstimmung mit dem jeweiligen Hosting-Provider erforderlich ist. Falls der Pentest eine Schwachstelle beim Provider identifiziert, muss der Provider an etwaigen Seitwärtsbewegungen gehindert werden.
Es gilt den Provider über die Entdeckung zu informieren, so dass auch potenzielle Auswirkungen auf andere Kunden minimiert werden. In großen Unternehmen, muss das Team, das den Pentest durchführt, alle betroffenen Gruppen identifizieren und die Sicherheitsprozesse mit ihnen koordinieren.
Penetrationstests in der Public Cloud
Das eingangs erwähnte CSA-Playbook konzentriert sich auf das Testen von Systemen und Diensten, die in Public-Cloud-Umgebungen gehostet werden. Dies könnte zum Beispiel eine benutzerdefinierte virtuelle Maschine sein, die in einem Public-Cloud-IaaS-Angebot gehostet wird. So kann ein Pentest nach Fehlern, häufigen Fehlkonfigurationen und bekannten Schwachstellen in einem Cloud-Dienst suchen, der eine Anwendung unterstützt.
Dabei handelt es sich nicht um Tests auf Anwendungsebene oder um den Test der Sicherheit des zugrundeliegenden IaaS-Dienstes (Infrastructure as a Service). Beides könnten man einzeln auch mit Pentests abklopfen. Je nach der im IaaS-Dienst gehosteten Anwendung kann die Anwendungssicherheit in der Verantwortung des Softwareanbieters liegen – sei es nun Open Source oder eine kommerzielle Software. Erkenntnisse, die den zugrundeliegenden IaaS-Dienst oder die Anwendung selbst betreffen, sollten bewertet werden, um festzustellen, ob sie an den jeweiligen Anbieter gemeldet werden sollten.
Pentests für das Modell der geteilten Verantwortung
Das Prinzip der geteilten Verantwortung gilt nicht nur zwischen Provider und Anwenderunternehmen, es beeinflusst meist auch, wie der Betrieb der Cloud in einem Unternehmen organisiert ist. So ist vermutlich ein Betriebssystemteam für bestimmte Teile verantwortlich, das Netzwerkteam kümmert sich hingegen wohl eher um die Loadbalancer, wäre die IAM-Mannschaft (Identity Access Management) sich mit dem Zugriffsmanagement auseinandersetzt.
Diese verschiedenen Gruppen müssen mit dem Cloud-Security-Team zusammenarbeiten. Nur so lässt sich sicherstellen, dass die notwendigen Sicherheitsmechanismen und -kontrollen in der IaaS-Umgebung implementiert werden. Angesichts der Komplexität dieser Koordination können Pentests helfen, genau in diesem Zusammenspiel Lücken in der Zusammenarbeit und den implementierten Sicherheitskontrollen aufzuspüren.
Schrittweises Vorgehen mit Bedacht
Der potenziell wertvollste Beitrag des Playbooks zu Cloud-Penetrationstests kann unter Umständen der Teil zu den Bedenken hinsichtlich der Tests sein. Das Playbook umfasst allgemeine Pen-Testing-Schritte mit Cloud-spezifischen Informationen, die bei jedem Schritt hervorgehoben werden. Ein Unternehmen kann diese Schritte als Checkliste verwenden, um die Konfiguration der eigenen Public-Cloud.-Umgebung zu bewerten.
Die Testfälle enthalten spezifische Schritte, die beschreiben, wo nach bestimmten Konfigurationseinstellungen zu suchen ist, die eventuell problematisch sein könnten und es Angreifern erlauben würden, den ersten Schritt in die Umgebung zu machen.
Sobald sich Hacker Zugang verschafft haben, können sie sich seitlich bewegen. Der nächste Schritt ist dann meist eine Rechteerhöhung und nachfolgend eine vollständige Kompromittierung des Systems. Es kann durchaus sinnvoll sein, alle Sicherheitskontrollen vor dem Pentest im Cloud-Umfeld zu implementieren. Mit dem Pentest kann dann untersucht werden, ob dies ordnungsgemäß erfolgt ist. So lassen sich dann Bereiche identifizieren, die eventuell zusätzliche Aufmerksamkeit benötigen.