Unternehmen werden jeden Tag mit sicherheitsbezogenen Risiken, Bedrohungen und Herausforderungen konfrontiert. Diese Begriffe werden häufig als Synonyme verstanden – was aber nicht ganz zutrifft. Wenn Sie die feinen Unterschiede kennen, können Sie Ihre Cloud-Ressourcen besser schützen.
Was sind die Unterschiede zwischen einem Risiko, einer Bedrohung und einer Herausforderung?
- Ein Risiko bedeutet, dass die Möglichkeit von Datenverlusten besteht oder es eine Schwachstelle gibt.
- Eine Bedrohung ist eine Art von Angriff oder ein Angreifer.
- Eine Herausforderung steht für die Hürden, die ein Unternehmen bei der tatsächlichen Implementierung von Cloud-Sicherheit überwinden muss.
Sehen wir uns ein Beispiel an. Ein API-Endpunkt, der in der Cloud gehostet wird und mit dem öffentlichen Internet verbunden ist, stellt ein Risiko dar.
Der Angreifer, der versucht, über die API auf sensible Daten zuzugreifen, ist die Bedrohung (zusammen mit allen spezifischen Techniken, die er vielleicht ausprobiert).
Die Herausforderung Ihres Unternehmens besteht darin, öffentliche APIs effektiv zu schützen und gleichzeitig dafür zu sorgen, dass sie für legitime Benutzer oder Kunden, die sie benötigen, zugänglich bleiben.
Eine umfassende Cloud-Sicherheitsstrategie deckt jeden der drei Aspekte ab, damit Ihre Sicherheitsmaßnahmen wasserdicht sind. Grundsätzlich betrachtet jeder der Aspekte Ihre Cloud-Sicherheit aus einem anderen Blickwinkel. Eine solide Strategie muss der Risikominderung (Sicherheitskontrollen), dem Schutz vor Bedrohungen (sicherer Code und sichere Bereitstellungen) und der Bewältigung von Herausforderungen (Implementierung von kulturellen und technischen Lösungen) dienen, damit Ihr Unternehmen die Cloud für sicheres Wachstum nutzen kann.
3 Cloud-Sicherheitsrisiken
Sie können Risiken nicht komplett eliminieren, sondern nur minimieren. Wenn Sie gängige Risiken frühzeitig kennen, können Sie sich entsprechend darauf vorbereiten. Nachfolgend werden drei Risiken erläutert.
1. Unkontrollierte Angriffsfläche
Die Angriffsfläche ist die Gefährdung Ihrer Umgebung insgesamt. Die Implementierung von Mikroservices kann zu einer explosionsartigen Zunahme von öffentlich verfügbaren Workloads führen, wobei jede Workload die Angriffsfläche vergrößert. Ohne sorgfältiges Management kann Ihre Infrastruktur auf eine Art und Weise gefährdet sein, die Ihnen bis zum Auftreten eines Angriffs nicht bewusst war.
Den Ernstfall möchte niemand erleben.
Die Angriffsfläche kann auch verborgene Informationslecks umfassen, die zu einem Angriff führen. Die Threat Hunter von CrowdStrike haben beispielsweise einen Angreifer aufgespürt, der über das öffentliche WLAN erfasste DNS-Anfragedaten missbrauchte, um die Namen von S3-Buckets herauszufinden. Auch wenn CrowdStrike den Angriff stoppen konnte, bevor der Angreifer Schaden anrichten konnte, zeigt dies ganz deutlich, wie allgegenwärtig Risiken sind. Selbst die starken Kontrollen für die S3-Buckets reichten nicht aus, um ihre Existenz zu verbergen. Sobald Sie das öffentliche Internet oder die Cloud nutzen, entsteht automatisch eine öffentliche Angriffsfläche.
Sie benötigen das Internet und die Cloud womöglich für den Geschäftsbetrieb, sollten aber ein Auge darauf haben.
2. Anwenderfehler
Laut Gartner werden bis zum Jahr 2025 ganze 99 % aller Cloud-Sicherheitsfehler durch einen Anwenderfehler verursacht. Diese Fehler stellen bei Geschäftsanwendungen ein permanentes Risiko dar, das durch das Hosten von Ressourcen in der Public Cloud noch weiter vergrößert wird.
Da die Nutzung der Cloud so einfach ist, könnten Benutzer mit APIs arbeiten, von denen Sie ohne angemessene Kontrollen gar nichts wissen, sodass Lücken in Ihrem Perimeter entstehen. Zum Eindämmen von Anwenderfehlern sollten Sie starke Kontrollen implementieren, die Benutzern helfen, die richtigen Entscheidungen zu treffen.
Und noch eine letzte Regel: Die Schuld für Fehler liegt nicht bei den Benutzern, sondern beim Prozess. Definieren Sie Prozesse und Richtlinien, die Benutzern helfen, das Richtige zu tun. Schuldzuweisungen tragen nicht dazu bei, die Sicherheit Ihres Unternehmens zu steigern.
3. Konfigurationsfehler
Je mehr Services die Anbieter im Laufe der Zeit hinzufügen, desto mehr Cloud-Einstellungen gibt es. Hinzu kommt: Viele Unternehmen setzen auf mehr als einen Anbieter
Jeder dieser Anbieter arbeitet mit anderen Standardkonfigurationen und jeder Service hat eigene Implementierungen und Feinheiten. Solange Unternehmen das Absichern ihrer verschiedenen Cloud-Services nicht beherrschen, werden Angreifer Konfigurationsfehler ausnutzen.
So dämmen Sie Cloud-Sicherheitsrisiken ein
Mit diesen drei Schritten können Sie die cloudbezogenen Risiken für Ihr Unternehmen minimieren.
- Führen Sie regelmäßig Risikoanalysen durch, um neue Risiken zu identifizieren.
- Priorisieren und implementieren Sie Sicherheitskontrollen, um identifizierte Risiken zu minimieren. (CrowdStrike kann Ihnen helfen)
- Dokumentieren Sie Risiken, die Sie bewusst eingehen, und überprüfen Sie diese Risiken regelmäßig.
3 Cloud-Sicherheitsbedrohungen
In diesem E-Book werden die Top 4 der Bedrohungen für Ihre Cloud-Projekte beschrieben und Möglichkeiten genannt, mit denen Sie die Cloud sowie die damit verbundenen Vorteile sicher nutzen können.
Jetzt herunterladenEine Bedrohung ist ein Angriff auf Ihre Cloud-Ressourcen, bei dem versucht wird, ein Risiko auszunutzen. Nachfolgend werden drei Beispiele erläutert.
1. Zero-Day-Exploits
Die Cloud ist ein „Computer einer Drittpartei“. Wenn Sie Computer und Software nutzen, besteht jederzeit die Gefahr von Zero-Day-Exploits – selbst wenn die Computer oder Software im Rechenzentrum eines anderen Unternehmens ausgeführt werden.
Zero-Day-Exploits zielen auf Schwachstellen in beliebten Software-Anwendungen und Betriebssystemen ab, für die der Anbieter keine Patches zur Verfügung gestellt hat. Sie sind gefährlich, weil Angreifer über Zero-Day-Schwachstellen in der Umgebung selbst bei erstklassigen Cloud-Konfigurationen Fuß fassen können.
2. Hochentwickelte hartnäckige Bedrohungen
Eine hochentwickelte hartnäckige Bedrohung (Advanced Persistent Threat, APT) ist ein ausgeklügelter, anhaltender CyberCyberattacksangriff, mit dem Eindringlinge sich unentdeckt in ein Netzwerk einnisten, um über einen längeren Zeitraum sensible Daten zu stehlen.
APTs sind kein kurzer Drive-by-Angriff. Der Angreifer bleibt in der Umgebung und bewegt sich von Workload zu Workload, um sensible Informationen zu finden, die er dann an den Höchstbietenden verkaufen kann. Diese Angriffe sind gefährlich, weil sie mit einem Zero-Day-Exploit beginnen und dann monatelang unentdeckt bleiben können.
3. Datenkompromittierungen
Eine Datenkompromittierung besteht, wenn sensible Informationen in den Besitz einer Drittpartei gelangen, ohne dass Sie dies wissen oder genehmigt haben. Daten sind für Angreifer das wertvollste Gut überhaupt und deshalb auch das Ziel der meisten Angriffe. Cloud-Konfigurationsfehler und unzureichender Laufzeitschutz können dazu führen, dass Daten ohne große Mühe für Diebe zugänglich sind.
Die Auswirkungen von Datenkompromittierungen hängen von der Art der gestohlenen Daten ab. Diebe verkaufen personenbezogene Informationen und persönliche Gesundheitsdaten im Dark Web an andere, die Identitäten stehlen oder die Informationen in Phishing-E-Mails verwenden möchten.
Andere sensible Informationen wie interne Dokumente oder E-Mails könnten verwendet werden, um dem Ruf eines Unternehmens zu schaden oder seinen Aktienkurs zu sabotieren. Ganz gleich, aus welchem Grund Daten gestohlen werden – Kompromittierungen sind weiterhin eine große Bedrohung für Unternehmen, die die Cloud nutzen.
So gehen Sie mit Cloud-Sicherheitsbedrohungen um
Die Bandbreite der Angriffe ist so groß, dass es eine echte Herausforderung ist, sich umfassend zu schützen. Mit diesen drei Richtlinien können Sie jedoch Ihre Cloud-Ressourcen vor diesen und anderen Bedrohungen schützen.
- Befolgen Sie bei der Entwicklung von Mikroservices Standards für sichere Programmierung.
- Überprüfen Sie Ihre Cloud-Konfiguration mehrfach, um Lücken zu schließen.
- Wenn Sie eine sichere Basis aufgebaut haben, gehen Sie mit Bedrohungssuche in die Offensive. (CrowdStrike kann Ihnen helfen)
3 Cloud-Sicherheitsherausforderungen
Herausforderungen sind die Lücke zwischen Theorie und Praxis. Es ist gut zu wissen, dass eine Cloud-Sicherheitsstrategie erforderlich ist. Doch wo sollen Sie anfangen? Wie gehen Sie kulturelle Veränderungen an? Mit welchen praktischen Schritten setzen Sie die Strategie im Alltag um?
Die Identitäts- und Zugriffsverwaltung ist von entscheidender Bedeutung. Doch wie lässt sie sich für ein Unternehmen mit zehntausenden Mitarbeitern skalieren? Die Kunst besteht darin, die Theorie der Strategie in praktische Schritte umzuwandeln. Hierfür bedarf es erfahrener Führungskräfte.
Jedes Unternehmen, das die Cloud nutzt, wird mit diesen drei Herausforderungen konfrontiert.
1. Fehlende Strategie und Kenntnisse zur Cloud-Sicherheit
Traditionelle Sicherheitsmodelle für Rechenzentren lassen sich nicht auf die Cloud übertragen. Administratoren müssen sich mit neuen Strategien vertraut machen und sich Kompetenzen aneignen, die speziell für Cloud Computing erforderlich sind.
Ein Vorteil der Cloud ist die höhere Agilität für Unternehmen. Wenn jedoch die internen Kenntnisse und Kompetenzen fehlen, um die Sicherheit entsprechend zu gestalten, können dadurch auch Schwachstellen entstehen. Eine mangelnde Auseinandersetzung mit dem Modell der gemeinsamen Verantwortung, in welchem die Sicherheitspflichten des Cloud-Anbieters und des Benutzers festgelegt sind, kann zu dessen Fehlinterpretation führen. Diese Fehlinterpretation kann zur Folge haben, dass ungewollte Sicherheitslücken ausgenutzt werden.
2. Identitäts- und Zugriffsverwaltung
Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist unverzichtbar. Das mag offensichtlich klingen, doch die eigentliche Herausforderung liegt im Detail.
Die Erstellung der nötigen Rollen und Berechtigungen für ein Unternehmen mit tausenden Mitarbeitern ist eine gewaltige Aufgabe. Eine ganzheitliche IAM-Strategie umfasst drei Schritte: die Konzeption der Rollen, die Verwaltung der Zugriffsrechte und die Implementierung.
Beginnen Sie mit einer soliden Rollenkonzeption basierend auf den Anforderungen der Benutzer, die die Cloud nutzen. Definieren Sie die Rollen unabhängig von einem spezifischen IAM-System. Diese Rollen beschreiben die Arbeit Ihrer Mitarbeiter, die unabhängig von den Cloud-Anbietern immer gleich bleibt.
Anschließend definieren Sie mit einer Strategie zur Zugriffsrechteverwaltung (Privileged Access Management, PAM), welche Rollen aufgrund ihrer Berechtigungen zusätzlichen Schutz benötigen. Sie sollten genau kontrollieren, wer über privilegierte Anmeldedaten verfügt, und die zugehörigen Zugangsdaten regelmäßig ändern.
Zuletzt müssen die definierten Rollen im IAM-Service des Cloud-Anbieters implementiert werden. Dieser Schritt wird durch eine vorzeitige Definition deutlich erleichtert.
3. Schatten-IT
Schatten-IT ist eine Sicherheitsbedrohung, da sie die regulären IT-Genehmigungs- und Verwaltungsprozesse umgeht.
Schatten-IT tritt typischerweise auf, wenn Mitarbeiter Cloud-Services für ihre Arbeit nutzen. Da Cloud-Ressourcen schnell und einfach eingesetzt werden können, lässt sich dieses Verhalten nur schwer kontrollieren. Entwickler können mit ihren Konten beispielsweise schnell Workloads erstellen. Leider sind auf diese Weise erstellte Ressourcen möglicherweise nicht angemessen geschützt, mit Standardkennwörtern ausgestattet oder aufgrund von Konfigurationsfehlern öffentlich zugänglich.
DevOps verkompliziert die Angelegenheiten noch weiter. Cloud- und DevOps-Teams arbeiten gerne schnell und reibungslos, was sich jedoch nur schwer mit dem für das Sicherheitsteam erforderlichen Maß an Transparenz und Verwaltung vereinen lässt. Das DevOps-Team muss reibungslos arbeiten können, um sichere Anwendungen bereitstellen und die fortlaufende Integrations- und Bereitstellungspipeline (Continuous Integration/Continuous Delivery, CI/CD) direkt integrieren zu können. Damit das Sicherheitsteam an die nötigen Informationen kommt, ohne das DevOps-Team auszubremsen, ist ein einheitlicher Ansatz erforderlich. IT und Sicherheit müssen Lösungen für die Cloud finden, die auch der Geschwindigkeit von DevOps gerecht werden.
So bewältigen Sie Cloud-Sicherheitsherausforderungen
Herausforderungen sind stets individuell und erfordern daher individuelle Lösungen. Nehmen Sie sich Zeit für die Planung, bevor Sie Cloud-Services nutzen. In einer fundierten Strategie werden alle gängigen Cloud-Herausforderungen berücksichtigt, unter anderem auch die hier besprochenen. Damit haben Sie dann einen Aktionsplan für alle erwarteten Herausforderungen.