CLOUD: Sicherheitsanalysen von Cloud-Infrastrukturen

Ausgangslage

Um Kosten zu optimieren und Skalierungsmöglichkeiten zu schaffen, kommt kaum ein Unternehmen mehr an der Cloud vorbei. Einer der größten Anbieter in diesem Bereich ist Amazon mit den Amazon Web Services (AWS). Egal, ob ein Cloud-Projekt gerade aufgebaut wird oder bereits in Betrieb ist: Eine Sicherheitsanalyse deckt Schwachstellen auf und projektspezifische Härtungsempfehlungen verbessern das Sicherheitsniveau des Cloud-Projektes. Neben grundlegenden Funktionalitäten wie der Überprüfung des Rollen- und Berechtigungskonzeptes und des Schlüsselmanagements zum Schutz von sensiblen Daten prüft die SySS auch Speicherablageberechtigungen, zum Beispiel von S3 (Simple Storage Service) oder Datenbanken. Wird die Infrastruktur dynamisch erzeugt und hierbei mit „Terraform“ oder „CloudFormation“ gearbeitet, überprüft die SySS die Sicherheit der Systeme, die in Zukunft im Einsatz sein werden. Neben den Templates wird auch die Sicherheit der Image-Quellen und Auto Scaling Groups untersucht.

Auch eine umfangreiche Netzwerkkonfiguration, bestehend aus VPCs, Subnetzen, Sicherheitsgruppen (Security Groups) und Gateways, wird auf offene Angriffsflächen hin analysiert und Verbesserungspotenzial wird erarbeitet.

Auch das Auditieren von organisatorisch-technischen Themen wie Monitoring, Logging und den Alert-Workflows fällt in den Kompetenzbereich der SySS. Hierbei wird zum Beispiel geprüft, ob die richtigen Sicherheitsmeldungen bei den richtigen Mitarbeitern ankommen und ob diese nicht unnötigerweise mit zu vielen Informationen überhäuft werden.

Sollte das Projekt auf einer serverlosen Infrastruktur (Serverless Infrastructure) aufbauen, betrachtet die SySS die zugeschnittene Implementierung mit Services wie beispielsweise AWS Lambda, AWS DynamoDB oder AWS Cognito.

Bei einem IoT-Projekt werden der Enrollment-Prozess, die Kommunikation mit dem IoT Core und die Konfiguration der entsprechenden Regeln (Topic Rules) analysiert, damit die Geräte und deren Benutzer nach dem Least Privilege-Prinzip konfiguriert werden.

Zielsetzung

Die SySS versucht, gemeinsam mit dem Kunden das Cloud-Projekt auf ein hohes Sicherheitsniveau zu heben oder ihm ein solches zu bestätigen. Die SySS arbeitet neben einem Katalog an Schwachstellen auch differenziert eine Liste für empfohlene und mögliche Härtungsmaßnahmen aus.

Durchführung

Die Cloud-Audits finden in der Regel remote statt. Hierfür erhält die SySS einen Benutzer mit Leseberechtigungen auf dem entsprechenden Projekt. Ergänzt wird diese Herangehensweise durch Telefoninterviews mit zuständigen Personen, um offene Fragen zu klären oder einen Einblick in die organisatorische Struktur zu erhalten. Hierbei soll beispielsweise auch ermittelt werden, ob es Themengebiete gibt, die bisher im Projekt nicht abgebildet worden sind. Beispiele hierfür sind regelmäßige Vulnerability-Scans von Instanzen oder ein fehlender Notfallaccount bei einem Ausfall der Multi-Faktor-Geräte.

Mitwirkung des Kunden

Bei einem Audit kann nur das bewertet werden, was auch eingesehen werden kann. Daher ist es besonders wichtig, dass die benötigten Leseberechtigungen für das Projekt gesetzt sind.
Hierbei lohnt es sich, vor der Übergabe der Auditor-Accounts an die SySS zu überprüfen, ob die eingerichteten Berechtigungen ausreichen, um alles Relevante sehen zu können.
Die Kombination aus folgenden Berechtigungen hat sich hierbei als besonders zielführend herausgestellt:

• arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
• arn:aws:iam::aws:policy/SecurityAudit

Neben den Auditorberechtigungen, die eine Sicht „von oben“ ermöglichen, ist auch die Bereitstellung von Benutzeraccounts des jeweiligen Projektes sinnvoll, um Szenarien aus der Perspektive eines Benutzers überprüfen zu können.

Ausgangslage

Eine IT-Firmenstruktur auf Basis von Microsoft Active Directory, Windows-Servern und Windows Office-Clients ist heute allgegenwärtig. Um diese Infrastruktur dynamischer skalieren zu können und die Arbeit von der Ferne aus einfacher zu gestalten, ist der Schritt in die Azure-Cloud eine Möglichkeit, die Anforderungen nach mehr Flexibilität zu erfüllen. Egal, ob Kunden gerade die ersten Schritte in der Azure-Cloud machen, bereits größere Umzüge und Projekte realisiert haben oder sogar auf „Cloud only“ setzen: Die SySS unterstützt sie, ihre Azure-Infrastruktur auf ein hohes Sicherheitsniveau zu bringen, oder bestätigt ihnen bestenfalls, dass ihre Azure-Umgebung bereits sehr gut abgesichert ist.

Bei einer Azure-Überprüfung wird in der Regel im ersten Schritt das Azure Active Directory analysiert. Hierbei wird geprüft, ob die Benutzer- und Gruppenrechte sowie die Authentifizierung in einem Zustand sind, der zu den Sicherheitsanforderungen des Kunden passt. Sowohl bei Infrastrukturen mit virtuellen Maschinen oder Kubernetes als auch bei komplett serverlos auf- und ausgebauten Infrastrukturen sorgt die SySS dafür, dass keine Konfigurationsfehler zu Schwachstellen oder gar Datenverlust führen. In einem Audit, das sowohl manuelle als auch automatisierte Tests umfasst, wird die jeweilige Konfiguration auf sicherheitsrelevante Fehlkonfigurationen und den Einsatz von Best Practice-Methoden getestet. Auch das Monitoring, das Logging und den Alert-Workflow nimmt die SySS unter die Lupe und gibt einen Überblick, was möglich und nötig ist, um die Azure-Umgebung nachhaltig zu stärken.

In einem Office 365-Konfgurationsaudit geht es in erster Linie darum, herauszuarbeiten, ob die Daten und E-Mails von Mitarbeitenden vor ungewollten Zugriffen untereinander und durch Dritte geschützt sind. Hierbei werden unter anderem die folgenden Aspekte betrachtet:

• Benutzerberechtigungseinstellungen und Rollenverteilung in Office 365 und Azure AD-Audit von Office Secure Score-Einsatz und OneDrive-Konfiguration
• Datenspeicherung und Prüfung von Anhängen z. B. Ablage von kritischen Daten und Malware-Erkennung
• Überprüfung der Datenstromüberwachung (OneDrive, SharePoint etc.)
• Überprüfung des Anmeldemonitorings bzw. von Angriffsmonitoring/Benachrichtigung bei administrativen Handlungen (z. B. der richtige Einsatz von Azure Advanced Threat Protection)

Wir teilen auch gerne unsere Kompetenzen in der Sicherheitsanalyse bei Azure IoT-Umgebungen. Hierbei werden die folgenden Themen bearbeitet:

• Enrollment-, Registrierungs- und Authentifizierungsprozess des IoT-Gerätes
• Überprüfung der Datenkommunikation zwischen IoT-Gerät und Azure IoT Hub auf Schwachstellen hin
• Der sichere Einsatz von Azure Event Hubs und Azure Functions
• Das passende Monitoring, um kompromittierte Geräte zu detektieren
• Der Best Practice-Einsatz des Azure IoT SDK auf den Geräten
• Überprüfung einer eventuell vorhandenen Mandantentrennung der IoT-Landschaft auf die Möglichkeit von Rechteeskalationen

Zielsetzung

Die SySS versucht, gemeinsam mit dem Kunden das Cloud-Projekt auf ein hohes Sicherheitsniveau zu heben oder ihm ein solches zu bestätigen. Die SySS arbeitet neben einem Katalog an Schwachstellen auch differenziert eine Liste für empfohlene und mögliche Härtungsmaßnahmen aus.

Durchführung

Die Cloud-Audits finden in der Regel remote statt. Hierbei erhält die SySS einen Benutzer mit Leseberechtigungen auf den Tenant oder die Projektressourcen und das AAD. Ergänzt wird diese Herangehensweise durch Telefoninterviews mit zuständigen Personen, um offene Fragen zu klären oder einen Einblick in die organisatorische Struktur zu erhalten. Hierbei soll beispielsweise auch ermittelt werden, ob es Themengebiete gibt, die bisher im Projekt nicht abgebildet worden sind. Beispiele sind hier regelmäßige Vulnerability-Scans von Instanzen oder ein fehlender Notfallaccount bei einem Ausfall der Multi-Faktor-Geräte.

Mitwirkung des Kunden

Bei einem Audit kann nur das bewertet werden, was auch eingesehen werden kann. Daher ist es besonders wichtig, dass die benötigten Leseberechtigungen für das Projekt gesetzt sind.

Hierbei lohnt es sich, vor der Übergabe der Auditor-Accounts an die SySS zu überprüfen, ob die eingerichteten Berechtigungen ausreichen, um alle wichtigen Konfigurationen sehen zu können.

Je nach Projektumfang sollte hier ein Benutzer mit den Berechtigungen des „Global Reader“ auf dem Tenant bereitgestellt werden. Weiterhin sollte eine Berechtigung für die projektrelevanten Ressourcengruppen ermöglicht werden.

Neben den Auditorberechtigungen, die eine Sicht „von oben“ ermöglichen, ist auch die Bereitstellung von Benutzeraccounts des Projektes sinnvoll, um Szenarien aus der Sicht eines Benutzers überprüfen zu können.