CLOUD: Das neue Testmodul der SySS

Cloud Computing ist einer der zentralen IT-Trends der letzten Jahre. Die Bündelung von Serverkapazitäten und der damit einhergehende Eindruck eines unbegrenzten Speicherplatzes machen Cloud-Dienste für Nutzer sehr attraktiv. Auch der bequeme Zugriff per Internet über diverse Clients wie den eigenen Computer, aber auch über Smartphones und Tablets trägt zur rasant wachsenden Beliebtheit von Cloud Computing bei. Nicht weniger rasant ist das Tempo der Entwicklungen in diesem Bereich. Immer neue Sicherheitsfunktionen brauchen immer neue Sicherheitstests. Dem trägt die SySS mit der Gründung des Fachteams „Cloud Security“ und mit dem neuen Testmodul „CLOUD“ Rechnung.

Cloud Computing: Worum geht es? Was sind die Vorteile?

Als „Cloud Computing“ wird ein Zusammenschluss von Servern bzw. ein Computer-Cluster bezeichnet. Die erste Besonderheit dabei: Physische Serverräume werden durch virtuelle Serververbünde ersetzt. Deren Pflege geht bspw. von der IT-Abteilung eines Unternehmens zum Cloud-Dienstleister über. Das heißt, dass der Einkauf und die Unterhaltung eines firmeninternen Serverraums entfallen. Die Infrastruktur unterliegt einer geteilten Verantwortung: Der Cloud-Dienstleister stellt Ressourcen und Systeme bereit, die selbst sehr flexible und hoch dynamische Anforderungen an benötigte Infrastruktur erfüllen. Der Kunde ist nur noch für die Anwendung und ggf. für das Betriebssystem zuständig, nicht mehr aber etwa für die Sicherheit der Mainframe-BIOS-Konfiguration und der physischen Gebäude, in denen die Server stehen. Mit Cloud Computing gehen insbesondere zwei Neuerungen einher, die Nutzern große Vorteile bringen: Zum einen lässt sich die Menge an Ressourcen fast beliebig skalieren. Vom Zukauf eines einzelnen Servers mit einem Rechenkern bis hin zur Schaffung einer großen Serverlandschaft aus Tausenden von Servern mit hoher Rechenkapazität: All das lässt sich in einigen Minuten durchführen. Sobald der Bedarf nicht mehr vorhanden ist, können diese Volumina problemlos wieder abgestoßen werden. Zum Vergleich: Ohne Cloud Computing ist es in der Regel erforderlich, Kapazität auf Vorrat zu erwerben. Die Einrichtung der Serverräume und Serversysteme beansprucht überdies mehrere Tage, Wochen oder gar Monate. Die Cloud kennt nahezu keine Kapazitätsgrenzen und speziell bei serverlosen Speichern entsteht während des Arbeitens der Eindruck, als wäre der Speicher unendlich groß. Bezahlt wird jedoch nur die tatsächlich genutzte Speichermenge. Die zweite Neuerung, die Cloud Computing mit sich bringt, ist der Zugriff auf eine Vielzahl von sogenannten „serverlosen“ Diensten. Ob Datenbank, Datenspeicher oder Authentifizierungsschnittstelle: Die Anbieter implementieren immer mehr Services, die einzeln oder in Kombination genutzt werden können, ohne dass ein Nutzer sich um eine darunterliegende Infrastruktur kümmern muss. Dies beschleunigt die Entwicklung von neuen IT-Anwendungen und verringert die Wartungs- und Pflegearbeit für die Kunden von Cloud Computing-Diensten. Nicht zu vernachlässigen ist außerdem die einfache Konfiguration weltweiter Backups auf verschiedenen Kontinenten, die mit der Cloud möglich wird. Redundanz, auch für die Beschleunigung der globalen Datenbereitstellung, lässt sich dadurch sehr komfortabel umsetzen.

Cloud Computing und Cloud Security: Wo sind die Grenzen? Welche Gefahren drohen?

Cloud Computing ist leistungsstark und bequem. Allerdings: keine Cloud ohne Internet, ohne Internet keine Cloud. Beim Cloud Computing ist die Verfügbarkeit der Dienste ein neuralgischer Punkt: Bei einer fehlenden Internetverbindung sind die Daten, die ausschließlich in der Cloud gelagert werden, nicht erreichbar. Im Zentrum der Cloud Security wiederum stehen die entsprechenden Angriffsvektoren für Online-Angriffe auf Serverdienste und Betriebssysteme sowie auf Fehlkonfigurationen.

Die Verfügbarkeit von Cloud-Services stellt bislang in der Praxis kein nennenswertes Problem dar: Die großen Cloud-Anbieter haben allesamt eine bemerkenswerte Verfügbarkeitsbilanz. Tatsächlich findet zwischen den Cloud-Dienstleistern sogar ein Wettstreit statt, wer näher an 100% Verfügbarkeit heranreicht – 99,9% konnten in der Vergangenheit alle großen Anbieter verzeichnen. Sind Cloud-Services bei kleinen oder mittelständischen Unternehmen einmal nicht zu erreichen, ist dies in der Regel auf den Internetprovider, einen Stromausfall oder auf eine Fehlkonfiguration des Anwenders zurückzuführen. Die Gefahr, dass Mitarbeiterinnen und Mitarbeiter temporär nicht auf die Cloud-Systeme zugreifen können, ist somit real, aber selten. Außerdem sind die Daten in solch einem Fall nicht verloren, sondern nur kurzzeitig nicht verfügbar. Für Branchen, in welchen dauerhafte Echtzeitkommunikation nötig ist, wie etwa in der Fertigungstechnik, gibt es spezielle Technologien sogenannter Edge-Systeme. Edge-Systeme übernehmen temporär Serveraufgaben und die Datenspeicherung und senden diese bei nächster Gelegenheit dann an die Cloud-Infrastruktur. Insbesondere im Umfeld der IoT-Technologie ist eine Edge-Komponente vorteilhaft bis unausweichlich.

Was die Cloud Security angeht, gilt dasselbe Credo wie für jede Art von IT-Sicherheit: Die Angriffsfläche ist so gering wie möglich zu halten und die notwendige Angriffsfläche ist bestmöglich zu konfigurieren. Um Angriffe auf Serverdienste und Betriebssysteme zu verhindern, bildet klassische Netzwerktechnik wie Netzwerkseparierung, Routing und Firewalls die Grundlage. Eine Cloud-Infrastruktur bietet aber auch zusätzliche Optionen, die in einer herkömmlichen Infrastruktur schwer umzusetzen sind. Bspw. besteht die Möglichkeit für die Serveradministration, statt der üblichen Verbindung via SSH oder RDP auch die Authentifizierung der Cloud-Benutzerinfrastruktur zur Anmeldung zu benutzen. Die Anmeldung kann dann zum Beispiel so eingeschränkt werden, dass Administrator_innen nur auf Serversysteme gelangen, wenn sie a) einen von der Firma verwalteten, aktuell gepatchten Computer dafür verwenden, b) dies nur zwischen Montag und Freitag 8-20 Uhr von Deutschland aus tun, und c) die Authentifizierung mit einem zweiten Faktor abgesichert ist. Weiterhin kann dabei der Zeitraum, in dem der Administrator auf dem System tätig war, protokolliert oder sogar automatisch gemeldet werden. So lassen sich Sicherheitsvorfälle automatisiert und zeitnah erkennen und analysieren. Über eine entsprechende Konfiguration lässt sich in der Cloud überdies eine Intranet-Infrastruktur erstellen, die nur aus dem Firmennetz erreichbar ist und sich im Alltag benutzen lässt wie eine Serverlandschaft im eigenen Haus.

Neben Angriffen auf Serverdienste und Betriebssysteme versuchen Angreifer natürlich auch, mit Phishing-Methoden an Cloud-Zugangsdaten zu kommen. Vorrangig richten sich Angriffe auf Cloud-Infrastrukturen gezielt gegen Fehlkonfigurationen. Insbesondere Fehler in der Berechtigungs- und Erreichbarkeitsstruktur wie bspw. ein unbeabsichtigt öffentlich zugänglich gemachter Datenspeicher stehen im Visier der Angreifer. Eine sichere Konfiguration ist demnach das A und O der Cloud Security, wobei hier A für Audit und O für obligatorisch steht. Und nach dem O kommt bekanntlich direkt das P: der Penetrationstest.

Cloud Security: Was ist zu tun? Was leistet das Modul CLOUD?

Um in der Welt des Cloud Computing für Sicherheit zu sorgen, bietet die SySS das neue Testmodul „CLOUD“ an. Geprüft werden sowohl im Aufbau befindliche als auch bereits bestehende Cloud-Infrastrukturen in den Umgebungen Microsoft Azure und Amazon Web Services. Die Sicherheitsanalysen von Office 365- bzw. AWS-Umgebungen enthalten sowohl ein Konfigurationsaudit als auch Elemente des Penetrationstests. Es findet eine vollständige Überprüfung der Cloud-Infrastruktur und der darin genutzten Services auf Schwachstellen und mögliche Härtungsmaßnahmen hin statt. Im Detail bedeutet dies:

Sicherheitsanalyse und Härtungsempfehlungen bei Amazon Web Services-Projekten

Neben grundlegenden Funktionalitäten wie der Überprüfung des Rollen- und Berechtigungskonzeptes und des Schlüsselmanagements zum Schutz von sensiblen Daten werden im Rahmen des neuen Moduls „CLOUD“ bei AWS-Projekten auch Speicherablageberechtigungen geprüft, zum Beispiel von S3 (Simple Storage Service) oder Datenbanken. Bei einer dynamisch erzeugten Infrastruktur unter Verwendung von „Terraform“ oder „CloudFormation“ überprüft die SySS die Sicherheit der Systeme, die zukünftig im Einsatz sein werden. Neben den Templates wird auch die Sicherheit der Image-Quellen und Auto Scaling Groups untersucht. Auch eine umfangreiche Netzwerkkonfiguration, bestehend aus VPCs, Subnetzen, Sicherheitsgruppen (Security Groups) und Gateways wird auf offene Angriffsflächen analysiert und Verbesserungspotenzial wird erarbeitet.

Das Modul „CLOUD“ leistet auch ein Audit von organisatorisch-technischen Maßnahmen wie Monitoring, Logging und den Alert-Workflows. Baut ein Projekt auf einer serverlosen Infrastruktur (Serverless Infrastructure) auf, betrachtet die SySS die individuelle Implementierung mit Services wie beispielsweise AWS Lambda, AWS DynamoDB oder AWS Cognito.

Bei einem IoT-Projekt werden der Enrolment-Prozess, die Kommunikation mit dem IoT Core und die Konfiguration der Regeln (Topic Rules) analysiert.

Sicherheitsanalyse und Härtungsempfehlungen für Azure-Infrastrukturen

Bei einer Azure-Überprüfung wird in der Regel im ersten Schritt das Azure Active Directory inkl. Benutzer- und Gruppenrechte sowie Authentifizierung analysiert. Infrastrukturen aus virtuellen Maschinen, Kubernetes oder auch komplett serverlos aufgebaute Umgebungen werden in einem Konfigurationsaudit geprüft. Ein solches Audit umfasst sowohl manuelle als auch automatisierte Tests und nimmt sicherheitsrelevante Fehlkonfigurationen und den Einsatz von Best Practice-Methoden ebenso in den Fokus wie das Monitoring, das Logging und den Alert-Workflow.

In einem Office 365-Konfigurationsaudit geht es in erster Linie darum, herauszuarbeiten, ob Daten und E-Mails durch korrekte Benutzerberechtigungseinstellungen und Rollenverteilung sowie Datenspeicherung und Anhangsprüfung vor ungewollten Zugriffen untereinander und durch Dritte geschützt sind. Die Analyse des Datenstrommonitorings (OneDrive, SharePoint etc.) sowie des Anmelde- bzw. Angriffsmonitorings (z. B. Azure Advanced Threat Protection) ist hier ebenfalls zentral.

Das Modul „CLOUD“ bietet außerdem eine Sicherheitsanalyse von Azure IoT-Umgebungen. Sie widmet sich dem Enrolment-, Registrierungs- und Authentifizierungsprozess des IoT-Gerätes und beschäftigt sich mit der Datenkommunikation zwischen IoT-Gerät und Azure IoT Hub. Der sichere Einsatz von Azure Event Hubs und Azure Functions und das passende Monitoring, um kompromittierte Geräte zu detektieren, werden ebenso einer Analyse unterzogen wie der Best Practice-Einsatz des Azure IoT SDK auf den Geräten. Eine eventuell vorhandene Mandantentrennung der IoT-Landschaft wird auf die Möglichkeit von Rechteeskalationen untersucht.

Die SySS unterstützt Nutzer von Cloud Computing-Services, ihre Cloud-Infrastruktur auf ein hohes Sicherheitsniveau zu bringen. Eine Sicherheitsanalyse mit dem Modul „CLOUD“ deckt Schwachstellen auf und projektspezifische Härtungsempfehlungen verbessern das Sicherheitsniveau eines jeden Cloud-Projektes.