Interview zu Cloud Security 19.02.2020, 14:30 Uhr

«Kubernetes führt zu Konfigurations-Durcheinander»

Die grösste Gefahr für Cloud-Umgebungen lauert in fehlerhafter Konfiguration. Das meint Zohar Alon, Leiter des Cloud-Geschäfts beim israelischen Cybersecurity-Experten Check Point, im Computerworld-Interview.
Zohar Alon ist Mitgründer von Dome9 und jetzt verantworlich für das schnell wachsende Cloud-Geschäft von Check Point
(Quelle: Jens Stark/NMGZ)
Selbst konservative Unternehmen adaptieren im Eiltempo Cloud-Computing. Das ist mit Risiken verbunden. Welche das hauptsächlich sind, erklärt Zohar Alon. Computerworld traf den Leiter des Cloud-Geschäfts bei Check Point Software Technologies und Mitgründer des Cloud-Security-Spezialisten Dome9 am Rande der Hausmesse CPX 360, die vor Kurzem in Wien stattgefunden hat.
Computerworld: Was sind derzeit die grössten Gefahren für Unternehmensanwender von Cloud-Infrastrukturen?
Zohar Alon: Die grösste Bedrohung sehe ich bei der Konfiguration von Cloud-Installationen. Diese werden nämlich zunehmend komplexer. Entwickler benutzen nicht nur eine Plattform in einer Cloud, sondern meist mehrere Angebote, oft auch bei mehreren Anbietern. Bei jeder dieser Installationen muss die Security-Seite neu bedacht werden. Zum Beispiel wenn ein neuer Datenbank-Typ in der Cloud ausgerollt wird, müssen Aspekte wie Datenbankeigenschaften, so etwa der Zugriff, auch aus Security-Sicht betrachtet werden. Wird mehr als eine Cloud genutzt, potenziert sich zudem die Komplexität.
Computerworld: Gibt es spezielle Herausforderungen?
Alon: Ja, eine besonderer Faktor, der die Konfiguration verkompliziert ist Kubernetes. Das Produkt ist ja mittlerweile einerseits der De-facto-Standard in Sachen Container-Technologie. Andererseits ist dessen Konfiguration sehr komplex. Somit kann der Einsatz von Kubernetes zu einem wahren Konfigurations-Durcheinander führen, und zwar egal, ob in der öffentlichen Cloud betrieben oder im eigenen Unternehmen.
Computerworld: Warum ist das so?
Alon: Ein Grund ist, dass Kubernetes hauptsächlich von den Entwicklern selbst installiert und betrieben wird und nicht von der IT-Abteilung der Unternehmen. Dann sind die Standard-Konfigurationen von Kubernetes nicht optimal. Schliesslich ist die Benutzeroberfläche nicht grafisch und daher sehr unübersichtlich. Hier haben wir im Dezember 2019 aber ein Produkt lanciert, mit dem die Probleme mit einer bestehenden Installation sichtbar gemacht werden können.

Häufige Fehl-Konfigurationen

Computerworld: Abgesehen von Kubernetes: Was sind häufige Fehl-Konfigurationen in der Cloud?
Alon: Ein häufiges Problem ist, dass veraltete Protokolle verwendet werden, wie etwa TLS 1.0. Damit haben die Benutzeroberflächen der Webapplikationen eine Schwachstelle, die nur darauf wartet, von Angreifern ausgenutzt zu werden.
Ein weiterer «Klassiker» ist, wenn wegen einer Fehlkonfiguration die Speicherbehältnisse in der Cloud, die sogenannten Storage Buckets, exponiert werden. Ein dritter oft gemachter Fehler entsteht bei der Verteilung von Rechten. So können Funktionen mit exzessiven Rechten versehen werden, so dass ein Angreifer, wenn er diese übernimmt, die Erlaubnis erhält, beispielsweise alle Daten zu löschen. Das sind drei isolierte Fälle von falscher Konfiguration, die schwerwiegende Sicherheitsprobleme nach sich ziehen könnten und meist von den Betreibern unentdeckt bleiben.
Aber damit nicht genug: die Cloudumgebung und die zugehörigen Produkte sowie Protokolle werden bekanntlich weiterentwickelt. Was heute noch als sicher gilt, etwa die Verwendung von TLS 1.2 als Protokoll, kann morgen nicht mehr zutreffen. Darum sollten die Konfigurationsparameter auch laufend überprüft werden und nicht nur bei der Installation. Dann besteht auch die Gefahr, dass beispielsweise irgend ein Script mit einem Bug bestehende Konfigurationen ändert. Auch hier ist ständiges Monitoring von Vorteil. Hierfür haben wir unsere CloudBots entwickelt, die wir kostenlos und quelloffen zur Verfügung stellen. Damit lassen sich die Einstellungen überwachen und so einstellen, dass das Angriffsrisiko vermindert werden kann.
Computerworld: Was sind die schlimmsten Fehl-Konfigurationen, die Sie im Feld bei Firmen schon angetroffen haben?
Alon: Oft sind es Fehler, die eigentlich leicht zu vermeiden wären. So kommt es häufig vor, dass beispielsweise SSL-Zertifikate für Loadbalancer nur noch wenige Stunden gültig sind. Laufen diese ab, kann das gröbere Folgen für den laufenden Betrieb haben, weil gewisse Dienste nicht mehr funktionieren. Das lässt sich aber mit entsprechender Überwachung und Planung einfach verbessern. Unsere Compliance-Engine kann etwa mit einer einfachen Regel sicher stellen, dass alle Zertifikate der verschiedenen Cloud-Installationen mindestens noch 90 Tage gültig sind, und dass die Verantwortlichen benachrichtigt werden, wenn dies nicht mehr der Fall ist. So hat die IT-Mannschaft genug Zeit, um die Zertifikate zu erneuern.
Häufig sind auch Speicher-Instanzen offen, weil sie falsch konfiguriert sind, um ein weiteres Beispiel zu nennen. Das ist auch kaum verwunderlich, haben die Anbieter ständig mehr Einstellmöglichkeiten hinzugefügt. S3 von Amazon ist beispielsweise mit zehn Konfigurationspunkten gestartet. Heute müssen 80 Einstellungen vorgenommen werden. Dies hat unweigerlich zur Folge, dass die Chance einer Fehlkonfiguration dramatisch steigt.
Ein bekanntes Beispiel ist in diesem Zusammenhang auch der Datenklau bei Capital One, der im Juli 2019 bekannt geworden ist. Auch hier stand eine falsche Konfiguration im Zentrum. So war eine Webapplikation fälschlicherweise so eingestellt, dass sie Zugriffsrechte auf gespeicherte Daten besass, was dann von Cyberkriminellen ausgenutzt wurde. Das Besondere in dieser Situation war zudem, dass die Zugriffsrechte nicht aktiv vergeben, sondern vererbt wurden, weil die App zufällig einer Gruppe mit entsprechenden Rechten zugeordnet war.

Die Anfänge von Dome9 und die Security der Hyperscaler

Computerworld: Sie sind ja Mitgründer von Dome9, die von Check Point nun übernommen wurde. Was fehlte damals, als sie die Firma gegründet haben, in Sachen Cloud Security, das das Start-up adressierte?
Alon: Um ehrlich zu sein, waren wir 2010 bei der Gründung der Zeit voraus. Die Cloud war noch kein Thema. Selbst der Cloud-Provider Amazon steckte noch in den Kinderschuhen. Was wir aber adressierten, war die Tatsache, dass Hoster zwar virtuelle Umgebungen anboten, diese aber ohne Firewall zur Verfügung stellten. Zwar gab es schon virtualisierte Firewalls, aber die waren recht teuer. Unsere Idee war es, eine SaaS-Lösung (Software as a Service) für dieses Problem anzubieten – denn der Begriff «Cloud Security» existierte damals noch gar nicht – und die virtuellen Maschinen von aussen abzusichern. Mit dem Wachstum von Amazon waren wir dann die ersten, welche die dortigen Sicherheits-relevanten Schnittstellen bedienen konnten.
Computerworld: Haben nicht mittlerweile auch die grossen Cloud-Anbieter Sicherheitsmechanismen und -tools?
Alon: Ja, das haben sie. Aber die meisten grösseren Unternehmen verlassen sich nicht nur auf einen Cloud-Anbieter, sondern fahren eine Multi-Cloud-Strategie. Ohne uns müssen sie somit mehrere Tools mit unterschiedlichen Benutzeroberflächen verwenden, die zudem unterschiedlich effizient sind, was die Cloud Security anbelangt. Selbst wenn eine Firma sich auf einen Cloud-Anbieter konzentriert, bleibt das Problem mit Kubernetes. Die Container-Technologie kann fast schon wie eine eigene Cloud betrachtet werden.
Computerworld: Welcher der Anbieter nimmt Security besonders ernst?
Alon: Alle grossen Cloud-Provider investieren viel in Sicherheit. Im Fokus steht dabei aber die Betriebssicherheit und die Abwehr grösserer Angriffe auf die eigene Infrastruktur. Für die Security der einzelnen Anwender wird zwar auch einiges getan. Die Nutzer müssen sich aber immer im Klaren sein, dass die Provider nur einen Grundschutz bieten können.
Zur Person
Zohar Alon
leitet die Cloud-Produktlinie von Check Point Software Technologies. Er zeichnet dabei für die Produktentwicklung und die Roadmap aller Cloud-Angebote des israelischen Cybersecurity-Spezialisten verantwortlich. Zohar war CEO und Mitgründer von Dome9, einer Cloud-Security-Firma, die 2018 von Check Point übernommen wurde. Insgesamt blickt Zohar mittlerweile auf eine 22-jährige Karriere im Cybersecurity-Umfeld zurück. Daneben besitzt er Abschlüsse in Wirtschaft und Management von der Universität Tel Aviv.



Das könnte Sie auch interessieren