Security-Baustelle Cloud

Gefährliche Schnittstellen

Eine weitere Gefahr für Cloudinstallationen lauert bei unsicheren Schnittstellen zwischen den Instanzen, namentlich bei der Verwendung von falsch konfigurierten Programmierschnittstellen (Application Programming Interface, API). «Da Software zunehmend in der Cloud bereitgestellt und über APIs für Klienten und Kunden zugänglich gemacht wird, wird potenziell anfällige Software auf Servern gehostet, die über das allgemeine Internet erreichbar sind. Ein Teil des Codes hinter den APIs wird Schwachstellen enthalten, und es ist zu erwarten, dass diese irgendwann von Forschern und/oder ‹Black Hat›-Hackern entdeckt werden», beschreibt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz, die Problematik. «Organisationen sollten sicherstellen, dass jeder eingesetzte Code als Teil des Software-Entwicklungsprozesses gründlich getestet wird und nach dem Einsatz regelmässig Penetrationstests durchgeführt werden», empfiehlt er folglich. Denn sowohl Schwachstellen als auch Sicherheitslücken können sich während des gesamten Entwicklungs- und Bereitstellungsprozesses in die Systeme einschleichen.
Wie bei jeder Software sollten Organisationen versuchen, das Risiko der Entstehung von Schwachstellen genauso zu minimieren wie die Folgen von deren Ausnutzung. «Ebenso schlagen wir Organisationen vor, sicherzustellen, dass sie jeden Code, der sich als angreifbar erweist, schnell patchen können», führt der Cisco-Mann aus. Und schliesslich empfiehlt Stefanov auch die Anbieter von Cloudservices in die Pflicht zu nehmen. «Im Rahmen des Beschaffungsprozesses müssen Unternehmen erörtern, wie Lieferanten und Anbieter mit Sicherheitslücken umgehen», empfiehlt er. «Jedes Unternehmen, das API-basierte Dienste über die Cloud anbietet, sollte über ein robustes Verfahren zur Erkennung und Verwaltung von Sicherheitslücken verfügen.»

Fazit und Ausblick

Die Bedrohung von Cloudumgebungen hat verschiedene Facetten und Ursachen, deren Schwere oder Fokus sich zudem verschieben kann, wie die Untersuchungen der CSA aufzeigen. So hat sich der Fokus in letzter Zeit von Angriffen auf die Infrastruktur des Providers verlagert zu den konkreten Implementationen der Anwenderorganisationen. Und deren Komplexität nimmt eher zu als ab, nicht zuletzt durch die Inanspruchnahme mehrerer Cloudanbieter, Stichwort: Multicloud. Auch die von vielen Unternehmen favorisierten Hybrid-Cloud-Umgebungen aus privaten und öffentlichen Daten- und Rechenwolken erschweren es, den Überblick zu bewahren.
«So vermehrt sich die Zahl der Cloud Services stark, es entstehen komplexe ICT-Architekturen mit einem individuellen Mix aus Cloud- und lokalen Daten», beurteilt Veeams Herzig die Entwicklung. «Eine sehr heterogene Service- und Datenlandschaft bildet sich. Das macht das Management hinsichtlich Sicherheit und Compliance sehr anspruchsvoll», folgert er und meint, dass der Überblick über die Speicherorte der Daten verloren gehe. «Administratoren müssen sich bewusst sein, dass Unternehmensdaten heute ständig in Bewegung sind.»
Ein weiteres Beispiel dafür, dass gerade bei Cloudumgebungen die klassischen Abwehrmassnahmen wie Perimeterschutz nicht mehr greifen, da es keine klaren Umgebungsgrenzen gibt. Um den Sicherheitsrisiken des Cloud Computing Herr zu werden, müssen die IT-Securityverantwortlichen ihre Abwehr datenzentriert ausrichten und beispielsweise Zero-Trust-Konzepte verinnerlichen (vgl. hierzu auch den Computerworld-Artikel Zero Trust).
Fragen an den Cloudprovider
Sowohl Anwender als auch Anbieter von Cloud Computing müssen sich in ihrem Verantwortungsbereich um die nötige Sicherheit kümmern. Dabei gilt der Grundsatz: Der Provider kümmert sich um die Sicherheit der Infrastruktur, während der Bezüger von Clouddiensten um die Security seiner Cloudumgebungen wie Instanzen und Anwenderkonten sowie um die Sicherheit der auf die Cloudressourcen zugreifenden Endgeräte bemüht sein muss.
Doch wie können Anwenderorganisationen feststellen, ob der Provider seinen Part in Sachen Cloudsecurity erfüllt? Schliesslich wird dieser wohl kaum die Baupläne seiner Netzwerksicherheit herausgeben. Der IT-Securityspezialist Kaspersky hat daher Fragen zusammengestellt, mit denen Kunden einen Cloudprovider löchern sollten. Je nach den Antworten, kann man dann versuchen abzuschätzen, wie es der Dienstleister mit der Cloudsecurity hält. So könnte der Fragekatalog aussehen:
  • Sicherheitsaudits: Führen Sie regelmässig externe Audits Ihrer Sicherheitsmechanismen durch?
  • Datensegmentierung: Werden die Kundendaten logisch segmentiert und voneinander isoliert?
  • Verschlüsselung: Sind unsere Daten verschlüsselt? Welche Teile davon sind verschlüsselt?
  • Aufbewahrung von Kundendaten: Welche Richtlinien zur Aufbewahrung von Kundendaten werden befolgt?
  • Aufbewahrung von Benutzerdaten: Werden meine Daten ordnungsgemäss gelöscht, wenn ich Ihren Cloudservice verlasse?
  • Zugriffsverwaltung: Wie werden Zugriffsrechte kontrolliert?



Das könnte Sie auch interessieren