Cloud-Sicherheit: Nach wie vor grosse Defizite
Knackpunkt IAM-Konfigurationen
Die zu grosszügig gewährten Privilegien sind oft das Ergebnis einiger schlecht geschriebener Identitäts- und Zugriffsmanagement-Richtlinien. Im Zentrum steht dabei das Identity & Access Management (IAM). Es ist die wichtigste und komplexeste Komponente, die die Authentifizierung und Autorisierung jeder Ressource in einer Cloud-Umgebung regelt. Einfach ausgedrückt: IAM ist die erste Verteidigungslinie in den meisten Cloud-Umgebungen.
Und die wird teilweise auch von Cloud-Service-Provider (CSP) nicht mit der gebotenen Sorgfalt aufrecht erhalten. Sie bieten nämlich in der Regel einen Satz integrierter Berechtigungsrichtlinien, die schnell auf eine Identität angewendet werden können, die Zugriff auf bestimmte Cloud-Ressourcen benötigt. Diese Einheitslösungen der Provider seien jedoch oft zu allgemein gehalten und gewähren zu viele unnötige Berechtigungen, schreibt Palo Alto.
Dies zeigt auch die Studie: In den integrierten CSP-Richtlinien waren nämlich doppelt so viele ungenutzte oder übermässige Berechtigungen enthalten wie in den vom Kunden erstellten Richtlinien. So wird zu oft Administratorenzugriff gewährt, eine Praxis, von denen die Experten abraten. Trotzdem gehören Administratorrichtlinien laut Studie zu den drei am häufigsten gewährten verwalteten Richtlinien.
Falsch konfiguriertes IAM öffnet Tür und Tor für Cloud-Angreifer
Das hat Konsequenzen. Denn laut Studie beginnen die meisten bekannten Sicherheitsvorfälle in der Cloud mit einem falsch konfigurierten IAM oder durchgesickerten Zugangsdaten (z. B. öffentlich zugängliche Storage-Buckets und fest codierte Zugangsdaten). Die Studie zeigt, dass 65 Prozent der bekannten Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind. Dies sind auch die Angriffsvektoren, die Angreifer ständig auszunutzen versuchen.
Denn alle identifizierten Cloud-Angreifer versuchten den Experten zufolge, die Cloud-Zugangsdaten abzugreifen, wenn sie einen Server, Container oder Laptop kompromittierten. Durchgesickerte Zugangsdaten mit übermässigen Berechtigungen könnten Hackern dann den «Schlüssel zum Königreich» in die Hände spielen.
Die Forscher haben darüber hinaus in der Vergangenheit bereits einen Cloud-Angreifer identifiziert, der CSP-Anmeldedaten verwendet hat, was zeigt, dass er es nicht nur auf kompromittierte Instanzen abgesehen hat, sondern auch auf Cloud-Workloads.