Cloud Security

Kleiner Cloud-Anbieter-Check: Grundsätzlich gibt es Software as a Service (SaaS) Provider, Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder klassische Anbietermodelle am Markt.

Allen Cloud-Anbietern ist gemeinsam, dass sie sich bemühen, die vielfältigen Sicherheitsanforderungen abzudecken. Wo die Knackpunkte liegen und welche Lösungen die einzelnen Produkte hierbei bieten, soll im Folgenden aufgezeigt werden.

Verschlüsselung
Daten in der Cloud sollten verschlüsselt abgelegt und transferiert werden – nicht zuletzt ein Must-have in diversen Compliance-Anforderungs-Katalogen. Da die Daten in der Cloud innerhalb einer Struktur gehostet werden, die nicht im eigenen Hoheitsbereich steht, ist zudem eine Absicherung der Daten auch vor Insider-Angriffen notwendig. Diese können nicht nur aus dem Unternehmen selbst erfolgen, sondern auch durch Mitarbeitende des Cloud-Anbieters oder im schlimmsten Falle durch Mitarbeitende anderer Kunden des Cloud Anbieters. Ein Insider-Angriff kann hierbei nicht nur auf die „live-Daten“ sondern auch auf Back-ups und Containerimages erfolgen.

Auf dem Weg in die Cloud stellen die wichtigsten Cloud-Anbieter über eine Transport Layer Security mit mindestens der Version TLS 1.2 / TLS 1.3 einen gesicherten Zugang über die verschiedensten Protokolle (HTTPS, SSL etc.) bereit. Zusätzlich sollten aber auch alle selbst erstellten Kommunikationen zwischen einzelnen Containern oder Cloud-Komponenten (z. B. über REST/SOAP/JSON oder andere Schnittstellen oder Streaming-Systeme wie Kafka) stets verschlüsselt, authentisiert und signiert erfolgen.

Amazon Web Services (AWS) bieten beispielsweise sowohl serverseitige (also von Amazon selbst durchgeführte) als auch clientseitige Verschlüsselungen mit CMK Keys und auch mit eigenen Verfahren. Als eigene Verfahren kommen die klassischen Möglichkeiten der Transparent Drive Encryption (TDE) für Oracle oder Microsoft-Datenbanken auf virtualisierten Servern in Betracht. Für Anwendungen, die auf Docker-Containern basieren, bieten Firmen wie Boxcryptor oder auch die Open-Source-Lösung Imgcrypt eine Docker Image Encryption.

Signierung
In Bereichen, in denen die Authentizität der Kommunikation nachzuweisen ist, bieten sich asymmetrische Public-Key-Verfahren im Rahmen einer Public-Key-Infrastruktur (PKI) an. Der internationale Markt der Anbieter, die derartiges anbieten, ist sehr groß, beispielsweise mit Docusign und Globalsign. Deutsche Anbieter sind Postident, BV-Sign vom Bankverlag und D-Trust der Bundesdruckerei – letztere sind auch für den Zahlungsverkehr nach PSD2 / PCI-DSS zugelassen.

DDOS-Schutz
Dienstleister wie Cloudflare und Akamai versprechen hier, auch die größten DDoS-Angriffe abwehren zu können. Einige Cloud Service Provider wie Google mit seiner Cloud Armor oder Amazon mit AWS Shield bieten bereits ein eigenes Schutzsystem.

Cloud Access Security Broker – CASB
Um zu verhindern, dass in der Cloud Cryptomining o. ä. stattfindet, sollte ein entsprechender Schutz implementiert sein. CASB von Anbietern wie Cisco und Forcepoint sind Lösungen, die zwischen Cloud und Anwender geschaltet sind und solche Schutzfunktionen bieten.

Software Defined Perimeter Security
Cloud-Strukturen erlauben keine klaren Zonengrenzen. Vertrauenswürdige interne Zonen, wie bei On-Prem-Installationen üblich, oder feste IP-Adressen lassen sich kaum mehr festlegen.

Im Rahmen des Software Defined Perimeter Projekts (SDP Zero Trust Networks) der Cloud Security Association (CSA) werden für Kommunikationsstrukturen genaue zulässige Pfade festgelegt, die zuerst eine Authentisierung vor dem Kommunikationsaufbau erfordern und sonst keine Kommunikation zulassen. Diese Technik wird in unterschiedlichen Ausprägungen am Markt angeboten – Perimeter81, ZScaler, NetMotion, Illumo, aber auch größere Hersteller wie Cisco und Fortigate bieten derartige Lösungen an, die klassische Perimeter-Firewalls ergänzen oder sogar ersetzen können.

Code Review, Schwachstellenscan und Pentest
Mit sicherheitsfokussierten Code Reviews (Static Application Security Testing – SAST) werden Schwachstellen in der Verarbeitung von Daten durch eigene Programme im Source Code aufgedeckt. Eine fehlerhafte Codierung könnte sonst z. B. einen SQL-Injection-Angriff oder CSRF- und XSS-Angriffe ermöglichen. Code Reviews erfolgen manuell oder (teil-)automatisiert mit Tools wie CheckmarX, SynopSys oder Veracode.

Dynamische Schwachstellenscans (Dynamic Application Security Testing – DAST), wie von den Marktführern Tenable, Qualys und Rapid7, bewerten die Funktion und Sicherheit des Systems aufgrund von generierten Abfragen, z. B. auf Web-Oberflächen oder IP-Strukturen. Zusätzlich zu den in der Breite scannenden Tools gibt es auch auf bestimmte Anwendungstypen (z. B. für Web/Intranet) spezialisierte Unternehmen wie Acunetix oder Burp Suite.

Interaktive Anwendungstests (IAST) prüfen während des Betriebs der Anwendung deren Verhalten.

Der klassische Pentest wird manuell ausgeführt, wobei sich der Pentester in die Rolle eines Angreifers versetzt, der versucht, das System zu korrumpieren. Ein Pentest ist nicht durch einen reinen Schwachstellenscan zu ersetzen. Die Einzigartigkeit jeder Installation und Anwendungsstruktur mit ihren jeweiligen Abhängigkeiten ist im Vorweg nicht komplett abbildbar durch automatische Tools. Einen interessanten Ansatz bietet das Unternehmen Penterra, das den Pentestvorgang weiter automatisiert als die Schwachstellenscansysteme von Qualys, Tenable und Rapid7.

Logging, Reporting und ein Sicherheitsinformations-Management-System (SIEM)
Innerhalb der meisten hier besprochenen Sicherheitssysteme und auch von Seiten der Cloud-Anbieter werden Logdateien angeboten, da es manuell kaum möglich ist, die verschiedensten Formate zu konsolidieren und bestimmte sicherheitsrelevante Vorgänge über verschiedene Sicherheitssysteme hinweg zu erkennen oder zu verfolgen. Dabei kommen hochgradig flexible Logging-Systeme zum Einsatz, die die verschiedenen Datenquellen vereinheitlichen und in einer schnell zugreifbaren Datenbank vorhalten.

Ein SIEM wie Splunk ES (Enterprise Security) verarbeitet die zugrundeliegenden Daten in der Cloud zu aussagekräftigen Informationen, die von einem SOC-Team weiterbearbeitet werden können.

Als führende SIEM-Unternehmen identifiziert der Gartner Report 2022 Splunk, Microsoft, IBM, Securinox und ExaBeam.

Intrusion-Detection- (IDS) und Intrusion-Prevention-Systeme (IPS)
IDS können sowohl hostbasiert (HIDS) als auch netzwerkbasiert (NIDS) agieren und sollen Einbrüche in die eigene Anwendungsstruktur entdecken. Anders als ein IDS beschränkt sich ein IPS nicht nur auf das Erkennen von Einbrüchen, sondern auch auf deren Verhinderung bzw. die Schadensbegrenzung nach dessen Erkennung. Zumeist werden IDS/IPS-Systeme vom gleichen Hersteller bezogen und zusammen betrieben. Systeme kommerzieller Anbieter, wie Cisco FirePower, FireEye, Trend Micro TippingPoint, aber auch Public Domain Software, wie Suricata und Snort finden sich hier am Markt.

User Behavior Analytics (UBA)
UBA wird meist als Ergänzung zu SIEM-Systemen wie SPLUNK ES angeboten und entdeckt ungewöhnliche User-Aktionen mit Methoden des Maschinenlernens. So können beispielsweise ungewöhnliche Häufungen von Transaktionsschritten oder ungewöhnliche Datenbewegungen schnell entdeckt und somit korrumpierte Accounts erkannt werden.

Data Loss Prevention (DLP)
Neben nativen DLP-Lösungen größerer Cloud-Anbieter wie Google, bieten diverse Unternehmen, wie Forcepoint, Cisco (Cloudlock) und Symantec, Cloud-DLP-Lösungen in ihrem Portfolio an. Einige weitere kleinere Firmen wie Endpointprotector und Nightfall verfolgen interessante Ansätze, z. B. KI in der Erkennung von Data Leakages.

Backup
Gartner identifiziert im Report 2022 Veeam, Comvault, Veritas, Rubrik, Cohesity und Dell als führende Backup-Software-Anbieter.

Redundanz
Größere Cloud-Anbieter erfüllen in der Regel die regulatorischen Anforderungen (z. B. zwei unabhängige Rechenzentren mit mind. 10 km Abstand), daher ist diese Anforderung in Cloud-Strukturen relativ leicht umzusetzen. Hinzu kommt, dass die Container-Strukturen die redundante Auslegung von Anwendungen in der Cloud erleichtern.