CIO Guide zu Public Cloud Security

Lesezeit: 20 Minuten

alt text

INTRO

Da immer mehr geschäftskritische Anwendungen in die Public Cloud migriert werden, wird das Thema Cloud-Sicherheit brisanter den je. Dies wird auch sichtbar in aktuellen Umfragen zum Thema TOP-Handlungsfelder in 2020!

2015/16 hatten die meisten deutschen Unternehmer noch erhebliche Bedenken im Hinblick auf das Thema Datenschutz, hier im Speziellen, die neue DSGVO-Verordnung. Jedoch schreitet die digitale Transformation, verstärkt durch die COVID-Krise, in immer schnelleren Schritten voran und die Public Cloud ist bei allen Unternehmen das Fundament für digitale Wertschöpfung!

Public Cloud Provider haben in den letzten 2 Jahren massiv in Cloud-Sicherheit investiert. Die Herausforderung ist nicht die Technologie, sondern die fehlende Cloud-Sicherheitsexpertise, der richtige Einsatz der relevanten Sicherheits-Tools und Verwirrung zum Thema Shared Responsibilities (geteilte Verantwortlichkeiten) im Multi-Cloud Zeitalter!

CLOUD.INSECURITY

Aktuelle Situation

alt text

Die Vielzahl der Cloud-Dienste und die hoch-automatisierte Bereitstellung von komplexen Cloudinfrastrukturen in wenigen Minuten, stellt viele Sicherheitsteams vor großen Herausforderungen.

Hinzu kommt, dass eine Vielzahl von Cloudaktivtäten außerhalb der klassischen IT stattfindet oder Software zum Einsatz kommt, die bereits auf einer Public Cloudinfrastruktur läuft (Bsp. Software-as-a-Service, durch neue Produkteinführung).

Auch wenn mittlerweile wieder mehr Fokus auf Datensicherheit und Datenschutz im Cloudumfeld gelegt wird, schreiten die Technologien in einem so schnellen Tempo voran, dass bei den meisten Unternehmen es sowohl an Cloud Security Expertise, als auch an erforderlichen Betriebsressourcen fehlt.

Hier wird leider sehr häufig der Fehler begangen, die Cloud nur als weiteres „Rechenzentrum“ zu sehen und der Versuch gestartet die bestehenden Sicherheitsmechanismen zu implementieren. Dies ist ein fataler Ansatz, da hier nur bedingt die “Enterprise-ready Sicherheitslösungen“ in der Cloud angewandt werden können. Angepasste Security Incident Management Prozesse und neue Sicherheitstools sind erforderlich!

Des Weiteren wird von der IT-Security meist nur punktuell technologische Vorgaben für die Cloud gefordert. Es wird nicht das gesamte Themenfeld der Cloudsicherheit angegangen, obwohl das vollumfänglich schon seit Jahren im „Enterprise-Umfeld“ forciert wird!


Europäische Cloud

alt text
Quelle: BMWI GAIA-X, Okt 2019

GAIA-X rettet die Europäer vor der USA-Krake….
oder sollten wir eher sagen: die Sorgen der deutschen und französischen Unternehmen?

Projektauftrag: “Eine vernetzte Dateninfrastruktur als Wiege eines vitalen, europäischen Ökosystems

REALITY-CHECK

  • Kein europäischer Hoster ist bis heute in der Lage auch nur annähernd die Clouddienste eines Public Cloud Providers, wie Amazon oder Azure abzubilden!

  • Kein europäischer Hoster ist bis heute groß in Erscheinung getreten, um Cloud-native Standards wie Amazon oder Microsoft voranzutreiben – aber genau diese Hoster wollen eine „offene“ Cloud-Plattform aufbauen?!

  • Setzt man dann auch ausschließlich Soft- und Hardware “MADE IN EUROPE” ein?!

  • Finanzierung des Projektes ist noch immer ungeklärt und Projektstart soll Ende 2020 sein (Auswahl Rechenzentrum, Basis IaaS-Plattform, API-Standardisierung…) - da wird das Projekt schon in der Startphase, mehrfach von neuen Technologien überholt werden!

Die Akteure sind unter anderem: Microsoft, AWS, Google ach ja … und zu den rund 60 bisher beteiligten Organisationen gehören demnach etwa Firmen wie die Deutsche Telekom, 1&1 Ionos, IBM, SAP, BMW, Arvato Bertelsmann, Bosch, QSC, ENBW, Red Hat und Secunet.

  • Wozu die internationalen Public Cloud Provider an Bord nehmen - keine dieser Firmen wird sein Intellectual Property offenlegen, oder wird Azure Stack und AWS Snowball die Plattform? ;-)

  • Wie viel Preisaufschlag wird das wohl heißen, wenn mehrere Parteien dazwischen Geld verdienen wollen!?

  • Das Rennen um 5G in Industriestandorten wurde ebenso bereits von den Hyperscalern wie Azure und AWS eröffnet!

Frage: Wird/kann das Projekt erfolgreich sein?
Antwort: In der Konstellation - eher nicht, da politisch motiviert & technologisch fragwürdig!

Das Thema Datenschutz & Datensicherheit ist ein globales Problem das rechtlich gelöst werden muss, da die erforderlichen Cloud-Technologien selbst schon da wären - wenn sie richtig eingesetzt würden!


TOP Risiken

alt text

Eines vorweg: Für böswillige Hacker sind Public Cloud Services ein spannendes Spielfeld! Wie immer bei neuen Technologien, finden Hacker die Schwachstellen zuerst und wissen, wie diese zum Negativen ausgenutzt werden können!

Am Beispiel von ungesicherten Zugängen zu Cloud-Storage, oder hochkritischen öffentlichen Zugängen zu Big-Data Komponenten wie Apache Hadoop, Kafka, Redis, NoSQL Datenbanken, Elasticsearch sieht man die fahrlässige Nutzung von Clouddiensten!

Sehen Sie selbst, wie einfach man an solche offenen Zugänge kommt: Bsp. Shodan Elastic Data, AWS S3-Scanner

Auch wenn wenig Sicherheitsvorfälle bezüglich der Public Cloud veröffentlicht werden, so gibt es mittlerweile doch einige fundierte Analysen von einschlägigen Cloud Providern.

Hierzu empfehle ich folgende aktuellen Cloud Reports, die auch in diesem Artikel berücksichtigt wurden:

FAZIT

Die TOP Cloud-Risiken clustern sich aktuell wie folgt:

  • Generell wird Public Cloud als sicherer bewertet, als die eigene Infrastruktur – es hapert aber an der Umsetzung!

  • Es werden immer mehr business-kritische Applikationen in die Cloud migriert oder in der Cloud genutzt. Dadurch bekommt Sicherheit und Verfügbarkeit eine neue Dimension!

  • Es werden immer weniger Infrastructure-as-a-Service und mehr komplexe, hybride Clouddienste genutzt – eigene IT mit wenig Erfahrung und
    complexity is thenative enemy of cybersecurity!

  • Agile Cloud-Bereitstellung öffnet neue Einfallstore, z.B. durch sensible Konfigurationsdateien, Secrets in Infrastructure-as-Code oder die ungeprüfte Nutzung von Vorlagen aus der Community!

  • Unautorisierter Zugriff auf Daten und Systeme!


Shared Security Responsibility

Der weitverbreitete Glaube, dass der Cloud Provider sich um alle Sicherheitsbelange kümmert, stimmt nur in Teilen. Selbstverständlich ist jedes Unternehmen für seine Daten eigenverantwortlich, egal welches Cloudmodell genutzt wird!

Die nachfolgende Abbildung stellt die Verantwortlichkeiten dar. Die in “blau“ gekennzeichneten Bereiche stellt die Verantwortlichkeiten der Cloud Service Provider (CSP) dar. Hinzu kommen neue, komplexere Servicemodelle, so zum Beispiel Serverless-Computing oder Function-as-a-Service und nicht zu vergessen: Multi Cloud übergreifend!

alt text
Quelle: Bild von Synopsys


HERAUSFORDERUNGEN

Zusammengefasst steht jedes Unternehmen vor folgenden Herausforderungen im Multi Cloud-Umfeld:

  • fehlendes Knowhow zur Absicherung von einschlägigen Clouddiensten
  • Cloud-Sicherheitskontrollen in der Cloud Governance (Adoption Framework) klar verankern
  • klare Sicherheitsvorgaben für Externe (Zugriff, Bereitstellung, agile Zusammenarbeit)
  • unzureichender Cloud Security Incident Management Prozess
  • keine klar strukturierten Compliance-Vorgaben für Public Clouds
  • fehlende Integration in den DevSecOps-Lebenszyklus
  • das Thema Zero Trust ist kein hipper Trend mehr und volle Fokussierung von Identitäten ist eine zwingende Voraussetzung

EMPFEHLUNGEN

  • Das richtige Tool-Set auswählen. Dabei sich nicht zu sehr von Gartner, Forrester & Co. beeindrucken lassen! Lernen Sie von den Besten aus der Cloud-native Community, hier hat man den besten Erfahrungsaustausch. Lassen Sie sich auf Open Source Tools ein. Siehe hierzu auch den Blogeintrag vSOC.

  • Jeder Public Cloud Provider hat ein ausgezeichnetes Tool-Set für den Status der Sicherheit über alle Clouddienste hinweg, nutzen Sie diese von Beginn an. Bsp. AWS Trusted Advisor, Azure Security Center oder Google GCP Security Command Center.

  • Schaffen Sie eine vernünftige Basis für Ihre Sicherheitsleitplanken und verwenden Sie hierzu die erprobten Cloud Adoption Frameworks.

  • Public Cloud Compliance kann durch die einschlägigen Tools der Provider und Vorlagen gewährleistet werden, siehe Azure Blueprints oder AWS Security Hub.

  • Integrieren Sie so zügig wie möglich die Public Cloud in Ihren Security Incident Management-Prozess (SANS Cyber Security Summit Archiv, sehr zu empfehlen)! Starten Sie mit einfachen Integrationen wie SIEM-Konnektoren und gezielten Alarmierungen. Hier bieten die Cloud Provider einschlägige Metriken, die bereits korreliert einen guten Überblick geben. Die zentrale IT sollte immer Reader-Sicht auf alles haben, daher entsprechende Account & Subscription Governance einführen.

  • Sichere Identitäten mit SingleSign-On und Multi-Faktor-Authentifizierung. Nutzen Sie maximal einheitliche und standardisierte Identitätsprovider wie OpenID Connect oder OAuth 2.0 (Bsp. Azure Active-Directory oder Okta). Erlauben Sie keinen un-authentifizierten Zugriff auf Ressourcen und Daten. Leider wird zu häufig nur das Thema Zugriff auf Cloud-Ressourcen in den Fokus gestellt. Es gehören hierzu aber auch alle Applikationszugriffe und programmatische Zugriffe von der Vielzahl an externen Bereitstellungs-Tools (DevOps CI/CD). Hinweis: Sollten Sie bereits Azure Active-Directory (AAD) einsetzen, dann würde ich immer empfehlen auch das Thema AAD B2C/B2B mit zu betrachten, speziell in der Modernisierung von Anwendungen.

  • Etablierung eines DevSecOps-Prozesses im Cloudbetrieb, sowie in der modernen, agilen Softwareentwicklung. Starten Sie auch hier mit einheitlichen Tools wie Azure DevOps oder Gitlab. Diese Tools bieten eine Vielzahl an Möglichkeiten: sichere Nutzung von Security Credentials, Security Scans von Docker Containern und Nutzung eigener Container Registries, sichere Anbindung an die verschiedenen Clouds und OnPrem-Systeme usw.

  • Machen Sie sich mit den einschlägigen Cloud Compliance Standards und Security Benchmarks vertraut. Sehr gute Nachschlagewerke sind hier: BSI C5, CIS-Benchmarks oder ISO 27xxToolkit.

FAZIT

Die Geschwindigkeit, in der Cloudtechnologien den IT-Markt dominieren, hat viele überrascht. Es gibt keinen Weg zurück, geschweige denn, sich dem Thema Cloud zu verschließen!

Durch die hoch dynamische Bereitstellung in der Cloud und die Komplexität der einzelnen Clouddienste sollte bereits zu Beginn ein stringentes Vorgehen eines Dev(Sec)Ops-Prozesses etabliert werden.

Die existierenden, Enterprise-fokussierten Sicherheitslösungen hinken den Clouddiensten stark hinterher und werden von den Cloud-basierten Tools überholt. Bei Public Cloud Providern zeigen sich jetzt hier die Stärken der Big-Data Komponenten, sowie deren Erfahrung und Analyse von Massendaten. Hier im speziellen die AI/ML-basierten Security Operations- Lösungen.

Identity Management ist dringlicher denn je. Die klassischen Infrastrukturabgrenzungen existieren nur noch in der Unternehmenszentrale. Jedoch bei Nutzung von PaaS- und SaaS Diensten verschwimmen die Abgrenzungen komplett. Hier sollte zügig nachgebessert werden, damit ein entsprechender Datenschutz & Datensicherheit gewährleistet werden kann – Zero Trust ist kein Trend mehr!


Dies dient nicht nur der Eigenwerbung, aber holen Sie sich externe Expertise, um hier zügig voranzukommen. Auch einfache Security-Checks an den neuralgischen Punkten in der Public Cloud, zeigen zügig die größten Gaps auf.

Fragen Sie uns!


Gerald Fehringer
CTO, Founder
CISSP, CISA, CISM, CCSP, Cloud Security Evangelist
E-Mail: gf |at] cloudeteer.de
Twitter: @zerohat