Multi-Cloud virtual Security Operation Center

Multi-Cloud virtual Security Operation Center

Lesezeit: 30 Minuten

alt text

vSOC.BACKGROUND

Die Herausforderungen?

98% der Public-Cloud Sicherheitsvorfälle basieren auf fehlerhaften Implementierungen!

Public Cloud Services sind leicht konsumierbar, es gibt eine Vielzahl von Abhängigkeiten (Software-Defined-Anything), was die Handhabbarkeit komplex macht!

Denken Sie nur an die Unmengen an Services von Cloud-Storage, Public-facing API‘s, Public-facing Datenbanken (Elasticsearch, Redis, Kafka ..), IoT-Hub‘s oder bis hin zu Serverless Funktionen - Einfallstore überall!

Klassische Perimeter Security existiert schon lange nicht mehr und Public Cloud verstärkt die Implementierung einer Zero-Trust-Infrastruktur - alles dreht sich um einen flexiblen Zugriff auf Daten & Ressourcen!

Einhaltung von Cloud Security Best-Practices von Beginn an - wichtiger denn je!


Die TOP-Cloud-Risiken?

Die Cloud Security Alliance (kurz CSA) stellt jedes Jahr eine Statistik der “Top-Threats Cloud” vor. Wie häufig im Bereich Information Security sehen wir auch hier die “Altbekannten” und keine großen Überraschungen (in der Klammer, das Ranking zum Vorjahr):

1. Data Breaches (1)
2. Misconfiguration and Inadequate Change Control
3. Lack of Cloud Security Architecture and Strategy
4. Insufficient Identity, Credential, Access and Key Management
5. Account Hijacking (5)
6. Insider Threat (6)
7. Insecure Interfaces and APIs (3)
8. Weak Control Plane
9. Metastructure and Applistructure Failures
10. Limited Cloud Usage Visibility
11. Abuse and Nefarious Use of Cloud Services (10)

Den vollständigen Cloud Security Alliance-Report können Sie hier runterladen [download].


FAZIT?

  • Einhaltung von Security Best-Practices im Public Cloud Umfeld wird extrem unterschätzt!
  • Public Cloud per se ist nicht sicherer, bietet aber alle relevanten Sicherheitsmechanismen!
  • DevOps und Automatisierung ersetzen nicht den Cloud-Security-Experten!
  • Fehlende Cloud-Expertise in den bestehenden Security-Teams im Unternehmen!
  • Cloud-Monitoring, insbesondere Security Incident Management, existiert häufig nicht!


vSOC.HOW_TO_START

WO soll ich anfangen?

In 5 Schritten zu einem erfolgreichen Cloud Security-Incident-Management!

  1. Pragmatisches Cloud-Implementierungs-Framework für die sichere Nutzung von Public Cloud Diensten - Bsp.: Nutzung des Microsoft Cloud Adoption Framework, AWS Well-Architected Framework oder das von CLOUDETEER kombinierte Implementierungsframework (CDT.CAF). Ein gewisser Rahmen muss auch im Cloudzeitalter berücksichtigt werden, egal ob einheitliche Namensgebung, erforderliches Tagging von Ressourcen oder die Anbindung an die hybride-Netzwerkinfrastrukturen.

  2. Security Prinzipien müssen in allen Phasen von DevOps etabliert werden - DevSecOps - egal ob bei der Überprüfung von Docker-Containern, fest hinterlegten Passwörtern oder Imports von externen Script-Repositories. Jede CI/CD-Pipeline sollte entsprechende Sicherheitsprüfungen integriert haben, wie auch Freigabe-Workflows bei produktiver Bereitstellung. Es gibt ausgezeichnete Best-Practice Benchmarks von den Hyperscalern, als auch die renommierten CIS-Benchmarks: AWS CIS-Benchmark, Azure CIS-Benchmark, GCP CIS-Benchmark oder Kubernetes CIS-Benchmark. Eine weitere sehr lohneswerte Quelle für Cloud-Sicherheitsvorgaben und Architekturempfehlungen ist der BSI C5-Katalog.

  3. Ihr Cloud Center of Excellence sollte zwingend einen Cloud-Sicherheitsarchitekten an Board haben - hier geht es nicht darum, jede Codezeile zu prüfen, sondern wichtige Anregungen im Kontext von Cloudarchitekturen und korrespondierenden Sicherheitskontrollen kontinuierlich zu bewerten und Anregungen/Empfehlungen abzugeben.

  4. Auswahl des richtigen Cloud-Security Toolsets - Cloudtechnologien verändern sich täglich, somit müssen auch Ihre Tools zur Überwachung und Prüfung regelmäßig justiert werden. Auch wenn es eine schier unglaubliche Anzahl an kommerziellen und freien Tools gibt, arbeiten Sie immer unter dem Prinzip: KEEP IT SIMPLE STUPID! Fokus auf einige wenige Tools, diese aber richtig einsetzen (siehe nachfolgende Empfehlungen)!

  5. Cloud Security Incident Management Prozess intergieren - gerade mit Hinblick auf DSGVO, sollte Sie sehr genau wissen, WER, WANN, WIE informiert werden muss. Sie wollen nicht der nächste auf Heise, Spiegel oder Golem sein, der einen Public Cloud Data Breach vermelden muss - “_Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz”_ !


WIE soll ich anfangen?

alt text

Starten Sie mit den sehr guten Hyperscaler-Boardmitteln…

AWS: AWS Control Tower (SSO, Organizations, Guardrails), Trusted Advisor, Security Hub
Azure: Azure Management Groups (Policies, RBAC), Security Center (Secure Score)
GCP: Security Scanner, Security Command Center, Stackdriver

…danach die Tool-Auswahl & SIEM-Integration!


vSOC.TOOLCHAIN

Lerne von den Besten!

Immer wieder sehe ich, wie Unternehmen rigoros bei dem Versuch scheitern, ihre bestehende Security-Tool-Landschaft oder auch Monitoringsysteme auf Public Cloud Providern abzubilden!

Tools, die seit Jahren auf klassische Rechenzentren und IT-Infrastrukturen ausgelegt sind, werden im Cloudzeitalter mehr oder weniger überrannt von neuen Tools aus dem Big-Data-/Business-Analytics Umfeld. Hinzu kommt, dass Logdaten nur noch über API’s bereitgestellt werden und komplexe Technologien wie Docker/Kubernetes immense Datenmengen (Metriken, Logs) erzeugen, die betrachtet werden müssen!

Daher spricht auch mittlerweile Gartner von AIOps (Artificial Intelligence For IT-Operations), siehe Gartner.

Des Weiteren hat Open-Source einen komplett neuen Stellenwert, sowie eine hohe Qualität im Cloudzeitalter erreicht! Egal ob Big-Data, Business Analytics, IoT, API-Management oder Software-Containerisierung - ALLES AUS DEM OPEN SOURCE UMFELD! Cloud Provider wie Amazon, Google oder Microsoft investieren massiv in die Community und jeglicher Cloud-Standard wird im Open Source Umfeld erarbeitet - siehe Cloud Native Computing Foundation.

Daher haben wir in unserem Cloud Managed Services schon vor 2 Jahren einen entsprechenden Open-Source basierten Technologie-Stack entwickelt, den CLOUDETEER Ops.STACK, um genau diese Herausforderungen zu adressieren und all unseren Kunden eine entsprechende Monitoring-Baseline bereitzustellen.

Auch hier haben wir uns klar an den “Besten” wie Airbnb, CapitalOne, Netflix oder Google orientiert und erweitern den Stack kontinuierlich mit Hilfe unserer Projekterfahrung & des Community-Austausches!

Tool-Empfehlungen

Die größte Community hat sicherlich Elastic und der sehr renommierte ELK-Stack. In der aktuellen Version wird auch das Thema Security- und Multi-Cloud Monitoring sehr stark in den Fokus gestellt, bsp.: Elastic SIEM oder Elastic Endpoint Security.

Beispielhafte Azure ELK-Architektur:

alt text

Die Bereitstellung sollte auch hier bereits der DevOps/AIOps-Logic folgen. Dies bedeutet, den Elastic-Stack mittels Managed Kubernetes in Azure, AWS oder GCP gleich native in der Cloud bereitzustellen, um professionelles Cloud-Monitoring zu gewährleisten. Hinzu kommen der HELM3 und Kubernetes Operator Support durch Elastic.

Aus Sicht Cloud Security gibt es eine sehr gute Referenzarchitektur aus dem Projekt HELK:

alt text


Kommerzielle Tool-Landscape

Die klare Unterteilung zwischen eigenständigen Lösungen für reines Cloud-Monitoring, Multi-Cloud Management und Sicherheitsüberwachung verschmilzt immer mehr in eine Lösung. Daher bieten die unterschiedlichen Softwarelösungen eine Vielzahl an Features und entsprechende Komplexität bei der Implementierung, hier unterscheiden sie sich wenig von Open Source Lösungen!

Des Weiteren zeigt unsere Erfahrung, dass viele Anbieter immer wieder Probleme haben, zeitnah neue Hyperscaler API-Anpassungen durchzuführen - auch hier zeigt sich “kommerzieller Support ist viel besser” versus “auf Open Source ist kein Verlass”, dieses Argument hat sich im Cloudzeitalter überholt!

Bekanntesten Hersteller: