zurück zur Übersicht

Heiter bis wolkig – Ein Wegweiser zum Thema Cloud Security

Nach anfänglichen Vorbehalten, gerade im deutschen Markt, setzen sich Cloud Services zunehmend durch. Die Angebote sind vielseitig, flexibel und umfassend und Cloud Service Provider (CSP) bieten ihre Dienste in verschiedenen Modellen an. Ob Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS), die grundlegende Problematik aus Sicht der Informationssicherheit bleibt – Nur weil man Services von einem Service Provider bezieht und diese nicht mehr selbst auf eigener IT-Infrastruktur erbringt, heißt das nicht, dass damit der Sicherheit der verarbeiteten Daten automatisch genüge getan ist. Die Verantwortung für die Sicherheit der eigenen Daten und die Behandlung der damit verbunden Risiken bleibt bestehen.

Folgende Grafik zeigt wo man ungefähr den Verantwortungsübergang zwischen CSP und Kunde bei den verschiedenen Modellen verorten kann.

Verantwortunsgbereich SaaS PaaS IaaS On Premise
Data Governance &
Rechte-Management
Kunde Kunde Kunde Kunde
Client Kunde Kunde Kunde Kunde
Account & Access Management Kunde Kunde Kunde Kunde
Identitätsmanagement CSP / Kunde CSP / Kunde Kunde Kunde
Applikation CSP CSP / Kunde Kunde Kunde
Netzwerkmanagement CSP CSP / Kunde Kunde Kunde
Betriebssystem CSP CSP Kunde Kunde
Physikalische Infrastruktur (Host, Network & Datacenter) CSP CSP CSP Kunde

Abbildung 1: Verantwortungsteilung zwischen CSP und Kunde

Fazit: Egal welches Cloud Service Model verwendet wird, die Verantwortung für Data Governance, Rechtemanagement, für die Clients von denen auf die Services zugegriffen wird und das Account und Access Management verbleiben mindestens auf Seiten des Kunden.    

Threat Modeling hilft Bedrohungen zu identifizieren

Doch wie lässt sich herausfinden, welche Maßnahmen für den adäquaten Schutz der Informationen notwendig sind? Hier hat sich Threat Modeling, also die Modellierung von potentiellen Bedrohungen als Vorgehensmodell bewährt. Oft wird hierzu das sogenannte STRIDE Model herangezogen, das eine Kategorisierung der Bedrohungen ermöglicht.  STRIDE beinhaltet folgende Bedrohungskategorien:

  • Spoofing Identity
  • Tampering Data
  • Repudiation
  • Information Disclosure
  • Denial of Service
  • Elevation of Privileges

Das Threat Modeling sollte möglichst schon in der Design-Phase durchgeführt werden, denn hier besteht die größte Flexibilität bei der Gestaltung der notwendigen Schutzmaßnahmen. Im Fokus stehen sollte die Applikation als Ganzes, sowie alle Features die sicherheitsrelevant sind, besonders solche deren Versagen Auswirkungen auf die Sicherheit oder auf die Privatsphäre der Nutzer haben kann.

Grundsätzlich besteht der Prozess der Bedrohungsanalyse aus vier Schritten:

  • Modellierung der Applikation (Referenzarchitektur)
  • Spezifizierung der Bedrohungen
  • Mitigierung der Bedrohungen
  • Validierung der Mitigierungsmaßnahmen

Dabei werden in der Regel folgende Elemente einer Applikation betrachtet, für die zumeist die genannten Bedrohungskategorien relevant sind:

  • Prozesse (STRIDE)
  • Dataflows (TID)
  • Datastores (TID und manchmal R)
  • Externe Entitäten (SRD)

Nach Abschluss des Threat Modelings sollte eine umfassende Übersicht der potentiellen Bedrohungen, sowie die dafür notwendigen Maßnahmen zu deren Mitigierung vorliegen.

Cloud Security Checkliste

Gängige Gefahren bei der Nutzung von Cloud Services können vermieden werden, wenn man die Punkte auf der folgenden Security-Checkliste immer im Hinterkopf behält.

  • Sichern Sie Ihren Root Account und Access Keys. Schützen Sie Ihre Zugriffsschlüssel so, wie Sie Ihre Bankdaten schützen. Nutzen Sie Multifaktorauthentisierung (MFA) wann immer möglich.
  • Erstellen Sie Benutzerrollen mit eingeschränkten Rechten. Gestatten Sie nur den Zugriff auf Daten und Dienste der notwendig ist. Nutzen Sie hierfür entsprechnde Policies im Identity und Access Management (IAM).
  • Sichern Sie Ihre Datastores, besonders auch die, die Ihre Logging und Abrechnungsdaten entalten. Gestatten Sie nur denjenigen Personen und Rollen Zugriff, die ihn auch wirklich benötigen.
  • Verwenden Sie ausschließlich verschlüsselte Datastores. Verschlüsseln Sie Daten, Snapshots und Disk I/O mit „State-of-the-Art“ Algorithmen (z.B. AES-256). Erzwingen Sie die Verschlüsselung durch entsprechende Policies.
  • Erzeugen Sie keine öffentlichen Datastores.
  • Aktivieren Sie verfügbare Monitoring- und Logging-Funktionen. Gewährleisten Sie die Auditierbarkeit und Nachvollziehbarkeit aller Aktivitäten innerhalb der Cloud.
  • Beschränken Sie die Verwendung von priviligierten Rechten auf die erforderlichen Rollen und Zeiträume. Oft bieten Cloud Service Provider Funktionen an, mit denen temporäre Credentials mit eingeschränkten Rechten angefordert werden können.
  • Kontrollieren Sie ein- und ausgehenden Traffic Ihrer System-Instanzen mittels klar strukturierter Security Groups. Eine Security Group kontrolliert den ein- und ausgehenden Traffic und fungiert als Firewall für eine oder mehrere System-Instanzen.
  • Erfassen Sie den IP Traffic von und zu Netzwerk-Interfaces in Ihrer Virtual Private Cloud (VPC) und analysieren Sie diesen, um Anomalien und Fehlkonfigurationen zu erkennen.
  • Verschlüsseln Sie ein- und ausgehenden Datenverkehr. Nutzen Sie die TLS oder IPsec, um Ihre Daten sicher zu bewegen.
  • Machen Sie sich mit Versioning und Lifecycle Policies vertraut. Versioning erlaubt Ihnen die Wiederherstellung einzelner Versionen von gespeicherten Objekten. Automatisieren Sie den Lifecycle Ihrer Objekte mithilfe regelbasierter Aktionen.
  • Aktivieren Sie immer Access Logging und analysieren Sie die Daten. Die Analyse von Access Logs ist zur Erkennung von Missbrauch unerlässlich und kann Ihnen auch helfen, Ihr Nutzungsverhalten und Ihre Abrechung besser zu verstehen und zu optimieren.
  • Kontrollieren Sie kontinuierlich die Abrechnungen Ihres Cloud Providers, um Missbrauch zu erkennen.

Verschließt man sich nicht vor den Risiken und analysiert diese proaktiv, bevor Cloud Services als Basis für einen Geschäftsprozess herangezogen werden, können diese ein vergleichbares, wenn nicht höheres Schutzniveau bieten, wie On-Premise-Implmentierungen von Applikationen oder Systemen.

 


Weiterführende Links:

https://aws.amazon.com/de/security/

https://cloud.google.com/security/

https://www.microsoft.com/en-us/TrustCenter/Security/AzureSecurity

 

Schreibe einen Kommentar