Sie sind hier: HomeDatacenter

Sicherheitsherausforderungen: Fünf Maßnahmen sichern Cloud-Workloads

Die zunehmende Verlagerung von unternehmenskritischen Applikationen und Services in die Cloud bringt leider auch Sicherheitsrisiken mit sich. Vor allem fünf Bereiche werden nur unzureichend betrachtet, adäquate Sicherheitsmaßnahmen sind hier aber unerlässlich.

Cloud Bildquelle: © Sergey Gavrilichev - 123RF

Cloud-Provider wie Amazon, Microsoft oder Google betonen mit Recht, dass Cloud-Sicherheit eine geteilte Verantwortlichkeit bedeutet. Zum Zuständigkeitsbereich des Providers gehört die Sicherheit der Infrastruktur mit Bereichen wie Rechenleistung, Netzwerk oder Storage sowie die Abschottung der Kundenumgebungen gegeneinander. Der Cloud-Kunde hingegen ist prinzipiell voll verantwortlich für den Schutz von allen Elementen, die „oberhalb“ des Hypervisors angesiedelt sind, einschließlich Betriebssystem, Applikationen, Daten oder den Zugang zu externen Ressourcen – und natürlich für die zentralen Zugangsdaten zur Verwaltung der Cloud-Ressourcen.

Auch wenn jedes Unternehmen einen individuellen Cloud-Ansatz verfolgt, so kristallisieren sich doch fünf zentrale Bereiche heraus, die für die Sicherung von Cloud-Workloads und Infrastrukturen eine herausragende Bedeutung einnehmen – abgesehen von klassischen IT-Sicherheitsmaßnahmen wie Firewalls, Anti-Viren-Scanner oder Webfilter-Techniken, deren Nutzung Standard ist.

1. Sicherung der Managementkonsolen

Leistungsstarke Cloud-Managementkonsolen und -portale ermöglichen das durchgängige Management der Cloud-Ressourcen. Sie sind gewissermaßen „die Schlüssel zum Cloud-Königreich“; damit sind Konsolen auch extrem attraktive Ziele für Angreifer.

Die Konsequenzen einer Attacke können weitreichend sein. Der nicht autorisierte oder unkontrollierte Zugang zu einer Managementkonsole, direkt oder über Application Programming Interfaces (APIs), kann zum Datendiebstahl oder im schlimmsten Fall sogar zur vollständigen Übernahme der gesamten Cloud-Umgebung führen. Unternehmen müssen deshalb alle – auch potenzielle – Zugriffspfade auf Managementkonsolen sichern und überwachen, vor allem die Root-Accounts.

Root-Accounts werden bei der initialen Einrichtung eines Cloud-Zugangs angelegt. Über diese Accounts ist ein uneingeschränkter Zugriff auf die Managementkonsole und damit auf die gesamte Cloud-Infrastruktur möglich. Auch wenn viele Unternehmen Root-Zugänge nur unregelmäßig nutzen, müssen sie doch geschützt werden, denn ein Angreifer mit Root-Zugang kann die gesamte Cloud-Infrastruktur des Unternehmens kontrollieren. Für die Speicherung und Verwaltung von Root-Accounts und -Zugangsdaten sollte folglich ein digitaler Datentresor (Vault) genutzt werden, das heißt, ein speziell „gehärteter“ Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Als Best-Practice-Verfahren haben sich zudem die Multifaktor-Authentifizierung für den Root-Zugang sowie die Überwachung und Aufzeichnung aller mit Root-Accounts verbundenen Sessions oder Aktivitäten erwiesen. Generell sollten auch Least-Privilege-Prinzipien für alle Zugriffe auf Managementkonsolen angewendet werden.

Ein wesentlicher Punkt bleibt zudem vielfach unberücksichtigt: Es ist unerlässlich, dass der privilegierte Zugriff auf eine Managementkonsole isoliert über sichere Proxy-Gateways erfolgt, das heißt, weder bei der Nutzung von Zugangsdaten noch bei privilegierten Sessions dürfen beliebige Endgeräte genutzt werden, die prinzipbedingt immer Schwachstellen aufweisen können. Von Vorteil ist auch, wenn Sicherheitsteams laufende Sessions in Echtzeit überwachen können, um sie bei Verdacht eines potenziellen Angriffs zu beenden. Nicht zuletzt sollte auch die Nutzung einer Single-Sign-on (SSO)-Lösung in Erwägung gezogen werden. Damit können Administratoren und Entwickler auch ohne Kenntnis von Zugangsdaten komfortabel auf Managementkonsolen zugreifen.

2. Sicherung der Cloud-Infrastruktur

Cloud-basierte Infrastrukturen ermöglichen eine vom Bedarf abhängige Provisionierung von virtuellen Servern, Datenspeichern oder Containern. Dabei werden allen neu bereitgestellten virtuellen Servern oder Infrastrukturressourcen privilegierte Zugangsdaten zugewiesen, die gesichert werden müssen.

Während in statischen Umgebungen Administratoren die Managementkonsole für die manuelle Einrichtung eines neuen Servers nutzen, kommen in dynamischen Umgebungen Provisionierungstools und Skripte zum Einsatz, um automatisch neue Rechnerinstanzen zu erstellen. Infolgedessen kann eine hohe Anzahl an Servern generiert werden, die oft nur für einige Minuten oder Stunden für eine spezifische Aufgabe genutzt werden, und das mehrfach am Tag. Entsprechend dynamisch und hoch ist dann auch die Anzahl privilegierter Zugangsdaten, die verwaltet werden müssen. Für das Speichern und Abrufen dieser Daten müssen ebenfalls sichere digitale Vaults genutzt werden. Nur so können Unternehmen gewährleisten, dass die mit Cloud-Infrastrukturen verbundenen Zugangsdaten sicher sind, wenn neue Ressourcen provisioniert werden.