Vier Überlegungen zur Verbesserung der Cloud-Sicherheitshygiene
Die jüngsten erfolgreichen Attacken auf und durch Cloud-Umgebungen zeigen, dass noch zu viele Unternehmen die Anforderungen in Sachen Cloud-Sicherheitshygiene teilweise dramatisch unterschätzen.
Unternehmen müssen dem Thema Cloud-Security mehr Aufmerksamkeit zu widmen. Orca Security weist auf vier zentrale Überlegungen rund um Cloud-Sicherheitshygiene hin.
1. Kategorisieren, wie vollständig die Cloud-Abdeckung ist
In der Welt vor der Cloud war es „einfach“ zu verstehen, wie viele Systeme vorhanden waren, schließlich konnte man jederzeit ins Rechenzentrum gehen und sie zählen. In der Cloud ist jedoch nicht einmal dies ohne weiteres möglich, so dass es jede Messung der Sicherheit mit einem Vorbehalt zu versehen gilt: Wie viele der Systeme werden durch diese Messung abgedeckt? „Wir haben 75 Systeme für das neueste CVE gepatcht“ ist nur eine gute Aussage, wenn man tatsächlich 75 Systeme hat. Sind es tausend, ist das kein sehr positives Ergebnis.
Das Führen eines Bestandsverzeichnisses mag wie eine gewaltige Aufgabe erscheinen. Um damit anzufangen, empfiehlt es sich, Systeme in Clustern zusammenzufassen, die danach organisiert sind, wie sie verwaltet werden. Vielleicht sind die Produktionsserver in AWS ein Cluster, und die Entwicklungssysteme gehören zu einem anderen. Die Laptops der Mitarbeiter gehören in ein drittes Cluster und die IT- und Netzwerkinfrastruktur des Unternehmens in ein viertes (sie sind zwar nicht in der „Cloud“, sollten aber nicht vergessen werden). Jetzt können Sicherheitsverantwortliche anfangen, über Hygienepraktiken innerhalb jedes Clusters zu sprechen („Wir haben 95 Prozent unserer Mitarbeitersysteme innerhalb von 48 Stunden gepatcht“), was sie dem Verständnis der für das Geschäft relevanten Ergebnisse näherbringt.
2. Zählen, wie umfassend die Kontrollen sind
Bei jedem System kann es einfach sein, eine Sicherheitskontrolle zu implementieren und dann weiterzumachen. Der Webserver in der Cloud wurde gepatcht? Prima. Aber was ist mit all den anderen Zielen? Wurden alle relevanten Arten von Risiken kontrolliert? Es gibt eine Reihe einschlägiger Frameworks, die man für die Risikokontrolle heranziehen kann. Für die Cloud ist die Cloud Controls Matrix der Cloud Security Alliance ein guter Ansatzpunkt.
197 Kontrollen sind jedoch ein wenig entmutigend. Diese sind sorgfältig detailliert und in 17 Bereiche unterteilt. Man beginnt mit einer Domain und sieht sich an, wie sich jede der Kontrollen auf eine Gruppe der Systeme auswirkt. Auch wenn einige Kontrollen in mehreren Systemclustern gleich implementiert sein können, besteht das Ziel darin, zunächst zu verstehen, wie umfassend die Sicherheitskontrollen für ein bestimmtes Systemcluster sind (und dann für jede Kontrolle zu ermitteln, wie viele der Systeme im Cluster tatsächlich Ihre Ziele erfüllen).
3. Berücksichtigen des Kontexts innerhalb der Cloud
Die Kontrollen müssen zwar für alle Systeme implementiert werden, aber einige Systeme sind „gleicher“ als andere. Auf einigen Webserver befinden sich vielleicht nur öffentlich zugängliche Informationen, und es wäre peinlich, wenn sich jemand Zugang zu diesem System verschaffen könnte. Einige Webserver haben jedoch Zugang zu Speichern mit privaten Daten. Und was ist, wenn diese Speicher nun persönliche Identifizierungsdaten enthalten? Das ist ein viel größeres Problem. Die Identifizierung der Systeme mit direktem und indirektem Zugang zu sensibleren Daten ist entscheidend für die Festlegung von Prioritäten bei dieser Aufgabe.
Dieser Kontext kann dabei helfen, dynamische Sub-Cluster im Asset-Inventar zu erstellen. Das „Public Cloud“-Cluster kann nun in vier Kategorien unterteilt werden, die sich auf die beiden Achsen „mit Internetzugang“ und „mit Zugriff auf personenbezogene Daten“ aufteilen, wobei der Cluster, der beides aufweist, die höchste Priorität für die Implementierung der Kontrollen hat.
4. Die Ungewissheit beseitigen
Das Schwierigste an einem solchen Ansatz ist, dass sich Sicherheitsverantwortliche selbst und anderen keine endgültigen, sicheren Antworten mehr geben können. Die Frage „Sind wir gepatcht?“ wird nicht mehr mit „Ja“ beantwortet. Stattdessen setzt der Prozess ein, genau zu verstehen, wo Patches erfolgt sind, und zu wissen, wo noch keine Sichtbarkeit besteht. Diese Ungewissheit wird die Verbesserung der Hygiene vorantreiben, die fast jedes Unternehmen braucht.
Am besten ist es, anzufangen, auch wenn man noch nicht alle Antworten kennt. Wichtig ist es jedoch, Schritt für Schritt vorzugehen, bis eine vollständige Abdeckung mit umfassenden und kontextgerechten Kontrollen erreicht ist.