Cybersecurity Grundlagen: Cloud-Sicherheit

• Traditionelle Cybersicherheitsprobleme, die sich auf die Workloads in der Cloud auswirken, einschließlich Schwachstellenmanagement, Anwendungssicherheit, Social Engineering sowie Erkennung und Reaktion von Vorfällen.
• Neue Herausforderungen im Zusammenhang mit Cloud-Plattformen, z. B. mangelnde Sichtbarkeit von Sicherheitsereignissen in der Cloud, schnelle Änderungen der Infrastruktur, kontinuierliche Bereitstellung von Anwendungen und neue Bedrohungen für Cloud-Verwaltungs-Tools.

Die Vorteile der Cloud-Sicherheit

Mit der Cloud-Sicherheit können Unternehmen die Flexibilität, Skalierbarkeit, Offenheit und reduzierten Betriebskosten der heutigen Cloud-Plattformen nutzen, ohne vertrauliche Daten, die Einhaltung gesetzlicher Vorschriften oder den kontinuierlichen Geschäftsbetrieb zu gefährden.

Zu den Vorteilen der Cloud-Sicherheit gehören:

• Entdeckung der Schwachstellen und Fehlkonfigurationen in der Cloud-basierten Infrastruktur
• Sicherstellen, dass der Softwarecode bei jedem Schritt des Entwicklungs-, Test- und Bereitstellungsprozesses Sicherheitstests unterzogen wird
• Überwachen von Vorfällen in Anwendungen auf Cloud-Plattformen, einschließlich Workloads, die auf virtuellen Maschinen und in Containern ausgeführt werden
• Erkennung von Indikatoren für fortgeschrittene Angriffe wie anomale Verhaltensweisen und Hinweise auf Diebstahl von Berechtigungsnachweisen und seitliche Bewegungen
• Verhindern Sie, dass Angreifer die Kontrolle über Cloud-Plattform-Konsolen übernehmen und Cloud-Ressourcen für kriminelle Zwecke wie Cryptojacking, Hosting von Botnetzen und Starten von Denial-of-Service-Angriffen (DoS) verwenden

Sicherung von AWS-Umgebungen

Amazon Web Services (AWS) bietet eine funktionsreiche Umgebung zum Hosten und Verwalten von Workloads in der Cloud. Auf welche Weise können Unternehmen die Cloud-Sicherheit für auf AWS gehostete Workloads verbessern Sicherheitsteams können mithilfe einer Schwachstellenmanagementlösung EC2-Instanzen erkennen, bewerten und auf Schwachstellen, Fehlkonfigurationen und Richtlinienverstöße prüfen.

Mit einer DAST-Lösung (Dynamic Application Security Testing) können Webanwendungen getestet werden, um Schwachstellen in den OWASP Top 10 sowie andere Angriffe und mögliche Verstöße gegen PCI DSS und andere Vorschriften zu erkennen. Wenn eine DAST-Lösung in DevOps-Tools wie Jenkins integriert ist , können Sicherheitstests an bestimmten Meilensteinen im Entwicklungsprozess ausgelöst werden, um sicherzustellen, dass Schwachstellen und Verstöße erkannt und behoben werden, bevor Code in die Produktion aufgenommen wird.

Um Anzeichen von Angriffen und Datenverletzungen zu erkennen, kann eine SIEM-Lösung in die von Amazon bereitgestellten Verwaltungs- und Sicherheitsdienste integriert werden . Dies umfasst den Zugriff auf Protokolle, die von AWS CloudTrails und CloudWatch erstellt wurden, sowie auf Dienste wie VPC-Flussprotokolle (Virtual Private Cloud) und DNS-Protokolle von Amazon Route 53.

Eine SIEM-Lösung, die für die Arbeit mit Cloud-Plattformen entwickelt wurde, kann diese Protokolldaten mit zusätzlichem Kontext aus anderen Quellen (einschließlich Endgeräten, lokalen Systemen und anderen Cloud-Plattformen) anreichern, Indicators-of-Compromise (IoCs) kennzeichnen und erweiterte Sicherheitsanalysen verwenden, um Angriffe frühzeitig und frühzeitig zu erkennen und schnell zu beheben.

Sicherheitswarnungen von AWS GuardDuty und anderen AWS-Diensten können direkt an ein SIEM weitergeleitet werden, sodass das Sicherheitsteam des Unternehmens schnell Nachforschungen anstellen und darauf reagieren kann.

Sicherung von Azure-Umgebungen

Microsoft Azure ist eine leistungsstarke, flexible und skalierbare Plattform zum Hosten von Workloads in der Cloud. Wie können Organisationen die Sicherheit für Workloads verbessern, die unter Azure ausgeführt werden Eine Schwachstellenverwaltungslösung kann Azure Discovery Connection verwenden, um virtuelle Maschinen und andere Assets zu erkennen und zu scannen, sobald sie in einer Azure-Umgebung gestartet werden. Das Scannen kann Schwachstellen, Fehlkonfigurationen, Richtlinienverstöße und andere Sicherheitsrisiken aufdecken. Möglicherweise können Azure-Tags importiert und zum Organisieren von Assets in dynamischen Gruppen verwendet werden, die bewertet und selektiv gemeldet werden können.

Eine DAST-Lösung kann in Azure DevOps Pipelines integriert werden, sodass in jeder Phase der CI/CD-Workflows (Continuous Integration and Continuous Deployment) automatisch nach Schwachstellen gesucht werden kann. Auf diese Weise können Unternehmen Schwachstellen in Webanwendungen frühzeitig im Entwicklungsprozess beseitigen, wenn sie am einfachsten zu beheben sind.

Eine SIEM-Lösung kann mit Azure Event Hubs zusammenarbeiten, die Cloud-Protokolle von wichtigen Azure-Diensten wie Azure Active Directory, Azure Monitor, dem Azure Resource Manager (ARM), dem Azure Security Center und Office365 zusammenfassen. Das SIEM kann Protokolldaten von Azure Event Hubs in Echtzeit abrufen, Protokolldaten mit Informationen von Endgeräten, Netzwerken, lokalen Rechenzentren und anderen Cloud-Plattformen kombinieren und Analysen durchführen, die Phishing-Angriffe, aktive Malware und deren Verwendung , kompromittierte Anmeldeinformationen, seitliche Bewegung von Angreifern und andere Hinweise auf Angriffe aufdecken.

Das Azure Security Center generiert ebenfalls Warnungen, es fehlen jedoch die Datenanreicherungs-, Analyse- und Workflowfunktionen eines vollständigen SIEM. Sicherheitsteams können jedoch veranlassen, dass Security Center-Warnungen direkt an eine SIEM-Lösung gesendet werden, um diese erweiterten Funktionen zu nutzen.

Sicherheit für Multi-Cloud-Umgebungen

Bei der Cloud-Sicherheit geht es nicht nur darum, die Sicherheit für separate Cloud-Plattformen unabhängig voneinander bereitzustellen. Es geht vielmehr darum, alle Sicherheitsdaten zu erfassen, zu korrelieren, zu analysieren und zu verarbeiten, die von der Organisation und ihren Cloud-Dienstanbietern generiert wurden.

Mit den heutigen auf Mikroservices basierenden Apps sowie Hybrid- und Multi-Cloud-Architekturen können Anwendungen auf mehrere Cloud-Plattformen und lokale Rechenzentren verteilt werden. Fortgeschrittene Angriffe beginnen häufig mit Endpunkten oder Webanwendungen und bewegen sich dann über mehrere Computerumgebungen hinweg. Auf Angriffe auf eine Cloud-Plattform folgt häufig dieselbe Art von Angriff auf andere Cloud-Plattformen.

Aus diesen Gründen ist es wichtig, dass Unternehmen Sicherheitslösungen verwenden, die Transparenz und Überwachung über ihren gesamten IT-Bereich bieten , einschließlich mehrerer Cloud-Plattformen und lokaler Rechenzentren.

Quelle: Rapid7 Grundlagen der Cybersecurity