Blog

Cloud-Security

Cloud-Dienste: Vertrauen ist gut, Kontrolle ist besser

On-site, IaaS, PaaS und SaaS – Die Nutzung von Cloud ist in aller Munde und wirkt wie der goldene Hammer: Alles wird zum Nagel und die Lösung lautet stets Cloud. 😉

Dabei ist Cloud an sich nichts Neues. Es ist die logische Weiterentwicklung vom Hosting aufgrund der gesteigerten Komplexität in der IT und ist durch Amazon, Microsoft, Google, Alibaba und Co. nur sehr prominent geworden. Die unterschiedlichen Cloud Computing Modelle bestehen aus mehreren Schichten:

Cloud Computing Modelle (Quelle: RedHat)

Dabei muss man sich bewusst sein, dass jede der Schichten Schwachstellen beinhalten und abbilden kann. Auch abseits von Cloud-Computing sind für die verschiedenen Elemente wie Netzwerk, Speicher und Serverinfrastruktur auch im klassischen Rechenzentrum meist andere Teams verantwortlich. Hier kann man auch argumentieren, dass man den Teams vertraut, die Arbeit zu erledigen, aber es ist genauso ratsam, durch z.B. Monitoring den reibungslosen Betrieb sicherzustellen. In der ISO 27001 wird diesem Umstand (unter anderem) durch die Controls Rechnung getragen.


Schaut man sich beispielsweise den jüngsten Azure Linux Exploit an, so könnte man den Kritikern des Cloud-Trends recht geben. Microsoft hat auf allen offiziellen Linux-Images in Azure einen Agenten für die Verwaltung laufen lassen und dieser ist nicht korrekt abgesichert:

  • Daemon läuft mit root-Rechten
  • Daemon ist von außen ohne Authentifizierung erreichbar
  • Lücke muss manuell geschlossen werden (und ist es aktuell glücklicherweise schon)

Der durchaus treffende Name OMIGOD (O-MI-GOD! oder CVE-2021-38647) macht es Hackern relativ einfach, ganze Maschinen zu attackieren:

Quelle: wiz.io

Schaut man sich an, wann die Lücke eingeführt wurde, zeigt sich folgendes Problem: Am 12. August gab es eine Änderung und erst am 8. September einen offiziellen Patch. Durch die OpenSource-Strategie von Microsoft konnten Hacker die Lücke auf GitHub fast vier Wochen ganz bequem studieren, ohne dass Nutzer von Azure informiert wurden bzw. konkrete Handlungsmöglichkeiten hatten. Die Lücke selbst war seit Juni bekannt – ein echter (Sicherheits-)Albtraum.

Aber ist das wirklich so, oder gibt es weitere Möglichkeiten, sich als Unternehmen zu schützen? Gerade in Deutschland wird die Cloud-Nutzung von Unternehmen ohnehin sehr skeptisch gesehen. Wenn man sich dann anschaut, was in Azure geschehen ist, haben diese Skeptiker doch Recht, oder?

Eine einfache Antwort gibt es darauf nicht, aber generell (unabhängig von Cloud oder klassischem Rechenzentrum) sollte IT-Security immer auf mehrere „Verteidungslinien“ setzen:

Onion-Modell für holistische Sicherheits-Strategie

Die grundlegende Idee bei „Lines of Defence“-Konzepten ist, mehrere Verteidigungslinien oder Schutzwälle einzurichten. So wird beim Durchdringen eines Perimeters immer noch Schutz durch weitere Schutzwälle ermöglicht. So kann es z.B. sein, dass ein Angriff ein System kompromittiert, aber danach kein weiteres System betroffen ist.

Dabei müssen die Schutzwälle aber nicht allein einen Rückgriff auf technische Mittel und Möglichkeiten darstellen, sondern können auch organisatorischer oder vertraglicher Natur sein. Es ist beispielsweise möglich, unklare gesetzliche Vorgaben für die Nutzung von US-Cloud-Diensten durch technische Maßnahmen wie Datenverschlüsselung seitens des Anwenders zu mitigieren.

Mit Blick auf das Azure-Beispiel: Es muss letztlich risikoorientiert abgewogen werden, wieviel Vertrauen dem Dienstleister entgegengebracht wird, welche wirksamen Schutzwälle implementiert sind und wie diese überwacht werden. Hierdurch ergibt sich die Herausforderung, bereits bei der Konzeption, der Entwicklung und dem Anwenden Schutzwälle zu berücksichtigen. Somit ist eine pauschale Antwort oder „die eine Musterlösung“ kaum möglich. Eine Möglichkeit wäre aber, dass man einen Teil der eingesparten Betriebskosten für den Aufbau eines Security-Monitorings nutzt, um Auffälligkeiten schnell und effektiv zu erkennen. Security Information and Event Management (SIEM) ist hier das Schlagwort, aber dahinter finden sich neben vielen Spezialprodukten auch alte Bekannte wie Splunk, Elastic und Grafana/Prometheus wieder. Wichtig ist, dass ein funktionierendes Monitoringsystem umgesetzt wird, um Anomalien wie das Ausnutzen des Azure-Exploits im ersten Schritt zu erkennen. Eine weitere „Verteidigungslinie“ könnte dann in weitere Automatisierungsmaßnahmen bestehen, um direkt Maßnahmen zu ergreifen.

Am Ende hängt es vom Risikobewusstsein des Anwenders ab, wie und unter welchen Rahmenbedingungen er die Cloud nutzt. Deren Verwendung und damit die Speicherung von Daten in der Cloud sind Aspekte einer sicheren Unternehmensführung – Datenschutz und Informationssicherheit sind hier im Blick zu behalten. Die Unternehmen sind schließlich – auch bei der Cloud-Nutzung – für eine sichere Speicherung und Verarbeitung ihrer Daten verantwortlich. Das Betriebsmodell Cloud kann sogar helfen, wenn man die Budgeteinsparung gegenüber klassischem Hosting neben Investments für Features auch in die Sicherheit investiert.

Holisticon AG — Teile diesen Artikel

Über den Autor

Martin Reinhardt arbeitet als Architekt bei der Management- und IT-Unternehmensberatung Holisticon AG. Er beschäftigt sich dort mit der Architektur von komplexen verteilten Systemen, modernden Webarchitekturen und Build Management. Martin engagiert sich in der Software-Craftsmanship-Bewegung. Er ist seit mehreren Jahren im Bereich der Java- und Webentwicklung tätig. Außerdem setzt er sich neben der Architektur vor allem für die Testautomatisierung in verschiedenen Technologien ein und ist auch in verschieden OpenSource-Projekten zu dem Thema wie z.B. dem Galen Framework tätig.

Antwort hinterlassen