IaaS-Umgebungen nutzen – aber sicher!

CloudIAAS

Gerade deutsche Unternehmen nutzen Infrastructure as a Service (IaaS), weil sie dabei einen Großteil der Kontrolle behalten. Herkömmliche Sicherheitssysteme reichen dabei jedoch nicht aus. Ein Cloud Access Security Broker (CASB) kann diese Sicherheitslücken schließen.

Sicherheitslücken in einer IaaS-Umgebung entstehen, wenn diese ungünstig konfiguriert ist. Hacker oder böswillige Mitarbeiter können sich so Zugang zu Konten verschaffen, Daten kompromittieren, stehlen oder löschen. Außerdem können Angreifer gekaperte Konten nutzen, um auf fremde Kosten Server oder Rechenkapazitäten anzumieten. Die größten Risiken lauern im Rechtemanagement und in der Einstellung der virtuellen Firewall.

Grundsätzlich gilt: Jeder Nutzer sollte nur die Rechte erhalten, die er für die Ausübung seiner Rolle unbedingt braucht. Das lässt sich gut am Beispiel des Simple Storage Service S3 von Amazon Web Services (AWS) aufzeigen. Kunden speichern dort ihre Daten in sogenannten Buckets, die quasi als kleine Fileserver dienen.

Daniel Wolf (Bild: Skyhigh Network)
Daniel Wolf, der Autor dieses Gastbeitrags für silicon.de, ist
Daniel Wolf, Regional Director DACH bei Skyhigh Networks (Bild: Skyhigh Network)

Amazon stellt diese Buckets von Haus aus mit sehr großzügigen Berechtigungsvergaben bereit. Wenn Unternehmen nicht selbst darauf achten, wer Zugriff auf welchen Bucket hat, können sensible Daten schnell einmal in die falschen Hände geraten. Da Firmen jedoch oft Tausende bis Zehntausende solcher Buckets managen, ist es sehr schwierig, den Überblick über die jeweiligen Berechtigungen zu behalten.

Fehlender Überblick ist auch ein Problem bei virtuellen Firewalls in der Cloud. Kunden betreiben oft mehrere Hundert virtuelle Maschinen in ihrer IaaS-Umgebung, die sie ganz nach Bedarf hoch- und runterfahren. Doch häufig verfügen nicht alle von ihnen über die richtigen Firewall-Richtlinien. Das führt dazu, dass zum Beispiel Protokolle wie der SSH-Port oder der RDP-Port, die für die Administration der Server gedacht sind, für alle IP-Adressen freigegeben sind.

So entstehen unnötige Angriffsflächen. Im schlimmsten Fall vergisst ein Administrator sogar ganz, die Firewall zu aktivieren – etwa weil er eine virtuelle Maschine zum Testen hochgefahren und nicht wieder heruntergefahren hat. Die Firewall-Richtlinien aller virtuellen Maschinen im Auge zu behalten, ist ohne technische Unterstützung jedoch nahezu unmöglich.

So kann ein CASB die IaaS-Umgebung schützen

Ein CASB sichert eine IaaS-Umgebung auf mehreren Ebenen ab: mit einem Konfigurations-Audit, Aktivitätsüberwachung und Bedrohungsschutz (Threat Protection). Zunächst geht es darum, die IaaS-Konfiguration auf Schwachstellen zu prüfen. Der CASB scannt die Einstellungen der Cloud-Umgebung und gleicht sie mit festgelegten Richtlinien ab. Er prüft zum Beispiel die offenen Netzwerkports, die virtuellen Firewall-Richtlinien, die Konfiguration der virtuellen Netzwerkkarte oder die Berechtigungen der S3 Buckets. Findet er unsichere Einstellungen, schlägt er Alarm.

Kontinuierliche Aktivitätsüberwachung identifiziert verdächtige Verhaltensanomalien (Bild: Skyhigh Networks)
Kontinuierliche Aktivitätsüberwachung identifiziert verdächtige Verhaltensanomalien (Bild: Skyhigh Networks)

Gleichzeitig überwacht der CASB alle Aktivitäten in der Cloud-Umgebung und überprüft, ob Anomalien auftreten. Entdeckt er auffällige Verhaltensweisen, warnt er die Sicherheitsverantwortlichen. So können sie Vorfälle schnell aufdecken und geeignete Maßnahmen ergreifen. Die Monitoring-Ergebnisse fließen außerdem in einen Audit Trail ein. IT-Verantwortliche können damit jederzeit den Sicherheitsstatus der IaaS-Umgebung nachweisen. Steht ein ISO-Audit an, haben sie die passenden Informationen auf Knopfdruck parat.

Aktivitäten sind dann verdächtig, wenn sie von üblichen Mustern abweichen. Das ist zum Beispiel der Fall, wenn ein Benutzer ungewöhnlich viele Daten aus einem S3 Bucket herunterlädt oder ein Administrator auf einmal sehr viele virtuelle Maschinen ausschaltet und neu startet. Um solche Anomalien herauszufiltern und Fehlalarme zu vermeiden, benötigt der CASB die richtigen Algorithmen und setzt maschinelles Lernen ein. Er passt seine Grenzwerte automatisch an etablierte Best Practices und Erfahrungen aus einer riesigen Datenbank an. Außerdem muss er in der Lage sein, täglich Millionen bis Milliarden von Events durchzuarbeiten und in Relation zu stellen.

Maschinelles Lernen unterstützt dabei, wirkliche Vorfälle von Fehlalarmen zu unterscheiden (Bild: Skyhigh Networks)
Maschinelles Lernen unterstützt dabei, wirkliche Vorfälle von Fehlalarmen zu unterscheiden (Bild: Skyhigh Networks)

In AWS ist der CASB für das Monitoring über eine Schnittstelle angebunden und nutzt die Amazon-Cloud-Trail-Funktionalität. Sie liefert ein Logfile mit allen Aktivitäten, die in einer Amazon-Instanz stattgefunden haben, und legt es in einem Bucket ab. Der CASB holt das Logfile dort mehrmals täglich ab und parst es. Er nimmt es in seine Big-Data-Infrastruktur auf, kategorisiert sämtliche Aktivitäten und nutzt seine künstliche Intelligenz, um Anomalien herauszufiltern.

Aufwand und Kosten sparen

Jedes größere Unternehmen ist heute ein Softwareunternehmen und entwickelt eigene Applikationen, die auf den speziellen Bedarf in der eigenen Organisation zugeschnitten sind. IT-Abteilungen haben in der Regel jedoch keine Zeit, sich auch gleich um die Absicherung der Software zu kümmern. Sie stehen unter starkem Druck, IaaS einzuführen, um Infrastrukturkosten zu sparen.

Ausgewähltes Whitepaper

Application Performance Management (APM)

In einer von Forrester Research durchgeführten Studie wird nach einem von den Marktforschern entwickelten Modell der wirtschaftliche Gesamtnutzen, den Firmen durch Implementierung eines Application Performance Management (APM) erzielen können evaluiert.

Applikationen landen daher meist erst in der Cloud – und dann kommt die Sicherheit. Im Nachhinein jede Anwendung einzeln abzusichern, ist jedoch sehr zeit- und kostenintensiv. Dafür müssten Programmierer neuen Code schreiben, integrieren und testen. Das kann pro Anwendung gerne einmal 12 Monate Entwicklungszeit und Ausgaben im sechsstelligen Bereich bedeuten.

Ein CASB ist im Vergleich dazu deutlich ökonomischer und effizienter. Er wendet Sicherheitsfunktionen von einer zentralen Stelle aus auf alle Applikationen an, ohne dass IT-Abteilungen dafür selbst etwas programmieren müssen. Integriert wird er im Reverse-Proxy-Modus und ist damit zwischen die Applikation und den Benutzer geschaltet. Von dort aus setzt er Sicherheitsrichtlinien um. Da der CASB in diesem Bereich nur mit der Applikation interagiert und nicht mit der Infrastruktur, lässt er sich zur Absicherung von unternehmenseigenen Anwendungen in beliebigen IaaS-Umgebungen einsetzen – sei es die Telekom-Cloud, Marktführer Amazon Web Services oder Microsoft Azure.