Infrastructure-as-Code-Templates im Visier
Wie für andere Sicherheitsaspekte ist der Cloud-Nutzer auch für die sichere Konfiguration von Infrastructure-as-Code-Templates verantwortlich. Unternehmen nutzen Infrastructure-as-Code (IaC) oft im Rahmen von DevOps-Initiativen, um Build-Prozesse zu automatisieren. Werden die dabei eingesetzten IaC-Templates nicht auf Schwachstellen geprüft, ist später die Cloud-Umgebung anfällig für Cyberangriffe. Eine sichere Konfiguration erfordert insbesondere, dass die Verschlüsselung von Daten im Ruhezustand und in Bewegung aktiviert ist, was oft vernachlässigt wird. In einer Multi-Cloud-Umgebung muss eine sichere Konfiguration über mehrere Public-Cloud-Konten gewährleistet sein, was die Sache nicht unbedingt einfacher macht. Für die Überwachung einer ordnungsgemäßen Konfiguration der gesamten Datenumgebung steht in vielen Unternehmen keine geeignete zentrale Plattform zur Verfügung. Somit bleiben kritische Fehlkonfigurationen oft unentdeckt.
Das Risiko, das von unsicher konfigurierten IaC-Templates ausgeht, ist nicht zu unterschätzen. Dies belegt eine aktuelle Studie von Unit 42, der Forschungsabteilung von Palo Alto Networks.
So sind derzeit fast 200.000 unsichere Templates im Umlauf. Viele Templates weisen mittelkritische, aber auch hochkritische Schwachstellen auf. Nur eine Fehlkonfiguration genügt bereits, um Daten in einer Public-Cloud-Instanz zu gefährden. In einer früheren Untersuchung stellte Unit 42 bereits fest, dass 65 Prozent der Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind. Bei 60 Prozent der Cloud-Speicherdienste ist das Storage-Logging, also die Protokollierung der Vorgänge im Speichersystem, deaktiviert. Cyberkriminelle Gruppen wie CloudHopper oder FancyBear könnten somit unbemerkt in das Speichersystem eindringen. Ist die Speicherprotokollierung deaktiviert, ist es bei einem gravierenden Sicherheitsvorfall auch schwieriger zu bestimmen, wie viele Daten abgeschöpft wurden. Bei 43 Prozent der Cloud-Datenbanken ist die Datenverschlüsselung nicht aktiviert, die eigentlich verhindern soll, dass Cyberkriminelle die Daten lesen können. Verschlüsselung ist jedoch eine grundlegende Anforderung gängiger Compliance-Vorgaben und daher unverzichtbar.
Die am häufigsten verwendeten IaC-Templates sind Unit 42 zufolge Google Kubernetes YAML (39 Prozent), HashiCorp Terraform (37 Prozent) und AWS CloudFormation (24 Prozent). Im Rahmen der Studie wiesen 42 Prozent der CloudFormation-Templates, 22 Prozent der Terraform-Templates und 9 Prozent der Kubernetes YAML-Templates unsichere Konfigurationen auf. Je nach IaC-Template kann die Wahrscheinlichkeit einer unsicheren Konfiguration sehr hoch sein.
Zu den gängigen Fehlkonfigurationen zählt, dass die serverseitige Verschlüsselung der Datenspeicherdienste und Protokollierung von Ereignissen bei AWS S3-Buckets deaktiviert ist. Nicht verschlüsselte Amazon RDS-Instanzen kommen auch häufig vor. Bei den von den Cloud-Nutzern konfigurierten AWS EC2-Instanzen kann es sein, dass SSH (Port 22) aus dem Internet zugänglich ist. Ebenfalls problematisch ist es, wenn AWS-Sicherheitsgruppen für sämtlichen eingehenden Datenverkehr offen sind.
Bei unsicheren Kubernetes-Konfigurationen teilt sich der Container das gleiche Netzwerk mit dem Host, wodurch Angreifer die Netzwerktopologie der Cloud-Infrastruktur des Unternehmens leichter ermitteln können. Unsichere Kubernetes-Konfigurationen laufen häufig als Root oder mit privilegierten Konten. Dies erleichtert Angreifern die Durchführung von Container-Escape-Angriffen, wodurch das Host-System für andere potenzielle Bedrohungen geöffnet wird. Unternehmen sollten folglich dafür sorgen, dass Container nicht mit Root- oder privilegierten Konten laufen.
Riskante Nutzung gängiger Protokolle
Unit 42 untersuchte auch Trends im Zusammenhang mit dem riskanten Einsatz der Protokolle SSH (Secure Shell), RDP (Remote Desktop Protocol) und TLS (Transport Layer Security).
76 Prozent der Cloud-Workloads setzen SSH (Port 22) dem gesamten Internet aus, 20 Prozent mehr als im vorherigen Bericht, was eine riskante Praxis ist. Angreifer nehmen SSH-Dienste aktiv ins Visier, da sie den Fernzugriff auf Cloud-Umgebungen ermöglichen. 69 Prozent der Unternehmen machen RDP (Port 3389) über das Internet zugänglich, 30 Prozent mehr als im letzten Bericht. Wenn RDP und SSH öffentlich zugänglich ist, können Angreifer sehr nah an die Cloud-Ressourcen gelangen. 27 Prozent der Unternehmen verwenden veraltete Versionen von Transport Layer Security (TLS), immerhin 34 Prozent weniger als im letzten Bericht. TLS v1.1 wurde 2008 aufgrund der erhöhten Anfälligkeit für Angriffe aufgegeben. Neben der Verletzung von Compliance-Anforderungen wie PCI DSS gefährden Unternehmen auch die Daten ihrer Kunden.
Sicherheitsteams sollten von vertrauensbasierten Zugangsmodellen wie Konten und Passwörtern zu einem Zero-Trust-basierten Ansatz nach dem Prinzip „Niemals vertrauen, immer überprüfen“ wechseln. Zero Trust kann in jeder Cloud-Umgebung implementiert werden anhand der folgenden fünf Schritte:
- Definieren der Schutzoberfläche
- Abbildung der Transaktionsströme
- Aufbau einer Zero-Trust-Architektur
- Zero-Trust-Richtlinie erstellen
- Überwachung und Wartung
Cryptojacking macht der Cloud-Infrastruktur zu schaffen
Cryptomining-Operationen, auch „Cryptojacking“ genannt, sind zu einem der am häufigsten mit dem Betrieb in einer Cloud-Umgebung verbundenen Risiken geworden. Während die Nutzung privater Mining-Pools für böswillige Akteure üblich ist, fanden die Forscher von Unit 42 heraus, dass fast 9 Prozent der Cloud-Betreiber Anzeichen für eine Verbindung zu Mining-Operationen über öffentliche Monero (XMR)-Mining-Pools aufweisen und diese wahrscheinlich durchführen.
Öffentliche Mining-Pools sind Systeme oder Netzwerke, die Mining-Operationen koordinieren, verwalten und verteilen. Ferngesteuerte Systeme stellen eine Verbindung zu diesen Pools her, um Mining-Anweisungen zu erhalten und nach Abschluss dieser Operationen einen Anteil an den finanziellen Erträgen zu erhalten.
Die Verbindungen des öffentlichen XMR-Mining-Netzes sind geografisch verteilt. Fast 60 Prozent aller Verbindungen liefen zu XMR-Pools in den USA, 22,56 Prozent in die Niederlande und 14,17 Prozent nach Deutschland. Das Blockieren von Netzwerkverbindungen zu öffentlichen Mining-Pools auf Grundlage von Ländern oder Regionen ist nicht immer zuverlässig. Unternehmen müssen diese Verbindungen daher auf Grundlage verdächtiger Netzwerkverbindungsmuster wie IP-Port-Kombinationen oder, noch besser, unter Verwendung von Layer-7-Paketinspektionssignaturen über virtuelle Next-Generation-Firewalls blockieren.
Zusätzlich zu den öffentlichen Mining-Pools wurden Gruppen wie Rocke, Pacha und die 8220 Mining Group beobachtet, die mit einer Cloud-Infrastruktur arbeiten. Während alle diese wahrscheinlich in China ansässigen cyberkriminellen Gruppen gemeinsame Mining-Operationen ausführen, haben einige begonnen, sich auch außerhalb dieser Art von Aktivitäten zu versuchen.
Best Practices für die Cloud-Sicherheit
Die Studie von Unit 42 sieht die Cloud-Sicherheit gefährdet durch drei Probleme: Schwachstellen in Infrastructure-as-Code, den riskanten Einsatz gängiger Protokolle und externe Bedrohungen der Cloud-Infrastruktur. Durch die konsequente Umsetzung der folgenden Best Practices können Unternehmen diesen Sicherheitsproblemen entgegentreten:
- Die strikte Durchsetzung von Sicherheitsstandards in der Cloud ist unverzichtbar.
- Eine Cloud-native Sicherheitsplattform (CNSP) bietet vollständige Sichtbarkeit von Containern, Serverless-Implementierungen und CI-/CD-Pipelines in der gesamten Cloud-Umgebung, um sich den entscheidenden Vorsprung gegenüber den Angreifern zu verschaffen.
- Generell müssen IaC-Templates aus öffentlichen Repositorys wie GitHub konsequent auf Schwachstellen geprüft werden und erst dann für den Einsatz in der Produktionsumgebung freigegeben werden. Eine aktivierte Protokollierung und Verschlüsselung in allen IaC-Templates bietet ein entscheidendes Maß an zusätzlicher Sicherheit.
- Der „Shift Left“-Sicherheitsansatz bedeutet, die Sicherheit hin zum frühestmöglichen Zeitpunkt im Entwicklungsprozess vorzuziehen, um ein Höchstmaß an Cloud-Sicherheit zu erzielen.
Unternehmen müssen alles daransetzen, um eine Gefährdung ihrer Cloud-Umgebung von vornherein zu verhindern. Die Umsetzung von Best Practices mit Unterstützung einer für die Cloud konzipierten Sicherheitsplattform erweist sich als effektiv, um aktuellen Cloud-Bedrohungen entgegenzutreten.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
1 Kommentar zu Welche Risiken die Cloud-Sicherheit derzeit gefährden
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wer einen kostenlosen Einblick in die Möglichkeiten und die Funktionsweise von Terraform erhalten möchte, für den ist unsere Podcast Episode sicher spannend:
> Podcast #36: Terraform – Virtuelles Rechenzentrum mit dem Infrastructure as a Service Werkzeug
(oder einfach bei Apple Podcasts bzw. Google Podcasts, Deezer und Co. nach „skillbyte“ suchen)
Ihr könnt auch direkt zu den, für euch interessanten, Zeitpunkten springen:
// Inhalt //
// Inhalt //
01:10 – Definition: Was ist Terraform? Was leistet die Software?
06:23 – Software eats Hardware -> Infrastructure as a Service
07:42 – Welches Problem löst Terraform und wie erfolgt der Einsatz?
08:40 – So sieht ein typisches Terraform Projekt aus
11:53 – Der Terraform State – am besten remote in der Cloud
16:18 – Vorteile von Terraform
16:28 – Vorteil: Infrastructure as Code / Versionierbar in GIT
16:48 – Vorteil: Infrastrukturänderungen können sofort getestet werden
17:12 – Vorteil: Integration in CI/CD Pipeline
17:50 – Vorteil: Zentrale Infrastrukturpakete /-module
20:11 – Vorteil: Buildserver kann Terraform ausführen
20:44 – Vorteil: Portierbarkeit zwischen Cloudplattformen
23:22 – Nachteile von Terraform (Funktionsgrenzen, Cloud Limits)
23:30 – Nachteil: keine Einheitliche Benamung bei unterschiedlichen Providern; unvollständige Dokumentation
26:20 – Detaileinrichtung von VMs benötigt weitere Werkezuge (Ansible, Puppet, Chef)
27:48 – Vorteil: Kubernetes Umgebungen können mit Terraform provisioniert werden
28:35 – Nachteil: Proprietäre Cloud Features via Terraform nicht oder später verfügbar
31:48 – Nachteil: Abstraktionsschichten erhöhen immer die Komplexität
32:47 – Vorteile: Infrastruktur versionierbar, kurzfristige Wartezeit auf Ressourcen, Rückgabe nicht verwendeter Ressourcen, große Community
34:17 – Variablen in Terraform Templates für unterschiedliche Umgebungen
35:54 – Terraform Graph: stets aktuelle Dokumentation der Infrastruktur
Ein wirklich tolles Stück Technologie, welches dabei hilft das Vendor-Lock-In der Cloud-Anbieter etwa in Schach zu halten ;)