zurück zur Übersicht

Cloud Security 2018 – immer noch nur Datenlecks?

Einführung

In letztem Jahr ist es zu mehreren Sicherheitsvorfällen im Zusammenhang mit der Public Cloud gekommen. Datenverlust, Datenintegritätsprobleme oder Probleme mit der Verfügbarkeit gehören zu häufigsten Schwierigkeiten.

Bedeutet das, dass das Sicherheitskonzept in der Cloud grundsätzlich inkorrekt ist? Ist lediglich die Sicherheitskonfiguration falsch? Oder ist es ein Verantwortungsproblem, wenn einer denkt, dass der andere für die Risiken haftet?

Verantwortung in der Cloud

Public Cloud ist eine geteilte Welt, in der viele Akteure ihre Interessen haben. Jede Rolle trägt unterschiedliche Risiken, was die Verantwortung definiert. Wir werden uns hier detaillierter mit einem klassischen IaaS (Infrastructure as a Service) Szenario in der Public Cloud beschäftigen.

Der Konsument, in der Regel auch der Datenbesitzer, ist für den Schutz und die Absicherung eigener Daten verantwortlich. Das bedeutet, dass er die Einstellungen der Umgebung verantworten muss. Der Konsument muss nicht nur präventiv denken, sondern auch den aktuellen Sicherheitsstand auf Anomalien überwachen.

Der Cloud Anbieter hingegen sollte die Sicherheit der Netzwerkinfrastruktur, virtueller Infrastruktur und des Rechenzentrums garantieren. Darüber hinaus muss die Cloud Plattform über Möglichkeiten verfügen, mit denen die Sicherheitsanforderungen der Konsumenten umgesetzt werden können.

Häufige Probleme

Fehlende Zugriffskontrolle

Richtig implementierte Zugriffskontrolle in der Cloud ist von großer Bedeutung. Ein klassisches Szenario ist, wenn die von außen erreichbaren Accounts kompromittiert werden. Wenn ein vorgegebenes oder schwaches Passwort konfiguriert ist, sind die auffälligen Massenangriffe (aka Brute Force) kaum nötig. Das gilt nicht nur für den authentifizierten Benutzer innerhalb der Anwendung, sondern auch für den oft ignorierten ungeschützten Zugang zur API oder Credentials in (Public) Repositories.

Zwei Beispiele: Nicht ausreichend abgesicherte private Repositories in GitHub, in denen Credentials abgelegt wurden und der Zugang zu der Kubernetes Console ohne Passwort, was wiederum ermöglicht hat, auf die nicht abgesicherten Zugangsdaten in einem Pod zuzugreifen.

Objektspeicher im Internet wie S3 Buckets in AWS oder Blob Storage in Azure können ein dediziertes Kapitel sein, denn die haben schon oft als Einsprungspunkt zu sensitiven Daten gedient. Wie bei anderen Sicherheitsmechanismen in der Cloud, liegt auch hier das Problem in der unsicheren Konfiguration – laut einem Bericht hatte sogar mehr als Hälfte der analysierten Kundenumgebungen mindestens einen Objektspeicher aus dem Internet ohne Authentifizierung erreichbar.

Als Antwort auf die veröffentlichten Datenlecks hat z.B. Amazon den Kunden als Hilfsmittel das Online Tool AWS Trusted Advisor zur Verfügung gestellt. Dadurch werden S3 Buckets identifiziert, die keinen Zugriffschutz besitzen und damit ihre Daten aus dem Internet für jeden erreichbar machen.

Die aus fehlenden Zugriffsregeln resultierenden Risiken liegen primär im Datenverlust, was auf die Reputation und Sicherheit enorme Auswirkungen haben kann. Als eine Minderungsmaßnahme sollten die von außen erreichbaren Accounts für die Umgebung keinen direkten vollen administrativen Zugang haben. Es wird empfohlen, für die interaktiven Accounts eine Multi-Faktor Authentifizierung zu ermöglichen. Des Weiteren sollte die privilegierte Aktivität in der Cloud auf Anomalien überwacht werden.

Skalierbare Massenangriffe

Neben klassischen Angriffsszenarien bei Webanwendungen wie Login Brute-Force oder nicht authentifiziertem E-Mail Versand ist es auch wichtig, die laufende Umgebung so zu schützen, dass sie wie erwartet unterbrechungsfrei funktioniert und keine unnötigen erhöhten Kosten verursacht. In der Public Cloud wird die Rechnung oft auf Basis des aktuellen Verbrauchs(Nutzungsgebühren) erstellt. Da die Skalierung von Ressourcen in der Cloud sehr einfach ist, lenken Angreifer immer häufiger ihre Aufmerksamkeit auf schwach abgesicherte Umgebungen.

Eine der modernsten Attacken in dieser Hinsicht sind Kryptoattacken wie Cryptojacking, in denen die Kryptowährungen in der Cloudumgebung des Opfers ressourcenintensiv erzeugt werden. Alternativ kann in die Umgebung schädlicher Javascript-Code implantiert werden, was dazu führt, dass diese Erzeugung stattdessen auf der Seite des Clients erfolgt.

Fehlerhaftes Design

Fehlende Segmentierung in der Cloud je nach Datenkritikalität und Systemfunktion ist ein weiteres häufiges Finding bei Security Reviews oder Angriffsanalysen.

Wenn ein System in der Cloud kompromittiert wird, sollten die restlichen Systeme in derselben Zone und anderen Zonen auch andere Schutzmechanismen haben, um ein Übergreifen der Kompromittierung zu erschweren. Erstens droht hier Lateral Movement, in dem weitere, oft kritische Systeme angegriffen werden. Zweitens ist es wichtig, nicht nur die eingehenden sondern auch die ausgehenden Daten unter Kontrolle zu haben. Es wird leider oft gesehen, dass diese Daten keiner Kontrolle unterliegen. Generell sind hier Netzwerksegmentierung und Routing über Proxy Server denkbar. Cloud Plattformen haben oft weitere eingebaute Möglichkeiten wie Security Groups in AWS oder Network Security Groups in Azure.

Zusammenfassung

Wer vor ein paar Jahren Datenverlust als einziges Sicherheitsrisiko in der Cloud gesehen hat, muss die Risikopalette etwas vergrößern. Eigentlich sind inzwischen alle Gefahren aus der „Onsite“ Welt in der Cloud angekommen. Sicheres Design, reife Präventionsmaßnahmen und Verhaltensüberwachung, die mit der Cloud Umgebung gut zusammenspielen, sind der richtige Weg, um das Angriffspotenzial gegen Cloud-Konsumenten, Cloud-Betreiber und Kunden zu verringern.

 


Links:

Incidents:

https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data

https://cryptoslate.com/tesla-hit-cryptojacking/

https://arstechnica.com/information-technology/2018/01/now-even-youtube-serves-ads-with-cpu-draining-cryptocurrency-miners/

https://www.wired.com/story/cryptojacking-tesla-amazon-cloud/

Weitere Links:

https://cdn2.hubspot.net/hubfs/2254955/WebsiteResources/RL_CSI_report_Feb2018.pdf

https://www.helpnetsecurity.com/2018/02/21/aws-s3-bucket-permissions-check/

Bild: ©iT-CUBE SYSTEMS AG 2018

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer