zurück zur Übersicht

Cloud Security: Gewitter im Anzug, oder Schönwetterwölkchen?

DUnkle Wolken: Die knapp werdenden IPv4 Adressen werden zum Sicherheitsrisiko für die CloudDie Nutzung von Cloud-Diensten ist inzwischen weit verbreitet und nimmt ständig zu. Viele Firmen drängen in die Cloud, nicht zuletzt, um Kosten zu sparen. Sicherheits- und Datenschutzbedenken werden durch entsprechende Angebote der Cloud-Anbieter besänftigt, etwa durch „Rechenzentren in Europa“ und „private“ Bereiche in der Cloud.

Problematische Infrastruktur

Ein großer Vorteil solcher Lösungen ist die Möglichkeit, Server dynamisch an die Nachfrage anzupassen. Dienste wandern von einem kleineren Server zu einem größeren, oder es werden einfach zusätzliche Server gestartet, je nach Auslastung des Dienstes. Wird ein Server nicht mehr gebraucht, wird er stillgelegt oder für einen anderen Dienst bereitgestellt.

Alle Server, die Cloud-Dienste anbieten, brauchen üblicherweise eine offizielle IP-Adresse, die bekanntermaßen immer knapper werden (mehr zur Lösung: Stichwort IPv6 in diesem Artikel). Dies führt dazu, dass die Adressen vom Anbieter in kurzer Zeit nach deren Freiwerden wiederverwendet werden müssen.

IP-Recycling kann für Datenlecks sorgen

In einem lesenswerten Artikel hat der Sicherheitsspezialist Remco Verhoef [1] nun darüber berichtet, wie die Wiederverwendung von IP-Adressen zu potenziellen Abflüssen privater Daten führen kann. Er hat über vier Monate die Anfragen mitgeschnitten, die auf Cloud-Servern von Amazon ankommen. In den meisten Fällen kommen diese von Clients, die noch alte DNS-Einträge halten und daher den Dienst auf dem Server noch für aktiv halten. Vor dem Herunterfahren oder Migrieren eines Dienstes müssen vom Dienstanbieter zuerst die DNS-Einträge angepasst werden. Der Server muss dann natürlich noch eine Zeitlang erreichbar bleiben, bis alle Clients ihre DNS-Einträge aktualisiert haben. Die Lebenszeit der DNS-Einträge ist dementsprechend kurz gehalten. Aber auch nach deren Ablauf können noch verspätete Anfragen den Server erreichen.

Die mitgeschnittenen Anfragen sprechen unter anderem häufig genutzte Cloud-Dienste z.B. von Google, Microsoft, Twitter und Apple an. Meistens geschieht das SSL-verschlüsselt, so dass ein einfaches Mitlesen nicht möglich ist.

Man in the middle durch manipulierte Zertifikate

Ein theoretisch mögliches Angriffsszenario wäre nun eine Man-in-the-Middle-Attacke mit einem selbst generierten Zertifikat. Die Anfragen werden dabei an den „echten“ Cloud-Dienst weitergeleitet, so dass beim Benutzer kein Verdacht aufkommt. An dieser Stelle ist es wichtig, dass die jeweilige Applikation auf dem Client das Zertifikat überprüft und im Zweifelsfall keine Verbindung aufbaut oder zumindest den Benutzer warnt. Leider geschieht das nicht immer, und Zertifikatswarnungen werden vom Benutzer oftmals ignoriert: viele Normalbenutzer wissen ohnehin nicht, wozu Zertifikate eigentlich dienen.

Hinzu kommen Sicherheitslücken in den SSL-Implementierungen wie Heartbleed oder FREAK, die Angriffe auf die SSL-Verbindung ermöglichen. Nicht zuletzt wurden auch schon Zertifizierungsstellen kompromittiert und Zertifikate gefälscht.

Als Reaktion auf Verhoefs Entdeckungen hat Amazon ein „IP Cooldown Feature“ eingeführt, wodurch IP-Adressen nicht mehr so schnell wiederverwendet werden. Dies soll die oben beschrieben Angriffsmöglichkeit eindämmen. Die Knappheit der IP-Adressen wird dadurch allerdings wieder zusätzlich erhöht.

Zusammenfassend kann würde ich jedem Nutzer von Cloud-Diensten und den Planern und Programmierern von Cloud-Anwendungen nur raten:

  • jeden Verkehr in die Cloud stark zu verschlüsseln
  • bei jedem Verbindungsaufbau die SSL-Zertifikate zu prüfen
  • Client- und Server-Software, insbesondere die SSL-Bibliotheken, gewissenhaft aktuell zu halten
  • das Skalieren eines Dienstes genau zu steuern und zu überwachen.

Firmen müssen bei der Auswahl des Cloud-Anbieters darauf achten, dass angemessene Sicherheitsmaßnahmen umgesetzt wurden. Die Cloud macht die Bereitstellung neuer Dienste einfach. Die Sicherheit der eigenen Daten sollte darunter allerdings nicht leiden.

Die Maßnahmen hierfür sind vorhanden und müssen nur konsequent genutzt werden.

 


[1] https://isc.sans.edu/forums/diary/My+Catch+Of+4+Months+In+The+Amazon+IP+Address+Space/22129/

Schreibe einen Kommentar