Cloud-Anwendungen schützen
Sichere Applikationen trotz wolkiger Basis
Die Cloud gilt vor allem bei deutschen Unternehmen nicht gerade als sicher. Die medienwirksamen Hacks der letzten Monate haben den Ruf der Cloud weiter beschädigt. Dennoch ist es in Wahrheit schwierig, die Sicherheit in der Cloud zu bewerten, da zu den unterschiedlichen Arten der Cloud-Bereitstellung nun auch noch die wachsende Zahl an Angeboten verschiedener Branchen und Unternehmen hinzukommt.
Das Geschäftsmodell der Cloud-Anbieter beruht darauf, Dienstleistungen zuverlässig und sicher zu erbringen. Daher ist es in ihrem eigenen Interesse, umfassend in Sicherheit zu investieren. Insbesondere Startups jedoch konzentrieren sich vorrangig auf die Entwicklung neuer Features, statt Zeit und Geld dafür aufzubringen, essentielle Sicherheitstechnik in ihre Angebote zu integrieren. Es ist daher sowohl für Unternehmen wie auch für Kunden und Nutzer unerlässlich, selbst Verantwortung für ihre Sicherheit zu übernehmen, statt dies alles dem Cloud-Anbieter zu überlassen. Komplexe Passwörter und Zwei-Faktor-Authentifizierung sind zwei Maßnahmen, auf die ein Nutzer hier unbedingt achten sollte.
Strategien gegen Cloud-Risiken
IaaS-Anbieter (Infrastructure as a Service) wie Amazon Web Services (AWS) bieten umfassende Kontrollmöglichkeiten für den ganzen Software-Stack. IT-Teams müssen jedoch selbst dafür sorgen, dass die Einstellungen ihren Vorgaben entsprechen, etwa im Bereich Verschlüsselung, Zugangskontrolle und Netzwerksegmentierung. Dies ist vor allem dann wichtig, wenn Unternehmen selbst Anwendungen auf Cloud-Plattformen entwickeln und dafür IaaS- und PaaS-Dienste (Platform as a Service) wie Google Cloud Platform, AWS oder Azure nutzen. In einem solchen Fall müssen Unternehmen nicht nur ihre Anwendungen auf Sicherheit prüfen, sondern auch den Anbieter der Plattform selbst. Dabei können in der Cloud durchaus andere Maßstäbe gelten als bei lokal installierten Anwendungen.
Das schärfste Schwert des CISOs (Chief Information Security Officer) für eine solche Grundsicherung ist eine tiefgreifende Risikoprüfung ("Due Diligence") potenzieller Cloud-Dienstleister. Einer der größten Unterschiede zwischen Cloud und lokaler Infrastruktur ist das Risiko durch Drittanbieter. Denn Hacker nutzen gerne unsichere Systeme von Drittanbietern und Zulieferern, um durch die Hintertür in die Unternehmensinfrastruktur zu gelangen. Unternehmen müssen sich daher in Zeiten der Cloud nicht mehr nur Gedanken um ihre eigene Sicherheit machen, sondern auch um die Sicherheit ihrer Zulieferer und Dienstleister, die an ihr Netzwerk angeschlossen sind. Strikte Sicherheitsstandards helfen dabei, dieses Risiko zu senken. Dafür müssen sich die Zulieferer zum Beispiel verpflichten, ihre mobilen und Web-Anwendungen automatisierten Sicherheitsprüfungen zu unterziehen.
Anbieter gründlich durchleuchten
CISOs können die Frage nach der IT-Sicherheit in der Cloud auf zwei Weisen beantworten: indem sie entweder die Cloud-Anbieter betrachten oder die in der Cloud genutzten Anwendungen. Um Cloud-Dienste sicher zu verwalten, ist ein unabhängiges Audit der Anbieter unerlässlich. Der CISO spielt hierbei eine aktive Rolle, denn er stellt sicher, dass jeder potenzielle Dienstleister seine minimalen Sicherheitsanforderungen erfüllt, etwa durch Zwei-Faktor-Authentifizierung oder verschlüsselte Datenspeicherung. Unternehmen müssen jedoch beachten, dass auch der beste IaaS-Anbieter nur eine Box bereitstellt. Es sollte eine sichere Box sein, doch die Verantwortung dafür, was in dieser Box mit den eigenen Anwendungen geschieht, verbleibt beim Kundenunternehmen.
Anwendungen kontinuierlich prüfen
Deshalb sollten Unternehmen sicherstellen, dass sie ihre Anwendungen in der Cloud kontinuierlich durch Sicherheitsscans prüfen. Für die Risikobewertung lohnt es, sich an der OWASP-Top-10-Liste zu orientieren. Diese führt die wichtigsten Sicherheitslücken in Web-Anwendungen auf, zusammengetragen von den Sicherheitsexperten des Open Web Application Security Projects. Dabei ist zu beachten, dass für Cloud-Anwendungen andere Sicherheitsfunktionen relevant sind als für reguläre Anwendungen: Eine ganze Reihe von Sicherheitslücken, die normalerweise nicht als gefährlich gelten, können auf einer Cloud-Plattform tödlich sein. Dies bedeutet, dass Anwendungssicherheit in einer Cloud-Umgebung grundsätzlich anders ausgerichtet sein sollte.
Die Kaskade der Sicherheitslücken könnte zum Beispiel so aussehen: Nach einem erfolgreichen Angriff auf den Domain-Name-Server von AWS als "Einfallstor" gelangt der Hacker an die private IP-Adresse des Web-Servers. Angriffe wie SSRF- (Server-Side Request Forgery) oder XXE-Attacken (XML External Entity) geben dem Angreifer EC2-Metadaten an die Hand, die ihm mit den AWS-API-Keys im wahrsten Sinn die Schlüssel in die Hand drücken. Mit ihnen lassen sich neue Systeme erstellen, um ein beliebiges EBS-Volume zu klonen und zu mounten. Ist das geschafft, kann der Hacker durch die neuen Systeme an die SSH-Keys zu den Anwendungs-Servern und endlich auch an die wahren API-Keys des Identity- und Access-Managements gelangen. Voilà! Nun stehen ihm alle Türen offen. Er muss nur noch die Datenbank klonen und zur Hintertür hinaustragen.
Der aktuelle "Statusbericht zur Softwaresicherheit" von Veracode [1] zeigt, dass Einsicht der Schlüssel zur Anwendungssicherheit ist - dies gilt unabhängig von der umgebenden Plattform. In der 18-monatigen Testperiode des Reports wurde über ein Viertel der Unternehmensanwendungen (28 Prozent) nur einmal geprüft. Neue Sicherheitslücken tauchen jedoch häufiger auf. Es ist deshalb unumgänglich für Unternehmen, ihre Anwendungen kontinuierlich zu prüfen.
Nicht nur reagieren, sondern pflegen
Ein wichtiger Schritt zur Prävention ist die tiefgreifende Kenntnis der eigenen Anwendungen. Bis zum Kern vordringende Scans finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. Dies gilt in verstärktem Maße auch für die Cloud. Hier können kurzfristige Änderungen, hinzugefügte Anwendungen und neue Umgebungsvariablen die Anwendungssicherheit jederzeit beeinträchtigen. Unternehmen sollten daher auf eine kontinuierliche Analyse der Cloud-Umgebung setzen, die Anwendungsfehler, falsche Sicherheitskonfigurationen und Cloud-spezifische Sicherheitslücken in Echtzeit entdecken kann sowie Handlungsempfehlungen ausspricht, mit denen das IT-Team etwas anfangen kann. Moderne Sicherheitslösungen für Anwendungen in der Cloud verfügen über die genannten Funktionen. Manche ermöglichen außerdem die einfache Veränderung der Analysefunktionen.
Fazit
Anwendungssicherheit in der Cloud ist am Ende nicht nur abhängig von der Cloud-Plattform des Anbieters, den man gründlich prüfen sollte, sondern auch von der Einstellung des Unternehmens. Es gilt, sich zu vergegenwärtigen, dass die Anwendungsentwicklung in und für die Cloud spezielle Sicherheitsprioritäten setzen muss, da die Sicherheitslücken in der Cloud und ihre Gefährlichkeit sich fundamental von der "regulären" Anwendungsentwicklung unterscheiden. Unternehmen, die sich darauf vorbereiten und Lösungen nutzen, die ihnen tiefgreifende Einblicke in ihre Anwendungslandschaft und aktuelle Sicherheitsberichte bieten, können jedoch auch diese Herausforderung meistern.
Lesen Sie mehr zum Thema
