Der US-Auslandsgeheimdienst NSA (National Security Agency) hat Ende Januar einen Ratgeber zur Cloudsicherheit veröffentlicht. Unter dem Namen "Mitigating Cloud Vulnerabilities" gibt das Papier eine Reihe nützlicher Tipps.
Die NSA haben viele noch aus Zeiten der Enthüllungen des Whistleblowers Edward Snowden in Erinnerung. Snowden hatte 2013 das enorme Ausmaß der Kommunikationsüberwachung durch die NSA publik gemacht und für erheblichen Wirbel gesorgt, präsentierte sich die Behörde doch sozusagen als Star-Wars-artiger "Todesstern" für Privatsphäre: als Einrichtung, deren Rechenpower ausreicht, um den Datenschutz auf dem gesamten Planeten zu vernichten. Die Kritik am Vorgehen des Geheimdienstes war vielstimmig, selbst Kanzlerin Merkel zeigte sich "not amused" ("Ausspähen unter Freunden, das geht gar nicht!"). Auch der Autor dieser Zeilen konnte sich damals die eine oder andere sarkastische Zeile nicht verkneifen. Die Älteren unter den LANline-Lesern erinnern sich vielleicht an das satirische "Geheimdienstmärchen" mit Netzwittchen und Prince Edward aus der Schneehöhle (englisch: "snow den"). Die Jüngeren, Vergesslichen oder sonstwie Interessierten können es hier nachlesen.
Das Ausspähen von Feinden, potenziellen Widersachern und - obwohl das natürlich *gar nicht* geht - Freunden der USA ist aber nur eines der Aufgabenfelder der NSA. Ein weiteres ist der Schutz der nationalen IT- und Datensicherheit, in dieser Hinsicht vergleichbar mit dem deutschen BSI. In dieser Rolle hat die NSA - die geballte Kompetenz des hauseigenen Datenschutz-Todessterns im Rücken - Ende Januar ein Informationspapier [1] publiziert, das auf kompakte Weise Maßnahmen zur Absicherung von Cloudumgebungen zusammenfasst. Das Papier richtet sich natürlich an US-Unternehmen und -Behörden. Vieles davon ist aber auch für deutsche IT-Organisationen von Belang.
Deshalb heißt es nun: Ohren spitzen und zuhören, was Darth Vader in puncto Cloud-Security für beachtenswert hält. Die berühmte röchelnde Stimme des Star-Wars-Oberschurken, die stets klingt wie die verkratzte Schellackplattenaufnahme einer Bahnhofsdurchsage, möchte sich der geneigte Leser bitte dazudenken.
Als cloudrelevante Bedrohungsakteure stuft das NSA-Papier folgende Gruppierungen ein:
Die NSA betont im Einklang mit zahlreichen Security-Fachleuten, dass Cloud-Service-Provider (CSPs) und Cloudanwender gemeinsam für die Sicherheit der Cloudumgebung verantwortlich sind ("Shared Responsibility"). Die CSPs sind für die Absicherung der Cloudinfrastruktur und für die Implementierung logischer Kontrollen zur Trennung der Mandantendaten zuständig. Die Administratoren auf Kundenseite wiederum verantworten in der Regel die Konfiguration auf Anwendungsebene, insbesondere im Hinblick auf die Sicherheitsanforderungen der eigenen Organisation.
Diese geteilte Verantwortung, so die US-Behörde, betreffe nicht nur den Routinebetrieb (etwa das Patch-Management), sondern erstrecke sich auch auf die Erkennung von Bedrohungen und die Reaktion auf Sicherheitsvorfälle. Entscheidend für den Erfolg bei der Migration zur Cloud wie auch beim Betrieb Cloudressourcen sei die Unterstützung durch eine kompetente Führung. Diese müsse für die Governance ebenso sorgen wie für ausreichendes Budget. Zudem müsse ein Unternehmen stets mit seinen CSPs zusammenarbeiten, um die verfügbaren herstellerspezifischen Gegenmaßnahmen und deren Auswirkungen auf das Risiko zu verstehen.
Das NSA-Papier unterscheidet vier Arten von Gefährdungen für Cloudumgebungen: Fehlkonfiguration, mangelhafte Zugangskontrolle, Schwachstellen bei der Mandantentrennung (Shared Tenancy) sowie Schwachstellen in der Supply Chain. Fehlkonfigurationen sind laut der US-Behörde weit verbreitet, und ein Angreifer brauche kaum Fachwissen, um sie auszunutzen. Auch Mängel bei der Zugangskontrolle seien häufig zu finden, ihre Ausnutzung erfordere aber schon mehr Kompetenz.
Schwachstellen der Multi-Mandanten-Umgebungen und der Supply Chain hingegen seien vergleichsweise selten, und ihr Missbrauch erfordere zudem einiges an Raffinesse.
Fehlkonfigurationen ergeben sich laut dem Papier häufig aus Fehlern in den Cloud-Service-Policies (also in der Implementierung von Cloud-Service-Abläufen in Software) oder aus mangelndem Verständnis der gemeinsamen Verantwortung. Das Spektrum der Auswirkungen reiche von Denial-of-Service-Anfälligkeit bis hin zur Gefährdung der Konten. Die richtige Cloudkonfiguration beginne mit dem Infrastrukturdesign und der Automatisierung. Der Geheimdienst rät, Sicherheitsprinzipien wie Least Privilege (Minimierung von Zugriffsrechten auf das Notwendige) und Defense in Depth (mehrstufige Sicherheitsvorkehrungen) schon während des Designs und der Planung vorzusehen. Dabei sei eine gut organisierte Cloud-Governance der Schlüssel zu einer verteidigungsfähigen Umgebung.
Die technischen Kontrollen für die Umsetzung dieser Prinzipien sind je nach CSP unterschiedlich, so das Papier. Darunter fallen häufig Cloud-Service-Richtlinien, Verschlüsselung, Zugriffskontrolllisten (ACLs), Application Gateways, Intrusion-Detection-Systeme (IDSs), Web Application Firewalls (WAFs) und Virtual Private Networks (VPNs). Eine gut konzipierte und gut implementierte Cloudarchitektur umfasst laut dem Papier Kontrollmechanismenen, die Fehlkonfigurationen verhindern oder Administratoren auf unsachgemäße Konfigurationen aufmerksam machen. Im Hinblick auf Least Privilege rät die NSA zu folgenden Maßnahmen:
Zudem, so das NSA-Papier, sollten Administratoren mit folgenden Maßnahmen für Defense in Depth sorgen:
Für die wohlorganisierte Migration in die Cloud sollten Unternehmen:
Das NSA-Papier gibt eine Reihe von Empfehlungen, um bei der Cloudnutzung eine starke Zugriffskontrolle zu gewährleisten:
CSPs sorgen mittels Virtualisierung oder Containerisierung für Mandantenfähigkeit. Entsprechend, so warnt das NSA-Papier, sind für Multi-Tenant-Umgebungen Schwachstellen in den Cloudhypervisoren oder Containerplattformen aufgrund der kritischen Rolle, die diese Technologien bei der Sicherung von Cloudarchitekturen und der Isolierung von Kundenarbeitslasten spielen, besonders gravierend. Hypervisor-Schwachstellen seien schwierig und teuer zu entdecken und auszunutzen, was ihre Ausnutzung auf kompetente Angreifer beschränke. Hinzu komme, dass führende CSPs den Hypervisor-Code kontinuierlich auf Schwachstellen scannen und ihre Hypervisoren einem Fuzz-Testing unterziehen, um Schwachstellen zu identifizieren und zu beheben. Ein Cloud-Provider überwache auch die Systemprotokolle, um Hinweise auf die Ausnutzung des Hypervisors zu finden.
Die Containerisierung ist laut NSA zwar eine attraktive Technologie im Hinblick auf Leistung und Portabilität, aber vor dem Einsatz in einer Multi-Tenant-Umgebung sorgfältig zu prüfen. Denn Container laufen auf einem gemeinsam genutzten Kernel, also ohne die Abstraktionsebene, die die Virtualisierung bietet. In einer Multi-Tenant-Umgebung könnte eine Schwachstelle in der Containerplattform es einem Angreifer somit ermöglichen, Container anderer Tenants auf demselben Host zu kompromittieren. Einen solchen Vorfall hat laut der US-Behörde zwar noch keiner der großen Cloud-Provider berichtet, doch Sicherheitsforscher haben bereits Hypervisor- wie auch Containerausbrüche gezeigt.
Auch Hardwareschwachstellen in Prozessoren können große Auswirkungen auf die Sicherheit in der Cloud haben, warnt die NSA, und Fehler im Chipdesign können durch Seitenkanalangriffe zur Kompromittierung von Cloud-Nutzerinformationen führen. Es gebe zwar keine dokumentierten Angriffe, die solche Hardwareschwachstellen ausnutzen, die Verwendung gemeinsam genutzter Hardware in der Cloud werde jedoch die Auswirkungen zukünftiger Schwachstellen verstärken. Von Vorteil sei hier allerdings, dass CSPs ihre Umgebung in großem Umfang und damit schneller als andere IT-Organisationen patchen können. Zum Schutz einer Umgebung auf einer cloudtypischen Multi-Tenant-Plattform rät das NSA-Papier zu folgenden Maßnahmen:
Zu den Schwachstellen in der Supply Chain der Cloud zählen Insider-Angriffe und absichtliche Hintertüren in der Hard- und Software. CSPs beziehen Hardware und Software aus der ganzen Welt und beschäftigen Entwickler vieler Nationalitäten, so das NSA-Papier. Softwarekomponenten von Drittanbietern könnten dabei Schwachstellen enthalten, die der Entwickler absichtlich eingefügt hat, um die Anwendung zu gefährden. Einen Agenten in die Cloudlieferkette einzuschleusen, sei es als Lieferant, Administrator oder Entwickler, könnte ein wirksames Mittel für Angreifer von staatlicher Seite sein, um Cloudumgebungen zu kompromittieren. Als Beispiel für einen solchen Supply-Chain-Angriff nennt die NSA unter anderem den Fall vom Dezember 2019, bei dem man zwei bösartige PyPI-Libraries (Python Package Index) entdeckt hat, die Anmeldeinformationen von Systemen stehlen, auf denen Entwickler die Bibliotheken unwissentlich installiert hatten.
Die Abwehr von Supply-Chain-Angriffen, so die NSA, liege hauptsächlich in den Händen des CSPs. Die Cloudanbieter seien sich der Risiken in der Lieferkette bewusst und suchten durch Softwaretests und Hardwarevalidierung nach Hinweisen auf Backdoors. Auf CSP-Seite minimiere man zudem das Risiko von Innentätern durch Kontrollmechanismen wie Rollentrennung, Vier-Augen-Prinzip bei besonders sensiblen Operationen und Warnmeldungen bei verdächtigen Administratoraktivitäten. Um sich gegen eine Kompromittierung der Lieferkette zu wappnen, empfiehlt der NSA-Ratgeber Administratoren die folgenden Schritte:
sich an geltende Standards halten, sichere Programmierpraktiken einhalten und eine kontinuierliche Verbesserung der Sicherheit, Integrität und Widerstandsfähigkeit von Unternehmensanwendungen praktizieren.
Für ein hohes Maß an Cloudsicherheit kommt also ein beachtliches Bündel an Abwehrmaßnahmen zusammen - noch dazu eines, dessen Verwirklichung einiges an Zeit-, Personal- und finanziellem Aufwand erfordert. Dennoch: Wenn ein Geheimdienst, der in puncto Kompromittierung von Datenbeständen als einer der kompetentesten weltweit gilt, zu solch umfangreichen Maßnahmen rät, dann sollte man diese Hinweise wohl besser ernst nehmen.
Nicht umsonst sagt Darth Vader in jener berühmten Filmszene, in der er Luke Skywalker endlich Auge in Auge gegenübertritt: "Luke… chrrrr-hrrrr… ich bin dein Cloudberater!"