NSA-Papier zum Schutz von Clouds
Väterlicher Rat
Der US-Auslandsgeheimdienst NSA (National Security Agency) hat Ende Januar einen Ratgeber zur Cloudsicherheit veröffentlicht. Unter dem Namen "Mitigating Cloud Vulnerabilities" gibt das Papier eine Reihe nützlicher Tipps.
Die NSA haben viele noch aus Zeiten der Enthüllungen des Whistleblowers Edward Snowden in Erinnerung. Snowden hatte 2013 das enorme Ausmaß der Kommunikationsüberwachung durch die NSA publik gemacht und für erheblichen Wirbel gesorgt, präsentierte sich die Behörde doch sozusagen als Star-Wars-artiger "Todesstern" für Privatsphäre: als Einrichtung, deren Rechenpower ausreicht, um den Datenschutz auf dem gesamten Planeten zu vernichten. Die Kritik am Vorgehen des Geheimdienstes war vielstimmig, selbst Kanzlerin Merkel zeigte sich "not amused" ("Ausspähen unter Freunden, das geht gar nicht!"). Auch der Autor dieser Zeilen konnte sich damals die eine oder andere sarkastische Zeile nicht verkneifen. Die Älteren unter den LANline-Lesern erinnern sich vielleicht an das satirische "Geheimdienstmärchen" mit Netzwittchen und Prince Edward aus der Schneehöhle (englisch: "snow den"). Die Jüngeren, Vergesslichen oder sonstwie Interessierten können es hier nachlesen.
Das Ausspähen von Feinden, potenziellen Widersachern und - obwohl das natürlich *gar nicht* geht - Freunden der USA ist aber nur eines der Aufgabenfelder der NSA. Ein weiteres ist der Schutz der nationalen IT- und Datensicherheit, in dieser Hinsicht vergleichbar mit dem deutschen BSI. In dieser Rolle hat die NSA - die geballte Kompetenz des hauseigenen Datenschutz-Todessterns im Rücken - Ende Januar ein Informationspapier [1] publiziert, das auf kompakte Weise Maßnahmen zur Absicherung von Cloudumgebungen zusammenfasst. Das Papier richtet sich natürlich an US-Unternehmen und -Behörden. Vieles davon ist aber auch für deutsche IT-Organisationen von Belang.
Deshalb heißt es nun: Ohren spitzen und zuhören, was Darth Vader in puncto Cloud-Security für beachtenswert hält. Die berühmte röchelnde Stimme des Star-Wars-Oberschurken, die stets klingt wie die verkratzte Schellackplattenaufnahme einer Bahnhofsdurchsage, möchte sich der geneigte Leser bitte dazudenken.
Als cloudrelevante Bedrohungsakteure stuft das NSA-Papier folgende Gruppierungen ein:
- böswillige Administratoren auf Cloud-Provider-Seite, die ihre Position oder privilegierte Zugangsdaten ausnutzen könnten, um auf die in der Cloudumgebung gespeicherten Daten zuzugreifen oder aber Zugang zum Kundennetzwerk zu erhalten,
- böswillige Cloudadministratoren auf Kundenseite, die ebenfalls Zugriff auf die Daten in der Cloud haben,
- Cyberkriminelle und - an dieser Stelle müssen wir uns vorstellen, dass Darth Vader sich kurz räuspert - von Nationalstaaten finanzierte Akteure, die zum Beispiel Schwachstellen in Cloudarchitektur, -Konfiguration und -Authentifizierungsmechanismen oder aber erbeutete Zugangsdaten ausnutzen, um an sensible Daten zu gelangen, Cloudressourcen auf Kosten des Opfers zu manipulieren oder sie zu missbrauchen,
- sowie last, but not least: ungeübte oder nachlässige Cloudadministratoren bei den Anwenderunternehmen, die sensible Daten oder Cloudressourcen unbeabsichtigt für Dritte zugänglich machen.
Gemeinsame Verantwortung
Die NSA betont im Einklang mit zahlreichen Security-Fachleuten, dass Cloud-Service-Provider (CSPs) und Cloudanwender gemeinsam für die Sicherheit der Cloudumgebung verantwortlich sind ("Shared Responsibility"). Die CSPs sind für die Absicherung der Cloudinfrastruktur und für die Implementierung logischer Kontrollen zur Trennung der Mandantendaten zuständig. Die Administratoren auf Kundenseite wiederum verantworten in der Regel die Konfiguration auf Anwendungsebene, insbesondere im Hinblick auf die Sicherheitsanforderungen der eigenen Organisation.
Diese geteilte Verantwortung, so die US-Behörde, betreffe nicht nur den Routinebetrieb (etwa das Patch-Management), sondern erstrecke sich auch auf die Erkennung von Bedrohungen und die Reaktion auf Sicherheitsvorfälle. Entscheidend für den Erfolg bei der Migration zur Cloud wie auch beim Betrieb Cloudressourcen sei die Unterstützung durch eine kompetente Führung. Diese müsse für die Governance ebenso sorgen wie für ausreichendes Budget. Zudem müsse ein Unternehmen stets mit seinen CSPs zusammenarbeiten, um die verfügbaren herstellerspezifischen Gegenmaßnahmen und deren Auswirkungen auf das Risiko zu verstehen.
Schwachstellen der Wolke
Das NSA-Papier unterscheidet vier Arten von Gefährdungen für Cloudumgebungen: Fehlkonfiguration, mangelhafte Zugangskontrolle, Schwachstellen bei der Mandantentrennung (Shared Tenancy) sowie Schwachstellen in der Supply Chain. Fehlkonfigurationen sind laut der US-Behörde weit verbreitet, und ein Angreifer brauche kaum Fachwissen, um sie auszunutzen. Auch Mängel bei der Zugangskontrolle seien häufig zu finden, ihre Ausnutzung erfordere aber schon mehr Kompetenz.
Schwachstellen der Multi-Mandanten-Umgebungen und der Supply Chain hingegen seien vergleichsweise selten, und ihr Missbrauch erfordere zudem einiges an Raffinesse.
Fehlkonfigurationen ergeben sich laut dem Papier häufig aus Fehlern in den Cloud-Service-Policies (also in der Implementierung von Cloud-Service-Abläufen in Software) oder aus mangelndem Verständnis der gemeinsamen Verantwortung. Das Spektrum der Auswirkungen reiche von Denial-of-Service-Anfälligkeit bis hin zur Gefährdung der Konten. Die richtige Cloudkonfiguration beginne mit dem Infrastrukturdesign und der Automatisierung. Der Geheimdienst rät, Sicherheitsprinzipien wie Least Privilege (Minimierung von Zugriffsrechten auf das Notwendige) und Defense in Depth (mehrstufige Sicherheitsvorkehrungen) schon während des Designs und der Planung vorzusehen. Dabei sei eine gut organisierte Cloud-Governance der Schlüssel zu einer verteidigungsfähigen Umgebung.
Die technischen Kontrollen für die Umsetzung dieser Prinzipien sind je nach CSP unterschiedlich, so das Papier. Darunter fallen häufig Cloud-Service-Richtlinien, Verschlüsselung, Zugriffskontrolllisten (ACLs), Application Gateways, Intrusion-Detection-Systeme (IDSs), Web Application Firewalls (WAFs) und Virtual Private Networks (VPNs). Eine gut konzipierte und gut implementierte Cloudarchitektur umfasst laut dem Papier Kontrollmechanismenen, die Fehlkonfigurationen verhindern oder Administratoren auf unsachgemäße Konfigurationen aufmerksam machen. Im Hinblick auf Least Privilege rät die NSA zu folgenden Maßnahmen:
- Cloud-Service-Richtlinien verwenden, um zu verhindern, dass Benutzer Daten ohne eine aufgabenbezogene Rolle öffentlich freigeben,
- Cloud- oder Drittanbieter-Tools verwenden, um Fehlkonfigurationen in den Richtlinien für Cloud-Services zu erkennen,
- den Zugriff auf und zwischen Cloudressourcen einschränken, idealerweise per Zero-Trust-Modell,
- per Cloud-Service-Richtlinien sicherstellen, dass Ressourcen standardmäßig als privat gelten,
- Zugriffsprotokolle mit automatisierten Tools überprüfen, um übermäßig exponierte Daten zu identifizieren,
- sensible Daten auf genehmigte Speicher beschränken und ein DLP-Tool (Data Loss Prevention) nutzen, um diese Einschränkungen durchzusetzen.
Zudem, so das NSA-Papier, sollten Administratoren mit folgenden Maßnahmen für Defense in Depth sorgen:
- eine angemessene CSP-spezifische Schulung für Personen sicherstellen, die Cloud-Service-Richtlinien erstellen oder ändern,
- die Verschlüsselung von Daten im Ruhezustand und während der Übertragung mit starken Verschlüsselungsmethoden und ordnungsgemäß konfigurierten, verwalteten und überwachten Key-Management-Systemen erzwingen,
- sich an geltende Standards halten,
- Software in Cloudsystemen auf automatische Aktualisierung stellen,
- die Auswahl von VM-Images so steuern, dass sie eine gehärtete Baseline erfordern und eine planbare Abwehr ermöglichen,
- Cloud-Service-Richtlinien und IAM-Änderungen kontrollieren und auditieren,
- sicherstellen, dass die Protokollierung auf allen Ebenen aktiviert ist (Benutzerplattform-Aktivität, Netzwerk-Logs, SaaS/PaaS-Aktivität etc.), um die tatsächliche Umgebung einschließlich flüchtiger Ressourcen zu erfassen,
- sicherstellen, dass Protokolle unveränderlich gespeichert werden,
- wenn möglich, traditionelle Sicherheitsverfahren auf die Cloud anwenden, zum Beispiel EDR (Endpoint Detection and Response (EDR) für cloudbasierte Endpunkte,
- neue Sicherheitsfunktionen des CSPs nutzen, da diese sehr gut in der Lage sind, Bedrohungen zu erkennen,
- bewährte Verfahren befolgen, um den Missbrauch privilegierter Konten zu verhindern (Aufgabentrennung, Vier-Augen-Prinzip etc.),
- eine automatische kontinuierliche Überwachung der Konfigurationsänderungen und Sicherheitsereignisse einrichten,
- Logs aus Hybrid- oder Multi-Cloudumgebungen korrelieren,
- einen Vertrag aufsetzen, der die Anforderungen an Redundanz, Verfügbarkeit, Leistung, Dateneigentum/-souveränität, physische Sicherheit, Bearbeitung von Vorfällen und Transparenz der Cloudinfrastruktur erfüllt, und
- Schatten-IT, die Kontrollmechanismen unterläuft, identifizieren und beseitigen.
Für die wohlorganisierte Migration in die Cloud sollten Unternehmen:
- sich für die Applikationsmodernisierung und Nutzung von CSP-Services entscheiden, statt Altsysteme per "Lift and Shift" in die Cloud zu verlagern,
- sicherstellen, dass der Übergang korrekt definiert, finanziert, überprüft und unter der richtigen Führung erfolgt,
- Architektur und Prozesse entwickeln, um neue Funktionen mit einem Verständnis für die veränderte Risikolage zu integrieren,
- die Daten und deren Fluss durch die verschiedenen Systeme kennen,
- Bereiche evaluieren, in denen man traditionelle IT-Betriebs- oder Infrastruktursilos in Cloudumgebungen zusammenführen kann, sowie
- CSP-Tools und -Techniken wie Infrastructure as Code nutzen, um das Risiko von Fehlkonfigurationen zu reduzieren.
Mangelhafte Zugangskontrolle
Das NSA-Papier gibt eine Reihe von Empfehlungen, um bei der Cloudnutzung eine starke Zugriffskontrolle zu gewährleisten:
- Mehr-Faktor-Authentifizierung (MFA) mit starken Faktoren nutzen und eine regelmäßige Reauthentifizierung durchsetzen,
- Protokolle mit schwacher Authentifizierung deaktivieren,
- den Zugriff auf und zwischen Cloudressourcen beschränken, idealerweise per Zero-Trust-Modell,
- wenn möglich, cloudbasierte Zugriffskontrollen für Cloudressourcen verwenden, zum Beispiel durch den CSP verwaltete Authentifizierung zwischen den VMs,
- automatisierte Tools nutzen, um Zugriffsprotokolle im Hinblick auf Sicherheitsfragen auditieren zu können,
- wenn möglich, MFA für Kennwortrücksetzungen erzwingen, und
- keine API-Keys in Software-Versionskontrollsysteme aufnehmen, da sie unbeabsichtigt durchsickern könnten.
Schwachstellen bei Multi-Tenant-Umgebungen
CSPs sorgen mittels Virtualisierung oder Containerisierung für Mandantenfähigkeit. Entsprechend, so warnt das NSA-Papier, sind für Multi-Tenant-Umgebungen Schwachstellen in den Cloudhypervisoren oder Containerplattformen aufgrund der kritischen Rolle, die diese Technologien bei der Sicherung von Cloudarchitekturen und der Isolierung von Kundenarbeitslasten spielen, besonders gravierend. Hypervisor-Schwachstellen seien schwierig und teuer zu entdecken und auszunutzen, was ihre Ausnutzung auf kompetente Angreifer beschränke. Hinzu komme, dass führende CSPs den Hypervisor-Code kontinuierlich auf Schwachstellen scannen und ihre Hypervisoren einem Fuzz-Testing unterziehen, um Schwachstellen zu identifizieren und zu beheben. Ein Cloud-Provider überwache auch die Systemprotokolle, um Hinweise auf die Ausnutzung des Hypervisors zu finden.
Die Containerisierung ist laut NSA zwar eine attraktive Technologie im Hinblick auf Leistung und Portabilität, aber vor dem Einsatz in einer Multi-Tenant-Umgebung sorgfältig zu prüfen. Denn Container laufen auf einem gemeinsam genutzten Kernel, also ohne die Abstraktionsebene, die die Virtualisierung bietet. In einer Multi-Tenant-Umgebung könnte eine Schwachstelle in der Containerplattform es einem Angreifer somit ermöglichen, Container anderer Tenants auf demselben Host zu kompromittieren. Einen solchen Vorfall hat laut der US-Behörde zwar noch keiner der großen Cloud-Provider berichtet, doch Sicherheitsforscher haben bereits Hypervisor- wie auch Containerausbrüche gezeigt.
Auch Hardwareschwachstellen in Prozessoren können große Auswirkungen auf die Sicherheit in der Cloud haben, warnt die NSA, und Fehler im Chipdesign können durch Seitenkanalangriffe zur Kompromittierung von Cloud-Nutzerinformationen führen. Es gebe zwar keine dokumentierten Angriffe, die solche Hardwareschwachstellen ausnutzen, die Verwendung gemeinsam genutzter Hardware in der Cloud werde jedoch die Auswirkungen zukünftiger Schwachstellen verstärken. Von Vorteil sei hier allerdings, dass CSPs ihre Umgebung in großem Umfang und damit schneller als andere IT-Organisationen patchen können. Zum Schutz einer Umgebung auf einer cloudtypischen Multi-Tenant-Plattform rät das NSA-Papier zu folgenden Maßnahmen:
- auch hier wieder: Verschlüsselung von Daten im Ruhezustand und während der Übertragung mit starken Verschlüsselungsmethoden und ordnungsgemäß konfigurierten, verwalteten und überwachten Key-Management-Systemen,
- für besonders hohe Sicherheitsansprüche akkreditierte Clouddienste verwenden,
- bei besonders sensiblen Workloads dedizierte Instanzen, ganze Systeme oder Bare-Metal-Instanzen nutzen, um das Risiko zu verringern, dass ein Gegner eine Hypervisor-Schwachstelle ausnutzt, um Zugriff auf Ressourcen zu erhalten,
- bei sensiblen Workloads zur Isolierung möglichst Virtualisierung anstelle von Containerisierung verwenden, und
- bei Cloud-Services wie etwa Serverless Computing die zugrunde liegende Isolationstechnik (Virtualisierung, Containerisierung) hinterfragen, um abschätzen zu können, ob sie das Risiko für die beabsichtigte Nutzung mindert.
Schwachstellen in der Lieferkette
Zu den Schwachstellen in der Supply Chain der Cloud zählen Insider-Angriffe und absichtliche Hintertüren in der Hard- und Software. CSPs beziehen Hardware und Software aus der ganzen Welt und beschäftigen Entwickler vieler Nationalitäten, so das NSA-Papier. Softwarekomponenten von Drittanbietern könnten dabei Schwachstellen enthalten, die der Entwickler absichtlich eingefügt hat, um die Anwendung zu gefährden. Einen Agenten in die Cloudlieferkette einzuschleusen, sei es als Lieferant, Administrator oder Entwickler, könnte ein wirksames Mittel für Angreifer von staatlicher Seite sein, um Cloudumgebungen zu kompromittieren. Als Beispiel für einen solchen Supply-Chain-Angriff nennt die NSA unter anderem den Fall vom Dezember 2019, bei dem man zwei bösartige PyPI-Libraries (Python Package Index) entdeckt hat, die Anmeldeinformationen von Systemen stehlen, auf denen Entwickler die Bibliotheken unwissentlich installiert hatten.
Die Abwehr von Supply-Chain-Angriffen, so die NSA, liege hauptsächlich in den Händen des CSPs. Die Cloudanbieter seien sich der Risiken in der Lieferkette bewusst und suchten durch Softwaretests und Hardwarevalidierung nach Hinweisen auf Backdoors. Auf CSP-Seite minimiere man zudem das Risiko von Innentätern durch Kontrollmechanismen wie Rollentrennung, Vier-Augen-Prinzip bei besonders sensiblen Operationen und Warnmeldungen bei verdächtigen Administratoraktivitäten. Um sich gegen eine Kompromittierung der Lieferkette zu wappnen, empfiehlt der NSA-Ratgeber Administratoren die folgenden Schritte:
- erneut: Datenverschlüsselung (im Ruhezustand und während der Übertragung) mit solidem Key-Management,
- Cloudressourcen gemäß geltender Akkreditierungsverfahren beschaffen,
- wenn möglich, Cloudangebote auswählen, bei denen kritische Komponenten auf Backdoors hin evauliert sind,
- sicherstellen, dass Entwicklungs- und Migrationsverträge die Einhaltung interner Standards oder gleichwertiger Prozesse zur Minderung von Lieferkettenrisiken vorsehen,
- die Auswahl der VM-Images kontrollieren, um die Verwendung nicht vertrauenswürdiger Produkte von Drittanbietern wie etwa bösartiger Cloud-Marketplace-Angebote zu verhindern,
- mit dem CSP anbieterspezifische Gegenmaßnahmen besprechen,
sich an geltende Standards halten, sichere Programmierpraktiken einhalten und eine kontinuierliche Verbesserung der Sicherheit, Integrität und Widerstandsfähigkeit von Unternehmensanwendungen praktizieren.
Für ein hohes Maß an Cloudsicherheit kommt also ein beachtliches Bündel an Abwehrmaßnahmen zusammen - noch dazu eines, dessen Verwirklichung einiges an Zeit-, Personal- und finanziellem Aufwand erfordert. Dennoch: Wenn ein Geheimdienst, der in puncto Kompromittierung von Datenbeständen als einer der kompetentesten weltweit gilt, zu solch umfangreichen Maßnahmen rät, dann sollte man diese Hinweise wohl besser ernst nehmen.
Nicht umsonst sagt Darth Vader in jener berühmten Filmszene, in der er Luke Skywalker endlich Auge in Auge gegenübertritt: "Luke… chrrrr-hrrrr… ich bin dein Cloudberater!"
Lesen Sie mehr zum Thema
