Am Rande der Münchner Sicherheitskonferenz (MSC) traf sich LANline mit Wim Coekaerts, Senior Vice President Operating Systems and Virtualization Engineering bei Oracle, für ein Gespräch zum Thema Cloud-Sicherheit. Oracles „Mr. Linux“ verantwortet bei dem Datenbank- und Cloud-Konzern die Entwicklung der Betriebssystem- und Virtualisierungssoftware für die On-Premises-Angebote wie auch für die Cloud-Services. Zudem sitzt er im 23-köpfigen Direktorium der Linux Foundation.

LANline: Herr Coekaerts, warum treffen wir uns gerade hier auf der Münchner Sicherheitskonferenz?

„Der Ansatz ‚Developers first‘ ist gut für das Entwicklungstempo, aber nicht unbedingt für die Sicherheit von Produktionsumgebungen“, so Oracle-SVP Wim Coekaerts. Bild: Oracle

„Der Ansatz ‚Developers first‘ ist gut für das Entwicklungstempo, aber nicht unbedingt für die Sicherheit von Produktionsumgebungen“, so Oracle-SVP Wim Coekaerts. Bild: Oracle

Wim Coekaerts: Bei einer Podiumsdiskussion heute Abend möchte ich das Forum nutzen, um darauf hinzuweisen, dass Monokulturen immer ein Sicherheitsrisiko darstellen – das gilt auch für Cloud-Infrastrukturen. Viele Organisationen nutzen die Cloud zwar an mehreren Standorten in unterschiedlichen Regationen, setzen dabei aber immer auf den gleichen Cloud-Anbieter. Der Einsatz von Multi-Cloud-Architekturen kann dieses Monokultur-Risiko mindern – und zugleich durch mehr Wettbewerb dazu beitragen, die Kosten zu senken. Deshalb liegt die Multi-Cloud im Trend, zumal es in Zukunft nicht einfach nur um ein Auslagern von Rechnenleistung gehen wird, sondern verstärkt um die REST-APIs: Die Cloud wandelt sich zu einer Maschine, die mit unterschiedlichsten Dingen kommuniziert. Es wird damit künftig stärker um fein ausdifferenzierte Funktionen gehen, die Rechenoperationen ausführen.

LANline: Man liest immer wieder von Sicherheitsvorfällen und ganzen Datenbanken, die via Internet gekapert werden. Wie ließe sich die Cloud-Sicherheit grundlegend verbessern?

Wim Coekaerts: Einige Unternehmen kämpfen noch damit, die Aufteilung der Verantwortlichkeiten (bei der Nutzung von Public Clouds, d.Red.) zu verstehen. Hier ist mehr Aufklärung nötig. Die Cloud-Anbieter beherrschen es, physische Sicherheit in ihren Rechenzentren zu gewährleisten, und auch für Sicherheit auf Server- und Storage-Ebene ist gesorgt. Anwender müssen sich aber im Klaren sein, dass sie für die Sicherheit auf Anwendungsebene selbst verantwortlich sind. Es liegt damit zum Beispiel in ihrer eigenen Entscheidung, ob sie einen Objektspeicher per Default öffentlich zugänglich machen oder nicht. Zugleich brauchen wir mehr Aufklärung, damit die Unternehmen die vorhandene Sicherheitstechnik stärker nutzen. So sollten zum Beispiel CASBs (Cloud Access Security Broker, d.Red.) mehr Verbreitung finden. Ein CASB kommuniziert mit den unterschiedlichen SaaS-Umgebungen und überwacht die Zugriffsmuster. Mittels Machine Learning lassen sich dann Aufffälligkeiten erkennen. Bei Oracle nutzen wir das zum Beispiel, um Zugriffsversuche auf bereits behobene Schwachstellen zu überwachen und so Angriffe abzuwehren.

LANline: Wie können Cloud-Service-Provider ihre Umgebungen härten, um sie besser vor Missbrauch zu schützen?

Wim Coekaerts: Hier muss man schon auf der Hardwareebene ansetzen. Bei Oracle bauen wir dafür auf unsere „Generation 2 Cloud“, die den Code, die Daten und die Ressourcen eines Kunden auf einem Bare-Metal-Rechner vorhält, die Kontrolle aber auf einem separaten Rechner. Vor dem Einsatz eines Servers flashen wir als Sicherheitsmaßnahme die Firmware. Außerdem kann normalerweise die infizierte Firmware eine Netzwerkkarte auch andere Systeme infizieren. Unser Sicherheitsmodell hingegen trennt das Netzwerk durch Virtualisierung von den Rechnern. Selbst wenn es also einen Zugriff auf einen Host gibt, besteht damit noch kein Zugriff auf das Netzwerk. Und natürlich ist auch auf Datenbankebene physisch separate Hardware möglich. Auf diese Weise bringen wir Sicherheit in alle Ebenen des Cloud-Stacks.

LANline: Welche Grenzen sind der Sicherheit von VMs und Containern gesetzt?

Wim Coekaerts: Container werden die Welt verändern, denn sie arbeiten deutlich schneller als VMs und skalieren besser. Heute allerdings laufen Container oft in VMs, da man ihrer Isolation misstraut – was sich durch Spectre und Meltdown verschärft hat. Wir arbeiten deshalb im Open-Source-Projekt Kata Containers an einer sehr leichtgewichtigen VM, die ausschließlich darauf ausgelegt ist, einen Container auszuführen. Beim Start eines Standard-Docker-Containers bootet dann unter dem Kernel eine VM, die mit dem Standard-Containermodell vollständig kompatibel ist. Diese Kata-Container laufen beinahe mit der Geschwindigkeit nativer Container. Der Ansatz skaliert auch sehr gut: In einer Umgebung, in der man acht bis 16 VMs oder aber 10.000 Container betreiben könnte, kann man 1.000 bis 3.000 Kata-Container ausführen. Kata ist somit eine sehr gute Hybridlösung, um Cloud-Umgebungen sicher und einfach zu skalieren.

LANline: Sie haben Spectre und Meltdown bereits angesprochen. Wie hat Oracle als Cloud-Provider auf diese Prozessorschwachstellen reagiert?

Wim Coekaerts: Den Cloud-Providern bereitete es oft viel Arbeit, sich gegen Spectre und Meltdown abzusichern. Bei Oracle allokieren wir Ressourcen allerdings auf Core-Ebene. Kunden teilen sich also keinen Core, dadurch waren wir diesen Schwachstellen nicht ausgesetzt. Außerdem haben wir schon längst stark in Online-Patching investiert. Wir können bei Umgebungen mit Tausenden Servern Kernel und Hypervisor ohne Downtime patchen, also ohne dass der Kunde etwas davon merkt. Wir haben beispielsweise die Technologie entwickelt, um zukünftig Bedrohungen wie Heartbleed ohne Ausfallzeit zu beheben.

LANline: Wie vermeidet man, dass Open-Source-Code selbst zum Angriffsvektor wird?

Wim Coekaerts: In der Linux Foundation identifizieren wir kritische Pakete wie etwa OpenSSL oder ntpd anhand eines Scoring-Modells und unterziehen sie aktiv einem Review. Wenn es Probleme gibt, weisen wir das aus. Ergänzend sollten sich die Entwickler in den Unternehmen an Security Best Practices orientieren. Bei Oracle zum Beispiel kann kein Entwickler einfach so Code herunterladen und nutzen, es gibt klare Lizenzierungs- und Sicherheitsprozesse. Wir haben außerdem gerade eine Version von Docker herausgegeben, bei der ein Administrator den Repository-Zugriff einschränken kann, etwa auf das lokale Repository statt auf DockerHub. Schritte wie dieser sorgen für mehr Sicherheit. Bei kleinen Projekten auf GitHub hingegen herrscht oft der „Wilde Westen“. Auch unter Entwicklern ist also mehr Aufklärung zu Sicherheitsthemen nötig.

LANline: Wie verändern das Internet of Things (IoT) und Cloud-natives Computing die Risikolandschaft?

Wim Coekaerts: Die starke Verbreitung vernetzter Dinge kann durchaus Anlass zur Sorge geben. Die Begeisterung für das IoT ist derzeit sehr hoch, während die Management-Werkzeuge noch hinterherhinken. Monitoring- und Analytics-Lösungen ermöglichen hier Einblicke in das Geschehen, dieser Markt bewegt sich gerade sehr schnell. Aufgrund der IoT-Designprinzipien laufen die Applikationen meist in der Cloud, während aber zugleich das Edge-Computing (Datenverarbeitung möglichst nahe an den Datenquellen, d.Red.) wichtiger wird. Diese Lage wird sich entspannen, da die Cloud-Anbieter expandieren und immer mehr lokale Datacenter errichten. Zugleich brauchen IoT-Anwender aber auch mehr lokales Caching von Daten, mehr Intelligenz am Edge und zumindest ein gewisses Maß an Autonomie, um Ausfallzeiten des Netzwerks zu überbrücken. Meine größte Sorge gilt allerdings dem Cloud-nativen Computing: Der Ansatz „Developers first“ ist gut für das Entwicklungstempo, aber nicht unbedingt für die Sicherheit von Produktionsumgebungen.

LANline: Herr Coekaerts, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.