Cloud Computing ist ein wichtiger Trend der letzten Jahre. Die Bündelung von Serverkapazitäten und der Eindruck eines unbegrenzten Speicherplatzes machen Cloud-Dienste für Nutzer sehr attraktiv. Auch der bequeme Zugriff per Internet mit diversen Clients wie dem eigenen Computer, aber auch Smartphones und Tablets trägt zur wachsenden Beliebtheit von Cloud Computing bei. Leider hat Praktikabilität auch einen Haken: Wo Neues entsteht, sind meist auch Hacker nicht weit, die Angriffe gegen Cloud-Dienste entwickeln. Die SySS bietet mit dem Modul C L O U D Sicherheitsprüfungen von Amazon Web Service-Umgebungen und Microsoft Azure-Infrastrukturen an. In den folgenden Abschnitten werden die Ausprägungen dieses Prüfmoduls im Detail beschrieben.
Bei der Sicherheitsanalyse einer AWS-Umgebung, die sowohl ein Konfigurationsaudit als auch Elemente des Penetrationstests umfasst, werden die Cloud-Infrastruktur und darin genutzte Services auf Schwachstellen und mögliche Härtungsmaßnahmen hin überprüft.
Um Kosten zu optimieren und Skalierungsmöglichkeiten zu schaffen, kommt kaum ein Unternehmen mehr an der Cloud vorbei. Einer der größten Anbieter in diesem Bereich ist Amazon mit den Amazon Web Services (AWS). Egal, ob ein Cloud-Projekt gerade aufgebaut wird oder bereits in Betrieb ist: Eine Sicherheitsanalyse deckt Schwachstellen auf und projektspezifische Härtungsempfehlungen verbessern das Sicherheitsniveau des Cloud-Projektes. Neben grundlegenden Funktionalitäten wie der Überprüfung des Rollen- und Berechtigungskonzeptes und des Schlüsselmanagements zum Schutz von sensiblen Daten prüft die SySS auch Speicherablageberechtigungen, zum Beispiel von S3 (Simple Storage Service) oder Datenbanken. Wird die Infrastruktur dynamisch erzeugt und hierbei mit „Terraform“ oder „CloudFormation“ gearbeitet, überprüft die SySS die Sicherheit der Systeme, die in Zukunft im Einsatz sein werden. Neben den Templates wird auch die Sicherheit der Image-Quellen und Auto Scaling Groups untersucht.
Auch eine umfangreiche Netzwerkkonfiguration, bestehend aus VPCs, Subnetzen, Sicherheitsgruppen (Security Groups) und Gateways, wird auf offene Angriffsflächen hin analysiert und Verbesserungspotenzial wird erarbeitet.
Auch das Auditieren von organisatorisch-technischen Themen wie Monitoring, Logging und den Alert-Workflows fällt in den Kompetenzbereich der SySS. Hierbei wird zum Beispiel geprüft, ob die richtigen Sicherheitsmeldungen bei den richtigen Mitarbeitern ankommen und ob diese nicht unnötigerweise mit zu vielen Informationen überhäuft werden.
Sollte das Projekt auf einer serverlosen Infrastruktur (Serverless Infrastructure) aufbauen, betrachtet die SySS die zugeschnittene Implementierung mit Services wie beispielsweise AWS Lambda, AWS DynamoDB oder AWS Cognito.
Bei einem IoT-Projekt werden der Enrollment-Prozess, die Kommunikation mit dem IoT Core und die Konfiguration der entsprechenden Regeln (Topic Rules) analysiert, damit die Geräte und deren Benutzer nach dem Least Privilege-Prinzip konfiguriert werden.
Die SySS versucht, gemeinsam mit dem Kunden das Cloud-Projekt auf ein hohes Sicherheitsniveau zu heben oder ihm ein solches zu bestätigen. Die SySS arbeitet neben einem Katalog an Schwachstellen auch differenziert eine Liste für empfohlene und mögliche Härtungsmaßnahmen aus.
Die Cloud-Audits finden in der Regel remote statt. Hierfür erhält die SySS einen Benutzer mit Leseberechtigungen auf dem entsprechenden Projekt. Ergänzt wird diese Herangehensweise durch Telefoninterviews mit zuständigen Personen, um offene Fragen zu klären oder einen Einblick in die organisatorische Struktur zu erhalten. Hierbei soll beispielsweise auch ermittelt werden, ob es Themengebiete gibt, die bisher im Projekt nicht abgebildet worden sind. Beispiele hierfür sind regelmäßige Vulnerability-Scans von Instanzen oder ein fehlender Notfallaccount bei einem Ausfall der Multi-Faktor-Geräte.
Bei einem Audit kann nur das bewertet werden, was auch eingesehen werden kann. Daher ist es besonders wichtig, dass die benötigten Leseberechtigungen für das Projekt gesetzt sind.
Hierbei lohnt es sich, vor der Übergabe der Auditor-Accounts an die SySS zu überprüfen, ob die eingerichteten Berechtigungen ausreichen, um alles Relevante sehen zu können.
Die Kombination aus folgenden Berechtigungen hat sich hierbei als besonders zielführend herausgestellt:
Neben den Auditorberechtigungen, die eine Sicht „von oben“ ermöglichen, ist auch die Bereitstellung von Benutzeraccounts des jeweiligen Projektes sinnvoll, um Szenarien aus der Perspektive eines Benutzers überprüfen zu können.
Bei der Sicherheitsanalyse einer Office 365-Umgebung, die sowohl ein Konfigurationsaudit als auch Elemente des Penetrationstests umfasst, werden die Cloud-Infrastruktur und darin genutzte Services auf Schwachstellen und mögliche Härtungsmaßnahmen hin überprüft. Auch das Sicherheitsniveau der Office 365-Konfiguration wird evaluiert.
Eine IT-Firmenstruktur auf Basis von Microsoft Active Directory, Windows-Servern und Windows Office-Clients ist heute allgegenwärtig. Um diese Infrastruktur dynamischer skalieren zu können und die Arbeit von der Ferne aus einfacher zu gestalten, ist der Schritt in die Azure-Cloud eine Möglichkeit, die Anforderungen nach mehr Flexibilität zu erfüllen. Egal, ob Kunden gerade die ersten Schritte in der Azure-Cloud machen, bereits größere Umzüge und Projekte realisiert haben oder sogar auf „Cloud only“ setzen: Die SySS unterstützt sie, ihre Azure-Infrastruktur auf ein hohes Sicherheitsniveau zu bringen, oder bestätigt ihnen bestenfalls, dass ihre Azure-Umgebung bereits sehr gut abgesichert ist.
Bei einer Azure-Überprüfung wird in der Regel im ersten Schritt das Azure Active Directory analysiert. Hierbei wird geprüft, ob die Benutzer- und Gruppenrechte sowie die Authentifizierung in einem Zustand sind, der zu den Sicherheitsanforderungen des Kunden passt. Sowohl bei Infrastrukturen mit virtuellen Maschinen oder Kubernetes als auch bei komplett serverlos auf- und ausgebauten Infrastrukturen sorgt die SySS dafür, dass keine Konfigurationsfehler zu Schwachstellen oder gar Datenverlust führen. In einem Audit, das sowohl manuelle als auch automatisierte Tests umfasst, wird die jeweilige Konfiguration auf sicherheitsrelevante Fehlkonfigurationen und den Einsatz von Best Practice-Methoden getestet. Auch das Monitoring, das Logging und den Alert-Workflow nimmt die SySS unter die Lupe und gibt einen Überblick, was möglich und nötig ist, um die Azure-Umgebung nachhaltig zu stärken.
In einem Office 365-Konfgurationsaudit geht es in erster Linie darum, herauszuarbeiten, ob die Daten und E-Mails von Mitarbeitenden vor ungewollten Zugriffen untereinander und durch Dritte geschützt sind. Hierbei werden unter anderem die folgenden Aspekte betrachtet:
Wir teilen auch gerne unsere Kompetenzen in der Sicherheitsanalyse bei Azure IoT-Umgebungen. Hierbei werden die folgenden Themen bearbeitet:
Die SySS versucht, gemeinsam mit dem Kunden das Cloud-Projekt auf ein hohes Sicherheitsniveau zu heben oder ihm ein solches zu bestätigen. Die SySS arbeitet neben einem Katalog an Schwachstellen auch differenziert eine Liste für empfohlene und mögliche Härtungsmaßnahmen aus.
Die Cloud-Audits finden in der Regel remote statt. Hierbei erhält die SySS einen Benutzer mit Leseberechtigungen auf den Tenant oder die Projektressourcen und das AAD. Ergänzt wird diese Herangehensweise durch Telefoninterviews mit zuständigen Personen, um offene Fragen zu klären oder einen Einblick in die organisatorische Struktur zu erhalten. Hierbei soll beispielsweise auch ermittelt werden, ob es Themengebiete gibt, die bisher im Projekt nicht abgebildet worden sind. Beispiele sind hier regelmäßige Vulnerability-Scans von Instanzen oder ein fehlender Notfallaccount bei einem Ausfall der Multi-Faktor-Geräte.
Bei einem Audit kann nur das bewertet werden, was auch eingesehen werden kann. Daher ist es besonders wichtig, dass die benötigten Leseberechtigungen für das Projekt gesetzt sind.
Hierbei lohnt es sich, vor der Übergabe der Auditor-Accounts an die SySS zu überprüfen, ob die eingerichteten Berechtigungen ausreichen, um alle wichtigen Konfigurationen sehen zu können.
Je nach Projektumfang sollte hier ein Benutzer mit den Berechtigungen des „Global Reader“ auf dem Tenant bereitgestellt werden. Weiterhin sollte eine Berechtigung für die projektrelevanten Ressourcengruppen ermöglicht werden.
Neben den Auditorberechtigungen, die eine Sicht „von oben“ ermöglichen, ist auch die Bereitstellung von Benutzeraccounts des Projektes sinnvoll, um Szenarien aus der Sicht eines Benutzers überprüfen zu können.
Die Cloud ist mehr als das Auslagern von virtuellen Maschinen. Sie ist ein neues Ökosystem, das seine eigenen Regeln hat und insbesondere auch die Sicherheit betrifft. Große Projekte lassen sich in kürzester Zeit realisieren und werden oft von einem Team umgesetzt, das nicht aus der klassischen IT des Unternehmens entstanden ist. Achten Sie daher auch in diesem neuen Ökosystem darauf, dass Sicherheit einen wichtigen Stellenwert einnimmt.
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer