Provider tun eine Menge, um Cloud-Ressourcen vor unberechtigten Zugriffen zu schützen. Doch auch die Kunden müssen ihren Beitrag zur Cloud-Sicherheit leisten.
Wer seine Daten und Applikationen in eine Public-Cloud-Infrastruktur migriert, erhöht deren Sicherheit in der Regel erheblich. Cloud-Provider beschäftigen große Security-Teams, nutzen die neuesten Sicherheitsprodukte und sorgen durch eine mehrschichtige Security-Strategie für Schutz auf allen Ebenen. Eine ähnlich umfassende Absicherung ist für kleine und mittelständische Unternehmen weder finanziell noch personell zu stemmen. Selbst Konzerne setzen vermehrt auf die Expertise der Cloud-Provider, um ihre IT-Teams von Routineaufgaben zu entlasten und Freiräume für die Digitale Transformation zu schaffen.
Trotz der prinzipiell hohen Sicherheit von Public-Cloud-Umgebungen kommt es jedoch immer wieder zu teils spektakulären Sicherheitsvorfällen. Dabei machen sich Kriminelle selten die Mühe, nach Sicherheitslücken in der Cloud-Infrastruktur zu suchen, sondern nehmen einfach den Vordereingang: die Accounts der Kunden. Unzureichend abgesichert, unnötig mit weitreichenden Zugriffsprivilegien ausgestattet oder schlichtweg falsch konfiguriert, machen sie es Hackern nur allzu leicht. Viele Kunden glauben wohl noch immer, sie hätte mit der Buchung eines Cloud-Dienstes ein „Rundum-Sorglos-Paket“ gewählt, und müssten sich um nichts mehr kümmern. Das ist jedoch ein fataler Irrtum. Im Unterschied zum klassischen Outsourcing hat der Anwender im Public-Cloud-Umfeld eine Mitverantwortung („Shared Responsibility“) für die Sicherheit seiner Daten und Applikationen.
Je nach gewähltem Service-Modell – Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) – sind auf Kundenseite bestimmte Sicherheitsmaßnahmen zu ergreifen.
Absicherung einer SaaS-Umgebung
In diesem Modell verantwortet der Provider sämtliche Schichten bis hin zur Bereitstellung der Applikationen. Er schützt die Infrastruktur und sorgt durch Aktualisierungen und Patches für die Absicherung der Anwendungen. Dennoch kommt auch hier dem Nutzer eine wesentliche Mitverantwortung zu. Folgende Aufgaben muss er selbst übernehmen:
- Authentifizierung und Autorisierung: Der Anwender muss sicherstellen, dass Zugänge durch ausreichend lange und komplexe Passwörter geschützt sind. Wo immer möglich sollte eine Mehrfaktoren-Authentifizierung erzwungen werden. Zugangsberechtigungen sollten nach dem Prinzip „So viel wie nötig und so wenig wie möglich“ vergeben und vor allem regelmäßig überprüft werden. Besonderes Augenmerk ist auf sogenannte „Privileged Accounts“ zu richten, also Konten mit weitgehenden Administrationsrechten. Trojaner wie Emotet haben es besonders auf solche Accounts abgesehen, weil sie ihnen häufig sämtliche Türen öffnen. Stellt der Provider für die Nutzerverwaltung IAM-Tools (Identity and Access Management) zur Verfügung, sollten diese auch eingesetzt werden.
- Absicherung der internen Client-Infrastruktur: Der beste Cloud-Schutz nützt nichts, wenn der Zugriff über infizierte Endgeräte erfolgt. PCs, Notebooks, Tablets und Smartphones sollten deshalb in ein umfassendes mehrstufiges Sicherheitskonzept eingebunden werden. Die Installation eines Virenschutzprogramms allein ist nicht ausreichend.
- Verschlüsselung sensibler Daten: Firmengeheimnisse und personenbezogene Daten sollten immer verschlüsselt übertragen (Data in Motion) und gespeichert werden (Data at Rest). Das gängigste Verfahren für den sicheren Datentransfer ist Transport Layer Security (TLS) über HTTPS. Für die Absicherung im Cloud-Speicher empfiehlt sich der Advanced Encryption Standard (AES) mit mindestens 256 Bit Schlüssellänge.
- Absicherung der Netzwerkverbindungen: Ähnlich wie beim Endpoint-Management gilt auch hier: Der beste Cloud-Schutz nützt nichts, wenn der Zugriff über ungesicherte Netzwerkverbindungen erfolgt. Mitarbeiter sollten von unterwegs auf Cloud-Ressourcen nur über VPN-Verbindungen zugreifen.
- Schaffung von Awareness: Kriminelle versuchen mit Phishing und Social Engineering Mitarbeiter zum Laden von Malware oder zum Ausführen von Schadcode zu bewegen. Das gelingt ihnen leider nur allzu häufig. Eine integrierte Sicherheitsstrategie muss deshalb immer auch Schulungs- und Aufklärungsmaßnahmen enthalten, auch wenn die Software aus der Cloud kommt.
Absicherung einer PaaS-Umgebung
Im Platform-as-a-Service-Modell stellt der Provider eine Laufzeitumgebung zur Verfügung, auf der Kunden Applikationen entwickeln und betreiben können. Die Absicherung von Quellcode und Anwendungen liegt damit in der Verantwortung des Kunden. Das hat neben den oben beschriebenen Anforderungen folgende zusätzliche Sicherheitsaufgaben zur Folge:
- Code-Absicherung: Bei selbst entwickelten Applikationen sind regelmäßige Sicherheit-Scans Pflicht. Das Open Web Application Security Project (OWASP) listet eine Reihe von Tools auf, mit denen sich Quellcode auf Sicherheitslücken analysieren lassen. Auch die Entwicklerplattform GitHub bietet Werkzeuge für die Schwachstellenanalyse von Code.
- Patchen: Sowohl Eigenentwicklungen als auch kommerzielle Software sind regelmäßig auf Sicherheitslücken zu überprüfen und bei Bedarf zeitnah zu patchen.
Absicherung einer IaaS-Umgebung
Im IaaS-Modell stellt der Provider grundlegende Infrastruktur-Ressourcen wie Serverleistung, Arbeitsspeicher und Storage in Form sogenannter Rechen-Instanzen zur Verfügung, auf deren Basis der Kunde ein Betriebssystem installiert und seine Applikationen betreibt. Es versteht sich von selbst, dass in diesem Fall der Anwender eine besonders hohe Verantwortung trägt. Zu den erweiterten Aufgaben gehören die folgenden Punkte:
- Absicherung der virtuellen Infrastruktur: Nutzt der Anwender eine eigene Virtualisierungsplattform wie VMware vSphere oder Microsoft Hyper-V ist diese in der Cloud genauso zu sichern wie im eigenen Rechenzentrum. Updates und Patches müssen zeitnah eingespielt werden. Es empfiehlt sich, hierzu Bordmittel der Plattformen wie den vSphere Update Manager zu nutzen.
- Schutz des Betriebssystems: Auch hier gelten dieselben Anforderungen wie in selbst gehosteten Umgebungen. Betriebssysteme müssen gepatcht und auf dem neuesten Stand gehalten werden.
- Konfiguration der Firewall: IaaS-Anbieter stellen in der Regel einen Firewall-Service zur Verfügung. Die Konfiguration dieses Dienstes liegt jedoch in der Verantwortung des Anwenders. Die Firewall ist meist für jede Instanz separat einzurichten.
Selbstverständlich sind auch im IaaS-Modell sämtliche oben für die Absicherung von Applikationen, Daten und Plattformen beschriebenen Vorkehrungen zu treffen.
Fazit
Die Sicherheit in der Public Cloud ist wesentlich besser als ihr Ruf. Die Provider haben massiv in Security-Technologien und Know-how investiert. Sie können daher ein Sicherheitsniveau bieten, das in der Regel deutlich über dem eines herkömmlichen Rechenzentrums liegt. Dennoch dürfen sich die Nutzer von Cloud-Umgebungen nicht einfach zurücklehnen und sich auf die Sicherheitsmechanismen des Providers verlassen. Im Sinne der „Shared Responsibility“ haben sie eine Mitverantwortung. Je nach gewähltem Service-Modell ist diese mehr oder weniger umfangreich. Nur wer seine Hausaufgaben macht, Zugänge absichert und Clients schützt, bei eigenen Applikationen das Patch-Management nicht vernachlässigt und selbst verwaltete virtuelle Infrastrukturen richtig konfiguriert, darf sich in der Cloud sicher wähnen.