Effizienter Schutz von Cloud-Ressourcen

  • Beitrag vom 23.09.2019

Cloud Computing bietet viele Vorteile, vergrößert jedoch auch die Angriffsfläche. Für die Absicherung ist daher ein mehrstufiges Security-Konzept notwendig.

Immer mehr deutsche Unternehmen setzen auf Cloud Computing. Laut dem jährlich erscheinenden Cloud-Monitor[1], der im Auftrag des Branchenverbandes Bitkom erhoben wird, nutzen fast drei Viertel der befragten Firmen Cloud-Ressourcen, weitere 19 Prozent planen den Einsatz. Allein für Public-Cloud-Services wie Amazon Web Services (AWS), Microsoft Azure, Google Compute Platform und andere werden nach Berechnungen des Marktforschungsunternehmens Gartner in diesem Jahr weltweit 194 Milliarden Euro ausgegeben[2] – im Vergleich zum Vorjahr ist dies eine Steigerung von 17,5 Prozent. Bis 2022 sollen es sogar 300 Milliarden Euro sein.

Die Vorteile der Cloud sind unbestritten und spiegeln sich in diesen Zahlen auch wider. Doch hat das Konzept auch seine Schattenseiten. Die Ressourcen liegen verteilt in der Infrastruktur des Cloud-Providers und sind daher durch herkömmliche Methoden der Perimetersicherheit wie Firewalls oder Intrusion Detection and Prevention-Systemen (IDS/IPS) nicht zu schützen. Zudem vergrößert sich die Angriffsfläche erheblich. Diese Probleme dürfen nicht auf die leichte Schulter genommen werden, wie zahlreiche Datendiebstähle aus Public-Cloud-Umgebungen eindrucksvoll demonstrieren. Zu den spektakulärsten Fällen gehören sicher der Einbruch[3] in die AWS-Infrastruktur des Finanzdienstleister Capital One, bei dem im März 2019 Kreditkartendaten von rund 100 Millionen Kunden, mehr als eine Million Sozialversicherungsnummern und Zugangsinformationen zu rund 80.000 Konten gestohlen wurden, und der Skandal um das Kredit-Ratingunternehmen Equifax[4], das 2017 höchst sensible Daten von rund 145  Millionen Kunden in den USA, in Kanada und Großbritannien verlor. Der Schutz von Cloud-Infrastrukturen muss daher weit mehr umfassen, als nur die Absicherung von Endgeräten und Applikationen. Cloud-Provider und Kunden teilen sich dabei die Verantwortung. Bei diesem als „Shared Responsibility“ bekannten Konzept ist der Anbieter für die Absicherung der zur Verfügung gestellten physikalischen Ressourcen zuständig, der Kunde muss für die sichere Konfiguration seiner Umgebung sorgen sowie eine korrekte Authentifizierung und Autorisierung sicherstellen. Je nachdem ob der Anwender Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) nutzt, fallen Betriebssysteme, Applikationen und Hilfssysteme wie Datenbanken in die Verantwortung des einen oder anderen Partners.

Im Folgenden soll es um die Absicherung der Infrastruktur bis hin zur Applikationsnutzung gehen, wie sie in Public-Cloud-Umgebungen vom Provider, im Private-Cloud-Bereich vom Anwenderunternehmen oder dessen Dienstleister verantwortet wird.

Das Schichtenmodell der Cloud-Sicherheit

Ein mehrstufiges Security-Konzept trägt wesentlich zur Sicherheit in Cloud-Infrastrukturen bei. Es verhindert zum einen, dass Malware von kompromittierten Basisdiensten wie Firmware oder BIOS aus das gesamte System infizieren kann, und schottet selbst bei erfolgreichen Cyberattacken sensible Bereiche noch zuverlässig ab.

Folgende drei Schichten sind zu schützen:

Schutz der Firmware

Die Firmware bildet die Basis für Treiber und Betriebssysteme und steuert alle Komponenten eines Geräts. Da sie selten aktualisiert wird und auch einen Hard-Reset unverändert übersteht, ist sie ein beliebtes Ziel für Malware. Schädlinge, die sich auf dieser Ebene einnisten können, haben nahezu unbegrenzte Rechte und sind äußerst schwer zu erkennen.

Cloud-Provider sollten daher Technologien wie Intel Boot Guard nutzen, die Manipulationen der Firmware frühzeitig erkennen und stoppen. Ergänzend ist der Einsatz von Tools wie Intel Platform Firmware Resilience (PFR) zu empfehlen. Sie überprüfen die Signatur der Firmware, entdecken ungewöhnliche Boot-Prozesse, filtern die Zugriffe auf den Firmware-Speicher und stellen nach einem Angriff die korrekte Firmware-Version automatisch wieder her.

Schutz von BIOS, Betriebssystem und Hypervisor

Im nächsten Schritt gilt es, den Start des Servers und des Hypervisors zu überwachen und Boot-Prozesse so voneinander zu isolieren, dass Programme nicht auf Daten und Code anderer Anwendungen zugreifen können. Wenn in dieser Phase keine Auffälligkeiten auftreten, wird der Server als vertrauenswürdig eingestuft und kann im nächsten Schritt mit anderen Servern zu einem vertrauenswürdigen Rechner-Pool (Trusted Compute Pool) zusammengefasst werden. Das erleichtert das Cloud-Management und die Skalierung erheblich. Sicherheitsrichtlinien sorgen dafür, dass besonders sensible Workloads nur in Server-Pools ausgeführt werden, in denen die Integrität der Laufzeitumgebung garantiert ist. Über die Geolokalisierung eines Servers beziehungsweise Compute Pools lässt sich die Ausführung bestimmter Workloads auf Regionen oder Länder begrenzen, um etwa Compliance-Richtlinien oder regulatorische Vorgaben einhalten zu können. Intel, IBM Cloud, VMware und HyTrust haben gemeinsam einen Lösungsansatz entwickelt, mit dem sich ein solcher vertrauenswürdiger Server-Pool implementieren lässt. Details dazu finden Sie in diesem Whitepaper[5].

Schutz von Code und Daten

Selbst wenn sich Malware im Betriebssystem, dem Hypervisor oder dem BIOS eingenistet hat, ist noch nicht alles verloren. Mit Technologien wie Intel Software Guard Extensions (SGX), lassen sich geheimer Code und sensible Daten zuverlässig schützen. SGX definiert abgeschlossene Bereiche (Enklaven), zu denen nur als vertrauenswürdig eingestufte Applikationsteile Zugriff haben. Die gesamte Anwendung kann dabei aus vertrauenswürdigen und nicht vertrauenswürdigen Komponenten bestehen. Wird sie ausgeführt, startet automatisch die Einrichtung der Enklave in einem besonders gesicherten Segment des Arbeitsspeichers. Nachdem die Integrität der Applikation überprüft und sichergestellt wurde, beginnt die Datenverarbeitung. Funktionen, die auf sensible Daten oder geheimen Code zugreifen wollen, bekommen – sofern sie als vertrauenswürdig eingestuft wurden – Zugang zur Enklave. Nur dort liegen die Daten unverschlüsselt vor und können verarbeitet werden. Die Ergebnisse lassen sich dann auch den nicht-geschützten Teilen der Applikation zur Verfügung stellen.

Eine solche Abschottung von Programmteilen und Daten ist vor allem dann zu empfehlen, wenn geistiges Eigentum eines Unternehmens geschützt werden soll, Kodierungsschlüssel zu speichern sind oder besonders sensible personenbezogene Daten nicht in fremde Hände geraten dürfen.

Fazit

Public-Cloud-Ressourcen stellen eine besondere Herausforderung dar, wenn es um die Absicherung der Infrastruktur geht. Der unbeschränkte Zugriff über das Internet vergrößert die Angriffsfläche im Vergleich zu lokalen Rechenzentren erheblich. Durch die verteilte Organisation ist Perimeter-Sicherheit zudem von geringem Nutzen. Betreiber sollten daher auf eine mehrschichtige, integrierte Security-Strategie setzen, die bereits bei der Hardware beginnt, BIOS, Betriebssystem und Hypervisor weitgehend vor Attacken schützt sowie sensible geheime Informationen und geistiges Eigentum so isoliert, dass selbst in kompromittierten Systemen kein Zugriff möglich ist.

Recomended by Cloud Innovationen

1_2faktorauthetifizierung michel-stockman-zRdZ9ypvSCg-unsplash
Zwei-Faktor-Authentifizierung: Doppelt hält besser
1_lock-3216823_1920
Wachstumsmarkt: Cloud-Sicherheitstechnologien
1_Cloud-Provider—Sicherhe
Cloud-Sicherheit: Das fordern Anwender von Providern
Cloud_23.10.2019_kleiner
Webcast: So schützen Sie Ihre Firma in der Public Cloud
1_technology-3389904_1920_p
2020: Die Zukunft der Künstlichen Intelligenz
2_Not_All_Clouds_Are_Create
Darum entwickelt sich die IT-Landschaft Richtung Cloud
1_tasks-4026398_1920_Pixaba
Multi-Cloud und IT-Portfoliomanagement: Anforderungen an die IT
1_dsgvo-3589608_1920_pixaba
Trotz DSGVO: Kundendaten unumschränkt nutzen
1_chess-1483735_1920
Die richtige Strategie für die Cloud-Migration
1_unite-lifestyle-laptops-on-
Wie Firmen von Workplace as a Service profitieren