Sorglos in die Multi-Cloud
Unternehmen nutzen in immer größerem Umfang Cloud-Services. Um Sicherheitsgefahren auszuschließen, müssen sie dabei vor allem die Zugangsdaten zu Cloud-Managementkonsolen adäquat verwalten, sichern und überwachen.
Gastbeitrag von Christian Goetz
Die Cloud-Nutzung findet sich in unterschiedlichster Ausprägung. Einige Unternehmen nutzen nach wie vor primär eine On-Premises-Infrastruktur, beziehen aber zusätzliche Services aus der Cloud. Andere wiederum greifen für den regionsübergreifenden Einsatz auf unterschiedliche Provider wie Amazons AWS oder Microsoft Azure zurück. Und manche Unternehmen verlagern einen Großteil der IT oder sogar die gesamte IT in die Cloud.
Dabei setzen Unternehmen unter der Prämisse „Best-of Breed“ verstärkt auf Multi-Cloud-Modelle, das heißt, sie nutzen Dienste von mehreren Providern. So erfolgt zum Beispiel in Microsoft Azure die Benutzerverwaltung, das Management von Zugriffsberechtigungen und die Steuerung von Services, die aus anderen Clouds bezogen werden. Dass damit die Komplexität des Cloud-Managements zunimmt und auch die Anforderungen an die Sicherheit steigen, liegt auf der Hand.
Doch welche elementaren Sicherheitsmaßnahmen muss ein Unternehmen ergreifen? Zunächst sollten die Empfehlungen der „Shared Responsibility“ nahezu aller Cloud-Provider berücksichtigt werden (1). Eine zentrale Vorgabe zum Schutz der Zugangsdaten lautet dabei „Etablierung einer Multifaktor-Authentifizierung“. Wichtig sind darüber hinaus folgende Aspekte: ein stringentes Berechtigungsmanagement mit Rollen- und Rechtekonzept und eine sichere Verwahrung von Zugangsdaten.
Sicherung von Zugangsdaten und API-Schlüsseln ist absolutes Muss
Vor allem der letzte Punkt ist entscheidend: Für die Nutzung von Zugangsdaten (Credentials) zur Verwaltung der Cloud-Ressourcen über Cloud-Managementkonsolen und -portale müssen klare Richtlinien existieren. Bei einer Single-Cloud-Lösung können prinzipiell die Key Management Stores (KMS) in der jeweiligen Cloud selbst genutzt werden. Komplexer ist die Situation aber bei Multi-Cloud-Lösungen. Hier empfiehlt sich die Nutzung einer externen Secrets-Management-Lösung, die zentral und separat den Bezug von Anmeldeinformationen regelt. Mit einer solchen Lösung kann ein Unternehmen alle Zugriffspfade auf Managementkonsolen sichern und überwachen, auch die Root-Accounts, die bei der initialen Einrichtung eines Cloud-Zugangs angelegt werden. Über diese Accounts ist ein uneingeschränkter Zugriff auf die Managementkonsole und damit auf die gesamte Cloud-Infrastruktur möglich.
Ebenso wichtig ist die Sicherung der API-Zugriffsschlüssel, die programmatisch von Anwendungen und Diensten genutzt werden. Zu den zentralen Cloud-Vorteilen gehört der hohe Automatisierungsgrad, der eine maximale Dynamik und Flexibilität bietet. Klassisches Beispiel sind die Lambda-Funktionen in AWS, die ein ereignisgesteuertes Initiieren von Aktionen ermöglichen. Automatisierung bedeutet immer auch den Einsatz von Skripten, Orchestrierungsservern und Automationstools, die API-Zugriffsschlüssel zur Zugriffsvalidierung nutzen. Mit ihnen werden Änderungen in der Cloud-Umgebung vorgenommen, etwa das Stoppen oder Starten eines Servers, die Provisionierung eines Containers oder das Bereinigen einer Datenbank. Insbesondere mit API-Zugriffschlüsseln ist ein hohes Sicherheitsrisiko verbunden, denn sobald ein Angreifer in ihren Besitz gelangt, hat er im Zweifel freien Zugang zur gesamten Cloud-Umgebung. API-Keys können zwar für bestimmte Zwecke erstellt und mit beschränkten Rechten versehen sein. Nicht mit jedem API-Key wird man deshalb zum Root-User in einer Cloud-Instanz. Aber er ist ein Einstieg und Einfallsportal. Da leider oftmals zu viele Rechte vergeben werden, können die Auswirkungen des Missbrauchs dieser API-Keys verheerend sein.
Für die Speicherung und Verwaltung von Zugangsdaten und API-Schlüsseln bietet sich ein digitaler Datentresor (Vault) an, also ein speziell „gehärteter“ Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.
Privileged Session Recording bringt Sicherheitsplus
Zusätzliche Sicherheit bringt ein erweitertes Privileged Session Management für die Cloud-Nutzung, bei dem die Inhalte und Aktionen administrativer Anmeldungen protokolliert und aufgezeichnet werden. Zum einen wird damit eine retrospektive Betrachtung von privilegierten Aktivitäten möglich, sodass einschlägige Audit- und Compliance-Anforderungen erfüllt werden. Zum anderen unterstützt eine solche Lösung die Steuerung und Überwachung eines Zugriffs und Verbindungsaufbaus. Durch die Isolation privilegierter Cloud-Sessions von Administratoren oder Business-Anwendern kann sichergestellt werden, dass Zugangsdaten niemals offengelegt und nur für den Aufbau sicherer Sessions genutzt werden. Das heißt, der Administrator greift auf Cloud-Services mittels Zugangsdaten zu, die er aus einem Vault beziehungsweise Credential-Store bezieht. Die Zugangsdaten selbst kennt er aber nicht. Damit kann ein Unternehmen zum Beispiel sicherstellen, dass ein Zugang zu Cloud-Managementkonsolen nur standortbezogen in einem bestimmten Netzwerk möglich ist und keine externen Zugriffe über beliebige Endgeräte unterstützt werden.
Unbestritten ist, dass die Verlagerung von IT-Workloads in die Cloud Unternehmen erhebliche Vorteile wie Reduzierung von Kosten oder Erhöhung von Flexibilität und Skalierbarkeit bringen kann. Und auch die Sicherheit muss dabei nicht zu kurz kommen. Eine elementare Voraussetzung ist allerdings, dass die privilegierten Anmeldedaten für den Zugriff auf Managementkonsolen, die Bereitstellung und Ausführung von Cloud-Workloads und die Verwaltung von Cloud-Anwendungen und -Ressourcen zuverlässig gesichert werden.
Quellen:
(1) vgl.: https://docs.microsoft.com/de-de/azure/security/fundamentals/shared-responsibility oder https://aws.amazon.com/de/compliance/shared-responsibility-model/
Über den Autor
Christian Goetz ist Director of Presales – DACH bei CyberArk
Weiterführende Informationen zum Unternehmen:
https://www.cyberark.com/de/
Aufmacherbild / Quelle / Lizenz
Bild von ambercoin auf Pixabay