thodonal - stock.adobe.com
On-Premises- und Cloud-Sicherheit: die Unterschiede
Der Unterschied zwischen der IT-Sicherheit in lokalen und in Cloud-Umgebungen ist vergleichbar mit dem Spielen von traditionellem und 3D-Schach. Ein Umdenken ist erforderlich.
Die Cloud ist längst nicht mehr „auf dem Vormarsch“, sie ist bereits fester Bestandteil der deutschen Unternehmenslandschaft. Laut einer Studie von KPMG und dem Bitkom. aus dem Sommer 2022 nutzen 97 Prozent der Betriebe Cloud-Lösungen oder erwägen ihren Einsatz. Bis 2025 wollen die befragten Firmen 61 Prozent ihrer Anwendungen Cloud-basiert nutzen. Lediglich für drei Prozent spielt Cloud Computing keine Rolle. Doch was bedeutet der Siegeszug der Cloud für die IT-Sicherheitsteams? Gilt hier „business as usual“ oder müssen Unternehmen grundlegend umdenken?
Die strategischen Ziele im Bereich Cybersicherheit bleiben gleich – Risikominderung und die Einhaltung von Vorschriften. Doch in der Cloud müssen wir nicht nur vertrauliche Daten identifizieren und schützen, sondern auch proaktiv Bedrohungen erkennen und die Fähigkeiten zur Wiederherstellung nach Vorfällen stärken.
Die Architektur der Cloud, das Fehlen von Änderungskontrollen und die subtilen und weniger subtilen Unterschiede im grundlegenden Design und Betrieb der verschiedenen Cloud-Plattformen machen die Cloud-Sicherheit komplexer.
Während die Migration zu Cloud-Dienstmodellen wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) weit verbreitet ist, erfordert das effektive Risikomanagement in der Cloud eine Abkehr von der traditionellen On-Premises-Schule, hin zu einem tiefgreifenden Verständnis der neuen, erweiterten Angriffsfläche.
Es liegt jedoch in der Natur unternehmenseigener Cloud-Umgebungen, dass Sicherheits- und technische Teams eine andere Denkweise benötigen, um die neue Angriffsfläche zu verstehen und zu verwalten.
Drei Clouds, drei Umgebungen
Unternehmen nutzen häufig die Clouds mehrerer Anbieter gleichzeitig. Sei es, um bestimmte betriebliche Anforderungen zu erfüllen, Preis und Leistung zu optimieren oder um auf spezielle Funktionen zuzugreifen. Die meisten mittelgroßen bis großen Unternehmen nutzen zwei oder mehr Clouds (also Multi Cloud) in Verbindung mit lokalen Servern und Infrastrukturen (auch Hybrid Cloud genannt).
Microsoft Azure ist die beliebteste Wahl, wenn Unternehmen Windows bereits für ihre internen Anwendungen nutzen. Es ist für viele Betriebe oft die logische Konsequenz, zu Azure zu wechseln, sobald es nicht mehr sinnvoll erscheint, weitere Racks in ihrem Rechenzentrum zu installieren. Stellen Unternehmen hingegen groß angelegte Webanwendungen bereit, liegt die natürliche Sympathie bei Amazon Web Services (AWS), obwohl Google Cloud Platform (GCP) für diese Anwendungsfälle ebenfalls attraktiv ist. GCP ist auch für seine Analysefunktionen (BigQuery) bekannt, so dass einige Unternehmen es ausschließlich als Data Lake mit fortschrittlichen Analysen verwenden.
Es ist essenziell, dass Cybersicherheitsteams nicht nur einzelne Cloud-Umgebungen absichern, sondern auch tiefgehende Kenntnisse in den jeweiligen Technologien besitzen, um ein umfassendes Risikomanagement zu gewährleisten und Bedrohungen frühzeitig zu erkennen. Allerdings besteht eine Diskrepanz zwischen dem zusätzlichen Arbeitsaufwand, der mit dem Management von zwei oder drei Clouds verbunden sein sollte, und dem tatsächlichen Arbeitsaufwand – denn die Angriffsfläche jeder Cloud ist unterschiedlich. Wenn Firmen also ihre Arbeitslasten auf zwei Clouds aufteilen, verdoppelt sich beinahe der erforderliche Wissens- und Arbeitsaufwand im Vergleich zum Betrieb aller Arbeitslasten in einer einzigen Cloud.
DMZ-Unterschiede
Im Gegensatz zu einer klar definierten demilitarisierten Zone (DMZ) in einem physischen Rechenzentrum, welche die Schnittstelle zu externen Netzwerken schützt, ist eine Cloud-DMZ ein komplexes Konstrukt, das fortgeschrittene Fähigkeiten zum Erkennen von Schwachstellen und zum Schutz vor externen Bedrohungen erfordert.
In der DMZ eines physischen Rechenzentrums sind mehrere Sicherheitskontrollen und Überwachungen implementiert, es gibt klare Pfade in und aus einem Data Center, die der Befehls- und Kontrollkanal eines Angreifers sowie der Exfiltrationsverkehr durchqueren müssten.
In der Cloud ist die DMZ eher ein logisches Konstrukt, und oft stimmt die Realität der DMZ nicht mit dem mentalen Modell des Unternehmens überein. Es ist nicht ungewöhnlich, dass ein Scan unerwartete Schlupflöcher findet, die Unternehmensdaten außerhalb der Umgebung offenbaren. Das Aufspüren und Verwalten ihrer DMZ erfordert von Unternehmen und ihren Mitarbeitern spezielle Fachkenntnisse, die IT-Sicherheitsarchitekten, die sich auf On-Premises-Netzwerke konzentrieren, möglicherweise nicht haben.
„Undichte“ Cloud-Dienste
Die Herausforderung besteht darin, die vielfältigen, mandantenfähigen Cloud-Dienste zu überwachen, da Angreifer diese nutzen können, um unbemerkt mit der Umgebung zu interagieren und so das Netzwerk des Mandanten zu umgehen. Dieser Umstand macht ein proaktives Erkennen und schnelles Reagieren auf Sicherheitsvorfälle erforderlich. Ein klassisches Beispiel liegt vor, wenn ein Angreifer in eine AWS-Umgebung eindringt und den Zugriff (aus dem Internet oder von einem anderen AWS-Tenant) auf einen S3-Bucket – also einen AWS-proprietären Cloud-Speicherbereich – erweitert. Die korrekte Konfiguration und das Management von Cloud-Speicherdiensten wie S3-Buckets ist ein kritischer Aspekt des Risikomanagements, der über das einfache Einrichten von Kontrollen hinausgeht und ein tieferes Verständnis der Service-Funktionen erfordert, um Datenlecks zu verhindern. Firmen bleibt andernfalls verborgen, wie ein Angreifer 10 GByte Inhalt aus dem S3-Bucket im Netzwerk des Mandanten liest; da dies in der Backplane des Cloud-Dienstanbieters geschieht, ist es für den Mandanten im Grunde unsichtbar. Würden dieselben 10 GByte an Inhalten aus einem lokalen Netzwerk exfiltriert, würde dies wahrscheinlich bemerkt und das IT-Sicherheitsteam benachrichtigt werden.
Wenn es nur darum ginge, die richtigen Kontrollen für Cloud-Speicherdienste einzurichten, wäre dies ein überschaubares Problem. Aber jeder Cloud-Dienst hat seine eigenen Funktionen und Kontrollen, und einige können eine versteckte externe Kommunikation ermöglichen. Unternehmensinterne Cybersicherheitsteams müssen daher in der Lage sein, alle Dienste zu finden (nicht nur die, die sie zu nutzen beabsichtigen) und die notwendigen Kontrollen und Monitorings einzurichten.
Probleme mit Updates
Bekanntermaßen nehmen Cloud-Anbieter regelmäßig Aktualisierungen vor, zum Beispiel das Hinzufügen neuer Dienste, die Verbesserung der Funktionen bestehender Dienste oder die Änderung der Standardeinstellungen eines Dienstes. Selbst Services, die nicht genutzt werden, können Unternehmen einem Risiko aussetzen – denn Angreifer können, sobald sie in die firmeninterne Umgebung eingedrungen sind, einen „undichten“ Dienst ausnutzen, um eine externe Kommunikation herzustellen. Ein weiteres Szenario: Der Anbieter eines Services könnte die Standardkonfiguration von restriktiven auf permissive Richtlinien ändern und Betriebe damit blindlings einem Risiko aussetzen. Dies sind nicht nur theoretische Szenarien – Angreifer machen sich diese Möglichkeiten bereits zunutze.
„Das Verständnis der strukturellen und betrieblichen Unterschiede zwischen On-Premises- und Cloud-Betrieb ist von grundlegender Bedeutung und muss eine geschäftliche Notwendigkeit sein.“
Christian Borst, Vectra AI
Im Vergleich dazu haben Unternehmen mit einem Rechenzentrum vor Ort selbst die Kontrolle über Software-Updates. Sie würden keine Software installieren, die nicht verwendet wird, da dies ein größeres Sicherheitsrisiko sowie mehr Arbeit bedeuten würde. Ganz im Gegenteil zu dem zuvor beschriebenen Szenario trifft bei On-Premise-Rechenzentren die Kehrseite des genannten Problems auf: Bekannte Schwachstellen werden nicht schnell genug gepatcht. Firmen verwenden hier viel Zeit und Geld darauf, zu entscheiden, welche Software-Patches kritisch sind, damit sie ihre Angriffsfläche mit einer möglichst geringen Anzahl von Software-Updates so weit wie möglich reduzieren können.
Der Schutz der Cloud ist unerlässlich
Das Verständnis der strukturellen und betrieblichen Unterschiede zwischen On-Premises- und Cloud-Betrieb ist von grundlegender Bedeutung und muss eine geschäftliche Notwendigkeit sein. Es mag zwar zunächst business-freundlich erscheinen, jedem Geschäftsbereich innerhalb des Unternehmens die Wahl ihrer bevorzugten Cloud-Plattform zu überlassen – doch jede weitere Cloud ist mit erheblichem Mehraufwand verbunden, will man diese auch absichern.
Wenn Betriebe die Risiken ignorieren – einschließlich der Prioritäten bei Schulung und Personal – setzen sie sich Bedrohungen aus. Denn viele geschulte Angreifer konzentrieren sich auf den Cloud Footprint ihrer Opfer. Die innovativen Cloud-Angriffe von heute werden die ganz normalen, „Standard“-Sicherheitsverstöße von morgen sein.
Ein umfängliches Erkennen und Behandeln von Kontrollmängeln im hybriden Geschäftskontext ist unerlässlich, um das gewünschte Schutzniveau zu erlangen. Mehr noch als im klassischen On-Premises-Kontext müssen aufgrund der Komplexität in Bezug auf die Cloud, darüber hinaus auch die Möglichkeit zur Erkennung und Behandlung von Angriffen beziehungsweise Angriffsversuchen etabliert werden. Damit lässt sich als Teil eines ganzheitlichen, strategischen Risikomanagements zusätzlich, sowohl das Schadensausmaß als auch die Notwendigkeit einer Wiederherstellung im angestrebten Rahmen halten.
Über den Autor:
Christian Borst ist EMEA CTO bei Vectra AI.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
