Probleme und Lösungen zu Anwendungssicherheit in der Cloud

Eines der wichtigsten Probleme beim Thema Anwendungsssicherheit in der Cloud ist die fehlende Kontrolle über die IT-Infrastruktur.

Viele Unternehmen wollen aus Kostengründen und zur Steigerung der Effizienz ihre intern entwickelten Anwendungen in die Cloud verlagern. Experten raten jedoch dazu, unbedingt intensiv die sicherheitsrelevanten Veränderungen in der Cloud-Umgebung zu prüfen, die sich dadurch ergeben.

Wenn Sie in die Cloud umziehen, müssen Sie bedenken, dass die Anwendung sich zukünftig in einer Art feindlicher Umgebung befinden wird.

–Dennis Hurst, Gründungsmitglied der CSA und Security-Spezialist, Hewlett-Packard Co.

Eines der wichtigsten Probleme zum Thema Anwendungssicherheit in der Cloud ist die fehlende Kontrolle über die IT-Infrastruktur. Ein Unternehmen, das eine Altanwendung in eine Cloud-Computing-Umgebung verlagert, verzichtet an dieser Stelle auf die Kontrolle über die Netzwerk-Infrastruktur – und zwar inklusive Server, Log-Zugriff, Reaktionen auf Vorfälle und Patch-Management, sagt Russ McRee, Sicherheitsforscher und Manager im Bereich Incident Response von Microsoft Online Services.

„Sie übergeben dies alles an jemanden, der es Ihnen zur Verfügung stellt. Das kann einerseits eine außerordentliche Kostenersparnis zur Folge haben und nimmt zudem die Bürde der Administration von Ihren Schultern. Es bedeutet aber andererseits auch, dass die Kontrollinstanz auf eine andere Ebene verlagert wird“, erklärt McRee.

„In Ihrer eigenen Infrastruktur wissen Sie genau, was gerade geschieht“, sagt Michael Sutton, Vice President of Security Research bei Zscaler Inc., einem Unternehmen im Bereich Web- und E-Mail-Security mit Sitz in Kalifornien. Es ist Mitglied der Cloud Security Alliance, einer gemeinnützigen Organisation, die Best Practices zum Thema Cloud Security entwickelt. „In diesem Fall sind Sie völlig ahnungslos. Es ist einfach eine Cloud, die ein anderer betreibt und dieser Jemand will unter Umständen keine Rechenschaft darüber ablegen, was wie eingerichtet wurde.“

Die meisten Anwendungen werden erstellt, um im Umfeld eines Unternehmens-Rechenzentrums zu laufen. Deshalb wird zumeist davon ausgegangen, dass sie Daten sicher speichern und an andere Systeme übertragen, erklärt Dennis Hurst, Gründungsmitglied der CSA und Security-Spezialist bei Hewlett-Packard Co.

„Wenn Sie in die Cloud umziehen, müssen Sie bedenken, dass die Anwendung sich zukünftig in einer Art feindlicher Umgebung befinden wird“, sagt Hurst. „Alle Komponenten, die traditionell als vertrauenswürdig eingestuft wurden und bei denen man davon ausging, dass sie in einer sicheren Umgebung laufen, befinden sich nun plötzlich in einem Umfeld, das nicht vertrauenswürdig ist. Es gibt außerdem noch mehr zu berücksichtigen: Das Web-Interface, Daten-Storage und Datenübertragung.“

Ein neues Bedrohungsmodell


Im vergangenen Sommer hat die CSA die Domain 10: Guidance for Application Security V2.1 veröffentlicht. Laut dieser Leitlinie bringen Flexibilität, Offenheit und öffentliche Verfügbarkeit von Infrastrukturen im Cloud Computing Herausforderungen in Bezug auf die fundamentalen Annahmen zur Sicherheit von Applikationen mit sich. So kann das Fehlen der physischen Kontrolle über die Netzwerk-Infrastruktur eine verschlüsselte Kommunikation zwischen den Servern einer Anwendung erforderlich machen. Dies gilt insbesondere dann, wenn diese sensible Daten verarbeitet. Laut CSA ist die Verschlüsselung ratsam, um die Vertraulichkeit der Daten zu gewährleisten.

Etwaige Risiken, die das Unternehmen bisher in Kauf genommen hat, weil die Anwendung im eigenen Hause läuft, bedürfen beim Wechsel zu einem Cloud-Anbieter einer erneuten Überprüfung, sagt Chris Wysopal, Mitbegründer und CTO von Veracode Inc. in Massachusetts. Das Unternehmen ist im Bereich der Anwendungssicherheit tätig und ebenfalls Mitglied der CSA.

Wenn beispielsweise eine Anwendung sensible Daten unverschlüsselt in eine Datei auf demselben Server schreibt, dann kann es durchaus sein, dass dieses Risiko von Unternehmensseite toleriert wird, weil es sich dabei um eigene Hardware handelt. „Nun ziehen wir in die Cloud um, und plötzlich gibt es kein lokales Dateisystem mehr. Man schreibt gewissermaßen alles in eine Art gemeinsam genutztes Storage-Array und ist gezwungen, alles zu verschlüsseln“, so Wysopal. Das Bedrohungsmodell verändere sich so, dass Schwachstellen, die früher nur ein geringes Risiko darstellten, jetzt hochriskant sind und deshalb behoben werden müssen.

Ein Unternehmen, das eine Anwendung im eigenen Rechenzentrum betreibt, kann mittels der vorhandenen Infrastruktur einen Denial-of-Service-Angriff vielleicht abwehren oder – als letzten Ausweg – eine IP-Adresse einfach sperren, merkt McRee an. „Was wäre, wenn die Verantwortung, einen solchen Angriff abzuwehren, plötzlich bei Ihrem Cloud-Anbieter läge und jegliche Transparenz für Sie gleich Null wäre? Sie müssten vollkommen von vorne mit der Überlegung beginnen, wie dieser Angriff beziehungsweise dieses Risiko abgewendet werden kann.“

Das veränderte Bedrohungsszenario muss innerhalb des sogenannten Security Development Lifecycle, einem von Microsoft entwickelten, weltweit geltenden Konzept, adressiert werden, sagt McRee. „Das ist wirklich unverzichtbar“, sagt er. „Sie müssen unbedingt dieselben Prinzipien anwenden, sowie die inhärente Natur der Applikation, den Datenfluss und sämtliche Aspekte des Bedrohungsmodells verstehen. Überarbeiten Sie dieses wieder und wieder, bis Sie sicher sind, dass die SDL-Standardanforderungen eingehalten werden.“

Tools und Dienste


Ein Unternehmen kann in einer Cloud-Umgebung nicht notwendigerweise dieselben Tools und Dienste nutzen, die es intern aus Sicherheitsgründen einsetzt, sagt Sutton von Zscaler. So mache die Cloud unter Umständen den Einsatz einer eigenen Web Application Firewall (WAF), die interne Altanwendungen geschützt hat, sinnlos. „Die Infrastruktur in der Cloud ist nicht Ihre eigene, also verwalten Sie sich auch nicht selbst. Sie können nicht einfach in das Rechenzentrum gehen und ein eigenes Gerät dort hineinstellen“, so McRee.

Wie die Cloud Application Security Guidance der CSA anmerkt, haben Anbieter von „Infrastructure as a Service“ damit begonnen, Tools für die Sicherheit von Cloud-Anwendungen anzubieten. Dazu gehören WAFs, Sicherheits-Scans von Web-Anwendungen und Quellcode-Analysen. Diese Tools stammten entweder vom jeweiligen Anbieter selbst oder von Drittanbietern.

McRee empfiehlt, dass Unternehmen, die Anwendungen in eine Cloud-Umgebung verlagern wollen, möglichst APIs verwenden mit umfassenden Funktionen zur Protokollierung:  „Streben Sie als Anwendungsinhaber eine möglichst umfassende API-Nutzung an. Sie können diese Art von Informationen für sicherheitsrelevante Aktivitäten verwenden“.

Service Level Agreements


Eine weitere Anregung von McRee: Angesichts des Kontrollverlusts, der mit dem Verschieben einer Anwendung in die Cloud einhergeht, sollten Organisationen genau verstehen, was laut Service Level Agreement bereitgestellt wird. „Stellen Sie unbedingt sicher, dass Sie genau ansprechen, was Sie wollen. Auch wenn Ihr Anbieter behauptet, dass er es nicht liefern kann“, sagt er und gibt zu bedenken, dass Anbieter sich – je nach Kunde – bisweilen auch etwas nach der Decke strecken.

Der CSA-Leitfaden verweist darauf, dass Anwendungssicherheit „als klar artikulierter Satz von Maßnahmen und Garantien innerhalb des SLA berücksichtigt“ sein muss. Dies kann zum Beispiel eine Dokumentation der Sicherheitsmaßnahmen seitens des Anbieters beinhalten. Dazu gehören auch die Duldung angemessener Sicherheitstests, die Protokollierung aller gängigen Aktivitäten, Audit-Berichte und eine regelmäßige Überprüfung der Sicherheitsvorkehrungen.

Das Auslagern einer Altanwendung in eine Cloud-Umgebung ist im Grunde eine gute Gelegenheit für eine allgemeine Verbesserung der Sicherheit, sagt Hurst von HP. „Viele Anwendungen wurden zu einem Zeitpunkt entwickelt, als die Anwendungssicherheit nicht so sehr im Fokus stand wie heutzutage“, lautet seine Begründung. „Da eröffnet sich eine enorme Chance, die Anwendung im Hinblick auf angemessene Bedrohungsmodelle und Prüfungen neu zu bewerten – eben all die Dinge, die man schon anfangs hätte erledigen sollen.“

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close