Die eigene Cloud-Sicherheit auf den Prüfstand stellen

Die Cloud stellt Unternehmen vor eine Herausforderung in Sachen Sicherheit. Durch die Durchführung einer Cloud-Sicherheitsbewertung können Unternehmen Schwachstellen entdecken, bevor es Angreifer tun.

Bei einer Cloud-Sicherheitsbewertung (CSA, Cloud Security Assessment) wird die Cloud-Infrastruktur auf Schwachstellen, Konfigurationsfehler und potenzielle Bedrohungen untersucht. Sie analysiert die Konfiguration der Konten oder Abonnements von Cloud-Dienstanbietern und überprüft die möglichen Bedrohungen aus dem Internet und innerhalb der Cloud-Infrastruktur selbst. Das Unternehmen erhält eine Aufschlüsselung potenzieller Lücken im Design und in der Implementierung von Kontrollen sowie der potenziell angreifbaren Fläche und ihrer Risiken.

Unternehmen sollten regelmäßig Sicherheitsbewertungen der Cloud durchführen, um gegen die sich verändernden Bedrohungen gewappnet zu sein. Ähnlich wie die bei der Cloud-Nutzung aus Datenschutzgründen obligatorisch durchzuführendenden Data Transfer Impact Assessments (DTIA) sind derlei Bewertungen keine einmalige Angelegenheit (siehe auch DTIA: Was vor einer Datenübermittlung geprüft werden muss).

Bei einer Cloud-Sicherheitsbewertung wird die Cloud-Infrastruktur eines Unternehmens in Bezug auf die folgenden Punkte bewertet:

• Allgemeine Sicherheitslage.
• Richtlinien für die Identitäts- und Zugriffsverwaltung (IAM)
• Sicherheitsfunktionen, die der Dienstanbieter bereitstellt
• Einhaltung der Compliance-Vorschriften und des Datenschutzes
• Dokumentation
• Anfälligkeit für künftige Bedrohungen

Zunächst sollte das Sicherheitsteam des Unternehmens eine Bestandsaufnahme aller verwendeten Cloud-Konten und -Abonnements durchführen. Größere Unternehmen mit vielen Konten können selektiv einige auswählen, um die Bewertung überschaubar zu halten. Wählen Sie Konten oder Abonnements mit sensiblen Daten oder einem hohen Maß an Gefährdung aus.

Nach der Bestandsaufnahme der Cloud-Konten und -Abonnements sollte das Security-Team die Dienste und Assets bewerten. Beginnen Sie mit der Überprüfung der IAM-Richtlinien für das Cloud-Konto sowie der im Rahmen dieser Richtlinien zulässigen Privilegien und Berechtigungen. Überprüfen Sie anschließend die Sicherheitsdienste, wie Amazon GuardDuty oder Microsoft Defender, einschließlich ihrer Konfiguration und ihres Betriebsstatus. Scannen Sie Images, die für die Bereitstellung von Containern und VM-Workloads verwendet werden, auf Schwachstellen, insbesondere wenn sie dem Internet ausgesetzt sind. Überprüfen Sie Dienste und Objekte anhand von Cybersicherheitsstandards und -rahmenwerken, wie dem BSI und IT-Grundschutz oder der Cloud Security Alliance.

Wenn interne Konfigurationsstandards vorhanden sind, sollten diese als Teil der Cloud-Sicherheitsbewertung berücksichtigt werden. Es gilt sicher zu stellen, dass laufende Workloads und Speicher, die dem Internet ausgesetzt sind, dokumentiert werden. Prüfen Sie Firewalls, Netzwerksegmentierung und Web Application Firewalls (WAF) auf mögliche Fehlkonfigurationen.

Analysieren Sie anschließend die Cloud-Konten auf etwaige IaC-Vorlagen (Infrastructure as Code) in der Bereitstellung. Diese Vorlagen enthalten oft wichtige Konfigurationselemente und genutzte Dienste. CSPM-Tools (Cloud Security Posture Management), die IaC-Vorlagen scannen können, können die Effizienz dieses Prozesses verbessern.

Nachdem die Bestände, die Gefährdung und die Konfiguration dokumentiert sind, sollten Unternehmen eine Bedrohungsmodellierung durchführen, um die bestehenden Vertrauensgrenzen und potenzielle Angriffe auf Cloud-Bestände und -Dienste zu bewerten. Bei der Bedrohungsmodellierung sollten mögliche Angriffe und Bedrohungen für die Cloud-Umgebung, die Leichtigkeit der Angriffe auf der Grundlage von Exposition und Anfälligkeit sowie der Stand der vorhandenen Präventiv- und Erkennungskontrollen geprüft werden. Unternehmen mit Multi-Cloud-Implementierungen sollten davon ausgehen, dass sie für jeden einzelnen Cloud-Dienst separate Modellierungen der Bedrohungen durchführen müssen.

Optional können Unternehmen Penetrationstests und Live-Scans für Cloud-Konten und -Abonnements durchführen, um zusätzliche Tests und Überprüfungen vorzunehmen.

Auf der Grundlage der Analyse sollte das Sicherheitsteam einen detaillierten Bericht erstellen. Darin sind alle Prüfungen darzustellen, Risiken und mögliche Kontrolllücken zu dokumentieren und Empfehlungen zur Behebung von Schwachstellen und Mängeln zu geben.