Falsch konfigurierte Cloud-Ressourcen können die Tür zu IT-Risiken öffnen. Achten Sie auf Zugriffskontrollen und nutzen Sie die vom Cloud-Provider empfohlenen Sicherheitsverfahren.
Während Amazon S3-Datenlecks in der Vergangenheit die Schlagzeilen dominiert haben, sind die falsch konfigurierten Sicherheitskontrollen, die sie verursacht haben, nicht exklusiv für Amazon. Tatsächlich können Fehlkonfigurationen ein Risiko für alle Public-Cloud-Plattformen darstellen, weshalb Unternehmen darauf achten sollten, diese zu verhindern.
Einige der größten Cloud-Sicherheitsbedrohungen resultieren aus der unsachgemäßen Einrichtung oder Konfiguration von Cloud-Access-Kontrollen und -Berechtigungen.
„Das Problem Nr. 1 ist die falsche Sicherung der Zugangsdaten“, meint Fernando Montenegro, Analyst bei 451 Research. Beispielsweise besteht die Tendenz, Authentifizierungsmethoden zu verwenden, die nicht so sicher sind, wie sie sein könnten, insbesondere für Administratoren.
Das Fehlen einer Multi-Faktor-Authentifizierung (MFA) stellt ein Risiko dar, das sich in der Cloud im Vergleich zu lokalen Rechenzentren verschärft. Wenn ein Administrator in einer traditionellen Umgebung ein schwaches Passwort hat, müsste ein Hacker immer noch zuerst in das Rechenzentrum gelangen, um es zu nutzen. In der Cloud kann dieser Zugriff jedoch auch per Fernzugriff erfolgen.
„Der Nachteil, keine MFA in der Cloud zu verwenden, ist, dass, wenn jemand dein Root-Konto greifen kann, quasi alles möglich ist“, sagte Montenegro. „Sie können buchstäblich Ressourcen und neue Konten anlegen, was ein ernstes Problem ist.“
Teilen ist nicht immer wichtig.
Um Sicherheitsbedrohungen aus der Cloud zu vermeiden, ist es am besten, zu den Grundlagen zurückzukehren. Beispielsweise sollten Unternehmen besonders vorsichtig sein mit offenen Dateifreigaben, die typischerweise sehr zugänglich sind, sagt Jay Heiser, Analyst bei Gartner. Die meisten Unternehmen verwenden eine große Anzahl von SaaS-Anwendungen und wissen nicht immer, welche App die Freigabe unterstützen, da diese Entscheidungen oft auf Ad-hoc-Basis getroffen werden, sagte er.
Aus diesem Grund spielen Cloud Access Security Broker (CASBs) – wie die von Skyhigh und Bitglass – heute eine immer wichtigere Rolle im Unternehmen. CASBs sind eher wie Firewalls geworden, in dem Sinne, dass sie als Werkzeuge für den Basisschutz angesehen werden, erklärt Heiser.
„Wenn ein Unternehmen die offene Dateifreigabe kontrollieren will, sind die CASB-Tools der effizienteste Weg, dies zu erreichen“, sagt Heiser.
Ein weiteres Risiko, das Unternehmen häufig ignorieren, besteht in der gemeinsamen Nutzung von Code für die Anwendungsentwicklung. Es ist heute üblich, Code auf einer gemeinsam genutzten Website wie GitHub zu platzieren, aber manchmal kann dieser Code auch Zugangsdaten oder andere sensible Informationen enthalten.
„Wenn jemand das herunterlädt, hat er Ihre Geheimnisse“, sagt Montenegro. „Ein Entwickler könnte versehentlich Ihre Infrastruktur zerstören.“
„Sicherheit ist normalerweise eine Funktion der Kompetenz. Wenn Unternehmen nicht wissen, was sie tun, neigen sie dazu, das Falsche zu tun.“
Jay HeiserGartner
Kennen Sie Ihre Verantwortlichkeiten
Um Sicherheitsbedrohungen aus der Cloud zu minimieren, müssen die IT-Teams von Unternehmen zunächst genau wissen, wo die Verantwortlichkeiten ihrer Anbieter enden und wo ihre eigenen beginnen. Mit anderen Worten, sie müssen mit dem Modell der gemeinsamen Verantwortung ihrer Anbieter vertraut sein.
Der Verantwortungsgrad eines Unternehmens variiert jedoch je nach Cloud-Modell: SaaS, PaaS oder IaaS. Jeder dieser verschiedenen Ansätze stellt eine zunehmende Konfigurations- und Sicherheitsbelastung für den Kunden dar, sagt David Monahan, Managing Research Director bei Enterprise Management Associates.
Befolgen Sie die Best Practices der Anbieter
Eine weitere Regel zur Vermeidung von Cloud-Sicherheitsbedrohungen und den Fehlkonfigurationen, die diese verursachen, ist die Einhaltung der Empfehlungen und Best Practices Ihres Providers.
„Die Verantwortlichen sprechen über Probleme mit AWS S3, aber das ist ein weiterer Fall von Anwendern, die gegen die Empfehlungen des Anbieters verstoßen“, meint Montenegro.
Alle großen Cloud-Anbieter bieten Anleitungen und Dokumentationen für die sichere Bereitstellung ihrer Ressourcen, aber die Benutzer folgen diesen nicht immer. AWS setzt sich beispielsweise für Best Practices ein, wie zum Beispiel die Verwendung von Root Accounts für Projekte und die Aktivierung von Zwei-Faktor-Authentifizierung, aber wenn Unternehmen die Geschwindigkeit über die Vorsicht stellen, übersehen sie oft diese Empfehlungen. Achten Sie daher darauf, die Sicherheitsempfehlungen Ihres Cloud-Providers gründlich zu überprüfen und so weit wie möglich anzuwenden.
„Sicherheit ist normalerweise eine Funktion der Kompetenz“, sagte Heiser. „Wenn Unternehmen nicht wissen, was sie tun, neigen sie dazu, das Falsche zu tun.“
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!
