So lässt sich die Cloud-Sicherheit automatisieren
Sicherheitsvorfällen in der Cloud liegen oft Fehler bei der Konfiguration oder dem Schließen von Schwachstellen zugrunde. Automatisierung kann da die Angriffsfläche verringern.
In Cloud-Umgebungen, und insbesondere in IaaS-Clouds (Infrastructure as a Service), stehen Sicherheitsteams eine Vielzahl von Tools zur Verfügung, um Sicherheitsabläufe und -kontrollen zu automatisieren. Oftmals ist es da schwierig, den richtigen Einstieg zu finden und die Prioritäten festzulegen. Was sollte man sinnvollerweise automatisieren und aus welchen Gründen? Die Anforderungen können sich von Unternehmen zu Unternehmen unterscheiden, aber es gibt einige grundlegende Eckpunkte, die sich in dem meisten Umgebungen automatisieren lassen, ohne dass Abläufe gestört werden.
Konfiguration von Containern
Ein wichtiger Aspekt und erster Schritt für die Automatisierung der Cloud-Sicherheit soll die Absicherung der Instanzen und Container sein. Entsprechend sollte das Konfigurationsmanagement für Instanzen und Container gehandhabt werden. Da alle Instanzen und Container softwarebasiert sind und die Images meist über Templates definiert sind, sollten Sicherheitsteams da ansetzen. Es gilt Konfigurationsrichtlinien und -standards für die Images umzusetzen. Dabei können Orchestrierungswerkzeuge wie Puppet, Chef, Ansible und SaltStack verwenden werden, um diese Standards dann automatisch anzuwenden.
Zudem bringt der Einsatz entsprechender Tools einen weiteren Vorteil mit sich. Jedes Konfigurationsprofil, dass dann in einer Vorlage definiert ist, kann immer wieder neu bewertet und auf den Prüfstand gestellt werden. Diese Tools lassen sich effektiv in der eigenen Umgebung betreiben, in der Cloud existieren allerdings mehr Automatisierungsoptionen mit Möglichkeiten zur Integration zwischen diesen Plattformen und Cloud-basierten Systemen wie AWS OpsWorks. Dort stehen verwaltete Instanzen von Puppet und Chef zur Verfügung.
Infrastructure as Code
Ein weiterer wichtiger Faktor bei der Automatisierung der Cloud-Sicherheit und der Konfiguration von Cloud-Umgebungen ist die Nutzung von Infrastructure as Code. Infrastructure as Code steht als Begriff für das Management von IT-Infrastrukturen durch von Maschinen lesbare Skripte und Definitionsdateien.
Diese Vorlagen werden von allen großen Cloud-Anbietern unterstützt. Dies entweder nativ wie beispielsweise in AWS CloudFormation, Azure Resource Manager oder Google Cloud Deployment Manager oder auch über Drittplattformen wie Terraform.
Da viele Umgebungs- und Systemkonfigurationen über ein Vorlagenformat definiert sind, können Sicherheitsteams so eine reibungslose und konsistente Bereitstellung sicherstellen. Die Vorlagendateien lassen sich so auf die Einhaltung von Standards überprüfen, Sicherheitskonfigurationen wie die Infrastrukturimplementierungen können so automatisiert werden.
Assets richtig kennzeichnen
Die automatisierte Kennzeichnung von Assets basierend auf spezifischen Sicherheitsbedingungen, die in der Umgebung erkannt werden, ist ebenfalls ein wichtiger Sicherheitsfaktor. Über die Cloud Control Plane (Kontrollschicht) lässt sich alles effektiv in der Umgebung protokollieren und diese Protokolle zentral an einem Ort ablegen. Mit Diensten wie AWS CloudTrail, Azure Log Analytics, Azure Monitor und Google Cloud Platform Stackdriver können Sicherheitsteams dann Überwachungsfilter einsetzen, um verdächtige Aktivitäten oder Ereignisse zu erkennen.
Diese Aktivitäten lösen dann Funktionen aus, die laufende Instanzen oder sogar auch Benutzerkonten mit Metadaten versehen. Diese Metadaten werden verwendet, um die entsprechenden Assets im Blick zu behalten und mögliche Vorkommnisse schnell zu entdecken.
Sobald die Assets einmal markiert sind, lassen sich nahezu beliebig viele automatische und halbautomatische Sicherheitsstrategien anwenden. Dies kann beispielsweise im Falle eines Falles zur Isolierung eines Systems führen oder auch zur Änderung der Zugriffsberechtigung oder Zugriffsrichtlinien. Gleichfalls lassen sich gegebenenfalls Benutzerkonten oder Systeme auch komplett deaktivieren. Und auch wenn es darum geht, gegebenenfalls forensische Beweise einzusammeln, kann durch diese Vorgehensweise vieles vereinfacht werden.
Schwachstellensuche
Und nicht zuletzt ist das Schließen von Schwachstellen ein entscheidender Sicherheitsfaktor für die Cloud. Hier liegt seitens der Anwenderunternehmen oft einiges im Argen. Daher ist das automatisierte Scannen nach Schwachstellen eine wichtige Säule für die Cloud-Sicherheit.
Längst haben sich viele Schwachstellenscanner an die veränderten Umgebungen angepasst und sind oft in der Lage, sich in Cloud-Anbieter-APIs zu integrieren. Damit lässt sich ein kontinuierliches Scannen und Überwachen von Assets in der Cloud-Umgebung ermöglichen. Wird ein neues Asset der Umgebung hinzugefügt, kann eine entsprechende Überwachungsfunktion automatisierte Scans auslösen.
Werden entsprechende Agenten bereits in die Images integriert, kann dies automatisierte Berichte ermöglichen. Bei einigen Tools können auf diese Weise auch gleich Richtlinien umgesetzt werden. Läuft die Umgebung dann einmal in der definierten Konfiguration, können Admins Cloud-basierte Tools wie beispielsweise AWS Config einsetzen. So können Sicherheitsteams ein wachsames Auge auf die verwendeten Ressourcen haben und die Einhaltung von Compliance und Security gewährleisten. Damit lässt sich auch die Wartung der Cloud-Umgebung selbst automatisieren.
Über definierte Tools und Richtlinien können Tools wie dieses überprüfen, ob beispielsweise S3 Buckets öffentlich zugänglich sind. Die Einstellungen lassen sich dann wieder in den gewünschten Zustand versetzen.
Durch die Automatisierung der Cloud-Sicherheit können IT-Abteilungen gewährleisten, dass sowohl die Umgebungen insgesamt als auch die einzelnen Assets kontinuierlich diesbezüglich auf den Prüfstand gestellt werden und gegebenenfalls Korrekturen erfolgen.
