Cloud Access Security Broker und Public Cloud Extraportion Sicherheit für IaaS
3. März 2017Viele Unternehmen lagern ihre selbst entwickelten Anwendungen in die Public Cloud aus und nutzen dafür Infrastructure-as-a-Service-Angebote. Doch eine IaaS-Umgebung stellt besondere Anforderungen an die IT-Sicherheit. Unternehmen sind selbst in der Verantwortung, sich um die Absicherung ihrer Applikationen und eine passende Konfiguration der Plattform zu kümmern. Ein Cloud Access Security Broker (CASB) unterstützt mit wichtigen Funktionen, denn für die Absicherung von Eigenentwicklungen in IaaS-Umgebungen sind Maßnahmen sowohl auf Plattform- als auch auf Applikations-Ebene gefragt. Ein CASB bietet auf die Cloud-Nutzung abgestimmte Sicherheitsfunktionen und arbeitet nahtlos mit bestehenden Systemen wie Proxys, Firewalls und Security Information and Event Management (SIEM) zusammen. Somit kann er die Risiken für unternehmenseigene Applikationen in einer IaaS-Umgebung deutlich minimieren und trägt zu einer umfassenden Sicherheitslösung bei.
IaaS im Vormarsch
Fast jedes Unternehmen nutzt heute selbst programmierte Applikationen und lagert diese zunehmend zu Infrastructure-as-a-Service-Angeboten aus. Sie wollen damit die bekannten Vorteile der Cloud nutzen: Flexibilität, Skalierbarkeit und geringere Kosten. Aber die Absicherung von Eigenentwicklungen in einer IaaS-Umgebung ist noch weitgehend Neuland.
Der Anwender muss sich selbst um die Absicherung und den Betrieb der virtuellen Infrastruktur und der Applikationen kümmern, ist für Datenschutz und Compliance zuständig ebenso wie für die Zugriffskontrolle auf System- und Applikationsebene. Der Plattform-Anbieter sorgt lediglich für den Betrieb und die Absicherung der Hardware.
Wenn Unternehmen eigene Apps in die Cloud verlagern, müssen Sicherheitsverantwortliche also auf zwei Ebenen Schutzmaßnahmen ergreifen: für die Anwendung und für die Cloud-Umgebung. Meist erfolgt der Umzug in die Cloud jedoch unter Zeitdruck, sodass für eine Sicherheitsanalyse der IaaS-Plattform kaum Gelegenheit bleibt. Auf Applikationsseite wird die Absicherung dadurch erschwert, dass On-Premise-Anwendungen meist nicht über die Schnittstellen verfügen, die für eine einfache Anbindung an bestehende Sicherheitslösungen nötig sind. Zudem wissen die Sicherheitsverantwortlichen oft nicht, welche Applikationen überhaupt in der Cloud liegen. Wenn Entwickler jedoch Apps in einer IaaS-Umgebung ausrollen, ohne die Security-Abteilung mit einzubeziehen, entsteht eine neue Form von Schatten-IT.
Bedrohungen von außen und innen
Wer Eigenentwicklungen ungeschützt in einer Cloud-Umgebung betreibt, geht hohe Risiken ein. Bedrohungen kommen sowohl von außen als auch von innen. Hacker, die sich Zugang zu IaaS-Konten verschaffen, können zum Beispiel auf fremde Kosten Server oder Rechenkapazitäten anmieten. Oder vom Account eines Unternehmens aus Angriffe auf Dritte lancieren – wie im Falle des amerikanischen Healthcare-Unternehmens CareSet. Die Angreifer können Daten stehlen, kompromittieren oder löschen.
Bedrohungen aus den eigenen Reihen gehen meist von unachtsamen oder böswilligen Mitarbeitern aus. Jeder, der über uneingeschränkte Zugriffsrechte auf die IaaS-Plattform verfügt, kann Daten stehlen, löschen oder verändern. Angestellte im Unternehmen laden zudem gerne einmal sensible Informationen unverschlüsselt in eine Cloud-Applikation und verstoßen damit gegen Datenschutzgesetze und Compliance.
Risiken im Bereich der Cloud-Plattform entstehen zum Großteil dadurch, dass die IaaS-Umgebung unsicher konfiguriert ist. So sollten Unternehmen zum Beispiel unbedingt auf eine mehrstufige Authentifizierung für Root-Konten achten. Sie erfordert einen Extra-Schritt beim Login und erschwert es Hackern, sich Zugang zu erschleichen. Die meisten IaaS-Anbieter stellen diese Extra-Sicherheitsstufe zur Verfügung, häufig ist sie jedoch nicht voreingestellt. Ebenso wichtig ist ein granulares Identitäts- und Rechtemanagement. Hier gilt der Grundsatz: Jeder Anwender sollte nur über die Rechte verfügen, die er auch unbedingt für die Ausübung seiner Rolle braucht. Je weniger Konten mit uneingeschränktem Zugang zur IaaS-Umgebung vorhanden sind, desto sicherer. Auch inaktive Konten bieten Angriffsflächen. Sicherheitsverantwortlich sollten diese identifizieren und löschen.
Rolle der CASBs
Ein CASB scannt und analysiert die Konfiguration der IaaS-Konten, stellt Sicherheits- sowie Compliance-Lücken fest und gibt passend zu den Unternehmensvorgaben Handlungsempfehlungen, um Risiken zu senken. Er erkennt inaktive Konten und zeigt alle Identitäten mit ihren Zugriffsrechten an. Außerdem bietet ein CASB die Möglichkeit, sämtliche Aktivitäten in der IaaS-Umgebung zu überwachen und auf ungewöhnliche Muster zu analysieren. So lassen sich Sicherheitsvorfälle schneller aufdecken, und IT-Verantwortliche können einen vollständigen Audit Trail aller Administratoren-Aktivitäten in der IaaS-Plattform erstellen.
Auch für die Absicherung der eigenen Applikationen in der Cloud spielt Transparenz eine wichtige Rolle. Ein CASB zeigt auf, welche Anwendungen im Einsatz sind und analysiert alle damit verbundenen Aktivitäten. Dadurch holt er bisher unsichtbare Apps ans Licht und verhindert Schatten-IT. Sicherheitsverantwortliche erhalten Einblick in die Aktivitäten der Nutzer und stellen mit einem detaillierten Audit Trail die Compliance sicher. Außerdem haben sie mit Hilfe eines CASB die Möglichkeit, Richtlinien für Data Loss Prevention (DLP) umzusetzen. So können sie zum Beispiel Daten in der Cloud automatisiert verschlüsseln oder genau festlegen, wer welche Daten auf welche Geräte aus der Cloud herunterladen darf. Damit lässt sich etwa verhindern, dass Anwender sensible Daten auf nichtverwaltete privat genutzte Geräte übertragen.
Für die Absicherung von Eigenentwicklungen in IaaS-Umgebungen sind Maßnahmen sowohl auf Plattform- als auch auf Applikations-Ebene gefragt. Ein CASB bietet auf die Cloud-Nutzung abgestimmte Sicherheitsfunktionen und arbeitet nahtlos mit bestehenden Systemen wie Proxys, Firewalls und Security Information and Event Management (SIEM) zusammen. Somit kann er die Risiken für unternehmenseigene Applikationen in einer IaaS-Umgebung deutlich minimieren und trägt zu einer umfassenden Sicherheitslösung bei. (rhh)
Daniel Wolf
ist Regional Director DACH bei Skyhigh Networks