Cloud Security Assessment
Cloud Computing stellt die IT-Sicherheit innerhalb eines Unternehmens vor neue Herausforderungen. Durch die Transformation von klassischen Rechenzentren hin zu cloudbasierten On-Demand-Diensten und Infrastrukturen, verändert sich nicht nur die IT-Landschaft eines Unternehmens grundlegend. Auch ergeben sich neue Angriffsvektoren. Insbesondere ist die Identifikation des Perimeters nicht mehr eindeutig möglich, da interne IT-Systeme zunehmend in der Cloud betrieben werden. On-Premise und Cloud wachsen zunehmend zusammen.
Dies zeigt sich auch in den Vertrauensstellungen vom Unternehmensnetzwerk in die Cloud, die eine Abkehr von traditionellen IT-Architekturen darstellen. Dadurch können etablierte IT-Sicherheitskonzepte aufgeweicht werden und neue Risiken für die IT-Landschaft des Unternehmens entstehen.
Neben den veränderten betrieblichen Rahmenbedingungen, zeigen sich auch besondere Herausforderungen in den rasanten funktionalen Weiterentwicklungen des Cloud-Angebotes. Diese Entwicklungen zu verfolgen und angebotene Dienste oder Funktionen anschließend auch sicher einzusetzen, stellt für viele Unternehmen ein neues Aufgabengebiet dar, welches in dieser Ausprägung vorher noch nicht existierte.
Ziel
Identifikation von Schwachstellen in Cloudumgebungen und Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien
Fragestellung
Wie sicher ist die Konfiguration der Cloudumgebung und was können externe Angreifer bzw. böswillige Benutzer und Mitarbeiter im schlimmsten Falle erreichen?
Scope
Cloudressourcen, Schnittstellen und Konfiguration der Infrastruktur
Ablauf
Mit dem Cloud Security Assessment (CSA) bieten wir Ihnen eine umfassende Prüfung Ihrer Cloud-Umgebung bezüglich Sicherheitsschwachstellen und Fehlkonfigurationen an. Im Gegensatz zur risikobasierten Vorgehensweise, die z.B. innerhalb eines Penetrationstests angewendet wird, liegt der Schwerpunkt des Cloud Assessments auf einer möglichst umfassenden Betrachtung der Cloud-Umgebung und der Anbindung an das Unternehmensnetzwerk.
Dabei beginnt das Cloud Security Assessment üblicherweise mit einem Workshop zur Bedrohungsanalyse, mit dem Ziel das „Big Picture“ zu verstehen und daraus spezifische Bedrohungsszenarien abzuleiten und zu bewerten. Auf Basis dieser Ergebnisse erfolgen automatisierte sowie manuelle Analysen zur Identifikation von möglichen Schwachstellen. Ein Gray- oder White-Box-Ansatz ist zu empfehlen.
Bestandteile
Führende Anbieter für Cloud-Lösungen im Unternehmensumfeld sind aktuell Microsoft (Azure) und Amazon (AWS - Amazon Web Services). Im Folgenden werden daher auch Beispiele dieser Anbieter genannt.
Bei einem Cloud Security Assessment werden unter anderem folgende Punkte untersucht:
- Identity-Provider und Zugriffsberechtigungen (z.B. Role-based Access Control im Rahmen von Azure ADs oder AWS IAM).
- IT-Systeme, SaaS- oder PaaS-Dienste und andere Cloud-Ressourcen (z.B. Storage Accounts, Datenbanken, S3 Buckets oder Virtual Machine Scale Sets)
- Virtual Private Cloud (VPC)
- Anbindung an die IT-Landschaft des Unternehmens (z.B. VPN oder Express Routes)
- Kommunikationsflüsse und -beziehungen
- Netzwerksegmentierung und -filterung (z.B. VNets, VNet Peering, und NSGs)
- Datenverschlüsselung (data at rest, data in transit)
- Schlüsselverwaltung
- Verfügbarkeitsgruppen
- Deployment-Prozesse (z.B. via Terraform, Cloud-Formation oder Ansible)
- Kubernetes Cluster (z.B. Pod- und Imagesicherheit, Netzwerksegmentierung, Sicherung der Cluster-API, etc.)
Ergebnis
Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:
- Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
- Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
- Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
- Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
- Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
- Beschreibung von Maßnahmen zur Behebung der Schwachstellen
- Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.
Falls gewünscht, können auch folgende Punkte in den Abschlussbericht aufgenommen werden:
- Aufstellung aller erreichbaren IT-Systeme, Dienste und Ressourcen (intern sowie extern)
- Detailübersicht zur Cloud-Architektur
- Übersicht zu Kommunikationsflüssen/-beziehungen
- Angemessenheit von Datenverschlüsselung bei der Speicherung sowie der Übermittlung
- Auflistung von Konfigurationsfehler bei der Schlüsselverwaltung