Organisationen vertrauen zur Ausführung ihrer geschäftskritischen Anwendungen und für ihre Daten- und Dateiverwaltung immer mehr auf Cloud-Plattformen wie Amazon AWS und Microsoft Azure.
Obwohl Cloud-Serviceanbieter einige Sicherheitsaufgaben übernehmen, tragen ihre Kunden (d. h. Sie) weiterhin die Verantwortung für die Sicherheit der Endanwenderdaten, Anwendungen, Betriebssysteme, Endpunkte und des Netzwerkverkehrs. Und genau wie bei On-Premise-Anwendungen müssen Sie auch hier die Benutzer- und Systemaktivität überwachen, um Angriffe erkennen zu können. Darüber hinaus bringen Cloud-Plattformen neue Sicherheitskomplikationen mit sich wie z. B.:
Im Folgenden finden Sie einige Best Practices, mit denen Sie diesen Herausforderungen, aber auch dem Risiko von Daten- und Compliance-Verstößen in Cloud-Umgebungen begegnen können. Für weitere Informationen über die Sicherung spezifischer Cloud-Umgebungen sehen Sie sich unsere AWS- und Azure-Ressourcen an.
Es ist schwer genug, Schwachstellen und Fehlkonfigurationen im Rechenzentrum vor Ort zu finden. Noch schwieriger ist es auf dynamischen Cloud-Plattformen, in denen Assets wie virtuelle Maschinen so schnell auftauchen und wieder abtauchen, dass herkömmliche Vulnerability Management Tools (von Sicherheits- und IT-Teams mal ganz abgesehen) Probleme haben, diesem rasanten Wechsel zu folgen.
Zum Schutz Ihrer Daten in der Cloud brauchen Sie eine Vulnerability-Management-Lösung, die Ihre Schwachstellen und Fehlkonfigurationen in Cloud-Netzwerken dauerhaft überwacht. Sie muss in der Lage sein, Assets zu erkennen und zu bewerten, sobald diese in virtuellen Maschinen und Containern anlaufen, die Compliance mit Richtlinien und Vorschriften zu überprüfen und Risikoeinschätzungen zu treffen, anhand derer Sie Ihre Schwachstellen priorisieren können. Ebenfalls entscheidend ist die Fähigkeit, cloud-basierte Assets in dynamischen Gruppen zu organisieren und diese selektiv zu bewerten, um dann daraus benutzerdefinierte Berichte über Schwachstellen und Assets aufzustellen, die den Ansprüchen Ihrer Betriebsteams und Auditors genügen.
Zur beschleunigten Bereitstellung neuer Anwendungsfunktionen nutzen Entwicklungsteams Tools und Prozesse zur kontinuierlichen Implementierung. Automation und kurze Entwicklungszyklen können jedoch Sicherheitstest-Tools überfordern, die für weniger dynamische Umgebungen konzipiert wurden. Aktuelle dynamische Anwendungssicherheitstest-Lösungen (DAST) erkennen OWASP Top 10 und viele weitere, häufig auftretende Schwachstellen in Webanwendungen.
In cloud-basierten Anwendungen können DAST-Lösungen in Automatisierungs- und DevOps-Tools wie Jenkins und Azure DevOps Pipelines integriert werden, um Sicherheitstests an bestimmten Meilensteinen im Entwicklungsprozess oder bei jedem Code-Commit auszulösen. Somit können Entwicklungs- und Sicherheitsteams Schwachstellen in früheren Phasen des Softwareentwicklungszyklus (SDLC) erkennen und beheben (Shift Left), wenn sich dies weitaus kostengünstiger machen lässt, und gleichzeitig die Freigabe von Code mit Schwachstellen in die Produktion verhindern. DAST-Tools können auch Berichte erstellen, die dazu beitragen, die Compliance von cloud-basierten Anwendungen mit PCI DSS, HIPAA und vielen anderen Vorschriften und Branchenstandards zu dokumentieren.
Erfahren Sie mehr über DAST in cloud-basierten Anwendungen >
Immer mehr Organisationen wechseln zu Hybrid- und Multi-Cloud-Architekturen. Um in diesen komplexen Umgebungen Bedrohungen erkennen zu können, ist es wichtig, Silos aus Sicherheitsdaten aufzubrechen und fortgeschrittene Analysen durchzuführen. Ausschlaggebend ist dabei der Einsatz von SIEM, das Daten aus lokalen Netzwerken, von entfernten Endgeräten und Cloud-Plattformen wie AWS oder Azure erfassen, normalisieren, anreichern und analysieren kann.
Ein SIEM, das für Cloud-Umgebungen konzipiert wurde, kann in native AWS-Dienste wie AWS CloudWatch, AWS CloudTrail und AWS GuardDuty sowie in native Azure-Dienste wie Azure Active Directory, Azure Monitor und Azure Security Center integriert werden. So kann es wichtige Protokoll- und Aktivitätsdaten aus der Cloud-Infrastruktur und den Anwendungen erfassen.
Ein optimales SIEM sollte dann in der Lage sein, diese Daten mit Informationen aus dem Unternehmensnetzwerk zu erweitern und mithilfe von User Behavior Analytics (UBA) anomale Aktivitäten zu erkennen, die auf kompromittierte Zugriffsdaten hindeuten, und mithilfe von Attacker Behavior Analytics (ABA) für Datenverstöße typische Aktivitätsmuster zu erkennen.
Organisationen, die IaaS- und PaaS-Plattformen verwenden, müssen besonders wachsam sein, um Angriffe auf administrative Zugriffsdaten, eine unberechtigte Übernahme von Cloud-Plattformkonsolen und den Missbrauch von Ressourcen mit dem Ziel des Cryptojacking, des Hostings von Botnets und für andere illegale Zwecke zu erkennen. Für die Identifizierung dieser Aktivitäten wird ein SIEM benötigt, das ein breites Spektrum von Daten aus Cloud-Plattformen erfassen und schnell den Einsatz neuer Cloud-Regionen, -Dienste oder Typen von Recheninstanzen kennzeichnen kann.
Erfahren Sie mehr über die Erkennung von kompromittierten Benutzern und lateralen Bewegungen mit einer SIEM-Lösung >
Erfahren Sie mehr über unser SIEM, das für Cloud-, lokale und Hybrid-Umgebungen entwickelt wurde >
In der Cloud ist Veränderung die einzige Konstante. Um mit dem Tempo Schritt halten zu können, müssen Sicherheitsteams ihre Datenerfassung und -analyse, Warnmeldungen und Workflows beschleunigen, um Angreifer zu sperren und Schwachstellen zu beheben.
So kann beispielsweise eine Sicherheitsorchestrierungs- und Automatisierungslösung in Cloud-Dienste integriert werden, um Aufgaben wie diese zu beschleunigen:
Erfahren Sie mehr über die Automatisierung und Orchestrierung von Sicherheitsprozessen >
Exposure Command von Rapid7 ist eine hybride Exposure-Management-Lösung. Identifizieren und priorisieren Sie Bedrohungen vom Endpunkt bis zur Cloud mit vollständiger Transparenz der Angriffsoberfläche und bedrohungsbewusstem Risikokontext.