Ist die Public Cloud sicher? Ja, wenn sie richtig eingesetzt wird!

Damit die Public Cloud sicher eingesetzt werden kann, gilt es die Herausforderungen zu kennen. Dafür sollte man vier Dimensionen betrachten.

Autor: Gerald Reif

Im Jahr 2019 haben mit Microsoft und Google zwei grosse Public Cloud Anbieter Datenzentren in der Schweiz eröffnet. Damit ist für viele Schweizer Unternehmen eine zentrale Hürde für den Schritt in die Cloud gefallen: Daten in der Public Cloud können in der Schweiz gespeichert werden. Doch nun stellt sich die Frage: Ist der Einsatz der Public Cloud auch sicher? Bei dieser Fragestellung hat das IT Marktforschungsunternehmen Gartner International viele Unternehmen begleitet und kommt zu dem Schluss:

«Es ist nicht so sehr die Frage, ob die Public Cloud sicher ist, es ist vielmehr die Frage, ob sie sicher eingesetzt wird.»
Gartner 2020

Bei einer Untersuchung von Sicherheitsvorfällen in Bezug auf die Public Cloud hat Gartner festgestellt, dass Vorfälle in den letzten zwei Jahren fast ausschliesslich auf Konfigurationsfehler des Kunden zurückzuführen sind (z.B. Dateien in einem Cloud Speicher werden unbeabsichtigt öffentlich zugänglich gemacht).

Viele Unternehmen organisieren ein Security-Assessment zu Beginn ihrer Cloud Journey und evaluieren ihre strategischen Cloud Anbieter mit Hilfe eines umfangreichen Fragebogens. Doch jeder der grossen Cloud Anbieter (Microsoft, Google, Amazon) ist nach ISO, der Cloud Security Alliance (CSA) oder dem Federal Risk and Authorization Management Program (FedRAMP) zertifiziert. Zusätzliche Sicherheit kann so ein Assessment nur bieten, wenn Punkte überprüft werden, die auf spezifische Anforderungen einzelner Services abzielen, welche über die Bewertungskriterien der unabhängigen Zertifizierungsprogramme hinausgehen. 

Security muss neu gedacht werden

Da die grössten Sicherheitsrisiken nicht von Lücken bei den Cloud Anbietern ausgehen, muss vielmehr im eigenen Verantwortungsbereich darauf geachtet werden, dass die Cloud sicher angewendet wird. Dabei ist ein Umdenken bezüglich der Bedrohungssituation gegenüber dem eigenen Rechenzentrum notwendig. 
Im on-premises Environment sind Services wie z.B. Datenbanken, Virtuelle Maschinen, File-Shares, oder PoC Implementierungen durch die Perimeter Firewall vor Zugriffen aus dem Internet geschützt. Ein falsch konfigurierter Service (z.B. eine Datenbank mit einem Standard Passwort) ist nicht direkt im Internet exponiert. In der Cloud jedoch kann man durch einen unbedarften Klick einen Service direkt in das Internet exponieren und stellt damit einen potentiellen Angriffspunkt her. Exponierte File-Shares erweisen sich dabei als der häufigste Grund für Security Vorfälle in der Cloud.
Um solche und weitere Sicherheitsrisiken zu adressieren, sind Security Awareness, Know-How und die konsequente Anwendung der Sicherheitsmechanismen notwendig, welche die Cloud Anbieter bereitstellen. Die Security muss dabei ganzheitlich in den vier nachfolgend beschriebenen Dimensionen gedacht werden. 

  • Cloud Governance mit Policies umsetzen

    Mit dem Cloud Governance Konzept gilt es die strategischen Richtlinien festzulegen, wie die Cloud eingesetzt werden soll. Dabei sind auch die Security Aspekte zu betrachten: in welcher geografischen Region müssen Daten gespeichert werden, die Security-Klassifikation von Daten und Applikationen, mit welchen Rollen dürfen Entwickler auf Cloud Ressourcen zugreifen. Viele dieser Aspekte lassen sich auf den Public Cloud Plattformen automatisiert über formale Policies überwachen bzw. erzwingen.

  • Sichere Netzwerkarchitektur als Basis

    Über die Architektur lässt sich der Angriffsvektor auf die Cloud Ressourcen minimieren. Durch einen Perimeter in der Cloud Infrastruktur kann sichergestellt werden, dass sämtlicher ein- und ausgehender Internet Netzwerktraffic über diesen Perimeter geroutet wird. Ein VPN Kanal vom Perimeter zum on-premises Netzwerk ermöglicht es, aus der Cloud sicher auf on-premises Ressourcen zugreifen zu können. Zusätzlich sollte die Firewall von PaaS Ressourcen so eingeschränkt werden, dass nur authentisierte und autorisierte Ressourcen aus einem gewünschten Netzwerk darauf zugreifen können.

  • Automatisierung mit IaC und Compliance Checks sind ein Muss

    Jede Cloud Plattform bietet ein Portal, in dem Ressourcen angelegt und gemanagt werden können. Diese Portale eignen sich gut, um sich mit den Möglichkeiten und Konfigurationsoptionen vertraut zu machen. Für das Deployment einer produktiven Applikation in der Cloud, stellen die Portale ein Sicherheitsrisiko dar. Ein vergessener oder falscher Klick kann ein Sicherheitsfeature ausser Kraft setzen. Darum müssen die Provisionierung und Deployments über Infrastructure as Code (IaC) und CI/CD Pipelines automatisiert werden. Doch auch die Automatisierung schützt noch nicht vor Deployments, die gegen Governance Richtlinien verstossen. IaC Code muss daher mittels Compliance Regeln bzw. Policies überprüft werden, ob die auferlegte Governance eingehalten wird.

  • Kontinuierliche Compliance Checks

    Zusätzlich zu den Anstrengungen um Governance, Architektur und Automatisierung muss das Cloud Environment mittels Continuous Compliance überwacht werden, damit die festgelegten Sicherheitsvorgaben im gesamten Lebenszyklus der Cloud Applikationen eingehalten werden. Über Continuous Compliance lassen sich z.B. exponierte Schnittstellen, nicht geänderte Standard Passwörter, vorgeschriebene Netzwerkrouten oder vorgeschriebene Mindeststandards bei der Konfiguration von Cloud Ressourcen überwachen. Im Unterschied zu Penetration Tests, welche eine Momentaufnahme darstellen, wird mittels Continuous Compliance das Cloud Environment laufend automatisch überprüft und damit die Governance sichergestellt.

Fazit

Die Public Cloud Anbieter unternehmen grosse Anstrengungen, ihre Cloud Angebote sicher zu machen. Sie waren in ihren Anstrengungen dabei so erfolgreich, dass sogar das US Pentagon auf Microsoft Azure vertraut [1]. Mit den Data Centern in der Schweiz, können Microsoft und Google auch das Bedürfnis der Datenspeicherung in der Schweiz abdecken. Damit wird der Schritt in die Public Cloud eine interessante Option für Schweizer Unternehmen. Für die sichere Cloud Adaption müssen die Sicherheitsanstrengungen der Cloud Anbieter konsistent weiterverfolgt werden. Es liegt im Verantwortungsbereich des Kunden, durch eine ganzheitliche Sicht auf Governance, die Architektur, das automatisierte Deployment bis hin zu kontinuierlicher Überprüfung auf die Einhaltung der Compliance Regeln, den Einsatz der Public Cloud sicher zu gestalten. 

Quelle

  1. Projekt JEDI

Ihr ipt-Experte

Wie kann ich Sie unterstützen?