Fehlkonfigurationen öffnen Tür und Tor

Ein weiterer wunder Punkt in der Absicherung von Cloud­anwendungen, der oft zu beobachten ist, sind Fehlkonfigurationen. Der genannte CSA-Bericht nennt hier als Beispiel ungesicherte Datenspeicherinstanzen oder -container, exzessive Rechte und Genehmigungen von Instanzen, verhältnismäßig unsichere Default-Einstellungen, die nicht geändert werden, deaktivierte Standard-Securityeinstellungen, ungepatchte Software, deaktiviertes Logging und Monitoring, uneingeschränkter Zugang zu Ports und weiteren Diensten sowie mangelnde oder fehlende Validierung von Konfigurationen.

Auch Avantecs Preid weiß um die Problematik. "Fehlkonfigurationen werden häufig durch die falsche Verwaltung mehrerer verbundener Ressourcen wie Kubernetes, serverlose Funktionen und Container verursacht. Dies ist oft das Ergebnis mangelnder Sichtbarkeit und eines nicht vollständigen Verständnisses, welche Ressourcen miteinander interagieren", gibt er zu Bedenken.

Das Problem multipliziert sich dann mit der Größe und der Fülle von Cloudinstallationen. "Schließlich sind die heutigen Unternehmensumgebungen groß und komplex, was es schwierig macht, permanent Zehntausende von Ressourcen und Konten zu verfolgen und zu verwalten", meint Preid. "Von den Entwicklern festgelegte Berechtigungen für eine Applikation könnten zu großzügig sein und sogar den Überblick über kritische Assets behindern", ergänzt der Avantec-Mann folglich.

Doch es gibt auch hier Gegenmaßnahmen, die ergriffen werden können. Preid plädiert für den Einsatz eines Cloud Security Posture Managements, kurz CSPM. "Ein CSPM vergleicht die Cloudumgebung mit einem definierten Satz von Best Practices und bekannten Sicherheitsrisiken", erklärt er die Funktionsweise. "Einige dieser CSPM-Lösungen warnen hier nur, während andere in der Lage sind, solche Konfigurationsfehler automatisch zu beheben", schiebt Preid nach.

Auch für Verwalter von Cloudumgebungen in Microsofts Azure gibt es Hilfsmittel, um schlecht konfigurierte Implementierungen zu vermeiden. "Microsoft bietet innerhalb von Azure einen Security Score an, womit gewisse Fehlkonfigurationen respektive schwache Konfigurationen aufgezeigt werden können", berichtet InfoGuards Berger. Dies könne für Administratoren enorm hilfreich sein, um schnell gute Resultate bei der Erhöhung der Sicherheit zu erzielen, betont er.

All diese Fehler und Nachlässigkeiten führen schlussendlich dazu, dass hier den Angreifern auf Cloudinstallationen nicht nur Tür und Tor geöffnet wird, sondern dass auch immer mehr Daten quasi für jeden einsehbar in der Datenwolke offen herumliegen. Die vielen Berichte über Datenlecks der letzten Zeit sprechen hier Bände. Die Security Community spricht denn auch von Schattendaten, die übers Netz zugänglich sind, aber von deren Existenz niemand mehr weiß. Ein schon fast klassisches Beispiel in diesem Zusammenhang: Cloud-Speicher-Buckets werden für einen Test mit echten Daten befüllt, dann aber "vergessen". Werden diese dann auch noch offen gelassen, haben Hacker leichtes Spiel. Sie brauchen nur noch die URL des Buckets aufzurufen, um die Inhalte zu sehen.