CASB, SASE, CSPM - welche Sicherheitstechnologien braucht Cloud-Computing heute?

Kaum ein Unternehmen verzichtet noch auf die Nutzung von Cloud-Angeboten. Spätestens seit der Corona-Pandemie wollen Mitarbeiter standortunabhängig auf Firmendaten zugreifen. Dadurch entstehen auch neue Herausforderungen für die IT-Sicherheit. Doch die wird häufig nicht von Anfang an berücksichtigt, wie Stefan Strobel  beobachtet hat. Er ist Geschäftsführer des Sicherheitsberatungshauses cirosec  und Autor mehrerer Fachbücher, in denen er sich auch mit Cloud-Security beschäftigt hat. Im Gespräch erläutert er die wesentlichen Veränderungen der aktuellen Cloud-Nutzung sowie notwendige Sicherheitsanpassungen. Ferner verdeutlicht Strobel das Potenzial neuer Security-Technologien für die Cloud.

• Sicherheit wird oft nicht ausreichend berücksichtigt, die Security-Abteilung zu spät involviert
• Angriffe in der Cloud zielen bevorzugt auf Zugangsdaten ab
• neue Technologien helfen bei der Absicherung der Cloud-Nutzung     
   

Die Cloud wird immer populärer, die Nutzungszahlen steigen seit Jahren. Welche Formen der Cloud-Nutzung sind aktuell vorherrschend?

Bei sehr vielen Organisationen laufen zurzeit Projekte zur Einführung von Office 365. Meistens geht es dabei nicht nur um die Umstellung der Lizenzierung, sondern um die Einführung von Teams für Videokonferenzen, den Aufbau eines Azure-AD und viele andere Dienste. Selbst wenn die Unternehmen das zunächst noch gar nicht geplant haben, kommt früher oder später die Diskussion, ob man nicht auch auf Exchange-Online migrieren sollte, denn bezahlt ist der Service im Office-365-Paket in der Regel sowieso schon. Darin enthalten sind dann auch bereits grundlegende Schutzmaßnahmen gegen Malware, sodass hier ein Einsparungspotenzial erkannt wird.

Schritt für Schritt wird so allmählich fast alles durch Microsoft-Dienste ersetzt, die bereits in dem bezahlten Paket enthalten sind. Nebenbei wandert auf diesem Weg auch vieles andere in die Cloud. Aber dann steht man vor der Frage, wie dies alles sicher konfiguriert wird.  

Gibt es neben dieser für den Microsoft-Einsatz spezifischen Entwicklungen noch andere bedeutsame Schritte Richtung Cloud?

Häufig werden IT-Dienste, die bisher klassisch auf Unternehmens-Servern liefen, in die Cloud ausgelagert, zum Beispiel damit sie besser skalieren oder einfacher auch aus dem Homeoffice erreichbar sind. In Deutschland wird dazu vorrangig Azure von Microsoft oder AWS von Amazon eingesetzt. Daneben werden auch viele Web-Applikationen, die zuvor bei Hostern liefen, dorthin verlagert. Das geschieht manchmal aus Kostengründen oder auch, um die IT-Landschaft zu vereinheitlichen. Damit entstehen weitere Herausforderungen für die IT-Sicherheit.

 

Welchen Einfluss haben diese Tendenzen auf die Gefahrenlage? Entstehen daraus neue Bedrohungen?

Die Cloud-Plattformen haben ihre eigene Form zur Verwaltung von Identitäten, Rechten und Rollen. Das ist bei allen Cloud-Dienstleistern so. Außerdem müssen überall Zugriffsbeschränkungen konfiguriert werden, das funktioniert anders als on-premise und bei Azure wieder anders als bei AWS. Das muss verstanden und richtig eingerichtet werden. Werden beispielsweise S3-Buckets als Speicher verwendet, muss man konfigurieren, wer darauf zugreifen darf. Dazu kommt die Verwaltung von Schlüsseln und Zertifikaten für die Verschlüsselung und Ähnliches mehr. Es hat also seine eigene Komplexität.

Hinzu kommt, dass bei Unternehmen oft zuerst die Entwickler angefangen haben, mit Containern nahezu vollständig in der Cloud zu arbeiten. Die Sicherheitsabteilungen mussten dieser Entwicklung nachträglich gerecht werden und erst einmal Konzepte entwickeln, wie man diese Strukturen und Dienste absichert. Agile Software-Entwicklung ist oft Cloud-basiert und ein Treiber dieser Tendenz.

Bei der Nutzung von Cloud-Diensten entstehen nicht unbedingt neue Bedrohungen bzw. Angriffsformen, aber es ist eine neue Technik und die muss richtig konfiguriert werden. Dazu muss man Cloud-Plattformen wie AWS oder Azure verstehen, sonst entstehen leicht gefährliche Fehler. 

 

Wie reagieren Angreifer darauf?

Für Angreifer ergeben sich daraus Veränderungen der bevorzugten Angriffspunkte. Früher führten sie eher Angriffe auf Perimeter, Endgeräte oder Server aus. Jetzt hingegen auf Identitäten mit hohen Rechten in der Cloud. Wenn man das schafft, dann steht alles offen. Es gibt in der Cloud meist kein Innen und Außen mehr. Wenn früher jemand mein internes Passwort kannte, dann hatte er trotzdem nicht unbedingt Zugriff auf interne Systeme, weil die Firewall Zugriffe von außen abgewehrt hat. Aber das ist in der Cloud obsolet. Deshalb sehen wir mehr Phishing-Attacken und Täuschungsversuche. Da man von überall aus etwa auf Office-365 zugreifen kann, egal, ob von zu Hause oder von unterwegs, reicht es, die Identität zu übernehmen und ein Angreifer hat auf alles Zugriff.

Deshalb wurden verstärkt neue Authentifizierungsverfahren wie die Zweifaktor-Authentifizierung (2FA) über Authenticator-Apps eingeführt. Inzwischen geht der Trend darüber hinaus in Richtung dynamische und risikobasierte Authentifizierung. Dabei wird nicht immer überall dieselbe Authentifizierung benötigt. Man beobachtet dabei unter anderem das Anmeldeverhalten der Anwender, um Auffälligkeiten zu erkennen. Es ist zum Beispiel sehr unwahrscheinlich, dass sich jemand von Nürnberg aus anmeldet und wenige Minuten später aus Singapur. Doch diese Funktionalitäten muss man bei den Anbietern meist extra bezahlen.

 

In den letzten Jahren sind verschiedene neue Sicherheitstechnologien für diese Cloud-Probleme entstanden, darunter CASB, SASE oder CSPM. Wie aktuell und nützlich sind diese Technologien?

Bei CASB  (Cloud Access Security Broker) geht es beispielsweise darum, zu steuern, auf welche Cloud-Angebote Mitarbeiter zugreifen dürfen. Damit kann man verhindern, dass unkontrolliert unsichere Cloud-Dienste verwendet werden. Dagegen verlagert man bei SASE  (Secure Access Service Edge) sozusagen das Perimeter selbst in die Cloud. Das dient teilweise auch der Absicherung des eigenen Netzes. Dazu zählt ein sicheres Web-Gateway, worüber beispielsweise ein sicherer Zugang der Mitarbeiter auch von zu Hause in die Cloud hergestellt werden kann. CASB kann eine Komponente von SASE sein. Ferner kann auch die Verbindung ins Unternehmensnetz über einen SASE-Service und eine darin enthaltene ZTNA-Komponente (Zero Trust  Network Access) erfolgen, die das klassische Remote-Access-VPN  ablösen möchte.

Dagegen soll CSPM  (Cloud Security Posture Management) helfen, den Überblick über sämtliche Sicherheitseinstellungen aller vom Unternehmen genutzten Cloud-Dienste zu bekommen. Gerade wenn man einen Multi-Cloud-Ansatz verfolgt, also verschiedene Cloud-Dienste nutzt, kann man damit sehr gut die sicherheitsrelevante Konfiguration überwachen. CSPM ist daher ein recht praktisches Tool, um zu verhindern, dass durch Fehler Sicherheitslücken entstehen. CSPM ist aber noch relativ neu.

Autor: Uwe Sievers