Nutzen Unternehmen Software aus der Cloud, sind sie im Rahmen des Shared-Responsibility-Modells für deren Sicherheit selbst verantwortlich. Palo Alto Networks nennt sechs Maßnahmen, um Lücken zu schließen.
Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Aus dem Modell der geteilten Verantwortung von Anbieter und Kunde leiten sich mehrere Anforderungen ab. Die IT-Sicherheitsexperten von Palo Alto Networks erläutern sechs grundlegende Maßnahmen zur Absicherung von Cloud-Systemen.
In traditionellen lokalen Systemen sind Unternehmen für die IT-Sicherheit verantwortlich. Das reicht von den physischen Standorten über die Hardware, das Betriebssystem, das Netzwerk und die Anwendungen. In der Public Cloud – sowohl im Falle von Infrastructure- als auch Platform-as-a-Service – teilen sich die Cloud-Service-Provider und die Unternehmenskunden die Verantwortung. Dem Provider obliegt die Sicherheit der physischen Schicht und der Infrastrukturaspekte der Cloud sowie der von ihm angebotenen Rechen-, Speicher-, Datenbank-, Netzwerk- und Anwendungsdienste. Der Kunde ist für die Sicherheitskonfiguration seiner eigenen Betriebssysteme verantwortlich, für den Netzwerkverkehr und die Firewall-Einstellungen sowie für alle Einstellungen der eigenen Systeme, die mit der Cloud verbunden sind. Aus dieser Arbeitsteilung leitet Palo Alto Networks sechs grundlegende Maßnahmen ab.
1. Anwendungen und Daten klassifizieren
Geschäftsführung und Sicherheitsverantwortliche sollten sich fragen, welche Anwendungen und Daten vorliegen, die für den Betrieb des Unternehmens entscheidend sind, welche kompromittierten Anwendungen und Daten dazu führen würden, dass Führungskräfte, Aktionäre oder Kunden betroffen wären. Sie sollten wissen, welche Daten die Fähigkeit zur Geschäftstätigkeit oder die Wettbewerbsstärke beeinträchtigen könnten, wenn sie abhandenkommen, und die Offenlegung welcher Daten möglicherweise zu Geldbußen oder Sanktionen führen würde. Generell müssen vertrauliche Geschäftsdaten und staatlich regulierte Daten als kritisch eingestuft und geschützt werden.
2. Anwendungssicherheit im Auge behalten
Angreifer zielen oft auf Schwachstellen in Webanwendungen ab. Um zu gewährleisten, dass Anwendungen frei von Schwachstellen sind, empfiehlt Palo Alto Networks, aktiv nach Sicherheitsrisiken zu suchen. Handle es sich bei den Anwendungen um Open-Source- oder Standard-Anwendungen, dann gelte es sicherzustellen, dass regelmäßig Patches durchgeführt und kritische Sicherheitsmängel sofort behoben werden. Für das Erstellen der Anwendungen sollten Entwickler in der Nutzung sicherer Codierungspraktiken geschult sein und die Anwendungen kontinuierlich auf mögliche Fehler überprüfen. Anleitungen zum Starten eines Anwendungssicherheitsprogramms liefert beispielsweise das Open Web Application Security Project (OWASP).
3. Benutzeridentitäten und Zugriff unter Kontrolle bringen
Unternehmen sollten Prozesse definieren, um ihre Benutzeridentitäten zu verwalten. Sie müssen stets wissen, wer die Benutzer sind, welche Jobrollen sie haben und auf welche Anwendungen und Ressourcen sie zugreifen dürfen. Es ist wichtig, den Zugang auf diejenigen Mitarbeiter zu beschränken, die einen angemessenen Bedarf an diesen Ressourcen haben. Ändern sich die Rollen einer Person, gilt es deren Zugang entsprechend zu ändern. Verlässt ein Mitarbeiter das Unternehmen, muss ihm der Zugang entzogen werden. Dies ist eine der wichtigsten Maßnahmen, um ein gutes Sicherheitsniveau aufrechtzuerhalten, aber auch einer der Bereiche, die so oft übersehen werden.
4. Erstellen und Verwalten von Richtlinien und Konfigurationen
Es ist wichtig, Richtlinien für Sicherheitsprüfungen, Einstellungen und Konfigurationsebenen für alle Systeme, Workloads und Anwendungen festzulegen. Wie bei Schwachstellenüberprüfungen kommt es in erster Linie darauf an, veraltete Systeme zu finden und dann zu prüfen, ob die Systeme gemäß den Richtlinien konfiguriert und betrieben werden.
5. Was automatisierbar ist, sollte automatisiert werden
Wenn es eine Sicherheitsaufgabe gibt, die durch Skripte automatisiert oder kostengünstig an einen Anbieter von Sicherheitsservices übertragen werden kann, sollte dies geschehen. Ein E-Book von Palo Alto bietet hilfreiche Tipps dazu. Handelt es sich um ein kleineres Unternehmen, lassen sich die Empfehlungen größengerecht skalieren, aber die Regeln bleiben ähnlich.
6. Reaktionsbereitschaft gewährleisten
Es ist zwar wichtig, ständig auf der Suche nach Sicherheitsmängeln im Unternehmen zu sein, aber viele Unternehmen machen sich leider nicht die Mühe, darüber nachzudenken, was als nächstes kommt. Sicherheitsverantwortliche suchen nach Schwachstellen, aber sie wissen nicht, was das Unternehmen tun wird, um diese zu beheben. Palo Alto Networks empfiehlt Unternehmen, Maßnahmen zu definieren, um im Ernstfall reaktionsbereit zu sein.
Die beschriebenen sechs Aspekte der Cloud-Sicherheit betrachtet Palo Alto nicht als umfassendes Maßnahmenpaket, sondern vielmehr als Ausgangspunkt, um die Weichen in Richtung einer effektiven Cloud-Sicherheit zu stellen. Jürgen Frisch