Cloud Security

Die häufigsten drei Cloud-Fehlkonfigurationen in AWS und wie man sie behebt

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Die häufigsten drei Cloud-Fehlkonfigurationen in AWS und wie man sie behebt

Riskante Lücken in den Wolken

Tipps von Palo Alto Networks gegen gefährliche Cloud-Fehlkonfigurationen

Es ist kein Geheimnis, dass die Nutzung der Cloud einen enormen Geschäftsnutzen für Unternehmen bringt – wie erhöhte Agilität, reduzierte Kosten, Flexibilität, Benutzerfreundlichkeit und so weiter. Das Problem ist, dass Unternehmen bislang schneller in die Cloud wechselten, als sie in der Lage waren, die erforderlichen Security-Prozesse -Praktiken umzusetzen – wie Palo Alto Networks berichtet. Entwicklerteams führen mit Begeisterung schnelle Cloud-Workloads aus und bauen neue Infrastrukturen in AWS auf, während Sicherheitsteams das Gefühl haben, dass sie eigentlich erst einmal „aufräumen“ müssten.

Einige der wichtigsten Cloud-Sicherheitsverletzungen, die in diesem Jahr zu beobachten waren, spiegeln grundlegende Sicherheitskonfigurationsfehler wider, wie etwa den Datenverkehr über Port 22 aus dem öffentlichen Internet zuzulassen und das Remote Desktop Protocol (RDP) offen zu lassen. Sicherheitsverantwortliche würden so etwas nicht innerhalb der On-Prem-Infrastruktur machen, warum also in der Cloud? Dies erinnert an die 90er-Jahre, als Entwickler begeistert die neuesten Technologien nutzten und ohne Rücksicht auf die Sicherheitsauswirkungen ihres neuesten Projekts handelten.

Konfigurationsfehler von Anfängern verwandeln die Cloud in einen Wilden Westen für Hacker, voller Goldminen und Möglichkeiten. Dies erklärt das schnelle Aufkommen von Cyberkriminalitätsgruppen wie Rocke, die sich auf die Public Cloud spezialisiert haben. Die gute Nachricht ist, dass Hacker nach dem schnellen Geld suchen. Wenn Unternehmen ihnen durch die Verwendung geeigneter Konfigurationen das Leben schwermachen, werden sie woanders suchen, so Palo Alto Networks.

Palo Alto Networks hat mehrere Jahre lang Daten aus Hunderten von Cloud-Umgebungen gesammelt, um mehr über die größten Bedrohungen für die Public Cloud zu erfahren. Die Bedrohungsforscher haben festgestellt, dass innerhalb des letzten Jahres 65 Prozent der Angriffe auf eine Fehlkonfiguration zurückzuführen waren. Sie haben die drei wichtigsten kritischen Fehlkonfigurationen identifiziert, die in den AWS-Umgebungen von Unternehmen am häufigsten vorkommen.

Die Befolgung einer Reihe einfacher Empfehlungen von Palo Alto Networks wird Unternehmen helfen, ihre Clouds besser zu schützen, um nicht zum nächsten einfachen Ziel für Angreifer zu werden:

Sicherheitsgruppe erlaubt Internetverkehr

Eine Sicherheitsgruppe fungiert als virtuelle Firewall, die den Datenverkehr von und zu einer oder mehreren Instanzen steuert. Sicherheitsgruppen sollten restriktive Zugriffskontrolllisten (ACLs) haben, um nur eingehenden Datenverkehr von bestimmten IPs und zu bestimmten Ports zu erlauben, auf denen die Anwendung auf Verbindungen wartet. Während die drei großen Cloud Service Provider standardmäßig den gesamten Eingangsverkehr blockieren, erlauben sie ebenso standardmäßig den gesamten Ausgangsverkehr.

Palo Alto Networks empfiehlt dringend, alle Sicherheitsgruppen regelmäßig zu überprüfen, um sicherzustellen, dass sie richtig konfiguriert sind und unerwünschte Änderungen nicht übernommen wurden. Eine der Überprüfungen, die durchgeführt werden sollten, ist sicherzustellen, dass die aktuellen Richtlinien für Sicherheitsgruppen nur Datenverkehr zu und von geeigneten Adressen zulassen, basierend auf der Art der Anforderungen des Unternehmens.

Wenn Sie feststellen, dass eine Sicherheitsgruppe den gesamten eingehenden Datenverkehr zulässt, können diese eingehenden Aktivitäten auf folgende Weise verhindert werden:

  1. Melden Sie sich an der AWS-Konsole an und navigieren Sie zum Dienst „VPC“.
  2. Klicken Sie auf den Link „Security Group“ auf der linken Seite des Bildschirms.
  3. Klicken Sie auf die Registerkarte „Inbound Rules“ und entfernen Sie jede Zeile mit einem Quellwert, der 0.0.0.0/0 oder ::/0 enthält.

Wenn Ihr Unternehmen oder ein bestimmtes Subnetz nicht mit jedem Land oder System weltweit kommunizieren muss:

  1. Melden Sie sich an der AWS-Konsole an und navigieren Sie zum Dienst „VPC“.
  2. Klicken Sie auf die für die Warnung spezifische Sicherheitsgruppe.
  3. Klicken Sie auf „Outbound Rules“ und fügen Sie eine Zeile mit dem richtigen Protokoll (z.B. TCP, UDP, ICMP) und der IP-Adresse/Netzbereich hinzu, die nur die entsprechenden Netzwerkverbindungen erhalten soll.

AWS-Sicherheitsgruppen erlauben Internetverkehr zum SSH-Port (22)

AWS-Sicherheitsgruppen, die den eingehenden Datenverkehr auf dem SSH-Port (22) aus dem öffentlichen Internet zulassen, erhöhen das Risiko für die Sicherheitslandschaft eines Unternehmens erheblich. Untersuchungen haben ergeben, dass Schwachstellen in veralteten SSH-Diensten zu den am stärksten betroffenen Schwachstellen für böswillige Akteure gehören. Eine Analyse von Unit 42, der Forschungsabteilung von Palo Alto Networks, hat gezeigt, dass 56 Prozent der Unternehmen mindestens einen Cloud-basierten SSH-Dienst haben, der dem Internet ausgesetzt ist. Wenn sie diesen Port offenlassen, kann es einem schlechten Akteur möglich sein, den SSH-Service selbst zu kompromittieren, den Service zu erzwingen und möglicherweise Zugriff auf die Cloud-Umgebung des Unternehmens zu erhalten.

Wenn die Sicherheitsgruppe den SSH-Verkehr einschränken muss:

  1. Melden Sie sich an der AWS-Konsole an und navigieren Sie zum Dienst „VPC“.
  2. Wählen Sie den Link „Security Group“ und klicken Sie auf die Registerkarte „Inbound Rule“.
  3. Entfernen Sie jede Regel, die einen „Port Range“-Wert hat, der Port 22 beinhaltet.

AWS-Sicherheitsgruppen erlauben Internet-Traffic vom Internet zum RDP-Port 3389

Sicherheitsgruppen sollten den RDP-Port-3389-Verkehr vom oder zum öffentlichen Internet nicht zulassen. Dies kann es einem bösartigen Akteur ermöglichen, die RDP-Anwendung durch die Verwendung eines Exploits zu kompromittieren oder durch einen Brute-Force-Angriff möglicherweise Zugriff auf die Cloud-Umgebung des Unternehmens zu erhalten.

Wenn die Sicherheitsgruppen den RDP-Port 3389-Traffic zulassen:

  1. Melden Sie sich an der AWS-Konsole an und navigieren Sie zum Dienst „VPC“.
  2. Wählen Sie die in der Benachrichtigung gemeldete „Security Group“ aus und klicken Sie auf die Registerkarte „Inbound Rule“.
  3. Entfernen Sie jede Regel, die einen „Port Range“ mit Port 3389 enthält.

Fazit

Das Fazit von Palo Alto Networks: Dies sind drei Richtlinienverletzungen, die eine Unternehmensumgebung niemals aufweisen sollte. Um den Erfolg sicherzustellen, gilt es Sicherheitsmaßnahmen zu automatisieren, damit Entwickler sich weiterhin frei in der Cloud bewegen können, ohne die Sicherheit des Unternehmens zu gefährden.