Palo Alto nennt Sicherheitspraktiken

Wie man die Risiken in AWS und Public Cloud reduzieren kann

Wie man die Risiken in AWS und Public Cloud reduzieren kann

Palo Alto Networks nennt 8 bewährte Sicherheitspraktiken

Immer mehr Unternehmen wollen von den Agilitätsvorteilen profitieren, die Amazon Web Services (AWS) als Cloud-Plattform, egal ob allein, als Teil einer Hybrid- oder Multi-Cloud-Umgebung, verspricht. Palo Alto Networks rät, dabei das Thema Security nicht außer Acht zu lassen. Das Unternehmen nennt acht Best Practices, die gewährleisten, dass AWS-Umgebungen ordnungsgemäß konfiguriert sind und sicher bleiben.

1. Sichtbarkeit

Cloud-Ressourcen werden temporär genutzt, was es schwierig macht, den Überblick über Vermögenswerte zu behalten. Untersuchungen von Palo Alto Networks zufolge beträgt die durchschnittliche Lebensdauer einer Cloud-Ressource zwei Stunden und sieben Minuten. Viele Unternehmen verfügen zudem über Umgebungen, die mehrere Cloud-Accounts und Regionen umfassen, was es erschwert, Risiken zu erkennen.

Best Practice: Es empfiehlt sich eine Cloud Security-Lösung, die einen Überblick über das Volumen und die Art der Ressourcen (virtuelle Maschinen, Load Balancer, Sicherheitsgruppen, Benutzer etc.) über mehrere Cloud-Konten und -Regionen auf einer zentralen Oberfläche bietet. Durch bessere Transparenz der Umgebung können detailliertere Regeln implementiert und Risiken reduziert werden.

2. Offene Root-Konten

Root-Konten können den größten Schaden anrichten, wenn Unbefugte darauf Zugriff erhalten. Administratoren vergessen oft, den Root-API-Zugriff zu deaktivieren.

Best Practice: Root-Konten müssen durch Multi-Faktor-Authentifizierung geschützt und sparsam verwendet werden. Nicht einmal die Top-Administratoren sollten die meiste Zeit über Zugriff auf das AWS-Root-Konto haben – und dieses niemals für andere Benutzer und Anwendungen freigeben.

3. IAM-Zugangsschlüssel

IAM-Zugriffsschlüssel (Identity and Access Management) werden oft nicht verändert. Dies schwächt die Fähigkeit von IAM ein, Ihre Benutzerkonten und Gruppen zu schützen, was Cyberangreifern ein längeres Zeitfenster einräumt, um an die Schlüssel zu gelangen.

Best Practice: Der Zugangsschlüssel sollte mindestens einmal alle 90 Tage verändert werden. Wenn Benutzer die erforderlichen Berechtigungen haben, können sie ihre eigenen Zugriffsschlüssel verändern. Außerdem wird sichergestellt, dass alte Schlüssel nicht für den Zugriff auf kritische Dienste verwendet werden.

4. Authentifizierungsverfahren

Verlorene oder gestohlene Zugangsdaten sind eine der Hauptursachen für Sicherheitsvorfälle in der Cloud. Es ist nicht ungewöhnlich, Zugangsdaten für Public-Cloud-Umgebungen im Internet zu finden. Unternehmen benötigen daher eine Möglichkeit, kompromittierte Benutzerkonten zu erkennen.

Best Practice: Starke Kennwortregeln und Multi-Faktor-Authentifizierung (MFA) sollten in AWS-Umgebungen durchgesetzt werden. Amazon empfiehlt, MFA für alle Konten zu aktivieren, die Konsolenpasswörter haben. Zunächst gilt es zu ermitteln, welche Konten bereits MFA nutzen.

5. Zugriffsrechte

AWS IAM kann zur Verwaltung aller Benutzerkonten und Gruppen mit Richtlinien und detaillierten Berechtigungsoptionen bereitgestellt werden. Leider vergeben Administratoren oft zu großzügigen Zugriff auf AWS-Ressourcen. Dadurch können Benutzer nicht nur Änderungen vornehmen und Zugriff haben, sondern wenn ein Cyberangreifer ihr Konto kapert, droht noch größerer Schaden.

Best Practice: Die IAM-Konfiguration sollte, wie jedes Benutzerberechtigungssystem, dem Prinzip der „geringsten Rechte“ entsprechen. Das bedeutet, dass jeder Benutzer oder jede Gruppe nur die Berechtigungen haben sollte, die für die Ausführung ihrer Arbeit erforderlich sind, und nicht mehr.

6. IP-Bereiche für Sicherheitsgruppen und uneingeschränkten ausgehenden Datenverkehr

Sicherheitsgruppen sind wie eine Firewall, die den Datenverkehr mit der AWS-Umgebung steuert. Leider weisen Administratoren den Sicherheitsgruppen oft IP-Bereiche zu, die größer als nötig sind. Untersuchungen des Cloud-Forschungsteams Unit 42 ergaben, dass 85 Prozent der mit Sicherheitsgruppen verbundenen Ressourcen den ausgehenden Datenverkehr überhaupt nicht einschränken. Hinzukommt, dass immer mehr Unternehmen nicht die Best Practices für die Netzwerksicherheit befolgen und Fehlkonfigurationen oder riskante Konfigurationen vorliegen. Erforderlich ist eine Beschränkung des ausgehenden Zugriffs, um einen versehentlichen Datenverlust oder Datenexfiltration zu verhindern.

Best Practice: Die IP-Bereiche, die jeder Sicherheitsgruppe zugewiesen werden, gilt es zu begrenzen. Es muss sichergestellt sein, dass alles richtig vernetzt ist, aber nicht mehr geöffnet ist als nötig.

7. Audit-Historie

Die Virtualisierung und die Cloud bieten Agilität, da berechtigte Benutzer bei Bedarf Änderungen an der Umgebung vornehmen können. Der Nachteil ist eine unzureichende Sicherheitsüberwachung. Unternehmen müssen daher die Benutzeraktivitäten überwachen, um die Kompromittierung von Konten, Insider-Bedrohungen und andere Risiken aufzudecken.

Best Practice: AWS CloudTrail ist ein Webservice, der den Ereignisverlauf von AWS-Kontoaktivitäten bereitstellt, einschließlich Aktionen, die über die AWS Management Console, AWS SDKs, Kommandozeilen-Tools und andere AWS-Dienste durchgeführt werden. Die Aktivierung von CloudTrail vereinfacht die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlersuche.

8. Nicht gepatchte Hosts

Es liegt in der Verantwortung der Unternehmen, dafür zu sorgen, dass die neuesten Sicherheitspatches auf Hosts innerhalb der eigenen AWS-Umgebung angewendet wurden. Unit 42 weist auf ein damit zusammenhängendes Problem hin. Herkömmliche Netzwerk-Scanner für Schwachstellen sind für lokale Netzwerke effektiv, übersehen aber wichtige Schwachstellen, wenn sie zum Testen von Cloud-Netzwerken verwendet werden.

Best Practice: Es muss sichergestellt werden, dass die Hosts häufig gepatcht werden und alle notwendigen Hotfixes durchgeführt werden, die von OEM-Anbietern veröffentlicht werden. Dazu erforderlich sind Tools von Drittanbietern, die die Daten aus den Host-Sicherheitslücken-Feeds zuordnen können, wie z.B. Amazon Inspector, um einen cloudspezifischen Kontext zu erhalten.

Fazit

Amazon hat einige sehr nützliche Sicherheitsmaßnahmen und -kontrollen entwickelt, die Unternehmen in vollem Umfang nutzen sollten, darunter AWS CloudTrail, IAM und Berechtigungen für Cloud-Ressourcen, die sich sehr spezifisch konfigurieren lassen. Dies ist jedoch nur der erste Schritt. Unternehmen müssen sich in die Lage versetzen, Risiken schnell zu priorisieren und eine agile Entwicklung aufrechtzuerhalten, um ihre Verpflichtungen im Rahmen des Shared-Responsibility-Modells effektiv zu erfüllen.