Herausforderung Cloud Security

So schützen Sie Ihre Daten in der Cloud

30.01.2013 | von Bernd Reder
Sicherheit ist einer der Schlüsselfaktoren, der über die Akzeptanz von Cloud-Diensten entscheidet. Doch um eine Cloud-Umgebung wirkungsvoll zu schützen, bedarf es ergänzender Verfahren wie Identity- und Access-Management.

Die Skepsis, die viele Anwender Cloud-Computing-Diensten entgegenbringen, scheint zu schwinden. So stellt die IT-Sicherheitsfirma Symantec in ihrem "Digital Information Index" fest, dass deutsche Firmen mittlerweile 23 Prozent ihrer Geschäftsinformationen in Cloud-Umgebungen speichern. Zum Vergleich: In den USA lagern nur 16 Prozent der Daten in einer Cloud, in China dagegen 39 Prozent. Allerdings differenziert die Studie nicht zwischen Private-, Public- und Hybrid-Cloud-Umgebungen.

Kriminelle entdecken die Cloud als lohnendes Ziel

Angriffsziele von Cyber-Kriminellen: Laut einer Studie von Alert Logic sind vor allem Web-Anwendungen in CloudComputing-Umgebungen das Ziel von Angreifern. Mit Brute-Force-Attacken versuchen Cyber-Kriminelle, Passwörter von Anwendern und Systemverwaltern zu knacken. Angaben in Prozent; Quelle: Alert Logic
Angriffsziele von Cyber-Kriminellen: Laut einer Studie von Alert Logic sind vor allem Web-Anwendungen in CloudComputing-Umgebungen das Ziel von Angreifern. Mit Brute-Force-Attacken versuchen Cyber-Kriminelle, Passwörter von Anwendern und Systemverwaltern zu knacken. Angaben in Prozent; Quelle: Alert Logic

Angesichts dieses Trends ist es nicht verwunderlich, dass Cyber-Kriminelle Cloud-Infrastrukturen als lohnendes Ziel ausgemacht haben. Das belegt eine Studie der IT-Sicherheitsfirma Alert Logic vom Herbst 2012. Sie befragte Anbieter von Public-Cloud-Diensten und Nutzer von Private Clouds zum Thema Cloud-Sicherheit. Ein zentrales Ergebnis: Angriffe auf Cloud-Computing-Dienste haben in den vergangenen zwölf Monaten stark zugenommen. Allerdings sind zielgerichtete Attacken auf einzelne Unternehmen und öffentliche Einrichtungen laut der Analyse von Alert Logic selten zu beobachten. Es dominieren breit gestreute Angriffe, wie sie auch beim Versenden von Spam-E-Mails zum Einsatz kommen.

In Deutschland registrierten nach einer Untersuchung, die der IT-Security-Spezialist Trend Micro im Sommer 2012 veröffentlicht hat, an die 34 Prozent der Unternehmen innerhalb der vergangenen zwölf Monate zumindest ein sicherheitsrelevantes Vorkommnis bei Cloud-Diensten. Zu denken gibt, dass etwa 40 Prozent der befragten Unternehmen der Auffassung sind, dass die derzeit vorhandenen Cloud-Angebote die seitens der Kunden gewünschten Sicherheitsanforderungen nicht erfüllen. Das Misstrauen ist nicht unbegründet, wie eine andere Studie zeigt.

Cyber-Kriminelle attackieren bevorzugt Private Clouds

Die Study von Alert Logic widerlegt, dass Cloud-Umgebungen, die Unternehmen in Eigenregie einrichten und betreiben, sicherer sind als die von Cloud-Service-Providern. Demnach werden Private Clouds deutlich häufiger angegriffen als die Infrastrukturen von Providern. Besonders beliebt seien Schwachstellen-Scans, Angriffe auf Web-Anwendungen mittels SQL Injection und "Brute-Force"-Attacken, um Passwörter von Usern und Systemverwaltern in Erfahrung zu bringen.

Ein Drittel der Angriffe auf Cloud-Infrastrukturen wird von Rechnern in den USA aus gestartet. Für 16 Prozent sind Systeme in China verantwortlich. Eine unrühmliche Rolle spielt Deutschland: Mit 3,7 Prozent aller "Incidents" rangiert die Bundesrepublik auf Platz drei, noch vor als Hacker-Hochburgen eingestuften Ländern wie Korea (drei Prozent), Russland (2,9 Prozent) und Brasilien (2,6 Prozent).

Warum gerade Cloud-Umgebungen von Unternehmen unter Beschuss sind, geht aus der Studie von Alert Logic nicht hervor. Ein Grund könnte sein, dass Cyber-Kriminelle der Auffassung sind, dass Cloud-Computing-Data-Center von Service-Providern besser abgesichert sind als die Unternehmensnetze.

Was zu einer umfassenden Cloud-Security-Strategie gehört

Die Kernpunkte eines Cloud-Security-Ansatzes sind

  • die Absicherung der Infrastruktur,

  • der Schutz der Daten,

  • eine sichere Authentisierung und Authentifizierung von Nutzern (Identity-Management) sowie

  • der Schutz von Endgeräten.

Eine Cloud-Computing-Umgebung ist geprägt durch die Entkopplung von IT-Ressourcen von der physischen Infrastruktur, Stichwort Virtualisierung. Virtual Machines mit Betriebssystemen, Anwendungen und Daten lassen sich fast nach Belieben in einer Cloud-Infrastruktur hin und her bewegen - innerhalb der Cloud oder zwischen Private und Public Clouds. In Bezug auf die Sicherheit bedeutet dies, dass sich IT-Sicherheitsfunktionen ebenso flexibel zur Verfügung stellen lassen müssen, am besten ebenfalls in Form von VMs. In diesem Fall werden beispielsweise Antiviren- und Access-Control-Programme als Virtual Security Appliances auf den entsprechenden Hosts implementiert.

Um die Infrastruktur zu schützen, also Hypervisors, Management-Server und Application Programming Interfaces (API), lassen sich beispielsweise Lösungen wie Symantecs Protection Suite und VMware Shield einsetzen, aber auch Software-Appliances wie Intels ESG. Mit dem Intel Expressway Service Gateway kann ein Administrator Cloud-APIs überwachen und verwalten. Wichtig ist, dass sich zentrale Sicherungs- und Management-Aufgaben wie das Patching, Erstellen von Backups, das Implementieren von Sicherheitsregeln und das Konfigurations-Management automatisieren lassen. Zudem müssen die Sicherheitsregeln mit den ihnen zugeordneten Workloads "mitwandern", wenn diese verlagert werden. Das gilt auch für den Wechsel einer Workload von einer Private in eine Public oder Hybrid Cloud.

Schutz von Daten durch Data Loss Prevention und Verschlüsselung

Der Schutz von unternehmenskritischen Daten ist ein zentrales Element in einer Cloud-Umgebung. Dies gilt für gespeicherte Informationen auf einem Server oder Storage-System, aber auch für den Datentransport, etwa vom Unternehmensnetz zu einem Cloud-Service-Provider.

Sicherheit in der Public Cloud: IT-Sicherheitsfirmen wie McAfee, Symantec, Trend Micro und Safenet bringen Komplettpakete für Cloud-Security auf den Markt. Alle Lösungen decken jedoch nur einen Teil der Anforderungen ab und müssen durch weitere Produkte ergänzt werden. Quelle: McAfee
Sicherheit in der Public Cloud: IT-Sicherheitsfirmen wie McAfee, Symantec, Trend Micro und Safenet bringen Komplettpakete für Cloud-Security auf den Markt. Alle Lösungen decken jedoch nur einen Teil der Anforderungen ab und müssen durch weitere Produkte ergänzt werden. Quelle: McAfee

Um zu verhindern, dass sensitive Informationen von Unbefugten abgefangen werden, sind Data-Loss-Prevention-Systeme hilfreich. Solche Systeme verhindern beispielsweise, dass illoyale eigene Mitarbeiter oder Administratoren eines Cloud-Service-Providers Informationen "absaugen". Zudem sollte Datenverschlüsselung zum Einsatz kommen. Das gilt auch für Datenbestände, die zu Cloud-Storage-Services ausgelagert werden, etwa Archivdaten. Ergänzend dazu muss die Security-Policy einer Workload auf die Sicherheitsrelevanz der Daten abgestimmt sein. Um die Performance von Servern, Speichersystemen und Endgeräten nicht allzu stark zu beeinträchtigen, bietet sich eine selektive Datenverschlüsselung an: Statt komplette Festplatten oder Storage-Arrays zu verschlüsseln, werden nur sicherheitsrelevante Datenbestände geschützt.

Angriffspunkte im Netz: Unternehmen sollten mit den Angriffen von Cyber-Kriminellen an den unterschiedlichsten Stellen rechnen und nicht nur die Cloud im Auge haben. Quelle: Kaspersky Lab
Angriffspunkte im Netz: Unternehmen sollten mit den Angriffen von Cyber-Kriminellen an den unterschiedlichsten Stellen rechnen und nicht nur die Cloud im Auge haben. Quelle: Kaspersky Lab

Verschlüsselung setzt jedoch ein effizientes Key-Management voraus. Die Schlüsselverwaltung dem Cloud-Service-Provider zu übertragen ist aus Sicherheits- und Compliance-Gründen nicht ratsam. Einen Ansatz für das Key-Management, der speziell auf das Cloud-Computing abgestimmt ist, hat die amerikanische Firma Porticor entwickelt. Er basiert auf zwei Schlüsseln: Einen besitzt der Provider, der zweite und der "Master Key", mit dem beide Schlüssel gesichert werden, liegt beim Kunden. Alle Datenobjekte, also Dateien und Massenspeicher wie Festplatten, Bänder und SSD, werden mit dieser Split-Key-Technik verschlüsselt. Bei Zugriff einer Anwendung auf diese Informationsbestände muss der passende Schlüssel verwendet werden.

Beim Datenaustausch zwischen einem Unternehmen und dem Cloud-Service-Provider ist zudem darauf zu achten, dass gesicherte Verbindungen genutzt werden, etwa IPsec- oder SSL-VPNs.

Authentifizierung sowie Identity- und Access-Management

Eine zentrale Rolle in Cloud-Umgebungen spielt die Zugriffskontrolle. Nur dazu berechtigte User und Administratoren dürfen auf Daten und Anwendungen in einer Cloud zugreifen. Ein Identity- und Access-Management (IAM) in Verbindung mit einer Zwei-Faktor-Authentifizierung mit Token (Hard- oder Software) beziehungsweise Zertifikaten ist die Grundlage für die Umsetzung von Sicherheitsregeln (Policies).

Eine wichtige Rolle wird künftig die kontextbezogene Authentifizierung und Autorisierung spielen. Sie verbindet die Identität eines Nutzers von Cloud-Services mit Endgeräten und dem Standort beziehungsweise Netzwerk (Firmennetz oder öffentliches WLAN), von dem aus er auf Cloud-Ressourcen zugreift. Abhängig davon kommen unterschiedliche Sicherheitsregeln zum Zuge. Details zu IAM in Cloud-Computing-Umgebungen sind in einem Beitrag auf Computerwoche.de zu finden.

Endgeräte sind am besten abzusichern wie bisher

Risikozuwachs in der Cloud: Den Gewinn an Flexibilität und Agilität, der mit Public Clouds verbunden ist, erkaufen sich Nutzer mit geringeren Kontrollmöglichkeiten. Quelle: Symantec, VMware
Risikozuwachs in der Cloud: Den Gewinn an Flexibilität und Agilität, der mit Public Clouds verbunden ist, erkaufen sich Nutzer mit geringeren Kontrollmöglichkeiten. Quelle: Symantec, VMware

Für Endgeräte wie Workstations, Tablets, Notebooks und Smartphones, über die Nutzer auf eine Cloud-Computing-Umgebung zugreifen, gelten dieselben Sicherheitsanforderungen wie in einer herkömmlichen IT-Umgebung ("Endpoint Security"): Ein aktueller Malware-Schutz und regelmäßiges Patching sind Pflicht. Besonders wichtig ist das System-Management, speziell die Verwaltung von mobilen Endgeräten. "Wer in einer Cloud-Computing-Umgebung die IT-Sicherheit garantieren will, muss zunächst einmal seine Hausaufgaben machen. Das heißt, er sollte ein effizientes System-Management etablieren. Nur dann haben Administratoren einen Überblick über alle Systeme, die auf Cloud-Ressourcen zugreifen, und können Sicherheitsvorgaben auf diesen Endgeräten durchsetzen", empfiehlt Thomas Hefner, Vice President Sales DACH bei Kaseya, einem Anbieter von System-Management-Software.

Speziell die Absicherung von privaten mobilen Geräten, über die Anwender in Unternehmen auf Cloud-Computing-Dienste zugreifen, bereitet IT-Administratoren zunehmend Kopfzerbrechen, Stichwort "Bring your own Device" (ByoD). Zum einen deshalb, weil unterschiedliche Plattformen in ein System- und Security-Management eingebunden werden müssen, von Windows bis hin zu iOS und Android. Zum anderen erschwert ByoD die Kontrolle von unternehmenskritischen Informationen, die auf diesen Systemen gespeichert werden.

Eine Möglichkeit, um Endgeräten einen sicheren Zugang zu Cloud-Computing-Ressourcen zu ermöglichen, ist die Trennung von Endgerät und Desktop-Umgebung mit Hilfe von Desktop-Virtualisierung: Anwendungen, Daten und die Desktop-Umgebung werden im Cloud-Rechenzentrum vorgehalten; der Nutzer greift über einen Browser darauf zu. Allerdings sind solche Lösungen relativ aufwendig und erfordern hohe Netzbandbreiten. Diese stehen nicht an jedem Ort zur Verfügung. (hi)

»

Der Autor

Bernd Reder ist freier Journalist in München.