Inhaltsverzeichnis:
- Unbestimmtheit in der Sicherheit ist nicht gut
- Überwindung von Sicherheitslücken
- Umgang mit Missbrauch durch privilegierte Benutzer
Video: Warum die Daten in der AWS cloud sicher sind - kurz erklärt in 133 Sekunden (November 2024)
Die Cloud-Sicherheitsumfrage 2019 des SANS-Instituts ist ernüchternd (Sie müssen sich für eine kostenlose Mitgliedschaft anmelden, um sie lesen zu können). Der Bericht wurde im April 2019 von Dave Shackleford verfasst und enthält einige enttäuschende Fakten und Zahlen. Man könnte beispielsweise annehmen, dass wir nach all den jüngsten Verstößen unsere Cloud-Ressourcen besser schützen können. Aber wir sind nicht nur ziemlich schlecht darin, das große Problem ist nicht einmal die Technologie. Es sind immer noch Menschen. Ein klarer Hinweis darauf ist in der Liste der häufigsten Arten von Angriffen zu finden, beginnend mit der Entführung von Konten oder Anmeldeinformationen und dem zweithäufigsten Grund für die Fehlkonfiguration von Cloud-Diensten und -Ressourcen.
Natürlich gibt es viele Möglichkeiten, wie Anmeldeinformationen gestohlen werden können, wobei Phishing einfach die neueste und in einigen Fällen die schwierigste Möglichkeit ist, mit diesen umzugehen. Berechtigungsnachweise können jedoch auch aus Daten anderer Sicherheitsverletzungen abgerufen werden, da die Benutzer dieselben Berechtigungsnachweise dort wieder verwenden, wo sie können, sodass sie sich nicht mehr als nötig daran erinnern. Darüber hinaus ist die bewährte Praxis, Anmeldeinformationen auf Haftnotizen zu schreiben und sie neben einer Tastatur einzufügen, noch immer weit verbreitet.
Eine Fehlkonfiguration von Cloud-Diensten ist ein weiterer Bereich, in dem Menschen die Schwachstelle sind. Der Unterschied besteht darin, dass die Benutzer einen Cloud-Dienst starten, ohne eine Vorstellung davon zu haben, was sie tun, und ihn dann verwenden, um Daten zu speichern, ohne sie zu schützen.
"Erstens hat es bei der Cloud-Einführung so viel damit zu tun, wie einfach es ist, eine Cloud zu errichten, dass es unrealistische Erwartungen gibt", erklärte Sprunger. "Die Leute machen Fehler, und es ist nicht wirklich klar, was Sie tun müssen, um die Sicherheit von Containern zu definieren."
Unbestimmtheit in der Sicherheit ist nicht gut
Ein Teil des Problems besteht darin, dass Cloud-Anbieter die Funktionsweise ihrer Sicherheitsoptionen nicht ausreichend erläutern (wie ich kürzlich bei der Überprüfung von Infrastructure-as-a-Service- oder IaaS-Lösungen herausgefunden habe). Sie müssen also raten oder anrufen der Verkäufer um Hilfe. Beispielsweise haben Sie bei vielen Cloud-Diensten die Möglichkeit, eine Firewall einzuschalten. Es kann jedoch unklar sein, wie die Konfiguration im laufenden Betrieb erfolgen soll. Überhaupt.
Dieses Problem ist so schlimm, dass Shackleford, der Autor des SANS-Berichts, den Bericht mit einer Liste ungeschützter Amazon Simple Storage Service-Buckets (S3) beginnt, die zu Verstößen geführt haben. "Wenn man den Zahlen Glauben schenken will, sind 7 Prozent der S3-Buckets weltweit offen", schrieb er, "und weitere 35 Prozent verwenden keine Verschlüsselung (die in den Dienst integriert ist)." Amazon S3 ist eine großartige Speicherplattform, wie unsere Tests gezeigt haben. Probleme wie diese sind einfach darauf zurückzuführen, dass Benutzer den Dienst entweder falsch konfiguriert haben oder gar nicht wissen, dass bestimmte Funktionen vorhanden sind.
Als nächstes steht der Missbrauch von Privilegien auf der Liste, und dies ist ein weiteres Problem, das von Menschen verursacht wird. Sprunger sagte, dass dies mehr als nur verärgerte Mitarbeiter sind, obwohl dies auch solche einschließt. "Eine Menge von dem, was vermisst wird, sind Dritte, die privilegierten Zugang haben", erklärte er. "Der Zugriff auf das Dienstkonto ist weitaus einfacher. In der Regel handelt es sich um ein einzelnes Konto mit einem einzelnen Kennwort, und es gibt keine Verantwortlichkeit."
Servicekonten werden in der Regel für Dritte bereitgestellt, häufig für Anbieter oder Auftragnehmer, die Zugriff benötigen, um Support oder Service bereitzustellen. Es war solch ein Dienstkonto eines Heizungs-, Lüftungs- und Klimaanlagenunternehmens (HVAC), das die Schwachstelle darstellte, die 2014 zum Verstoß gegen das Ziel führte. "Diese Konten haben normalerweise gottähnliche Privilegien", fügte Sprunger hinzu ein Hauptziel für Angreifer.
Überwindung von Sicherheitslücken
Was tun Sie gegen diese Sicherheitsanfälligkeiten? Die kurze Antwort ist Training, aber es ist komplexer. Beispielsweise müssen Benutzer geschult werden, um nach Phishing-E-Mails Ausschau zu halten, und diese Schulung muss vollständig genug sein, um selbst subtile Anzeichen von Phishing zu erkennen. Außerdem müssen die Schritte berücksichtigt werden, die Mitarbeiter unternehmen sollten, wenn sie den Verdacht haben, dass sie einen solchen Angriff sehen. Dies beinhaltet, wie man sieht, wohin ein Link in einer E-Mail wirklich führt, aber es muss auch Verfahren zum Melden einer solchen E-Mail enthalten. Das Training muss die Überzeugung beinhalten, dass sie nicht in Schwierigkeiten geraten, wenn sie per E-Mail gesendete Anweisungen nicht befolgen, die verdächtig erscheinen.
Ebenso muss ein gewisses Maß an Corporate Governance vorhanden sein, damit zufällige Mitarbeiter nicht ausgehen und ihre eigenen Cloud-Service-Konten einrichten. Dies beinhaltet das Betrachten von Spesenabrechnungsgutscheinen für Gebühren für Cloud-Dienste auf persönlichen Kreditkarten. Es bedeutet jedoch auch, dass Sie Schulungen zum Umgang mit der Verfügbarkeit von Cloud-Diensten durchführen müssen.
Umgang mit Missbrauch durch privilegierte Benutzer
Der Umgang mit Missbrauch durch privilegierte Benutzer kann ebenfalls eine Herausforderung sein, da einige Anbieter auf den Zugriff mit einer Vielzahl von Rechten bestehen. Sie können einen Teil davon bewältigen, indem Sie Ihr Netzwerk segmentieren, sodass der Zugriff nur auf den Dienst erfolgt, der verwaltet wird. Segmentieren Sie es beispielsweise so, dass sich der HLK-Controller in einem eigenen Segment befindet, und Anbieter, die mit der Wartung dieses Systems beauftragt sind, erhalten nur Zugriff auf diesen Teil des Netzwerks. Eine weitere Maßnahme, die dazu beitragen könnte, ist die Bereitstellung eines robusten Identitätsverwaltungssystems (IDM), mit dem nicht nur die Konten besser nachverfolgt werden können, sondern auch, wer über diese Konten und ihre Zugriffsberechtigungen verfügt. Mit diesen Systemen können Sie den Zugriff auch schneller unterbrechen und einen Prüfpfad für die Kontoaktivität bereitstellen. Und obwohl Sie viel Geld für einen ausgeben können, läuft möglicherweise bereits einer, wenn Sie ein Windows Server-Geschäft mit einem aktivierten Microsoft Active Directory (AD) -Baum sind.
- Die besten Sicherheitssuiten für 2019 Die besten Sicherheitssuiten für 2019
- Die besten Anbieter für Cloud-Speicher und Filesharing für das Jahr 2019 Die besten Anbieter für Cloud-Speicher und Filesharing für das Jahr 2019
- Die besten Cloud Backup Services für Unternehmen im Jahr 2019 Die besten Cloud Backup Services für Unternehmen im Jahr 2019
Möglicherweise müssen Sie auch sicherstellen, dass Anbieter über die geringsten Zugriffsrechte verfügen, damit ihre Konten ihnen nur Rechte für die Software oder Appliance gewähren, die sie verwalten, und sonst nichts - eine weitere großartige Verwendung eines IDM-Systems. Sie können von ihnen verlangen, dass sie für andere Zwecke einen temporären Zugang beantragen.
Dies sind nur die ersten Punkte auf einer langen Liste von Sicherheitslücken, und es lohnt sich, den Bericht der SANS-Sicherheitsumfrage vollständig zu lesen. Die Liste enthält eine Roadmap, wie Sie Ihre Sicherheitslücken schließen können, und hilft Ihnen dabei, weitere Schritte zu realisieren, die Sie unternehmen können. Wenn Sie jedoch nichts gegen die von SANS gemeldeten Probleme unternehmen, stinkt Ihre Cloud-Sicherheit und Sie werden wahrscheinlich in einen Strudel von Fehlern geraten, wenn Ihre Cloud den Abfluss zu einem vollen Ganzen umkreist Bruch.
