Der Trend der letzten Jahre, immer mehr Anwendungen und Daten in die Cloud zu verschieben und dort zu verarbeiten, geht natürlich auch an der IT Security Branche nicht spurlos vorbei. Jedoch war die Cloud bisher für die meisten fachlich und technisch für diese Anwendungen und Daten Verantwortlichen maximal eine Spielwiese. Zusätzlich ist gerade dem Management meist nicht bewusst, dass jemand, der viel Erfahrung in klassischer on-premise-Administration von Systemen hat, diese nicht zwangsweise auch eins zu eins in die Cloud-Welt übertragen kann. Gerade aus Sicherheitssicht, sowohl technischer als auch organisatorischer Natur, ergeben sich viele neue Abhängigkeiten und Anforderungen, die in einem klassischen Umfeld nicht gegeben wären.

Wenn es um IT-Sicherheit in der Cloud geht, ist der erste Gedanke bei vielen: „Darum kümmert sich doch jetzt der Cloud-Anbieter?“ Leider stimmt das so nicht: Je nach eingesetztem Service-Modell (IaaS / PaaS / SaaS) liegt die Sicherheitsverantwortung mehr beim Cloud-Dienstleister oder mehr beim Nutzer der Dienste. Ganz unabhängig davon gibt es aber noch eine zusätzliche Komponente, die nicht übersehen werden darf: Während es bisher in eigenbetriebenen IT-Infrastrukturen ein Unding war, Verwaltungsoberflächen zu Infrastruktur (z.B. zu Switches, Firewall oder VPN-Gateways) im Internet zu exponieren, ist dies bei Cloud-Anbietern die Regel.

Shared responsibility model

Quelle: https://docs.microsoft.com/de-de/azure/security/fundamentals/shared-responsibility

Selbst bei Service-Modellen wie SaaS (Software-as-a-Service, z.B. SharePoint Online oder Teams), bei denen der Großteil der Sicherheitsverantwortung vom Cloud-Dienstleister getragen wird, bleiben also Sicherheitsaspekte, die Sie als Kunde von Microsoft zu verantworten haben. Dies sind vor allem auch solche, die bei einem klassischen Betrieb des Systems einen anderen Stellenwert eingenommen haben, da bei Cloud-Diensten ein anderes Bedrohungsmodell angelegt werden muss: Cloud-Dienste sind typischerweise im Internet exponiert. Anders als bei Ihrem lokal betriebenen SharePoint müssen also alle Aspekte, die bei einem im Internet exponierten Login-Verfahren berücksichtigt werden müssen, auch angewendet werden (Identitätsmanagement). Microsoft proklamiert nicht umsonst die Identität als neue Security Boundary in der Cloud.

Aufgrund der Komplexität der SaaS-Anwendung sind auch Konfigurationsfehler keine Seltenheit, die zu (Informations)Sicherheits- und Datenschutzproblematiken führen. Wie angesprochen muss auch hier ein anderes Bedrohungsmodell angenommen werden, weshalb Einstellungen aus on-premise-Installationen nicht einfach eins zu eins auf eine Cloud-Anwendung übertragen werden dürfen.

Mehr Verantwortung kommt beim PaaS-Modell (Plattform-as-a-Service, z.B. Azure App Service) hinzu. Zum Beispiel bei Azure App Service müssen Sie sich als Betreiber der Anwendung, welche auf der Plattform betrieben wird, selbst um (Web-)Anwendungsschwachstellen wie SQL Injections oder Cross-Site Scripting kümmern. Und auch wenn sich Azure um das Patchen und die Wartung des zugrunde liegenden Web Servers und Betriebssystems kümmert, liegt es in Ihrer Verantwortung, dass eingebundene Software-Bibliotheken aktuell gehalten werden und keine bekannten Schwachstellen enthalten.

Den geringsten Unterschied zwischen klassischem On-Premise oder Rechenzentrumsbetrieb und Cloud-Umgebungen gibt es bei IaaS (Infrastructure-as-a-Service, z.B. Azure Virtual Network, Azure Virtual Machines). Cloud-Anbieter unterstützen Sie zwar bei den typischen Themen wie Netzwerk-Firewalling oder Betriebssystemupdates durch weitere entsprechende Werkzeuge und Cloud-Dienste, aber diese müssen auch genutzt und konfiguriert werden, um einen Mehrwert zu bringen und die zunächst einmal erhöhte Komplexität durch die Verwendung eines Cloud-Anbieters auch zu rechtfertigen. Hier sehen wir bei unseren Cloud Security Audits auch die größten Differenzen in organisatorischen Sicherheitsbelangen: während es für on-premise-Infrastruktur klare Prozesse, ein sauberes Assetmanagement und gut definierte Verantwortlichkeiten gibt, sind diese im Cloud-Pendant oft verwaschen und werden generell nicht als Teil der eigenen Infrastruktur betrachtet.

Bei all diesen Themen hilft Ihnen NSIDE ATTACK LOGIC GmbH durch Security Consulting und je nach Betriebsform geeigneten Prüfungen und Penetrationstests. Details finden Sie auf unserer Informationsseite zu Penetrationstest in der Cloud.