Penetration Testing für Cloud-Dienste und Cloud-Infrastruktur

Der Einsatz von Cloud-Diensten nimmt zwar Arbeit ab, erhöht aber an anderen Stellen auch den Aufwand und die Komplexität. Je nach eingesetztem Service-Modell (IaaS / PaaS / SaaS) liegt mehr Sicherheitsverantwortung beim Cloud-Dienstleister oder mehr beim Nutzer der Dienste. Ganz unabhängig davon gibt es aber noch eine zusätzliche Komponente, die nicht übersehen werden darf: Während es bisher in eigenbetriebenen IT-Infrastrukturen ein Unding war, Verwaltungsoberflächen zu Infrastruktur (z.B. zu Switches, Firewall oder VPN-Gateways) im Internet zu exponieren, ist dies bei Cloud-Anbietern die Regel.

Cloud-Anbieter Security

Verwaltungsschnittstellen, wie z.B. das Azure Portal oder die AWS Console von Amazon, erlauben deutlich mehr als nur das Konfigurieren von Firewalls oder Switches und sind für jeden im Internet erreichbar. Daher existieren für die Sicherheit von Cloud-Diensten weitere wesentliche Risikofaktoren: die Identität, das Nutzerkonto, mit dem sich Nutzer anmelden, und die Bedingungen, unter welchen dies in welchem Umfang möglich ist.

Um die Sicherheit der Identitäten bzw. deren Zugangsmöglichkeiten in der Cloud zu prüfen, bieten wir einen Cloud Security Audit an. Hierbei handelt es sich nicht um einen Penetrationstest im eigentlichen Sinne, sondern vielmehr um eine Überprüfung der Einhaltung von Empfehlungen zur Sicherung der Identität und deren Zugangsbeschränkungen. Cloud Penetration Testing ist also ein Whitebox-Test, bei dem wir die Konfiguration der zentralen Cloud-Dienste zur Sicherung des Cloud-Dienstes selbst überprüfen.

Externer Penetrationstest

Bei Diensten mit einem Service-Modell wie IaaS, bei dem der Nutzer selbst für die Sicherung von Betriebssystem und „allem darüber“ verantwortlich ist, verhält es sich mit Penetrationstests ähnlich wie bei on-premise IT-Systemen. Dienste, die im Internet erreichbar sind, sollten unbedingt mit einem externen Penetrationstest geprüft werden.

Vergleichbar sind PaaS-Dienste, wobei hier die Verantwortung des Kunden bereits deutlich geringer ausfällt. Aber auch hier können Fehlkonfiguration und unnötige Exponierung der Anwendungen bereits Sicherheitslücken verursachen, die in einem Penetrationstest entdeckt werden können. Generell sollten aber genauso auch (Web-)Anwendungen, die auf diesen Plattformen betrieben werden, wie jede anderswo betriebene Anwendung auch einem (Web-)Anwendungs-Penetrationstest unterzogen werden.

Cloud Security Audit

Beim SaaS-Modell übernimmt bereits der Cloud-Anbieter das Durchführen von Penetrationstests auf Infrastruktur und Anwendung und kann in manchen Fällen sogar auf Nachfrage die Berichte hierfür zur Verfügung stellen. Davon unabhängig kann aber jeder Cloud-Dienst, auch wenn er bereits mehrfach Penetrationstests unterzogen wurde, durch Fehler in der Konfiguration unsicher werden. Deshalb bietet Ihnen NSIDE ATTACK LOGIC GmbH die Überprüfung der Konfiguration Ihrer Cloud-Anwendungen in einem Cloud Security Audit an, um genau solche Sicherheitsprobleme frühzeitig zu erkennen.

 

Cloud Penetration Testing für Dienste & Infrastruktur

Um Ihnen das bestmögliche Produkt zu liefern, passen wir die Testparameter wie Umfang und Vorgehen auf Ihre individuellen Bedürfnisse an. Kontaktieren Sie uns einfach, dann setzen wir uns zeitnah mit Ihnen in Verbindung.