Cloud Security

Cloud Security – Schutz Ihrer Daten in der Cloud

In Cloud Umgebungen redet man von einem “Shared Responsability Model”, wobei der Cloud Provider für die Sicherheit der Cloud selber zuständig ist, während die Kunden für die Sicherheit ihrer Daten in der Cloud verantwortlich bleiben. Obwohl Cloud-Provider viele Security Tools anbieten, sind diese oft kompliziert und funktionieren nur in der einen Cloud.

Übersicht Cloud Security

Cloud Security Lösungen bieten Möglichkeiten ihre Daten über mehrere Clouds hinweg (Multi-Cloud) oder zusammen mit ihrem On-Premises Environment (Hybrid Cloud) zu schützen.

Unabhängig davon, ob ihre Daten und Applikationen in einem VPC, auf VM’s, auf Containern oder auf Kubernetes Clustern liegen und ob sie Serverless Funktionen einsetzen, alle diese Umgebungen können und sollten geschützt werden. Aber jede dieser Umgebung hat ihre speziellen Herausforderungen und oft können die bestehenden On-Premises Tools diese nicht oder nur bedingt abdecken. Die Cloud Provider bieten meistens auch nicht genügend tiefgreifende oder spezialisierte Lösungen und viele Open-Source Lösungen sind kompliziert zu konfigurieren und nicht einfach in bestehende Umsysteme einzubinden.

Deswegen empfehlen wir Best-of-Breed Security-Lösungen auch für die Cloud.

Cloud Access Security Broker (CASB)

Ein Cloud Access Security Broker (CASB) ist eine Lösung, die zwischen den Benutzern und den Cloud Services selber sitzt und verschiedenste Arten von Security Policies Durchsetzen kann (enforcement). Damit kann man sicherstellen, dass ein mindestens Mass an Sicherheitsrichtlinien eingehalten wird, wenn man auf SaaS (Software as a Service) Lösungen wie O365, Salesforce oder Google Apps zugreift.

CASB sind auch äusserst effizient in der Identifizierung der Benutzung von nicht autorisierten Cloud Services (das nennt man Shadow IT).  Je nach CASB Lösung kann man auch DLP (Data Leakage/Loss Prevention) Policies aufschalten. Auch Sicht von Datensicherheit, kann man credential mapping, device profiling, encryption, tokenization, logging, malware detection, usw.benutzen. Damit können diese Lösungen ziemlich flexibel eingesetzt und gut auf die individuellen Bedürfnisse angepasst werden.

Empfohlene Lösung:

Securing Infrastructure-as-a-Service (IaaS)

Gerade im Infrastructure-as-a-Service (IaaS) Bereich, gibt es viele verschiedene Ausprägungen.

Wer VM’s und DB Server in der Cloud einsetzt, muss sicherstellen, dass diese immer auf dem letzten Stand ge-patched sind und dass ein adäquates hardening vorgenommen wurde.

Gleichzeitig empfehlen wir den Einsatz einer Cloud Security Platform, die nicht nur die VM’s selber, sondern auch den eingehenden und ausgehenden Verkehr sowie auch den Verkehr zwischen den VM’s überwacht und bei Anomalien einen Alert auslöst. Damit Anomalien identifiziert werden können muss zuerst eine Baseline erstellt und dann kontinuierlich angepasst werden.

Gerade bei einer grösseren Anzahl von Devices in der Cloud sind robuste Policies absolut unumgänglich. Wir empfehlen das Einsetzen von Cloud Security Groups die automatisch in den Developer Process integriert sind. D.h. konkret, dass auch bei einer dynamischen Erstellung von neuen Servern (wie bei Elastic Groups, wo automatische zusätzliche Ressource aufgeschaltet werden, z.B. neue Front-End Server bei steigendem Load) durch den Einsatz von Security-Groups diese neuen Server Teil der bestehenden Policy werden und somit auch gleich geschützt sind.

Gerade beim Einsatz von VPCs (AWS Virtual Private Cloud, oder Azure Virtual Network) muss man sich genau überlegen, ob man eine Mikrosegmentierung vornehmen kann und soll und wie man den Network Flow innerhalb des VPCs sowie auch zwischen VPCs schützen will. In diesem Fall können auch Next-Gen Firewalls eingesetzt werden, ähnlich wie man sie von On-Premises Installationen kennt.

Empfohlene Lösung:

Advanced Cloud Security - CloudGuard Overview

Container Security

Containerization ist der nächste Schritt in Virtualisierungslösungen. Anstatt VM’s, auf denen ein komplettes OS läuft und die einen Hypervisor benötigen, laufen bei Containern die Applikationen nur mit sogenannten Support-Files, die für die Applikation benötigt werden. Dabei gibt es keinen Hypervisor mehr und die Container sind sehr klein und laden sehr schnell.

Die grundlegenden Risiken bleiben aber sehr ähnlich, sie passen sich nur der Plattform an. Es kann immer noch ein Denial of Service gegen eine Applikation benutzt werden (vor allem solche Attacken, die versuchen die Ressourcen der Applikation zu besetzten).

Kernel Exploits auf dem Hostsystem sind möglich, wie auch Container Breakouts (aus dem Isolations-Layer des Containers ausbrechen) und sogenannte Poisoned Images (Docker Images mit bestehenden Vulnerabilities).

Containersecurity agiert oft näher bei den Entwicklern, deswegen spricht man auch von “Security shifting left”. Dabei ist gemeint, dass man in der CI/CD Umgebung (Continuous Integration / Continuous Deployment) sehr früh in der Pipeline mit Security anfängt, nämlich mit Statischer Code Analyse und Vulnerability scanning. Je früher man ein Problem identifiziert, desto besser. Sollte trotzdem eine Vulnerability in einem Container der deployt ist identifiziert werden, dann patcht man diesen nicht, sondern man bereitet ein neues und ge-patchtes Image vor, dass dann anstelle des alten deployed wird.

Auch mit Containern und Mikrosegmentierung ist es sehr wichtig klar zu identifizieren, welche Applikationen sich mit welchen Servicen verbinden, und dafür ist eine Application-Visibility Lösung ideal. Damit kann man auch eine Baseline erstellen und gegen die Baseline monitoren (z.B. ob plötzlich viel mehr Verkehr zwischen 2 Servern läuft als normal oder ob die Richtung des Datenflusses plötzlich nach aussen anstatt nach innen zeigt, usw.).

Wir evaluieren aktuell verschiedene Lösungen für Container Security und beraten Sie gerne bei der Auswahl. Nehmen Sie mit unserem Head of Cloud Security, Borna Cisar, Kontakt auf: b.cisar@avantec.ch.

Serverless

Serverless oder FaaS (Functions as a Service) sind ein weiterer Schritt in der Abstraktion der Infrastruktur. Grundsätzlich versteht man unter Serverless jede Situation, in der ein Cloud User die unterliegende Hardware nicht mehr direkt managed. Dabei gibt es Serverless Kubernetes Lösungen oder die Functions as a Service (FaaS) die den meisten bereits bekannt sind. Die meisten Security Lösungen können bei Funktionen nicht mehr eingesetzt werden und das normale Host logging (oder monitoring) ist auch nicht mehr (oder nur sehr eingeschränkt) möglich.

Jedoch sind gewisse Vorkehrungen weiterhin möglich und verschiedene Container-Security Lösungen können auch bei Serverless eingesetzt werden. Man kann den Code (die Funktion) mit einem Security Code ergänzen (oder den eigenen Code sogar in so einen Security Code einbetten) und dieser übernimmt dann die Funktion einer Firewall oder eines klassischen Software-Agenten und ermöglicht nicht nur ein Baselining, sondern kann auch eine Form von Mikrosegmentierung ermöglichen. Damit kann man auch Funktionen wieder monitoren, loggen und alerts können generiert werden.

Wir evaluieren aktuell verschiedene Lösungen für Serverless Security und beraten Sie gerne bei der Auswahl. Nehmen Sie mit unserem Head of Cloud Security, Borna Cisar, Kontakt auf: b.cisar@avantec.ch.

Continuous Compliance

In Cloud-Umgebungen kann man verschiedenste Umgebungen sehr schnell aufbauen und seine Applikationen über mehrere Clouds hinweg, mit On-Premises Elementen verbinden. Vor allem wenn eine gute Integration zwischen Security, Operations und Entwickler-Teams besteht (Stichwort SecDevOps oder DevSecOps) und vieles automatisiert abläuft, dann muss man sicherstellen, dass alle Policies korrekt konfiguriert worden sind und auch effektiv eingesetzt werden. Dies sollte idealerweise kontinuierlich überwacht werden und wenn eine VM ohne die richtigen Security-Tags hochgefahren wird oder, wenn sonst irgendein Teil der eigenen Infrastruktur die vordefinierten Sicherheitsrichtlinien verletzt, dann muss die korrekte Policy automatisch umgesetzt werden (automatic policy enforcement).

Cloud Compliance Lifecycle Diagram

Dafür gibt es verschiedene Lösungen, die Continuous Compliance (kontinuierliche Compliance) anbieten und mit einem Single-Pane-of-Glass Konzept (ein Dashboard für alle Umgebungen) Visibilität erschaffen. Dabei werden oft Policies angeboten, die auf bestehenden Sicherheitskonzepten beruhen (wie PCI-DSS, HIPAA, GDPR, usw.) und die man fixfertig einsetzen kann. Und gewisse Hersteller bieten vereinfachte (oder sogar visuelle) Programmiersprachen an, um diese Policies anzupassen oder ganz neu zu schreiben.

Weil in der Cloud alles sehr viel schneller passiert, muss auch die Compliance Schritt halten können.

Wir evaluieren aktuell verschiedene Lösungen für Continuous Compliance und beraten Sie gerne bei der Auswahl. Nehmen Sie mit unserem Head of Cloud Security, Borna Cisar, Kontakt auf: b.cisar@avantec.ch.

Unsere Fachspezialisten helfen Ihnen gerne weiter!

Portrait TB

Tobias Balschun

Senior Security Engineer

+41 44 457 13 13
t.balschun@avantec.ch

Portrait BC

Borna Cisar

Head of Cloud Security

+41 44 457 13 13
b.cisar@avantec.ch