ArtikelCloud

Mit Pizza und Lego Fehlkonfigurationen vermeiden

Autor/Redakteur: Richard Werner, Business Consultant bei Trend Micro/gg

Gartner geht davon aus, dass bis zum Jahr 2025 mehr als 99 Prozent aller Sicherheitsvorfälle in der Cloud auf Konfigurationsfehler zurückgehen werden. Das Problem: Viele Anwender sind sich ihrer eigenen Verantwortung beim Aufbau und Betrieb ihrer Cloud-Umgebungen nicht bewusst. Um die Thematik besser zu verstehen, helfen zwei einfache Analogien: Pizzaessen und Legobauen.

Bild: Trend Micro

Bei ihrer Digitalisierung setzen Unternehmen verstärkt auf Cloud-Services. Das ist richtig und wichtig, denn die Cloud bietet die nötige Agilität und Skalierbarkeit, um neue Projekte schnell umzusetzen und zukunftsfähig zu bleiben. Doch gerade, wenn Migrationen oder Neuentwicklungen unter Zeitdruck erfolgen, ist das Risiko für Fehler groß – zumal die Konfiguration und Architektur der Cloud-Umgebungen spezifisches Fachwissen erfordert. Denn jeder Anbieter hat seine Besonderheiten.

Eine gravierende Fehlkonfiguration, die den Sicherheitsforschern von Trend Micro häufig auffällt, ist zum Beispiel fehlende Verschlüsselung von Amazon Elastic Block Store (EBS) Volumes. Das ergaben anonymisierte Backend-Datenauswertungen der Security-Lösung Trend Micro Cloud One Conformity. Obwohl Amazon empfiehlt, EBS Volumes auch im Ruhezustand zu verschlüsseln, tun viele Kunden dies nicht. Vermutlich glauben sie, die Verschlüsselung sei automatisch eingestellt – und wissen gar nicht, dass sie sich selbst darum kümmern müssen. Eigentlich genügt dafür ein einziges Häkchen in der richtigen Checkbox.

Was die Cloud mit Pizzaessen zu tun hat

Um solche gefährlichen Fehler zu vermeiden, müssen sich Unternehmen ihrer Eigenverantwortung überhaupt erst einmal bewusst sein. Diese fällt je nach gewähltem Cloud-Modell unterschiedlich groß aus. Anschaulich erklären lässt sich das mit dem Pizza-Vergleich: Wer eine Pizza essen möchte, kann sie entweder selbst backen, beim Lieferservice bestellen oder im Restaurant essen. Bei der selbstgemachten Pizza ist der Kunde für alles selbst verantwortlich: den Pizzateig, den Belag, den Ofen, den Esstisch sowie Teller und Besteck. Beim Lieferdienst kommt die fertige Pizza im Karton, man muss aber noch den Tisch selbst decken. Ein Restaurant bietet dagegen einen Rundum-Service. Ähnlich verhält es sich mit den verschiedenen Cloud-Modellen. Bei Software as a Service (SaaS) liegt die Verantwortung für die Sicherheit hauptsächlich beim Anbieter. Dies entspräche sozusagen der Pizza im Restaurant. Wer sich für Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) entscheidet, übernimmt mehr Verantwortung. Wer seine Dienste komplett On-Premises betreibt, die volle Verantwortung. In einem Shared-Responsibility-Modell garantiert der Cloud-Provider in der Regel die Absicherung der Server, der Datenbanken und der weiteren Hardware des Cloud-Dienstes. Der Kunde hingegen sichert den Zugriff auf die Daten und die Berechtigungen für die Datennutzung.

Wie Lego hilft, die Cloud-Architekturen sicherer zu gestalten

Sich der eigenen Verantwortlichkeitsbereiche bewusst zu werden, ist der erste Schritt zu mehr Cloud-Security. Zusätzlich müssen Unternehmen aber auch genau wissen, worauf sie achten sollten, um ihre Cloud-Umgebung sicher aufzubauen. Die großen Provider haben zwar Frameworks veröffentlicht, in denen sie Anwendern Best Practices für die sichere Cloud-Architektur in die Hand geben. Es steht jedoch jedem frei, sich an diese Anleitung zu halten oder nicht. Beides kann zu hervorragenden Ergebnissen führen. Wichtig ist nur, dass man sich der jeweiligen Abhängigkeiten und Auswirkungen bewusst ist. Dies lässt sich gut mit einem weiteren Vergleich erklären: Wie beim Legospielen erhalten Anwender einen Kasten mit Bausteinen und einer Anleitung. Sie können diesem Framework genau folgen oder lieber ihr eigenes System erschaffen. Wer ohne Anleitung baut, sollte jedoch bedenken, dass jeder Stein im Fundament früher oder später die Integrität der gesamten Konstruktion auf die eine oder andere Weise beeinflussen wird. Daher ist es von entscheidender Bedeutung, jedes Teil zu kennen und seine Auswirkungen zu verstehen.

Technische Unterstützung ist gefragt

Leider hat kaum jemand Zeit, sich detailliert mit den umfangreichen Frameworks der Provider auseinanderzusetzen. Häufig stehen Mitarbeiter unter hohem Zeitdruck. In vielen Unternehmen fehlen zudem Cloud-Security-Experten. Umso wichtiger ist eine verlässliche Cloud-Security-Lösung, die den Verantwortlichen mit Automatisierung unter die Arme greift. Ein solches Cloud Security Posture Management scannt die gesamte Cloud-Umgebung, erkennt Schwachstellen und hilft, sie zu schließen. Trend Micro bietet eine entsprechende Lösung als Teil der skalierbaren Sicherheitsplattform Cloud One und als durchgängige SaaS-Plattform. Indem Unternehmen die Konzepte von Pizza und Lego im Hinterkopf behalten und sich durch eine geeignete Security-Software unterstützen lassen, können sie Cloud-Fehlkonfigurationen und die damit verbundenen Risiken vermeiden.