Wie Systemadministratoren ihre Cloud absichern (sollten)
Wer eine Cloudumgebung konfiguriert, darf die Sicherheit nicht ausser Acht lassen. Das IT-Sicherheitsunternehmen Scip nennt besonders häufige Konfigurationsfehler und sagt, wie sie sich vermeiden lassen.
Die Cloud ist eine feine Sache – aber oft auch eine gefährliche. Zumindest dann, wenn die Administratoren beim Konfigurieren der Cloudumgebung nicht an die Sicherheit gedacht haben. Laut Scip gibt es eine ganze Reihe von Konfigurationsfehlern, die man zu Ungunsten der Cloudsicherheit machen kann. In einem ausführlichen Onlinebeitrag zählt die Zürcher IT-Sicherheitsfirma "die Top-10 risikoreichsten Konfigurationen" auf. Das Unternehmen bezieht sich dabei insbesondere auf die Microsoft Cloud. Doch das Gros der genannten Punkte gilt ebenso für Cloudumgebungten anderer Anbieter.
Zu viele Ausnahmen, zu wenig Einschränkungen
Manche der genannten Punkte haben mit den erteilten Berechtigungen zu tun. Scip schreibt, dass sie beispielsweise bei 80 Prozent ihrer Cloud-Assessments auf mindestens ein reguläres Benutzerkonto treffen, die der globalen Administrator-Rolle zugewiesen sind. Oft gebe es auch schlicht zu viele Administratoren. Einer der häufigsten Gründe für diese Praxis sei, "dass verschiedene IT-Teams mit unabhängigen Projekten und engen Zeitplänen die Microsoft Cloud administrieren", schreibt die Firma.
Auch definierte Ausnahmen, etwa für Global Administrator in Conditional-Access-Regeln, sind Scip ein Dorn im Auge. "Leider ist die Begründung allzu oft die Umgehung von Sicherheitskontrollen oder ein Shortcut, um Zeit zu sparen", kommentiert das Unternehmen. Es rät dazu, für privilegierte Rollen nie Ausnahmen zu definieren – ausser bei Notfall-Konten (auch Breakglass-Accounts genannt), mit denen man etwa im Störungsfall noch auf die Umgebung zugreifen können sollte.
Umgekehrt werden Handlungen privilegierter Nutzer oft nicht genug eingeschränkt. Scip nennt etwa das Beispiel, dass sich Nutzer mit privilegierten Rollen von jedem beliebigen Gerät anmelden können. Das Unternehmen rät hier dazu, mittels Conditional Access festzulegen, auf welchem Gerät sich ein Benutzer mit einer bestimmten Rolle anmelden darf.
Sechs Ratschläge
Konfigurationsfehler können auch aufgrund mangelnden Wissens gemacht werden. Das gehe oft Hand in Hand mit einer Silo-Mentalität, schreibt Scip. Als Beispiel nennt der Autor des Artikels vier Orte, an denen in der Microsoft-Cloud Benutzerrechte verwaltet werden können. Ebenfalls gefährlich sind veraltete oder fragwürdige Denkweisen. So sei es wichtig zu verstehen, dass der Cloudanbieter zwar die Tools und die Plattform für eine sichere Cloud zur Verfügung stelle. Deren Konfiguration, Überwachung und Sicherung obliege jedoch dem Kunden. "Microsoft kümmert sich schon darum" gilt also nicht.
Die sechs Schlüsselpunkte, in denen Scip den Artikel zusammenfasst, können als Ratschläge verstanden werden:
Vermeidung regulärer Benutzerkonten für privilegierte Aufgaben
Etablierung von Cloud Identity Access Management-Prozessen
Vermeidung von zu vielen Administratoren
Vermeiden von Ausnahmen für privilegierte Rollen
Etablierung von strikten Tenantverwaltungsrichtlinien
Investition in die Denkweise eines Verteidigers und Angreifers
Die Kosten zur Sicherung von Cloud-Umgebungen nehmen weiter zu. Für 2023 prognostiziert Gartner einen Anstieg um 26 Prozent. Woran das liegt, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.