Cloud Security

Clouds gegen Angriffe absichern

Eine Cloud stellt Ressourcen über ein Netzwerk zur Verfügung – grundsätzlich virtualisiert, sodass den Nutzern jedenfalls keine physischen Ressourcen exklusiv zur Verfügung stehen. Dementsprechend fallen unter den Begriff des Cloud Computing diverse, heterogene Architekturen. Eine erste Kategorisierung findet meist in Public, Private oder (als Mischform) Hybrid Cloud statt. Dabei wird unterschieden, ob die Ressourcen öffentlich einer breiten Kundenbasis zur Verfügung stehen (Public) oder in individuellen Umgebungen ausgewählten Kunden dedizierter Zugriff gewährt wird (Private). Auch eine Mischform aus den zwei Welten (Hybrid) ist möglich. Darauf basierend lassen sich Software (SaaS), Platform (PaaS) oder Infrastructure (IaaS) as a Service unterscheiden. Dabei kann der Cloudanbieter das Hosting von Software komplett übernehmen (z.B. Microsoft Office 365), eine Plattform für weitere Entwicklung bereitstellen (z.B. Google App Engine) oder virtuelle Server anbieten (z.B. Amazon EC2).

Dem Hoster der Cloud Lösung muss grundsätzlich Vertrauen entgegen gebracht werden. Besonderer Fokus liegt auf Themen der Datenverschlüsselung in der Cloud und das zugrundeliegende Keymanagement. Außerdem die verschlüsselte Kommunikation zu externen Instanzen außerhalb der Cloud Lösung, sowie die Kommunikation innerhalb der Cloud. Des Weiteren ist eine vollständige Mandantenfähigkeit von Public Clouds von elementarer Bedeutung, sodass eine umfassende Zugriffverwaltung gewährleistet ist. Im Rahmen eines Security Audits werden u.a. all diese Themen adressiert.

Container Orchestrierung in Cloud Lösungen

Containerisierung bietet eine einfache Möglichkeit zur Separierung einzelner Anwendungen oder Dienste mit wenig Overhead. Zentraler Vorteil von Containern gegenüber virtuellen Maschinen ist die damit einhergehende höhere Effizienz. Physische Ressourcen können gut ausgenutzt werden, Build & Integration Prozesse in heterogenen Systemen können vereinheitlicht werden und die Komplexität bei Skalierungen wird verringert. Ein weiteres wesentliches Argument für den Einsatz von Containern ist die Erhöhung des Sicherheitsniveaus. Eine granuläre Isolierung wird ermöglicht und das Risiko von Fehlkonfigurationen wird verringert. Entscheidend ist hierbei die korrekte, an die Umgebung angepasste Konfiguration.

CPU Sicherheitslücken und der Einfluss auf die Cloud

Im Besonderen beeinflussen Angriffe auf die Mikroarchitektur von Prozessoren (Meltdown, Spectre, Foreshadow, ZombieLoad etc.) die Sicherheit von Cloud Architekturen, unabhängig davon, ob es sich um Public, Private Clouds oder um Container handelt. Gemein haben die Lösungen, dass diese auf virtualisierten Ressourcen laufen. Die Bedrohung resultiert aus der gemeinsam genutzten Hardware mit anderen Anwendungen aufseiten des Hosters. Somit müssen die daraus resultierenden Bedrohungen des Informationsabflusses, bei nicht dedizierter Hardware, immer betrachtet werden. Information Leaks sind besonders kritisch, wenn dadurch beispielsweise Schlüsselmaterial zur Verschlüsselung Dritten zugänglich wird.
Cloud Security umfasst eine Sammlung von technischen und organisatorischen Maßnahmen. Beispielsweise die Attestierung vonseiten des Hosters, in welcher geografischen Region, unter welchen nationalen Gesetzen die (ggf. personenbezogenen Daten) verarbeitet und gespeichert werden oder die Überprüfung der Ciphersuites eingesetzter Transportverschlüsselungen. Aus der jeweiligen konkreten Implementierung einer Cloud Lösung ergeben sich unterschiedliche Bedrohungslandschaften, z.B. wenn ein Softwareanbieter den Zugriff auf die eigene Software nur in einer Cloud des Anbieters vorsieht. softScheck prüft die vorliegenden Bedrohungen und identifiziert Sicherheitslücken in der Cloud, in den Containern – jeweils im Quellcode und im ausführbaren Code. Auf die Cloud Lösung angepasste Security Audits werden anhand von Industriestandards und Best Practices durchgeführt, wie den domänenspezifischen Empfehlungen der Cloud Security Alliance und dem allgemein bekannten OWASP Testing Guide.

Darüber hinaus steigert der Einsatz eines Secure SDLC, wie dem softScheck Secure Delevopment Lifecycles auf Basis der ISO 27034 und dem Microsoft Security Development Lifecycle (SDL), für den gesamten Entwicklungsprozess das Sicherheitsniveau.

softScheck Logo