momius - Fotolia

Cloud Penetration Testing: Was Prüfer wissen sollten

Penetrationstests von Cloud-Plattformen unterliegen besonderen Voraussetzungen. Unser Experte zeigt, wie Sie Systeme auf Schwachstellen abklopfen.

Bei einem Pentrationstest sollten Unternehmen immer einem holistischen Ansatz folgen. Es macht nicht nur Sinn, die eigenen IT-Systeme regelmäßig auf Schwachstellen abzuklopfen, oft sind solche Überprüfungen auch von Compliance-Richtlinien wie PCI DSS oder anderen Regulierungen vorgeschrieben. Mit dem aktuellen Trend in Richtung Cloud müssen die entsprechenden Infrastrukturen und Applikationen mit in diese Tests einbezogen werden. Je nach Plattform ist das mit einigen Schwierigkeiten verbunden.

Cloud-Anbieter wie Amazon, Azure und Google verwalten die Sicherheit und Verfügbarkeit ihrer Cloud-Infrastruktur wie jedes größere Unternehmen. Sie überwachen und untersuchen Sicherheitszwischenfälle oder -Ereignisse. Cloud Service Provider, kurz CSP, müssen daher zwischen legitimen Penetrationstests von Kunden und echten Attacken unterscheiden.

Wenn Tests von Kunden die falschen Gegenmaßnahmen auslösen, können Verbindungen in ein DDoS-Blackhole geleitet oder Intrusion-Prevention-Systeme aktiviert werden. Das kostet nicht nur den CSP Zeit und wertvolle Ressourcen, aufgrund der geteilten Infrastruktur von Cloud-Systemen kann das auch negative Auswirkungen auf andere Kunden haben.

Kommunikation ist essentiell

Vor jedem Penetrationstest sollte in jedem Fall der CSP informiert werden. Die Kommunikation zwischen den Parteien ist ebenso wichtig, wie die Inhalte an sich. Der CPS benötigt einige Zeit, um sich auf die Tests einzustellen, entsprechend sollten Tester genügen Vorlaufzeit einplanen. Die Meldung sollte den Zeitraum und den Umfang des geplanten Tests beinhalten, der eigentliche Test sollte nicht von dieser Meldung abweichen.

Die meisten Anbieter, darunter Microsoft und Amazon, haben die entsprechenden Informationen zum Ablauf auf ihrer Webseite veröffentlicht. Nutzen Sie die entsprechenden Vorlagen und Kontaktinformationen, um den Anbieter über Ihre Tests zu informieren. Google arbeitet etwas anders: Solange sich Tester an die Vorgaben halten, müssen Überprüfungen nicht angemeldet werden. Diese sind in der Acceptaple Use Policy und der Cloud Security FAQ zusammengefasst. Zudem dürfen die Penetrationstests nur die Projekte des jeweiligen Nutzers betreffen, aber das sollte für alle Anbieter gelten.

Die Grenzen von Cloud Penetration Testing

Vor den Tests ist es wichtig, die Grenzen von Cloud Penetration Testing zu kennen. Das bedeutet etwa, dass man sich über seine Verantwortung bewusst ist. Diese verändert sich je nachdem welche Art von System überprüft wird – IaaS, PaaS oder SaaS stellen jeweils unterschiedliche Anforderungen. Eine IaaS-Umgebung etwa erlaubt ein deutlich aggressiveres Vorgehen als etwa SaaS-Angebot, was vor allem daran liegt, dass bei SaaS oft zahlreiche Kunden auf dem System arbeiten und ein Ausfall diese massiv betreffen würde. Zudem werden in einer IaaS-Konfiguration das Betriebssystem der Zielserver vom Kunden aufgesetzt und dediziert von diesem verwaltet. Das trifft bei SaaS nicht zu. Ein Pentrationtest kann im Zweifel ein System komplett offline nehmen. Das ist kein Problem bei einem Server, den das Unternehmen komplett kontrolliert, aber ein enormes Problem, wenn andere Kunden unerwartet offline genommen werden.

Ein anderer Aspekt, den man bei der Planung eines Penetrationstests beachten muss, ist, ob eine Pivoting-Attacke notwendig wird. Bei diesen Angriffen werden bereits geknackte Systeme genutzt, um andere Umgebungen zu attackieren. Damit lässt sich beispielsweise ein Firewall-Filter umgehen. Angreifer könnten mit so einer Attacke beispielswiese einen vertrauenswürdigen Dienst zwischen zwei Hosts nutzen, um von einem Netzwerk via VPN in ein anderes zu hüpfen oder um sich über mehrere Netzwerk-Interfaces verbreiten. Beachten Sie dabei, dass ein Wechsel von einem Cloud-System auf einen lokalen Server normalerweise von den CSPs nicht erlaubt ist. Das limitiert einen Penetrationstester, hält einen echten Angreifer aber nicht auf. Das bedeutet auch, dass so ein Test nicht komplett sein kann.

Abbildung 1: Wer für was verantwortlich ist, hängt davon ab, welche Art von Infrastruktur zum Einsatz kommt.

Eine Distributed-Denial-of-Service-Attacke (DDoS) ist ebenfalls meistens verboten. Solche Tests lassen sich nur schwer von ungenehmigten Angriffen unterscheiden und entsprechend können CSPs sie nur schwer ausfiltern. Der Grund dafür sind die hunderten oder tausenden IP-Adressen, die bei einer solchen Attacke zum Einsatz kommen. Diese lassen sich nicht oder nur mit großem Aufwand aus dem allgemeinen Traffic ausfiltern, so dass solche Angriffe normalerweise die automatischen Verteidigungsmechanismen auslösen.

Techniken für Cloud Penetration Testing

Normalerweise nutzen CPS eigene interne Penetration-Testing-Teams, zugleich greifen sie auf die Dienste externer Prüfer zu. Microsoft hat etwa ein aktives Red Team, das aktive Angriffe auf die Plattform fährt, ebenso wie ein Blue Team, das sich um die Verteidigung von Azure kümmert. Diese Sicherungsmethoden betreffen aber nur die Plattform an sich, nicht die Systeme oder die Applikationen der Kunden.

Einige CSPs bieten die Dienste ihrer eigenen Penetration-Testing-Teams ihren Kunden als Dienstleistung an. Damit kann viel Planung und Kommunikation vereinfacht werden, zudem reduziert es einige Beschränkungen der Testmethoden. Beispielsweise kann dann eine DDoS-Attacke direkt vom internen Netzwerk aus auf ein System beschränkt ausgeführt werden. Das begrenzt die Auswirkungen für den CSP und andere Kunden auf dem System. Eben weil der CSP so viel mehr Kontrolle über die Tests hat, kann er oft auch zusätzliche Angriffsmethoden wie Pivoting testen und den Kunden anbieten.

Viele große Sicherheitsfirmen bieten inzwischen Tests an, die auf die Überprüfung von Cloud-Systemen und -Angeboten spezialisiert sind.

Fazit

Cloud-Systeme müssen nicht unsicher sein – die zahlreichen erfolgreichen Angriffe auf interne Systeme können das bezeugen. Je mehr Unternehmen Cloud-Systeme in ihre IT-Infrastruktur einbauen, desto mehr müssen Penetrationstests auf diese Herausforderungen reagieren. Neue Drittanbieter tauchen auf, existierende Anbieter erweitern ihr Portfolio um Cloud-Dienste. Solange sich Kunden über die Beschränkungen von Cloud Penetration Tests im Klaren sind, können diese ebenso erfolgreich Schwachstellen aufzeigen wie Tests „normaler“ IT Infrastruktur.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close