nobeastsofierce - Fotolia

Cloud-Sicherheit: Monitoring und Schwachstellen-Scans einrichten

Ein kontinuierliches Monitoring und Abklopfen auf Schwachstellen ist in Cloud-Umgebungen nicht minder wichtig als in lokalen Installationen.

Seitdem Systeme und Anwendungen in der Cloud betrieben werden, müssen Sicherheitsteams auch dafür sorgen, dass bei allen in Cloud-Umgebungen ausgeführten Diensten ein kontinuierliches Monitoring gewährleistet ist. Und das ist aufgrund der in der Vergangenheit häufig fehlenden Werkzeuge in Sachen Intrusion Detection, Monitoring oder auch Reporting gar nicht immer so einfach. Inzwischen haben aber viele Sicherheitsverantwortliche erkannt, dass ihnen eine breite Palette an Lösungen zur Verfügung steht, um die Cloud-Umgebungen abzusichern und viele Optionen Prävention, Erkennung und Reaktion zu automatisieren.

Zwei Kernelemente kennzeichnen die fortlaufende Überwachung von Cloud-Umgebungen: Monitoring und die Untersuchung auf Schwachstellen. Zunächst müssen Sicherheitsteams für ein grundsätzliches Monitoring und die Protokollierung von virtuellen Maschinen, Containern und Cloud-Diensten im Allgemeinen sorgen. Dies schließt auch alle Aktivitäten in SaaS-Umgebungen (Software-as-a-Service) ein. Das grundlegende Monitoring lässt sich in der Regel schon durch das Sammeln und Verarbeiten der Daten und Protokolle realisieren, die durch die APIs der Cloud-Anbieter zur Verfügung gestellt werden. Exemplarisch sei hier AWS CloudTrail genannt, mit dessen Protokolldateien sich der Zustand von AWS-Umgebungen sehr gut nachvollziehen lässt. Im Microsoft Azure Security Center findet sich ebenfalls eine Reihe von Werkzeugen, mit denen sich der Überblick über den Status erheblich verbessern lässt.

Mit AWS Config können Sie Ihre AWS-Ressourcen analysieren und beispielsweise bestimmte Konfigurationsänderungen überwachen. AWS Config lässt sich so einrichten, dass ganz bestimmte Einstellungen und Änderungen überwacht und protokolliert werden, wenn festgelegte Ereignisse eintreten. So lassen sich Änderungen auch nachträglich nachverfolgen. Damit kann AWS Config ein elementarer Bestandteil einer AWS-Monitoring-Strategie sein, da im Laufe der Zeit die Änderungen an der Konfiguration der Dienste nachverfolgt werden können. Darüber hinaus können Sicherheitsteams je nach Anforderung sehr detaillierte Benachrichtigungen erhalten.

Der entscheidende Punkt bei einer Cloud-Monitoring-Strategie ist es, die entsprechenden Werkzeuge und Vorlagen möglichst frühzeitig zu implementieren und zu starten. So sollten auf allen Systeminstanzen entsprechende Softwareagenten oder Skripte ihren Dienst versehen. Die Sicherheitswerkzeuge sollten bereits aktiv sein, wenn die Systeme entsprechend online verfügbar sind.

Darüber hinaus existieren natürlich noch kommerzielle Lösungen und Unternehmen, die sich auf die Absicherung von Cloud-Umgebungen spezialisiert haben, als da beispielsweise wären: CloudPassage und Dome9. Die Lösungen arbeiten in der Regel agentenbasiert und können alle Cloud-Instanzen über ein einziges Portal verwalten und überwachen.

Für Google-Cloud- und AWS-Plattformen existiert zudem noch Security Monkey, ein Open-Source-Werkzeug, das von Netflix entwickelt wurde. Sicherheitsverantwortliche können die Systeme von Richtlinien überwachen und so Änderungen und Aktivitäten erkennen.

Schwachstellen erkennen

Die zweite wichtige Säule, in Bezug auf die kontinuierliche Überwachung der Cloud-Sicherheit, ist die permanente Untersuchung im Hinblick auf Schwachstellen. Die hierzu verwendeten Werkzeuge müssen die APIs der Cloud-Provider berücksichtigen. Dadurch werden die Scans durch die Kontoinformationen und die APIs autorisiert und erlauben so einen sehr detaillierte Untersuchung und meist eine einfache Möglichkeit des Exportes der Ergebnisse. Dann können die erhobenen Daten sowohl mit Tools in der Cloud als auch mit den bereits vorhandenen lokalen Werkzeugen analysiert werden.

Die meisten Anbieter von Lösungen für Schwachstellen-Scans, wie etwa Tenable, Qualys und Rapid7, haben ihre Produkte entsprechend angepasst, damit diese nativ in Cloud-Umgebungen zum Einsatz können. Dann lassen sich Schwachstellen-Scans gezielt planen und in regelmäßigen Abständen durchführen. Innerhalb von AWS-Umgebungen lassen sich Anwendungen auch mit dem Amazon Inspector im Hinblick auf Schwachstellen untersuchen.

Damit eine Feedback-Schleife in Sachen Cloud-Sicherheit tatsächlich wirkungsvoll funktioniert, gilt es automatisierte Auslöser zu definieren. Somit können bei spezifischen Bedingungen bestimmte Alarme erfolgen oder Maßnahmen ergriffen werden. Beispielsweise können Sicherheitsteams beispielsweise Warnungen erhalten, wenn sich bestimmte Dateien einer Instanz ändern. Einen Schritt weiter geht AWS Lamda, hier können Sie Code aufgrund des Eintretens bestimmter Ereignisse ausführen lassen. Falls der Scan eine kritische Schwachstelle als Ergebnis liefert, ließe sich so eine Instanz beispielsweise automatisch in Quarantäne schicken.

Die Automatisierung und Orchestrierung von Sicherheit in der Cloud muss wohl während der Bereitstellung als auch im laufenden Betrieb gewährleistet sein. Die Tools und auch die Umgebungen entwickeln sich diesbezüglich weiter, so dass die Aufgabe künftig etwas leichter zu bewältigen sein dürfte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud-Sicherheit verbessern und Unternehmensdaten schützen

Cloud Computing: Wie sich Risikobewertungen leichter durchführen lassen

Der richtige Umgang mit Logfiles aus Cloud-Umgebungen

Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close