rvlsoft - Fotolia

Der richtige Umgang mit Logfiles aus Cloud-Umgebungen

Mit jedem neuen Cloud-Dienst im Unternehmen fallen neue Protokolldateien an. Diese gilt es im Hinblick auf die Sicherheit richtig zu bewerten.

Dieser Artikel behandelt

Cloud-Sicherheit

Da haben es IT-Abteilungen gerade so geschafft, die Events und Sicherheitsmeldungen der eigenen Infrastruktur ordentlich zu verwalten und zu überwachen, da sorgt die Cloud-Nutzung für ein exponentielles Wachstum der Alarme. Mit jedem neuen Cloud-Dienst, den Fachabteilung oder Unternehmen einführen, kommen neue Logfiles hinzu, die überwacht werden wollen.

Ein Bericht des Cloud Access Security Broker (CASB) Skyhigh Networks liefert Einblicke in die Nutzung von Cloud-Storage und –Collaboration-Lösungen im Hinblick auf die IT-Sicherheit. Dabei geht es unter anderem um die Gefahr, die in einer zu hohen Anzahl von Warnmeldungen und Alarmen besteht. Dies sorgt dafür, dass tatsächliche Sicherheitsvorfälle untergehen. Im durchschnittlichen Unternehmen fallen 2,7 Milliarden Cloud-Ereignisse pro Monat an, so die Umfrage unter den Skyhigh-Networks-Kunden.

Und für das Gros dieser Events sind File-Sharing- oder Collaboration-Dienste verantwortlich. Dazu gehören beispielsweise Logins, Uploads oder auch das Bearbeiten von Dateien. Aber nur 2500 dieser Ereignisse bezogen sich wirklich auf eine Anomalität. Und bei wiederum nur 23 handelte es sich tatsächlich um Sicherheitsvorfälle. Und damit stehen Sicherheitsteams vor dem klassischen Problem, die wirklich relevanten Ereignisse aus dem Rauschen herauszufiltern.

Ordnung in die Cloud-Logfiles bringen

Zunächst gilt es sicherzustellen, dass aus allen relevanten Cloud-Diensten auch die entsprechenden Logfiles zur Verfügung stehen. Gleichzeitig muss gewährleistet sein, dass alle Protokolldateien an einer zentralen Stelle zusammengeführt werden.

Viele Anbieter von Cloud-Diensten ermöglichen das Herunterladen der Protokolldateien oder die Ablage beziehungsweise Verwaltung an zentraler Stelle, wie etwa bei Amazon CloudTrail oder Google Stackdriver Logging. Darüber hinaus existiert am Markt natürlich eine ganze Reihe von Lösungen, mit denen sich Events ganz trefflich aggregieren und analysieren lassen. Exemplarisch seien da Splunk Cloud, PaperTrail, Loggly oder auch Sumo Logic genannt. Mit Hilfe dieser Dienste können IT-Abteilungen Protokolldateien aus mehreren Cloud-Angeboten aggregieren. Oftmals ist es über diese Dienste auch einfacher als über die APIs der Cloud Provider.

Sind alle Cloud-Logfiles eingesammelt und aggregiert, gilt es diese zu analysieren und priorisieren. Dabei sollten einige Punkte beachtet werden:

Zuordnungen festlegen: Wenn Protokolldateien einem bestimmten Diensteanbieter zugerechnet werden können, lässt sich leichter ein entsprechender Zusammenhang zu Anwendungsfällen herstellen. So werden Logfiles von Salesforce.com wahrscheinlich primär Authentifzierungen und Benutzeraktivitäten beinhalten. Hingegen dürften die Protokolldateien von AWS oder Microsoft Azure weitaus vielfältigere Aufzeichnungen im Hinblick auf Nutzer und Rollen aufweisen.

Prioritäten definieren: Sicherheitsexperten mit entsprechendem Cloud-Know-how sollten entscheiden, was wirklich überwacht und aufgezeichnet werden muss. Üblicherweise sind dies jegliche Login-Aktivitäten zu den Cloud-Management-Konsolen sowie Änderungen oder versuchte Änderungen an wichtigen Cloud-Objekten oder -Daten. Und natürlich jede Änderung, Erstellung sowie Löschung von Anmeldeinformationen oder kryptografischen Schlüsseln.

Alarme konfigurieren: Klingt selbstverständlich, ist aber unabdingbar für ein ordentliches Log-Management. Schalten Sie redundante Alarme und für den Betrieb selbstverständliche Meldungen ab. Konzentrieren Sie sich auf jene, die direkt mit Sicherheitsbelangen verknüpft sind.

Lernphasen berücksichtigen: Um das Verhalten entsprechend analysieren zu können und Anomalitäten zu registrieren, benötigt es Zeit. Hierfür müssen vor einer Analyse Wochen oder sogar Monate Daten gesammelt werden. Die entsprechenden Feinjustierungen sollten daher als regelmäßiger Prozess – etwa beim wöchentlichen Monitoring – erfolgen.

Benutzerkonten im Griff behalten: Zugangsdaten und Nutzdaten von Anwendern, die eigentlich nicht mehr aktiv sein dürften, aber nicht gelöscht wurden, sind ein typischen Cloud-Sicherheitsproblem. Hier ist es entscheidend, dass Personalabteilung und IT-Abteilung eng zusammenarbeiten, um gegebenenfalls Cloud-Konten schnell deaktivieren zu können. Die IT sollte alle Login-Versuche auf gelöschte oder deaktivierte Konten mindestens mehrere Wochen überwachen. Soweit es die jeweiligen Bestimmungen zulassen, sollten darüber hinaus die Benutzeraktivitäten in der Zeit vor dem Ausscheiden aus dem Unternehmen protokolliert werden.

Und dann gilt es noch ganz allgemein zu beachten, von welchem Standort aus sich Nutzer einloggen. Erfolgt ein Login aus einem neuen Land oder von einem gänzlich neuen Standort, an dem weder Nutzer noch Dienstreisende weilen, dann sollten die Alarmglocken relativ kräftig läuten. Der Standort lässt sich bei vielen Cloud-Protokolldateien ermitteln. Wenn die genannten Punkte beachtet werden, können sich Sicherteams deutlich besser auf die wirklich relevanten Ereignisse konzentrieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Privilegierte Benutzerkonten in der Cloud richtig sichern.

Risiko Zugangsdaten: IAM für Cloud-Anwendungen.

SIEM aus der Cloud: Darauf sollten Unternehmen achten.

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close