nobeastsofierce - Fotolia

Maßnahmen und Tools zur Cloud-Absicherung und -Erkennung

Zur Absicherung der Cloud werden zum Teil andere Vorgehensweisen und Werkzeuge als in traditionellen Strukturen benötigt. Ein Überblick über die wichtigsten Unterschiede und Tools.

Heutzutage haben viele Organisationen zumindest einen Teil ihrer IT-Dienste in eine Cloud-Umgebung ausgelagert. Der Schritt in die Cloud kann dabei so einfach sein wie der Einsatz von Microsoft Office 365 auf ein paar Workstations. Es geht aber auch deutlich aufwendiger, wenn zum Beispiel eine voll ausgestattete Cloud-Infrastruktur auf Basis von Microsoft Azure oder Amazon Web Services (AWS) genutzt wird.

Einer der wichtigsten Gründe für eine Migration in die Cloud ist die Redundanz und Verlässlichkeit der Plattform. Das führt dazu, dass viele Unternehmen zumindest einen Teil ihrer wichtigsten Daten und Systeme wie E-Mails und Datenbank-Server nun in die Cloud umgezogen haben.

Mit dieser zunehmenden Bedeutung kommen aber auch neue Risiken, die mit einbezogen werden müssen, wenn es um ihre Absicherung geht. Regelmäßige Penetration- und Schwachstellenanalysen gehören bereits seit Jahrzehnten zu den regelmäßig genutzten Security-Maßnahmen in vielen Unternehmen. Mit dem Transfer von wichtigen Daten und Systemen in die Cloud muss sich der Fokus dieser Techniken und Praktiken jedoch ändern.

Aufklärung und Sammeln von Informationen in der Cloud

Wissen ist alles, wenn es um Penetrationstests und Scans nach Schwachstellen geht. Je mehr Daten ein Angreifer über die ins Visier genommene Organisation hat, desto einfacher gelingt ihm das Eindringen in ihre IT-Systeme. Aus Sicht des Verteidigers gesehen gilt das Gleiche. Je mehr Daten der Security-Administrator über das Netzwerk und die damit verbundenen Systeme hat, desto besser kann er sie schützen und überwachen. Dabei gibt es viele Möglichkeiten, diese Informationen zu sammeln. Zum einen passiv durch Aufklärung in der Cloud und zum anderen aktiv durch das Sammeln von Daten über die jeweilige Cloud-Infrastruktur.

Der Einsatz großflächig genutzter Cloud-Dienste hat zu neuen Herausforderungen und Möglichkeiten geführt, die sowohl Angreifer als auch Verteidiger in Betracht ziehen müssen. So sind Cloud-Umgebungen in der Regel besser geschützt. Ihre verfügbaren Dienste sind jedoch oft standardisiert, gut dokumentiert und öffentlich zugänglich.

DNS-Einträge

Der erste Schritt bei der Aufklärung in einer fremden Public Cloud ist, erst einmal herauszufinden, ob das Ziel überhaupt Cloud-Dienste verwendet und wenn ja, welche. Gerald Steere und Sean Metcalf haben dazu eine geeignete Vorgehensweise in ihrem Vortrag „Hacking the Cloud“ auf der Defcon 2017 beschrieben. Sie empfehlen, gezielt nach bestimmten DNS-Einträgen (Domain Name Service) zu suchen.

So werden etwa MX-Records verwendet, um eingehende Nachrichten an die Mail-Server einer Firma weiterzuleiten, um dort dann weiter bearbeitet werden zu können. Sie enthalten also wichtige Informationen. Wenn die Einträge etwa auf Outlook.com zeigen, dann nutzt das Ziel vermutlich Office 365 für seine E-Mail-Dienste.

Dazu kommt, dass nach den Vorgaben von Microsoft während der Einrichtung eines Office-365-Dienstes, ein DNS TXT Record angelegt werden muss. Mit ihm wird sichergestellt, dass die Domain tatsächlich im Besitz des Anfragenden ist und von ihm verwaltet wird. Dieser Eintrag kann zwar nachträglich wieder entfernt werden, dies wird jedoch oft nicht erledigt.

Viele andere Dienstleister erfordern eine vergleichbare Authentifizierung. Wenn zum Beispiel ein DNS TXT Record namens „amazonses“ gefunden werden kann, dann nutzt das  Ziel mutmaßlich den Amazon Simple Email Service. Weitere Informationen können mithilfe der CNAME-, SPF- und DFS-Einträge gesammelt werden.

Es gibt eine Vielzahl von frei verfügbaren Tools, die eingesetzt werden können, um Informationen über die DNS-Daten zu sammeln und um nach verwertbaren Informationen in der Cloud zu suchen. Das bekannteste Beispiel ist Nmap, mit dem sich mithilfe verschiedener Kommandozeilen-Schalter viele DNS-Daten auslesen lassen. Andere Tools sind Dnsenum und DIG (Domain Information Groper), die ebenfalls zum Sammeln von Daten verwendet werden können. Alle diese Werkzeuge finden sich zudem vorinstalliert und bereit zum Einsatz auf der frei verfügbaren Distribution Kali Linux.

Netzwerk- und Application-Scans

Aus technischer Sicht ist ein Scan des Cloud-Perimeters nichts Neues. Traditionelle Netzwerk-Monitoring-Tools wie Nmap und Kismet erfüllen diese Aufgabe ohne große Probleme. Neu ist allerdings, dass sich ein Ziel in der Cloud innerhalb eines Netzwerkes des Cloud-Providers befindet, das mit anderen geteilt wird.

Deswegen ist es noch vor einem legitimen Scan nötig, mit dem Provider Kontakt aufzunehmen und seine Erlaubnis einzuholen. Die Scans könnten negative Auswirkungen auf andere Kunden des Anbieters haben. Entsprechende Formulare sind in der Regel auf den Webseiten des Providers verfügbar. Echte Angreifer werden diesen administrativen Schritt jedoch nicht durchführen. Meist gehen sie aber auch deutlich vorsichtiger und zielgerichteter vor - sie wollen ja nicht auffallen und keinen Alarm auslösen.

Spezielle Tools für die Cloud

Die Entwicklung neuer Werkzeuge, um Daten in der Cloud zu sammeln und um Lücken zu finden, kommt nur langsam voran. Es gibt aber zumindest ein paar nützliche Tools, mit denen zumindest erste Informationen zusammengetragen werden können.

Eines dieser Programme ist Azurite. Es dient dazu, Daten über Azure-Server zu sammeln und grafisch aufzuzeigen, welche Dienste genutzt werden und wie sie miteinander verbunden sind. Zu seiner Nutzung wird jedoch ein bezahlter Account benötigt, so dass sein Einsatz auf legitime Cloud-Anwender und so genannte White-Box-Penetration-Tester beschränkt ist.

Ein erfolgversprechender Ansatz auf Seiten der Angreifer ist der Einsatz von speziellen Bots, die Webseiten wie GitHub nach hochgeladenem Code absuchen, der übersehene API-Schlüssel enthält, mit denen man auf Cloud-Accounts zugreifen kann. Der dadurch mögliche Schaden kann enorm sein. Es ist deswegen notwendig, die Nutzung vergleichbarer Dienste zum Beispiel mit Hilfe von DLP-Diensten (Data Loss Prevention) zu kontrollieren.

Die Bedeutung von Aufklärung in der Cloud

Unternehmen sollten also genauestens wissen, welche Netzwerk- und Security-Informationen öffentlich verfügbar sind. Nachdem diese Daten proaktiv gesammelt wurden, wie es echte Angreifer auch tun würden, können geeignete Maßnahmen ergriffen werden, um Leaks zu verhindern und Sicherheitsrisiken zu minimieren. Zu den empfohlenen Maßnahmen zur Absicherung der Cloud gehören deswegen regelmäßige Scans des Perimeters, die Analyse und anschließende Bereinigung von DNS-Einträgen sowie das Deaktivieren nicht mehr benötigter Dienste und Cloud-Instanzen.

Schlussendlich ist es wichtig, genau zu wissen, welche Firmendaten frei zugänglich sind und wie sie am besten vor böswilligen Aktivitäten geschützt werden können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitsrisiko vergessene Cloud-Instanzen

Angriffe auf die Cloud abwehren

Man-in-the-Cloud-Attacken erkennen

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close