Security in der Cloud: Sicherheitslücken in Anwendungen erkennen und stopfen

Die Sicherheit von Cloud-basierten Anwendungen ist eine Herausforderung. Die Security ist allerdings für den Erfolg eines Unternehmens entscheidend.

Dieser Artikel behandelt

Cloud-Sicherheit

Cloud-basierte Anwendungen sind weit verbreitet und werden immer beliebter. Da die Programme über das Internet...

verfügbar sind, lassen sie sich von überall nutzen. Die Security der Anwendungen ist somit essentiell. Unternehmen, die Cloud-Software erstellen und managen, müssen sicherstellen, dass jede Schicht der Applikations-Infrastruktur sicher ist.

Stellen Sie sich zum Beispiel vor, Google Mail würde von Hackern geknackt und diese könnten auf sämtliche Inhalte zugreifen. Google würde nicht nur ein Reputationsproblem bekommen, sondern die Anwender würden sich auch sehr schnell nach Alternativen umsehen. Der Verlust von Kunden und Einnahmen wären die Folge. Das ist ein dramatisches Beispiel. Doch in der Realität gehört das zum Tagesgeschäft. Unternehmen müssen entsprechende Maßnahmen einleiten, um Einbrüche und Security-Lücken zu verhindern, bevor es zu spät ist.

In diesem Beitrag erörtere ich drei verschiedenen Strategien, die Firmen für die Maximierung der Security von Cloud-Applikationen anwenden können und wie Sse Sicherheitslücken verhindern.

Sicherheitslücken finden und stopfen

Im ersten Schritt, um die Security von Cloud-basierten Anwendunge zu garantieren, sollten Sie so viele Sicherheitslücken wie möglich finden und schließen. Es gibt verschiedene Techniken hierfür. Dazu gehört die manuelle oder automatische Überprüfung des Quellcodes, Schwachstellenanalysen, Web-Scanning, Fuzz-Tests oder Fehlerinjektionen. Allerdings lassen sich nicht all Techniken anwenden, wenn es um das Auffinden von Sicherheitslücken in Cloud-Anwendungen geht. Bei Cloud-basierten Applikationen müssen Sie Security-Löcher sowohl in den Anwendungen selbst als auch in den darunter liegenden Schichten, wie zum Beispiel dem Betriebssystem oder Hypervisor, suchen. Daher ist es gut, Penetration-Tests einzusetzen, um die Anwendungen zu überprüfen und einen Bericht über die gefundenen Sicherheitslücken zu schreiben.

Vergessen Sie nicht: Auch nach einem Security-Review können sich so genannte Zero-Day-Schwachstellen in der Software befinden. Allerdings sollte die Überprüfung die kritischsten Schwachstellen erkennen.

Das Ausnutzen von Security-Lücken verhindern

Die zweite Strategie bei der Sicherheit von Cloud-Apps zielt darauf ab, dass existierende Schwachstellen nicht ausgenutzt werden können. Um einen erfolgreichen Angriff zu verhindern, stehen Ihnen diverse Technologien und Tools zur Verfügung:

  • Firewall: Einer Firewall verhindert den Zugriff bestimmter Ports innerhalb der Grenzen einer DMZ. Somit kann ein potentieller Angreifer nicht aus dem Internet oder einer anderen DMZ auf die verwundbaren Anwendungen zugreifen.
  • Intrusion Detection (IDS) / Intrusion Prevention (IPS) Systeme: Durch den Einsatz von IDS/IPS können Unternehmen nach bekannten Angriffsmustern suchen und Angriffe blockieren, bevor diese ihr Ziel erreichen.
  • Web Application Firewall (WAF): Eine WAF setzen Sie unter anderem ein, um nach schädlichen Mustern in der Applikationsschicht zu suchen. Die Security-Software erkennt Sicherheitslücken wie zum Beispiel SQL Injection, Cross-Site Scripting und Path Traversal. Es gibt zwei Arten von WAF-Programmen: Einen Blacklist- und einen Whitelist-Ansatz. Bei einer Blacklist WAF werden lediglich bekannte bösartige Anfragen blockiert. Einen Whitelist WAF weisen hingegen alle verdächtigen Anfragen per Standard ab. Benutzen Sie eine Blacklist, lässt sich eine Anfrage bei Bedarf umschreiben, so dass sie von der der schwarzen Liste verschwindet. Der Whitelist-Ansatz ist zwar sicherer, allerdings dauert die Konfiguration länger, da Sie alle gültigen Anfragen manuell freigeben müssen. Ist eine  Firma bereit, Zeit in eine WAF zu investieren, wird die Security deutlich erhöht. Verwendet ein Unternehmen den Webserver Nginx, sollten Sie sich die Open Source Web Application Firewall Naxsi in Betracht ziehen, die einen Whitelist-Ansatzt bietet.
  • Content Delivery Network (CDN): Ein CDN verwendet das Domain Name System (DNS), um Inhalte über mehrere Data Center zu verteilen, so dass sich Websites wesentlich schneller laden lassen. Sobald ein Client eine DNS-Anfrage stellt, antwortet das CDN mit der IP-Adresse, die dem Anwender geografisch am nächsten ist. Damit wird nicht nur die Ladezeit von Websites beschleunigt, sondern die Systeme sind auch vor Denial-of-Service (DoS) -Angriffen geschützt, da der Netzwerkverkehr durch das CDN fließt. In der Regel bieten CDNs noch andere Schutzmechanismen, die sich aktivieren lassen. Dazu gehören WAF, E-Mail-Schutz, Monitoring der Betriebszeit und Performance sowie Google Analytics.
  • Authentifizierung: Zwei-Faktor-Authentifizierungs-Mechanismen sollten Sie möglichst immer einsetzen. Verwenden Sie bei Cloud-Anwendungen nur die Kombination aus Nutzernamen und Passwort, ist das eine große Schwachstelle. Cyberkriminelle gelangen möglicherweise mit einem Social-Engineering-Angriff an diese Informationen. Alternativ könnten böswillige Hacker das Passwort erraten oder einer Brute-Force-Methode nutzen , um an die Passwörter zu gelangen. Single Sign-On (SSO) steigert möglicherweise die Produktivität stellt sicher, dass alle Anwender entsprechend Zugriff haben und gleichzeitig die Security gewahrt ist.

Nach einem Einbruch den Schaden begrenzen

Das letzte Szenario der Anwendungssicherheit in der Cloud beschäftigt sich damit, was Sie nach einem erfolgreichen Angriff tun sollten. In diesem Fall haben Service Provider mehrere Optionen:

  • Virtualisierung: Die Security lässt sich erhöhen, wenn Sie den Schaden begrenzen können, den eine Anwendung auf die darunterliegende Infrastruktur anrichten kann. Lassen Sie jede Anwendung in einer eigenen virtuellen Umgebung laufen, benötigt jede davon ein eigenes Betriebssystem. Das ist eine Verschwendung von Ressourcen. Aus diesem Grund sind Container populär. Ein Container ist eine Softwarekomponente, mit der Sie eine Anwendung vom Rest des Systems isolieren. Damit brauchen Sie keine komplette Virtualisierungsschicht. Beispiel beliebter Container sind Linux Container (LXC) oder Docker.
  • Sandbox: Selbst wenn ein böswilliger Hacker Zugriff auf das Backend-System hat, würde jeder Angriff auf eine Anwendung in einer Sandbox-Umgebung begrenzt werden. Ein Cyberkrimineller müsste aus der Sandbox ausbrechen, um Zugriff auf das Betriebssystem zu erhalten. Es gibt verschiedene Sandbox-Optionen. Dazu gehören ebenfalls LXC und Docker.
  • Verschlüsselung: Wichtige Daten, wie zum Beispiel Sozialversicherungs- oder Kreditkartennummer, müssen ausreichend verschlüsselt sein, wenn Sie diese in einer Datenbank hinterlegen. Unternehmen sollten solche Daten bereits verschlüsselt in die Cloud schicken, sofern die Anwendung dies unterstützt.
  • Log-Monitoring und Security Information and Event Monitoring (SIEM): Sobald ein Angriff erfolgt, hilft ein Logging-System oder SIEM. Damit finden Sie zügig heraus, woher der Angriff kam, wer dahinter steckt und wie Sie das Problem eindämmen können.
  • Backup: Ein vernünftiges Backups-System ist essentiell, falls etwas schief läuft. Es ist nicht immer einfach, ein funktionierendes Backup-System zu erstellen – zudem nimmt es viel Zeit in Anspruch. Viele Unternehmen lagern ihre Backups daher aus.

Fazit

Speichern Sie ihre Daten in der Cloud und nicht im eigenen Data Center, werden Sie mit neuen Security-Herausforderungen konfrontiert. Zum Glück gibt es viele Möglichkeiten, diese Sorgen zu beseitigen. Das Finden und Bereinigen von Sicherheitslücken ist genauso wichtig wie die Prävention eines erfolgreichen Angriffs. Vernünftige Verteidigungsmechanismen sind ebenfalls entscheidend, um die böswilligen Angriffe zu blockieren.

Wie dieser Artikel zeigt, gibt es für die Absicherung von Cloud-Anwendungen mehrere Möglichkeiten. Diese erfordern allerdings Zeit und Arbeit. Firmen sehen daher nicht immer gleich die Rentabilität dieser Maßnahmen. Ohne den Security-Aufwand würden sie schneller Geld verdienen. In der Realität wird Security oftmals erst dann wichtig, wenn es zu spät ist und die Applikations-Infrastruktur kompromittiert wurde. Das lässt sich allerdings mit den genannten Strategien vermeiden. Außerdem sollten Sie einen Plan haben, wenn ein Angriff erfolgreich war. Security ist nicht nur für den Erfolg einer Cloud-basierten Anwendung entscheidend, sondern wirkt sich auf die Dynamik des kompletten Unternehmens aus.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Über den Autor: Dejan Lukan hat ein umfangreiches Wissen über System-Administration von Linux- und BSD-Systemen. Zu seinen Fachgebiete zählen Security-Audits, Netzwerkadministration, Penetration-Tests, Reverse Engineering, Malware-Analyse, Fuzzing, Debugging und Antiviren-Bekämpfung. Er beherrscht über ein Dutzend Programmiersprachen und schreibt auf seiner Website Beiträge zum Thema Sicherheit.

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close