Was Sie bei Intrusion Detection in öffentlichen Cloud-Diensten beachten sollen

Intrusion Detection-Lösungen sind auch in öffentlichen Cloud-Umgebungen eine elementares Sicherheitselement, auf das nicht verzichtet werden kann.

Wenn ein Unternehmen plant, Daten in eine öffentliche Cloud-Umgebung für Infrastructure as a Service (IaaS) zu...

verlagern, steht es vor einer wichtigen Frage: Wie lassen sich vorhandene und intern implementierte Sicherheitstechnologien in die Umgebung des Cloud-Anbieters übertragen – und ist das überhaupt möglich? Ein Standardelement vieler Sicherheitsprogramme sind Host- oder Netzwerk-basierte Sensoren für Intrusion Detection. Die meisten Unternehmen werden die Verfügbarkeit solcher Funktionen auch in der Cloud-Umgebung sicherstellen müssen.

In diesem Artikel beschäftigen wir uns mit den Optionen für Unternehmen, Intrusion Detection in der Cloud zur implementieren. Zudem werfen wir einen Blick auf die von IaaS-Anbietern in der öffentlichen Cloud gebotenen Möglichkeiten.

Intrusion Detection in der Cloud: Themen für die Implementierung

Manche Unternehmen wollen die Implementierung von Intrusion Detection Systemen in einer öffentlichen IaaS-Umgebung lieber selbst erledigen. Dabei gilt es eine Reihe wichtiger Faktoren zu berücksichtigen:

  • Sorgen Sie in Ihrer Cloud-Umgebung für eine angemessene Überwachung des Datenverkehrs im Netzwerk. Einige Cloud-Anbieter ermöglichen hierzu die Implementierung "virtueller Taps" oder von Port-Mirroring bei virtuellen Maschinen.
  • Achten Sie bei der Installation von Agenten auf Cloud-Plattformen auf die Ressourcen-Auslastung: Cloud-basierte IDS-Sensoren werden wie normale virtuelle Maschinen (VM) behandelt und verursachen daher Kosten. Unter Umständen haben diese Systeme einen hohen CPU- und Arbeitsspeicherbedarf, so dass ihre Kosten die einer durchschnittlichen VM in der Cloud übersteigen können. Diese Punkte sind auch im Hinblick auf private Clouds relevant.
  • Denken Sie beim Hinzufügen von IDS/IPS zu Ihrer Cloud-Umgebung an die Architektur der Management-Plattform. Wie lassen sich Ereignisse überwachen? Falls sich die Verwaltungskonsole innerhalb Ihrer physischen Umgebung befindet, ist zur Überwachung eine Verbindung zu den Cloud-Sensoren erforderlich. Aus Sicherheitsgründen sollten Sie hierfür eine VPN-Verbindung verwenden. In vielen Implementierungen mit öffentlichen Clouds kann sich das als kompliziert erweisen. Unter Umständen sind deshalb sogar Optionen wir die Amazon Virtual Private Cloud erforderlich. Eine mögliche Alternative wäre der Aufbau einer verteilten Management-Architektur, bei der ein Management-System in derselben Cloud-Umgebung platziert wird.
  • Haben Sie mit der Verwaltung und/oder Überwachung von IDS/IPS-Sensoren einen Managed Security Service Provider (MSSP) beauftragt? In diesem Fall sollten Sie sich mit ihm in Verbindung setzen, bevor Sie die Cloud-Infrastruktur implementieren – im ungünstigsten Fall sind solche Umgebungen gar nicht für IDS/IPS ausgelegt.

Intrusion Detection in der Cloud: Optionen der Provider

Im Angebot mancher IaaS-Provider sind bereits Funktionen für Intrusion Detection enthalten. So bietet Terremark, eine Tochterfirma von Verizon Communication, im Rahmen seiner Umgebung Enterprise Cloud recht umfassende Optionen für Intrusion Detection an. Dazu zählen herkömmliche Host- und Netzwerk-basierte IDS und IPS sowie eine vollständige Überwachung des Datenverkehrs im Netzwerk für Verhaltensanalysen. Auch eine komplette Paketerfassung für Sicherheits- und Netzwerk-Analysen ist möglich.

Datapipe, ein im US-Bundesstaat New Jersey ansässiges Unternehmen für Cloud- und Infrastruktur-Dienste, bietet ebenfalls eine Reihe solcher IDS-Optionen an. Für Kunden seiner Infrastruktur stellt der Cloud-Anbieter Services für die IDS-Überwachung zur Verfügung. Zudem bietet er unter der Bezeichnung "Managed AWS" noch einen weiteren Service an: Amazon-Kunden können Datapipe die Verwaltung eines Teils oder aller ihrer Systeme überlassen – einschließlich Sicherheit. Dies ist recht komfortabel, weil Datapipe  das Überwachungssystem Threat Manager IDS von Alert Logic verwendet, das als natives Amazon Machine Image für die Amazon-Cloud verfügbar ist.

Als einer der größten Anbieter öffentlicher Clouds gibt auch Amazon selbst seinen Kunden nativ verfügbare Optionen für Installation und Verwaltung eigener IDS-Sensoren und Regeln. So ist Snort IDS als ein von der Community (also nicht von Amazon) erstelltes EC2-Image verfügbar und lässt sich mit Unterstützung für das kommerzielle VRT-Regelset (Vulnerability Research Team) von Sourcefire installieren. Dadurch können Kunden ganz leicht IDS-Sensoren in ihrer öffentlichen Cloud-Umgebung installieren und profitieren zugleich vom kommerziellen Support durch Sourcefire.

MetaFlows hat auf dem Amazon Marketplace sein Security System for EC2 eingestellt, ein neues System für Intrusion Detection und weitere Überwachungsfunktionen. Das kalifornische Unternehmen bietet eine Reihe von Diensten für Malware-Erkennung und -Prävention. Seine Software lässt sich problemlos in Amazon- und VMware-Hypervisoren integrieren, so dass Kunden mit hybriden Cloud-Umgebungen Monitoring- und IDS-Funktionen im selben System unterbringen können. Zudem integriert MetaFlows auch Geo-Daten und andere Faktoren für Bedrohungsanalysen zum Aufspüren von Botnets und bösartigen Aktivitäten.

Wenn Ihr Unternehmen die Implementierung von Intrusion Detection in der Cloud plant, empfiehlt sich auch ein Blick auf die Optionen für Host-basierte Intrusion Detection. Für  Nutzer von IaaS-Diensten in der Cloud ist es wahrscheinlich am einfachsten, die bislang in internen Systemen laufenden Produkte oder Agenten auf virtuelle Maschinen in der  Cloud-Umgebung zu übertragen. Zudem sind neue Optionen wie CloudPassage erhältlich. Hier werden zur Überwachung von Systemen auf Ereignisse Agenten installiert, zudem ist Firewall- und Konfigurationsmanagement für Cloud-Systeme möglich. Darüber hinaus ist vom Cloud-Anbieter Savvis ein verwaltetes Host-basiertes IDS für Kundensysteme erhältlich.

Noch ist Cloud-IDS nicht völlig ausgereift. Die meisten bekannten Hersteller wie McAfee oder HP TippingPoint haben ihre Produkte noch nicht speziell für den Einsatz in öffentlichen Clouds angepasst. Das ist erstaunlich, weil alle diese Anbieter virtuelle Appliances im Programm haben, die in privaten Cloud-Umgebungen bestens funktionieren. Momentan dürften die meisten Kunden Intrusion Detection wohl dem Cloud-Anbieter überlassen, vor allem bei PaaS- und SaaS-Umgebungen. In Zukunft aber dürften wir auch in der Cloud dasselbe Maß an Konfigurations- und Management-Möglichkeiten bekommen, das wir von internen Systemen gewohnt sind.

Über den Autor: Dave Shackleford ist Eigentümer und Principal Consultant von Voodoo Security, Senior Vice President of Research und CTO von IANS sowie SANS-Analyst, Dozent und Autor von Kursen. In den Bereichen Sicherheit, Einhaltung gesetzlicher Vorgaben, Netzwerk-Architektur und Technologie hat er bereits Hunderte von Unternehmen beraten. Er ist VMware vExpert und verfügt über reichlich Erfahrung bezüglich Entwicklung und Konfiguration sicherer virtualisierter Infrastrukturen. Früher arbeitete er als CSO für Configuresoft, als CTO für das Center for Internet Security sowie als Sicherheitsarchitekt, Analyst und Manager für mehrere „Fortune 500“-Unternehmen. Shackleford ist Co-Autor von „Hands-On Information Security“ von Course Technology und hat das Kapitel „Managing Incident Response“ für das von Course Technology herausgegebene Buch „Readings and Cases in the Management of Information Security“ geschrieben. Erst vor kurzem war er für das SANS Institute Co-Autor des ersten öffentlichen Kurses zu Sicherheit bei virtualisierten Systemen. Shackleford ist aktuell Mitglied im Vorstand des SANS Technology Institute und unterstützt die Leitung des Chapter Atlanta der Cloud Security Alliance.

Artikel wurde zuletzt im August 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close