Beim Cloud-Anwendungsschutz geht es um den Schutz cloudbasierter Software-Anwendungen während des gesamten Entwicklungszyklus. Dazu gehören Richtlinien, Tools, Technologien und Regeln auf Anwendungsebene, die dazu dienen, alle cloudbasierten Ressourcen im Blick zu behalten, cloudbasierte Anwendungen vor Cyberangriffen zu schützen und lediglich autorisierten Benutzern Zugriff zu gewähren.

Cloud-Anwendungsschutz ist unverzichtbar für Unternehmen, die mit einer Multi-Cloud-Umgebung arbeiten, die von externen Anbietern wie Amazon, Microsoft oder Google gehostet wird. Das Gleiche gilt für Unternehmen, die webbasierte Zusammenarbeitstools wie Slack, Microsoft Teams oder Box nutzen. Diese Services oder Anwendungen verändern zwar die Arbeitsweise von Unternehmen und Mitarbeitern grundlegend, vergrößern jedoch gleichzeitig die Angriffsfläche erheblich und bieten Angreifern viele neue Zugangspunkte, über die sie ins Netzwerk eindringen und Angriffe ausführen können.

Wozu benötigen Unternehmen Cloud-Anwendungsschutz?

In den letzten Jahren haben viele Unternehmen den flexiblen Software-Entwicklungsprozess DevOps eingeführt. Dieser Ansatz vereint die klassische Software-Entwicklung mit IT-Abläufen und beschleunigt den Entwicklungszyklus sowie die Veröffentlichung neuer Software-Anwendungen.

Allerdings schützen herkömmliche Sicherheitsmaßnahmen für Netzwerke, Anwendungen und Infrastruktur in der Regel keine cloudbasierten Anwendungen, weshalb diese während der Entwicklung für eine Vielzahl an Cyberangriffen anfällig werden.

Unternehmen, die die Cloud insbesondere im Rahmen ihres Software-Entwicklungsprozesses nutzen, müssen nun eine neue umfassende Cloud-Sicherheitslösung entwickeln und implementieren, die Schutz vor einer immer größer werdenden Zahl von Bedrohungen und zunehmend raffinierten Angriffen in der Cloud-Umgebung bietet – einschließlich Angriffen auf Anwendungsebene.

Das Framework für Cloud-Anwendungsschutz

Das Framework für Cloud-Anwendungsschutz besteht aus drei Hauptbestandteilen:

  1. Eine Sicherheitsverwaltung für Cloud-Umgebungen (Cloud Security Posture Management, CSPM), die Konfigurationsfehler, Compliance und Governance sowie den Schutz der Kontrollebene handhabt.
  2. Eine Plattform für Cloud-Workload-Schutz (Cloud Workload Protection Platform, CWPP), die den Laufzeitschutz sowie die kontinuierliche Schwachstellenverwaltung von Cloud-Containern steuert.
  3. Ein Sicherheits-Broker für den Cloud-Zugriff (Cloud Access Security Broker, CASB), der daran arbeitet, den Überblick über alle Endgeräte zu verbessern, einschließlich der Frage, wer auf die Daten zugreift und wie diese verwendet werden.

Mit einer Kombination aus CSPM, CWPP, und CASB werden Daten in der Cloud sowie der Zugriff auf die Cloud abgesichert. Unternehmen wird empfohlen, alle drei Sicherheitsmethoden zu nutzen, um ihre Cloud-Sicherheitsinfrastruktur zu optimieren.

CSPM, CWPP und CASB

Sicherheitsverwaltung für Cloud-Umgebungen (CSPM)

Die Sicherheitsverwaltung für Cloud-Umgebungen (Cloud Security Posture Management, CSPM) automatisiert die Identifizierung und Beseitigung von Risiken über Cloud-Infrastrukturen hinweg, einschließlich Infrastructure-as-a-Service (IaaS), Software-as-a-Service (Saas) und Platform-as-a-Service (PaaS).

CSPM-Tools werden für die Visualisierung und Bewertung von Risiken, die Reaktion auf Zwischenfälle, die Überwachung der Compliance und die DevOps-Integration verwendet. Mit ihnen können Best Practices für die Cloud-Sicherheit einheitlich auf Hybrid-, Multi-Cloud- und Container-Umgebungen angewendet werden.

CSPM-Tools bieten Funktionen zur kontinuierlichen Compliance-Überwachung, Vermeidung von Konfigurationsabweichungen sowie für Untersuchungen durch das Sicherheitskontrollzentrum (Security Operations Center, SOC). CSPM-Tools überwachen nicht nur den aktuellen Zustand der Infrastruktur, sondern erstellen auch eine Richtlinie, die den gewünschten Zustand der Infrastruktur definiert. Zudem sorgen sie dafür, dass sämtliche Netzwerkaktivitäten diese Richtlinie einhalten.

CSPM-Tools sind speziell für Cloud-Umgebungen konzipiert und bewerten die Sicherheit der gesamten Umgebung, nicht nur die Workloads. CSPM-Tools umfassen auch komplexe Automatisierungs- und KI-Technologie sowie geführte Behebungsmaßnahmen, damit Benutzer nicht nur wissen, dass es ein Problem gibt, sondern auch, was sie dagegen tun können.

Daneben setzen einige Unternehmen Cloud-Infrastruktursicherheits-Tools (Cloud Infrastructure Security Posture Assessment, CISPA) ein – die erste Generation von CSPM-Tools. Bei CISPA-Tools lag der Fokus hauptsächlich auf der Berichterstellung. CSPM-Tools umfassen hingegen ein gewisses Maß an Automatisierung – von der einfachen Aufgabenausführung bis hin zur komplexen Nutzung von künstlicher Intelligenz.

Plattformen für Cloud-Workload-Schutz (CWPPs)

Plattformen für Cloud-Workload-Schutz (Cloud Workload Protection Platforms, CWPPs) schützen Workloads jeder Art an jedem beliebigen Ort. Sie bieten einheitlichen Cloud-Workload-Schutz für mehrere Anbieter. Die Plattformen basieren auf verschiedenen Technologien (z. B. für Schwachstellenverwaltung, Malware-Schutz und Anwendungssicherheit), die an moderne Infrastrukturanforderungen angepasst wurden.

Sicherheits-Broker für den Cloud-Zugriff (CASBs)

Sicherheits-Broker für den Cloud-Zugriff (Cloud Access Security Brokers, CASBs) ermöglichen das Erzwingen von Sicherheitsmaßnahmen und werden zwischen den Cloud-Service-Anbietern und Cloud-Service-Kunden platziert. Noch vor Gewährung des Netzwerkzugriffs stellen sie sicher, dass der Datenverkehr den festgelegten Richtlinien entspricht. CASB-Tools bieten in der Regel Firewalls, Authentifizierung, Malware-Erkennung sowie Datenverlustprävention.

Weitere Informationen

Auch Bedrohungsakteure setzen auf die Cloud – ihr Ziel ist jedoch der Missbrauch der Funktionen von Cloud-Service-Anbietern, um die Unternehmensumgebungen zu kompromittieren. Da immer mehr Unternehmen auf hybride Arbeitsumgebungen setzen, wird sich dieser Trend in nächster Zeit wahrscheinlich fortsetzen.

Missbrauch von Cloud-Service-Anbietern

Bedrohungen für Cloud-Anwendungen

Cloud-Anwendungen sind anfällig für eine Reihe von Bedrohungen, die Systemkonfigurationsfehler, schwache Schutzmaßnahmen zur Identitätsverwaltung, unsichere APIs oder nicht gepatchte Software ausnutzen. Im Folgenden untersuchen wir einige der häufigsten Bedrohungen, die Unternehmen bei der Entwicklung von Strategien und Lösungen für Cloud-Anwendungsschutz berücksichtigen sollten.

Konfigurationsfehler

Konfigurationsfehler sind die größte Bedrohung für die Cloud- und Anwendungssicherheit. Zu diesen Fehlern gehören falsch konfigurierte S3-Buckets, offen gelassene Ports oder die Nutzung unsicherer Konten oder APIs. Durch diese Fehler werden Cloud-Workloads zu offensichtlichen Zielen, die mühelos mit einem einfachen Webcrawler entdeckt werden können. Da in der Cloud keine Perimeter-Sicherheit vorhanden ist, können durch Fehler hohe Kosten entstehen. Bei mehreren bekannt gewordenen Sicherheitsverletzungen dienten falsch konfigurierte S3-Buckets als Einfallstor.

Da viele Tools für Anwendungsschutz manuell konfiguriert werden müssen, kann dieser Prozess äußerst fehleranfällig sein und viel Zeit für die Einrichtung sowie Aktualisierung in Anspruch nehmen. Unternehmen sollten daher Sicherheitstools und -technologien einsetzen und den Konfigurationsprozess automatisieren.

Unsichere APIs

Häufig sind APIs die einzigen Unternehmensressourcen mit einer öffentlichen IP-Adresse. Das macht sie zu einem leichten Ziel für Angreifer, besonders wenn sie wegen schwacher Zugriffskontrollen oder Verschlüsselungsmethoden unzureichend geschützt sind.

Mangelnde Transparenz und Bedrohungserkennung

Der Wechsel in die Cloud ist für viele Unternehmen ein relativ neues Phänomen, weshalb sie nicht immer den Sicherheitsreifegrad besitzen, der für die Arbeit in einer Multi-Cloud-Umgebung nötig ist.

Ein Grund sind beispielsweise einige Schwachstellenscanner, die nicht alle Ressourcen (z. B. Container in einem dynamischen Cluster) überprüfen. Andere können wiederum reale Risiken nicht von normalen Geschäftsabläufen unterscheiden und produzieren deshalb Fehlalarme, die das IT-Team untersuchen muss.

Deshalb müssen Unternehmen die Tools, Technologien und Systeme entwickeln, mit denen sie alle Cloud-Anwendungen, Cloud-Workloads und andere Ressourcen inventarisieren und überwachen können. Sie sollten zudem alle Ressourcen entfernen, die für die Geschäftsprozesse nicht benötigt werden, um die Angriffsfläche zu verringern.

Das Missverständnis über das „Modell der gemeinsamen Verantwortung“ (z. B. Laufzeit-Bedrohungen)

Cloud-Netzwerke folgen häufig dem so genannten „Modell der gemeinsamen Verantwortung“, d. h. dass ein Großteil der zugrunde liegenden Infrastruktur durch den Cloud-Service-Anbieter geschützt wird, alles vom Betriebssystem bis zu den Anwendungen und Daten jedoch in der Verantwortung der Benutzer liegt. Leider kann das Modell auch missverstanden werden und zu der Annahme führen, dass Cloud-Workloads vollständig durch den Cloud-Anbieter abgesichert werden, sodass Benutzer unwissentlich Workloads in der Public Cloud ausführen, die nicht vollständig geschützt sind. Angreifer können sich dann über das Betriebssystem und die Anwendungen Zugriff verschaffen. Doch auch sicher konfigurierte Workloads können zur Laufzeit angegriffen werden, da sie für Zero-Day-Exploits anfällig sind.

Schatten-IT

Ein weiteres großes Problem stellt Schatten-IT dar. Der Begriff beschreibt Anwendungen und Infrastruktur, die ohne das Wissen der IT-Abteilung genutzt und verwaltet werden. In vielen Fällen verschärft DevOps dieses Problem, da die Anforderungen für die Aufnahme einer Ressource (z. B. eines Workloads oder eines Containers) in die Cloud und die anschließende Nutzung extrem niedrig sind. Entwickler können Workloads problemlos über ihre privaten Konten erstellen. Diese nicht autorisierten Ressourcen stellen für die Umgebung eine Bedrohung dar, da sie oft nicht ausreichend geschützt und über Standardkennwörter sowie Konfigurationen zugänglich sind, die leicht kompromittiert werden können.

Keine umfassende Cloud-Sicherheitsstrategie

Beim Wechsel in die Cloud wollen Administratoren ihre Assets auf die gleiche Weise schützen, wie sie es in einem privaten oder lokalen Rechenzentrum tun würden. Traditionelle Sicherheitsmodelle für Rechenzentren lassen sich jedoch leider nicht auf die Cloud übertragen. Angesichts der heutigen raffinierten und automatisierten Angriffe können Kompromittierungen nur durch ein hochentwickeltes integriertes Sicherheitssystem verhindert werden. Das System muss die gesamte IT-Umgebung schützen, darunter die Multi-Cloud-Umgebungen sowie die Rechenzentren und Mobilgeräte. Ein konsequenter integrierter Ansatz, der einen vollständigen Überblick und eine fein abgestimmte Kontrolle des gesamten Unternehmens bietet, verringert Reibungsverluste und minimiert Geschäftsunterbrechungen. Zudem ermöglicht er Unternehmen einen sicheren und zuverlässigen Wechsel in die Cloud.

Best Practices für den Cloud-Anwendungsschutz von CrowdStrike

Unternehmen müssen eine umfassende Cloud-Sicherheitslösung entwickeln und implementieren, um sich vor einer immer größeren Palette von Bedrohungen und immer raffinierteren Angriffen innerhalb der Cloud-Umgebung zu schützen, einschließlich Bedrohungen für Cloud-Anwendungen. In der dafür erforderlichen Cloud-Sicherheitsstrategie müssen folgende Prinzipien gelten:

1. Auf den Angreifer fokussieren

In allen Bereichen der Sicherheit, einschließlich der Cloud, ist das Wissen um die Angreifer und deren Vorgehensweise von zentraler Bedeutung: Wer sie sind, welches Ziel sie haben, was sie zum Erfüllen ihrer Ziele tun müssen und wie sich all dies auf die Angriffsfläche auswirkt. CrowdStrike hat beobachtet, dass oft die gleichen Angreifer in der Cloud und in anderen Teilen der IT-Landschaft aktiv sind.

Der Unterschied ist, dass die Cloud ihnen die Gelegenheit gibt, neue Taktiken, Techniken und Prozeduren (TTPs) einzusetzen.

2. Gefährdung verringern

Jede Cloud-Anwendung und jeder Cloud-Workload erweitert die Angriffsfläche des Unternehmens und schafft mehr Einfallstore für potenzielle Angreifer.

Die Gefährdung können Sie auf zwei Wegen reduzieren:

  1. Sie verbessern die Transparenz über die gesamte Cloud-Umgebung, indem Sie regelmäßig den Bestand aller Cloud-Anwendungen, Workloads und anderer Ressourcen erfassen.
  2. Sie begrenzen die Angriffsfläche, indem Sie kontinuierlich nach Anwendungen oder Workloads suchen, die für den Geschäftsbetrieb nicht benötigt werden, und diese entfernen.

3. Eine Richtlinie, ein Framework und eine Architektur für Cloud-Sicherheit entwickeln und implementieren

Entwickeln und implementieren Sie konsequente Richtlinien, um zu gewährleisten, dass alle cloudbasierten Ressourcen permanent geschützt sind. Die Richtlinien sollten festlegen, welche Benutzer Zugriff auf Anwendungen haben und wie die Zugriffsberechtigung durch hochentwickelte Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) sowie Methoden der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) authentifiziert und gewährt wird.

Zudem müssen Unternehmen eine umfassende Sicherheitsstrategie entwickeln, die alle Elemente der Cybersicherheit (einschließlich Netzwerksicherheit, Infrastrukturschutz, Endgeräteschutz sowie Cloud-Sicherheit) integriert. Die Cloud-Sicherheitsarchitektur sollte folgende kritische Infrastrukturaspekte berücksichtigen: Datenschutz, Überwachung und Transparenz, Bedrohungserkennung, Cloud-Governance, Einhaltung der relevanten Vorschriften sowie Sicherheitsmaßnahmen für die physischen Elemente der Infrastruktur.

4. Angriffsfläche überwachen

Seien Sie stets darum bemüht, sich einen besseren Überblick über die mögliche Angriffsfläche zu verschaffen. Sie machen es Angreifern damit schwerer, unbemerkt einzudringen; zudem treibt es die Angriffskosten in die Höhe.

Der Ansatz besteht aus dem Einsatz des CrowdStrike Falcon®-Agenten auf allen Cloud-Workloads und -Containern sowie der aktiven Suche nach Bedrohungen rund um die Uhr durch das CrowdStrike Falcon OverWatch™-Team. Zudem nutzt CrowdStrike bestimmte cloudnative Angriffsindikatoren (Indicators of Attack, IOAs), analysiert Machine Learning-Muster und absolviert formfreie Bedrohungssuchen, bei denen in Workloads und im Kontrollzentrum von CrowdStrike nach „Hands-on-keyboard“-Aktivitäten gesucht wird.

Dank dieses Transparenzniveaus kombiniert mit proaktiver Bedrohungssuche kann CrowdStrike subtiles, nahezu nicht wahrnehmbares Verhalten mit verblüffender Genauigkeit erkennen – wie zum Beispiel bei einem Vorfall, bei dem ein Angreifer das System auf die Existenz bestimmter S3-Buckets gescannt hatte. Diese Buckets waren nicht öffentlich zugänglich und ihre Bezeichnungen konnten auch nicht über Brute-Force erraten werden. Die CrowdStrike-Analysten ermittelten daraufhin, wie der Angreifer an eine Liste der S3-Buckets gekommen sein könnte.

Nach umfangreichen Recherchen gingen Informationsquellen von CrowdStrike davon aus, dass die Angreifer die S3-Bucket-Bezeichnungen wahrscheinlich aus Teilen von DNS-Anfragedaten ausgelesen haben, die sie aus mehreren öffentlichen Feeds gesammelt hatten. Diese Daten lassen sich leicht abgreifen, wenn über öffentliches WLAN auf Ressourcen zugegriffen wird. Daraus lässt sich schließen, dass Angreifer in einigen Fällen mehr Wissen und Einblick in die Cloud-Nutzung von Unternehmen haben, als man annehmen würde.