Cloud Security Assessment

Cloud Computing stellt die IT-Sicherheit innerhalb eines Unternehmens vor neue Herausforderungen. Durch die Transformation von klassischen Rechenzentren, hin zu cloudbasierten On-Demand-Diensten und Infrastrukturen verändert sich nicht nur die IT-Landschaft eines Unternehmens grundlegend. Auch ergeben sich neue Angriffsvektoren. Insbesondere ist die Identifikation des Perimeters nicht mehr eindeutig möglich, da interne IT-Systeme zunehmend in der Cloud betrieben werden. On-Premise und Cloud wachsen zunehmend zusammen.

Dies zeigt sich auch in den Vertrauensstellungen vom Unternehmensnetzwerk in die Cloud, die eine Abkehr von traditionellen IT-Architekturen darstellen. Dadurch werden etablierte IT-Sicherheitskonzepte aufgeweicht und es ergeben sich neue Risiken für die IT-Landschaft des Unternehmens.

Neben den veränderten betrieblichen Rahmenbedingungen, zeigen sich ebenfalls besondere Herausforderungen in den rasanten funktionalen Weiterentwicklungen des Cloud-Angebotes. Eine Überwachung dieser Neuerungen stellt ein neues Aufgabengebiet für die IT-Abteilung eines Unternehmens dar, welches in dieser Ausprägung vorher nicht vorhanden war.

Mit dem Cloud Assessment bieten wir ihnen eine umfassende Prüfung ihrer Cloud-Umgebung bezüglich Sicherheitsschwachstellen und Fehlkonfigurationen an. Im Gegensatz zur Vorgehensweisen z.B. innerhalb eines Penetrationstests (risikobasierte Vorgehensweise) liegt der Schwerpunkt des Cloud Assessments auf einer umfassenden Betrachtung der Cloud-Umgebung und der Anbindung an das Unternehmensnetzwerk. 

Dabei beginnen wir das Cloud Assessments mit einem Workshop zur Bedrohungsanalyse, mit dem Ziel des „Big Picture“ zu verstehen und daraus spezifische Bedrohungsszenarien abzuleiten und zu bewerten. Auf Basis dieser Ergebnisse erfolgen automatisierte sowie manuelle Analysen zur Identifikation von möglichen Schwachstellen. Ein Gray oder White Box Ansatz ist zu empfehlen. Es kann dabei zwischen folgenden Perspektiven gewählt werden:

  • Externe Perspektive (aus dem Internet)
  • Interne Perspektive (aus dem Cloud- oder Unternehmensnetzwerk)
  • Authentifiziert (mit validen Zugangsdaten)
  • Unauthentifiziert (ohne Zugangsdaten)
Grundsätzlich werden bei einem Cloud Assessment folgende Punkte untersucht:

  • Zugriffsberechtigungen
  • IT-Systeme, Dienste und Ressourcen
  • Anbindung an die IT-Landschaft des Unternehmens
  • Kommunikationsflüsse/-beziehungen
  • Netzwerksegmentierung und -filterung
  • Datenverschlüsselung
  • Schlüsselverwaltung
  • etc.

Führende Anbieter für Cloud-Lösungen im Unternehmensumfeld sind aktuell Microsoft (Azure) und Amazon (AWS - Amazon Web Services). Nachfolgend finden Sie eine Aufstellung der spezifischen Technologien, die im Rahmen des Cloud Assessments für Azure und/oder AWS untersucht werden:

Azure:
  • Express Route
  • NSGs und Vnets
  • VNet Peering
  • Ressourcengruppen
  • Storage Accounts
  • Azure Active Directories (AAD)
  • Role-based Access Control (RBAC) - Built-in Roles + Custom Roles
  • Virtual Machine Scale Set
  • Verfügbarkeitsgruppen
  • SaaS-Services
  • PaaS-Services 

AWS:
  • Serverinstanzen in EC2
  • Serverless Execution (Lambda)Amazon API Gateway
  • Virtual Private Cloud (VPC)
  • Storage
  • S3 Buckets
  • Datenbanken (RDS, Aurora)
  • AWS IAM
  • etc.        

Als Ergebnis des Assessments erhalten Sie, neben einer Erläuterung und Risikobewertung der identifizierten Sicherheitsmängel, eine fundierte Bewertung des Sicherheitsniveaus ihrer Cloud-Umgebung. Ein wesentlicher Bestandteil des Abschlussberichtes ist eine detaillierte Beschreibung der gefunden Sicherheitsmängel und eine konkrete Lösungsempfehlung.