Sicherheit in der Cloud

Cloud-Risiken erkennen und eingrenzen

Heute verteilen sich IT-Systeme über mehrere Standorte hinweg und werden teilweise als public oder private Cloud-Services über das Internet von unterschiedlichen Dienstleistern bezogen. Welche Risiken entstehen dadurch und wie können sie behoben oder zumindest eingegrenzt werden?

Die Administration und der Betrieb von IT-Systemen hat sich im Vergleich zu früher stark geändert: Die Anbindung an das zentrale Firmennetzwerk erfolgt nicht mehr über spezielle Wide Area Networks, sondern aus Kostengründen über das Internet. Die klassische IT-Infrastruktur bestand aus einem Rechenzentrum pro Standort. Die Absicherung erfolgte nach dem Zwiebelprinzip: Das entsprechende Netz wurde optimalerweise über einen (einzigen) Zugangspunkt mit einer restriktiven Firewall abgesichert. Systeme, auf die von außen zugegriffen werden musste, zum Beispiel durch Partner und Lieferanten, wurden und werden in einer Demilitarized Zone (DMZ) betrieben und wiederum über eine oder mehrere Firewalls gesichert.

Die Technologien zur Absicherung von Cloud-Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen.
Die Technologien zur Absicherung von Cloud-Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen.
Foto: Texelart - shutterstock.com

Dieses Zwiebelprinzip der Absicherung gegen äußere Angriffe hat sich bis heute bewährt und ist relativ gut kontrollierbar. Jede externe Anbindung an das zentrale Netzwerk, zum Beispiel für externe Standorte oder mobile Mitarbeiter, wird in einem solchen Kontext über ein Virtual Private Network (VPN) realisiert und unter der Verwendung von Punkt-zu-Punkt-Verschlüsselung gesichert. Die Kontrolle über die gesamte Infrastruktur obliegt dabei dem Unternehmen.

Beispielhafte Angriffsszenarien in einer klassischen IT-Infrastruktur.
Beispielhafte Angriffsszenarien in einer klassischen IT-Infrastruktur.
Foto: ConSol Consulting & Solutions Software GmbH

Bei modernen (Cloud-)Infrastrukturen ist die potenzielle Angriffsfläche um ein Vielfaches größer geworden. Denn die gängigen Infrastructure as a Service (IaaS)-Angebote aus der Cloud, etwa bei Amazon, erlauben jeglichen Traffic aus dem Internet zu der entsprechenden IaaS-Instanz. Früher erfolgte die Absicherung auf der durch den Benutzer zu konfigurierenden Firewall des Betriebssystems in der Cloud. Das bedeutete: Ein potentieller Angreifer konnte per se schon einmal bis auf die Betriebssystemebene gelangen, da keine dedizierten Sicherheitsappliances wie Firewalls vorgeschaltet waren.

Inzwischen bietet Amazon auch konfigurierbare Firewalls vor der Betriebssystemebene an. Hier hat sich die Sicherheitslage also schon gebessert. Sicherer ist es dennoch, auch hier über eine VPN-Verbindung den Zugang zu schützen. Anstelle eines Endpunktes an einer dedizierten Firewall ist es besser, die entsprechenden VPN-Server direkt auf dem Gastbetriebssystem in der Cloud zu installieren und zu konfigurieren.

Ein minimalistischer Weg, dies bei Amazons EC2 zu realisieren, ist die Verwendung eines PPTP Servers. Alternativ ist OpenSSL möglich. Als Einstiegsinstanz in den virtuellen Rechnerpark kann eine Micro Instanz dienen. Das Problem der wechselnden public IPs des Endpunktes umgeht man dann zum Beispiel mit DynDNS. Optimalerweise stellt man dann auch sicher, dass nicht nur der Transportweg gesichert ist, sondern eine echte End-To-End Sicherheit gewährleistet ist. Eine solche kann zum Beispiel durch die Verwendung von Mechanismen aus dem XML Security Framework von W3C zur Verschlüsselung der Payload erreicht werden.