Vier typische Cloud-Risiken

Den meisten Sicherheitsteams fällt es schwer, die richtigen Maßnahmen zur Risikoreduzierung für ihre Cloud-Umgebungen zu ergreifen. Effektive Cloud-Sicherheit geht weit über die Korrektur von Konfigurationen oder Berechtigungen hinaus. Im Grunde geht es um eine vollständige Kontrolle des „Zugangs“ zur Cloud, und zwar im Hinblick auf Konsolen, Daten und Infrastruktur.

CyberArk listet vier Cloud-Gefahren und korrespondierende Maßnahmen zur Risikominderung auf:

1. Inaktive Cloud-Nutzer – die verborgene Bedrohung

Inaktive Benutzer und inaktive Accounts mit Zugriffsrechten stellen ein erhebliches Risiko dar. Sie bleiben in Cloud-Umgebungen oft unbemerkt und sind ein Einfallstor für böswillige Akteure. Um diese Bedrohung einzudämmen, sollten Unternehmen

• Konten nach einer bestimmten Zeit ohne Nutzung deaktivieren
• die Benutzeraktivitäten regelmäßig überprüfen
• Benutzerrollen und Berechtigungen häufig und automatisiert kontrollieren

2. Falsche Konfigurationen – der blinde Fleck

Fehlkonfigurationen in einer Cloud-Umgebung können Unternehmen einem großen Risiko aussetzen. Angesichts der Komplexität moderner Cloud-Architekturen sind oft Tausende von Konfigurationseinstellungen erforderlich. Jede Einstellung stellt eine potenzielle Möglichkeit für Fehler dar. Die Bedrohung lässt sich reduzieren, indem Unternehmen

• die Cloud-Konfigurationen regelmäßig automatisiert überprüfen
• die IAM-Richtlinien kontinuierlich kontrollieren, um das Least-Privilege-Prinzip aufrechtzuerhalten
• eine Multi-Faktor-Authentifizierung (MFA) nutzen
• ein Just-in-Time-Zugriffsverfahren etablieren
• automatische Scanner einsetzen

3. Übermäßige Berechtigungen – ein weit geöffnetes Tor

Übermäßige Berechtigungen in der Cloud bieten Benutzern mehr Zugriffsmöglichkeiten als für die Ausführung ihrer Aufgaben erforderlich sind. Um potenzielle Risiken zu minimieren, sollten Unternehmen unter anderem

• eine rollenbasierte Zugriffskontrolle nutzen
• Berechtigungen automatisch auf der Grundlage von Rollen, Aufgaben und Arbeitsabläufen zuweisen
• auch Administratoren keine uneingeschränkten Rechte erteilen

4. Nicht rotierte Secrets – eine tickende Zeitbombe

In der Welt der Multi-Cloud-Architektur sind Secrets – seien es API-Schlüssel, Token, öffentliche und private Schlüsselpaare oder Passwörter – zentrale Zugangskanäle zu wichtigen Daten und Services. Cloud-Anbieter wie AWS, Google und Microsoft Azure bieten alle ihre eigenen Versionen von Secret Management Services an. Wenn diese Secrets jedoch statisch bleiben, erhöht sich der Risikofaktor. Die proaktive Verwaltung dieser Secrets über alle Cloud-Plattformen hinweg ist nicht nur eine bewährte Praxis, sondern sie ist eine Notwendigkeit.

Um die mit Secrets verbundenen Bedrohungen abzuschwächen, können Unternehmen

• eine Richtlinie zur regelmäßigen Rotation von Secrets einführen
• Lösungen für eine automatisierte Rotation von Secrets nutzen
• im Falle einer vermuteten Sicherheitsverletzung Secrets sofort ersetzen

„Die Verlagerung von IT-Workloads in die Cloud kann Unternehmen erhebliche Vorteile wie die Erhöhung von Agilität, Flexibilität und Skalierbarkeit bringen. Allerdings darf dabei die Sicherheit nicht zu kurz kommen. Intelligente Berechtigungskontrollen für jede menschliche und nicht-menschliche Identität sind eine Grundvoraussetzung für eine zuverlässige Gefahrenvermeidung und -abwehr. Und genau darauf zielen unsere vier empfohlenen Maßnahmen für die Identity Security in Multi-Cloud-Umgebungen ab“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk.