Article

Automatisiertes Cloud Konfigurations- & Compliance-Management

Deloitte Fortress – eine umfassende Cloud Security-Lösung

Die Nutzung von Cloud-Diensten ist unerlässlich, wenn es darum geht, in Zukunft wettbewerbsfähig zu bleiben. Schnelles und unkompliziertes Deployment ist einer der maßgeblichen Vorteile gegenüber On-Premises Lösungen. Um die Sicherheitsbedürfnisse der Organisationen zu erfüllen, bedarf es der Umsetzung technischer und organisatorischer Maßnahmen. Die Automation dieser Maßnahmen ist der einzige Weg, um das volle Potenzial der Cloud ausschöpfen zu können und dabei kritische Assets zu schützen.

Security Herausforderung in modernen, flexiblen Cloud Umgebungen

Fehlkonfigurationen – Unterschätztes Risiko mit großen Auswirkungen 

Jede der marktführenden Cloud Plattformen, ob Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure, bietet ihren Kunden die Möglichkeit, komplexe Technologien mit wenigen Mausklicks verfügbar zu machen. Im Arbeitsalltag können hierbei aufgrund von Unachtsamkeit oder fehlender Awareness sowie durch nicht ausreichend geschulte Mitarbeiter Fehlkonfigurationen entstehen. Diese Fehlkonfigurationen können teils verheerende Folgen für Unternehmen und deren Kunden haben. Eine mögliche Konsequenz ist der unberechtigte Zugriff auf sensible Informationen, wie personenbezogene oder firmeninterne Daten, durch Dritte. Dies kann einen nicht unbeträchtlichen finanziellen Schaden für die jeweiligen Firmen bedeuten oder auch die Reputation der Firma maßgeblich beschädigen. Eine Fehlkonfiguration der Cloud- und Sicherheitsfunktionen gefährdet in einem hohen Ausmaß die drei wesentlichen Sicherheitsziele Confidentiality, Integrity & Availability (z. dt. Vertraulichkeit, Integrität & Verfügbarkeit). Angreifer können mit Hilfe von automatisierten Scans nach solchen Sicherheitslücken Ausschau halten und diese ausnutzen, um Datenzugriff zu erlangen, in firmeninterne Netzwerke einzudringen oder nachgelagerte Angriffe gegen die Firmen und Dritte durchzuführen.

  • 70% der Cloud-Bedrohungen werden durch Fehlkonfigurationen verursacht, welche in uneingeschränktem Zugriff resultieren
  • 95% der Cloud-Security Vorfälle sind auf menschliche Bedienfehler zurückzuführen
  • 68% der befragten Unternehmen sehen Fehlkonfigurationen als größte Cloud-Security Bedrohung an

Zeitgemäßes Reaktionsverhalten durch Automatisierung

Im Allgemeinen besteht der Prozess für die Behandlung von Sicherheitslücken aus mehreren Schritten. Diese umfassen die Identifikation, die Auswertung bzw. Analyse und die anschließende Reaktion auf einen Vorfall. Die schnelle und einfache Bereitstellung von Cloud-Technologien erfordert jedoch ein effizienteres Handeln. Bedrohungen, welche u. a. durch Fehlkonfigurationen entstehen, müssen sofort erkannt, behandelt und auf die gesamte Cloud-Umgebung angewandt werden.

Manuelle Prozesse erfüllen diese Anforderungen nicht. Daher ist es empfehlenswert, sich die Flexibilität von Cloud-Umgebungen zu Nutze zu machen und die händische Intervention von Cloud-Anwendern auf ein Minimum zu beschränken. Die Automatisierung einschlägiger Prozesse mit dem Forcieren konformer Konfigurationen erhöht nicht nur das Sicherheitsniveau bedeutend, sondern schafft erst die Möglichkeit, das volle Potenzial von Cloud-Umgebungen auszuschöpfen.  

  • Identifikation von Sicherheitsvorfällen erfolgt oftmals erst Stunden oder Tage nach einem Incident
  • Wenige Minuten können ausreichen, um unternehmens-kritische Daten zu entwenden

Compliance Management als integrativer Ansatz

Um regulatorische und organisatorische Anforderungen in einem umfassenden IT-Security Konzept einzuhalten, müssen verschiedene Standards und Best Practices berücksichtigt werden. Genutzte Cloud-Services müssen hierbei unter der Beachtung von Cloud-Spezifika nahtlos in bestehende Rahmenwerke integriert werden. Geschieht dies nicht, ist die Compliance zu nationalen und internationalen Standards und Gesetzen, wie beispielsweise der ISO27001, NIST oder der Datenschutz-Grundverordnung (DSGVO) der EU, nicht mehr sichergestellt. Dies kann neben dem Vertrauensverlust bei Kunden und Lieferanten auch rechtliche Konsequenzen nach sich ziehen.

Aus branchenweit etablierten IT-Sicherheitsstandards, wie zum Beispiel ISO 27001 und NIST-800, lassen sich Maßnahmen (Controls) ableiten, deren Erfüllung einen Indikator für die IT-Sicherheit einer Organisation darstellt. Dabei ist es essenziell, ein einheitliches sowie an die Anforderungen der eigenen Organisation angepasstes Control Framework zu etablieren und dessen stetige Einhaltung zu überwachen.  

  • Compliance ist für Kundenvertrauen und zum Erfüllen von Regularien unabdingbar
  • Bei Verstößen sind Strafen bis zu 10 Mio. Euro oder 4% des jährlichen Umsatzes möglich (§ 83 Absatz 4 und Absatz 5 DSGVO)
  • Einheitliches und individuelles Control Framework notwendig!

Deloitte Fortress

Ausschließen von Fehlkonfigurationen, nahezu in Echtzeit

Mit der Integration von Fortress und damit der Etablierung eines soliden Control-Frameworks wird der Cloud-Anwender befähigt, all diese Herausforderungen effizient anzugehen. Als sicher geltende Cloud Konfigurationen werden mit Ihnen abgestimmt und Ihre Cloud-Umgebung dazu befähigt, diese automatisiert umzusetzen. Selbstverständlich werden Sie bei der Definition und Anwendung entsprechender Einstellungen vollumfassend von uns unterstützt. Grundlage dessen ist eine im Vorfeld durchgeführte und auf Ihre Sicherheitsbedürfnisse angepasste Schutzbedarfsanalyse aller für Sie relevanten Cloud-Services. Somit ist sichergestellt, dass sämtliche betrachteten Cloud-Konfigurationen an die jeweiligen Sicherheitsanforderungen angepasst angewandt werden. Ein einfaches Beispiel hierbei ist das Unterscheiden angewandter Regeln zwischen Test- und Produktivumgebung. Nach der Definition der SOLL-Konfigurationen für betreffende Cloud-Services werden diese automatisch in weniger als zwei Minuten angewandt. Dies gilt sowohl für die Initial-Konfiguration beim Erstellen, als auch für Änderungen an im Betrieb befindlicher Services.

Beispielszenario:
Bei der Konfiguration eines Cloud-Speichers wird dessen Verschlüsselung nicht eingeschaltet und der Datenfluss nicht auf interne Netzwerke beschränkt.

  • Verschlüsselung wird automatisch eingeschaltet
  • Datenflüsse werden auf zuvor definierte IP-Adressen / IP-Ranges beschränkt

Vollumfängliches und transparentes Compliance-Management

Unsere Unterstützungsleistungen bei der Definition geeigneter Konfigurationen gehen noch einen Schritt weiter: Die Auswahl erfolgt basierend auf technischen Maßnahmen (Controls), abgeleitet aus einem großen Rahmenwerk verschiedenster IT-Sicherheitsstandards und branchenetablierter Best Practices. Dies ermöglicht die direkte Zuordnung von Ihren regulatorischen oder organisatorischen Anforderungen zu in der Praxis automatisch angewandten Regelsets. Somit lässt sich die Compliance zu sämtlichen technisch abbildbaren Maßnahmen für die gesamte Cloud-Umgebung automatisiert erwirken und einfach nachvollziehen. Das frei gestaltbare Dashboard zeigt Ihnen transparent, welche technischen Regeln innerhalb ihrer Cloud-Umgebung umgesetzt wurden. Dies gibt nicht nur einen Überblick über automatisch behobene Schwachstellen, sondern ermöglicht Ihnen außerdem, Compliance zu den von Ihnen gewünschten Standards anschaulich nachzuverfolgen und im Falle eines Audits nachzuweisen. Weiterhin können Sie die gesammelten Informationen verwenden, um zielgerichtet Schulungsbedarfe Ihrer Mitarbeiter zu erkennen. Die bei Bedarf von uns etablierte Knowledge Base stellt jedem Mitarbeiter individualisiert Informationen zur Verfügung, womit Sie eine der wichtigsten nicht-technischen Anforderungen aus vielen IT-Security Standards erfüllen: Effizientes und zielgerichtetes Awareness-Training für Ihre Mitarbeiter.  

Beispielszenario:
Im Vorfeld definierte, sichere Konfiguration eines Cloud-Speichers wurde nach einer Fehlkonfiguration automatisiert angewendet:

  • Der Verursacher / Prozessverantwort-liche erhält eine E-Mail mit Verweis auf einen Knowledge Base Eintrag
  • Darstellung des Verstoßes im Dashboard mit Verweis auf NIST 800-53: AC-19(5),SC-28; HITRUST: 06.d-5,06.d-6; uvm.

Funktionsweise & Komponenten von Fortress

Das Einspielen sicherer Konfigurationen und das Compliance-Scanning finden vollautomatisiert, nahezu in Echtzeit statt. Schutzmechanismen der Cloud-Dienste werden auf diese Weise effizient unterstützt und sorgen für eine Entlastung der eigenen IT-Administration. Bei einer Fehlkonfiguration und der darauf automatisiert ablaufenden Korrektur, erhält der Verursacher/Prozessverantwortliche per E-Mail eine Benachrichtigung über den Vorfall. Optional können hierbei Verweise auf relevante Knowledge-Base-Einträge und einschlägige Policies hinzugefügt werden.

Zur Implementierung von Fortress wird auf Cloud-native Dienste zurückgegriffen. Hierbei werden nur zwei Komponenten benötigt: Event-Hub und Serverless Funktionen. Mit dem Event-Hub wird jedes Erstellungs- und Änderungs-Event erfasst und nachfolgend mit zuvor implementierten Regelsets / Konfigurationen, entsprechend der Compliance-Anforderungen, abgeglichen. Insofern eine Konfiguration gegen eine der Regeln verstößt, folgt daraufhin mit Hilfe der Serverless-Funktion die Korrektur der Fehlkonfiguration, die Übermittlung an das Dashboard und optional die Erstellung eines Tickets (z. B. in ServiceNow) sowie eine Benachrichtigung an den Initiator/Prozessverantwortlichen. 

Cyber Cloud – Die sichere Grundlage einer kosteneffizienten, skalierbaren und flexiblen IT

Wir unterstützen Sie beim Aufbau von (Multi-)Cloud Umgebungen und bei der sicheren Nutzung von Cloud Services in einem hochdynamischen Umfeld