Immer wieder sehen wir uns in Gesprächen mit Kunden und Interessenten mit der Aussage konfrontiert, Sicherheitsuntersuchungen (Penetrationstests und Vulnerability Scans) seien in Cloud-Szenarien nicht erforderlich, denn der Cloud-Anbieter (z.B. Amazon Web Services, Microsoft Azure, Google Cloud, Hetzner Cloud) sorge doch für die Sicherheit der Umgebungen. Hierbei handelt es sich um eine weitverbreitete Fehlannahme, die wir in diesem Beitrag näher erläutern möchten.
Schauen wir uns zunächst an, was der Anbieter einer Cloud, in welcher Anwendungsbetreiber ihre Anwendungen entwickeln und betreiben können, hinsichtlich der Sicherheit eigentlich genau macht. Zielgruppe typischer Infrastructure as a Service (Iaas) und Platform as a Service (PaaS)-Angebote sind Anwendungsbetreiber (z.B. Startups, Mittelständler oder auch Konzerne), die unter Zuhilfenahme der Cloud-Ressourcen eigene Anwendungen erstellen und in der Cloud betreiben können. Der Vorteil für die Anwendungsbetreiber liegt auf der Hand: Investitionen in eigene Serverlandschaften entfallen, der Cloud-Anbieter stellt die benötigte Rechenkapazität zum Betrieb zur Verfügung.
Zu den Aufgaben des Cloud-Anbieters bei solchen Iaas- und PaaS-Angeboten gehört die Absicherung aller Dienste, die den Cloud-Anwendungsbetreibern zur Verfügung gestellt werden. Das bedeutet beispielsweise, dass APIs, Automatisierungsmechanismen sowie Plattformen und Dienste in einer Art und Weise bereitgestellt werden, dass diese keine schwerwiegenden Sicherheitslücken enthalten. Wenn doch, wird der jeweilige Cloud-Anbieter schon aus eigenem Interesse alles daran setzen, schnellstmöglich für Abhilfe und das Patching zu sorgen. Nur im Spezialfall Software as a Service (SaaS) darf sich der Nutzer darauf verlassen, dass auch die durch den jeweiligen SaaS-Provider bereitgestellte Software vom jeweiligen Provider entsprechend überprüft und korrigiert wird, sollten Sicherheitslücken identifiziert werden. Allerdings richten sich SaaS-Angebote meist an Endnutzer und nicht an Anwendungsbetreiber.
Lassen wir Software as a Service (SaaS) kurz beiseite und fokussieren uns auf IaaS und PaaS-Szenarien. Aus den oben beschriebenen Aufgaben des Cloud-Anbieters resultiert in solchen Umgebungen das folgende:
Wir von TEN Information Management sehen unsere unsere Mission auch darin, immer wieder zu erklären, was die Cloud-Anbieter hinsichtlich Sicherheit für Anwendungsbetreiber tun – und was die eigene Verantwortlichkeit der Anwendungsbetreiber ist und bleibt. Und natürlich helfen wir dabei, dieser Verantwortung nachzukommen – mit Vulnerability Scans, Penetration Tests und unserem Watchdog by TEN IM, einer Managed SIEM (Security Incident & Event Management) Lösung, die auch und gerade in IaaS-Szenarien wertvolle Einblicke in die IT-Sicherheitslage der eigenen Organisation liefert. Alles getreu unserem Claim: Business Driven Security Expertise – zugeschnitten auf das Geschäft unserer Kunden.