Der Mangel an grundlegendem Sicherheitswissen und Fehler auf Kundenseite sind die häufigste Ursache für Cloud-spezifische Schwachstellen und Sicherheitsvorfälle in der Cloud. Mit zunehmender Cloud-Nutzung und dadurch auch zunehmender Komplexität dieser Umgebungen wird sich dieses Problem noch verschärfen, so das Fazit des ersten "Cloud Threat Risk Report" von Unit 42, dem Threat-Intelligence-Team von Palo Alto Networks. In dem Bericht werden Sicherheitsvorfällen in der Public Cloud und deren Ursachen im ersten Halbjahr 2019 behandelt.
Foto: LeoWolfert - shutterstock.com
Im Rahmen seiner Untersuchung identifizierte Unit 42 bei den drei größten Public-Cloud-Providern über 48 Millionen Schwachstellen. Davon entfallen 40.927.683 Schwachstellen auf das Amazon-Angebot AWS EC2, 2.229.703 auf Microsofts Azure Virtual Machine und 5.031.369 auf die Google Compute Engine in der Google Cloud Platform (GCP).
Die grundsätzliche Problematik ändert sich auch durch den Trend zu Containern nicht. Im Rahmen ihrer Untersuchungen entdecken die Experten von Unit 42 über 40.000 mit Standardkonfigurationen betriebene Container-Plattformen, auf die Unbefugte schon mit einfachen Suchbegriffen stoßen und auf die sie ohne weiteres über das Internet zugreifen konnten. Es handelte sich dabei um 23.354 Docker-Container und um 20.353 Kubernetes-Container. Jeweils deutlich über 2.000 davon wurden in Deutschland betrieben. In einigen Fällen wurden nicht nur die Container, sondern auch die darin laufenden Anwendungen mit den Standardeinstellungen genutzt, so dass die Sicherheitsforscher ohne Anmeldung darauf zugreifen konnten.
Patch-Management auch bei Cloud-Nutzung unverzichtbar
Eine wesentliche Ursache für die erschreckend hohe Zahl an Schwachstellen ist die schlechte Patch-Disziplin der Cloud-Nutzer. Schon in traditionellen Umgebungen im eigenen Rechenzentrum ist die regelmäßige und korrekte Aktualisierung von Anwendungen und das Einspielen von Sicherheits-Updates keine einfache Aufgabe. In der Cloud scheint das noch komplexer zu sein - und wird offenbar zudem oft durch das Gefühl verdrängt, dass sich der Cloud-Betreiber schon irgendwie darum kümmern wird.
Lesetipp: Cloud-Trends 2019
Tatsächlich übernehmen die Cloud Provider im Rahmen des sogenannten "Shared Responsibility"-Modells einige dieser Aufgaben, aber bei weitem eben nicht alle. In der Regel sind die Kunden nach wie für die Konfiguration der genutzten Umgebung und die Einhaltung von Vorgaben für die verarbeiteten Daten und die genutzten Anwendungen verantwortlich.
Diese Aufgabe erledigen sie allerdings nur mangelhaft. Laut Unit42 waren 65 Prozent der zwischen Februar 2018 und Juni 2019 bekannt gewordenen Sicherheitsvorfälle in der Cloud auf Fehlkonfigurationen zurückzuführen. Bei 56 Prozent der von den Forschern untersuchten Einrichtungen war mindestens ein SSH-Dienst SSH (TCP Port 22) unsicher, bei rund 40 Prozent mindesten ein RDP-Dienst (TCP Port 3389).
"Es gibt keinen Grund, für Dienste wie SSH, RDP oder ankommenden Traffic aus dem gesamten Internet zuzulassen", betonen die Experten. Administratoren empfehlen sie, Zugriff auf Ports und Services immer nur einer kleinen Gruppe per Whitelist definierter Quellen zu gewähren und für Inbound Traffic in AWS immer über die "Security Groups", in Azure über die "Network Security Groups" und bei der Google Cloud Platform über die Firewall-Regeln enge Grenzen zu setzen sowie deren Einhaltung dann kontinuierlich im Blick zu behalten.