Cloud-Sicherheit in AWS, Azure und GCP

Wenn Unternehmen Sichtbarkeit in sämtlichen Cloud-Umgebungen vereinheitlichen und Fehlkonfigurationen im Identitäts- und Zugriffsmanagement (IAM) frühzeitig erkennen, lassen sich Cloud-Risiken einfacher managen und Compliance-Anforderungen einhalten, ohne zwischen unzusammenhängenden Tools wechseln zu müssen.

Diese Webseite schlüsselt die Sicherheitsmodelle der drei großen Cloud Service Provider (CSP) auf und verdeutlicht, wo genau Ihre Teams möglicherweise zusätzliche Kontextinformationen, Sichtbarkeit oder Tools zur Absicherung der einzelnen Modelle benötigen.

Ganz gleich, ob Sie in einer einzigen Cloud-Umgebung arbeiten oder Multi-Cloud-Umgebungen verwalten – zur Prävention von Fehlkonfigurationen und Identitätsrisiken ist es unerlässlich zu wissen, wo native Kontrollmechanismen enden und das Shared Responsibility Model (Modell der geteilten Verantwortung) der jeweiligen Cloud beginnt.

Amazon Web Services (AWS) arbeitet nach einem Shared Responsibility Model: AWS sichert die Infrastruktur ab, Ihr Unternehmen ist hingegen für Konfigurationen, Zugriffskontrollen und Datenschutz verantwortlich.

AWS bietet native Tools für die Bedrohungserkennung, IAM-Systeme für die Zugriffsverwaltung und zentralisierte Sichtbarkeit. Dennoch erweisen sich Cloud-Fehlkonfigurationen wie öffentliche S3-Buckets und IAM-Rollen mit Wildcard-Zugriff weiterhin als gängige Risiken.

Eine Cloud Security Platform wie Tenable Cloud Security erhöht die AWS-Sicherheit, indem die Lösung mit nativen APIs integriert wird, um Identitätsrisiken und Fehlkonfigurationen von Assets aufzudecken. Die Plattform korreliert ungenutzte Zugriffsschlüssel mit öffentlich zugänglichen Endgeräten, um sogenannte Exposure Inducing Assets (EIA) ans Licht zu bringen und hochriskante Übertragungswege zwischen Computing- und Datenservices zu melden.

Das Shared Responsibility-Modell von Microsoft Azure überträgt die Verantwortung für Konfigurations- und Identitätssicherheit an Ihr Unternehmen.

Doch zu weit gefasste Rollen im Rahmen der rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC), ungeschützte Endgeräte und nicht überwachte Ressourcen führen immer wieder zu Risiken.

Azure-Tools mangelt es häufig an Multi-Subscription-Korrelation sowie entsprechendem Kontext zwischen Identitäten und Workloads.

Diese Lücken schließt Tenable Cloud Security durch eine Analyse von CIEM-Daten, um Fehlkonfigurationen bei Identitäten in Entra ID zu erkennen.

Beispielsweise könnte Ihnen ein fehlerhaft konfigurierter Dienstprinzipal, der über unnötige Zugriffsrechte für sensiblen Datenspeicher verfügt und als Teil einer toxischen Kombination gemeldet wird, bei der Priorisierung von tatsächlichen Bedrohungen helfen.

Die Plattform kann mit Azure Policy integriert werden, um Baseline-Konfigurationen durchzusetzen und Behebungsmaßnahmen mithilfe von Policy as Code (PaC) zu optimieren.

Gemäß dem Shared Responsibility-Modell von Google Cloud Platform (GCP) fallen Kontrollmechanismen für Identitäten, Ressourcen und Daten in Ihren Aufgabenbereich. Security Command Center, VPC Service Controls und IAM-Systeme bilden hier Ihre ersten Verteidigungslinien.

Dennoch erweisen sich Standarddienstkonten, zu laxe IAM-Rollenbindungen und deaktivierte Protokollierung nach wie vor als häufige Ursachen für Sicherheitsvorfälle in der Cloud.

Die Ressourcenhierarchie von GCP (Projekte, Ordner, Organisationen) führt zu zusätzlicher Komplexität beim Schutz von Cloud-Workloads (Cloud Workload Protection, CWP).

Tenable Cloud Security lässt sich in GCP APIs einbinden, um Identitätsrisiken mit der jeweiligen Workload-Exposure zu verknüpfen.

Die Lösung meldet beispielsweise ungenutzte Dienstkonten mit erhöhten Berechtigungen, die mit öffentlich zugänglichen Funktionen verknüpft sind. Tenable Cloud Security macht es möglich, Identitäten mit Daten zu korrelieren, was zur Prävention von Rechteausweitung und Lateral Movement von entscheidender Bedeutung ist.

Die Plattform unterstützt darüber hinaus Durchsetzungsmechanismen mittels Google Cloud Policy Intelligence und stimmt Feststellungen auf Frameworks wie die CIS Benchmarks ab.

AWS, Azure und GCP unterstützen allesamt IAM-Systeme, Protokollierung, Verschlüsselung und Überwachung, doch bei den Implementierungsdetails bestehen erhebliche Unterschiede:

• AWS nutzt Richtlinien und Vertrauensstellungen.
  • Azure setzt auf RBAC-Rollen und Entra ID.
  • GCP verwendet Dienstkonten und nach Projektumfang festgelegte Rollen.
• Die Einstellungen für Protokollierung, Verschlüsselung und Firewalls unterscheiden sich in erheblichem Maße.
  • Ohne manuelle Beschränkung könnten bei einem Anbieter laxe Standardzugriffseinstellungen greifen.
• Native Tools bieten unterschiedliche Kontextebenen.
  • Azure Defender bietet eine tiefgreifendere Integration mit Microsoft 365.
  • Bei GCP steht Projektisolierung im Vordergrund.

Aus diesem Grund ist eine Strategie für Multi-Cloud-Transparenz unerlässlich. Wenn sich Unternehmen ausschließlich auf native Tools verlassen, führt dies zu blinden Flecken und einer Kluft zwischen Identitäts-, Workload- und Datenrisiken.

Cloud-Anbieter stellen integrierte Tools zur Verfügung, jedoch sind diese häufig nach Service oder Konto isoliert.

Eine Cloud Native Application Protection Platform (CNAPP) wie Tenable Cloud Security führt diese Erkenntnisse aus nativen Tools mit Kontext zu Identitäten, Workloads und Daten zusammen, sodass Sie stets das Gesamtbild und nicht nur Teile davon im Blick haben.

Bei nativen Tools handelt es sich um Einzellösungen, CNAPPs hingegen führen sämtliche Aspekte zusammen. Dadurch kann Ihr Team wirklich riskante Elemente gegenüber unbedeutenden Fehlkonfigurationen priorisieren.

• Binden Sie eine CNAPP-Lösung wie Tenable Cloud Security in Ihre Abläufe ein, um Risiken im Zusammenhang mit Identitäten, Fehlkonfigurationen und Daten für alle Cloud-Anbieter zu vereinheitlichen.
• Priorisieren Sie Fehlkonfigurationen, die sensible Assets gefährden – nicht einfach nur Verstöße gegen Best Practices.
• Verfolgen Sie Policy-as-Code- und Shift-Left-Ansätze, um Probleme in Ihrer Pipeline frühzeitig zu erkennen.

Weitere Informationen zu cloud-spezifischer Bedrohungserkennung, Behebung und Richtlinienintegration finden Sie im Tenable Cloud Security Hub.