Top 7 Security-Fails: Wie Cloud-App-Migration nicht geht

Während Schlüssel-Apps wegen Remote Work in die Cloud wandern, entstehen neue Möglichkeiten für kriminelle Hacker. Diese sieben Fehler sollten Sie vermeiden. [...]

Cloud-Migration ohne zeitgemäße Security-Maßnahmen? Keine gute Idee (c) pixabay.com

Applikationen auf Cloud-Basis erfreuen sich Pandemie-bedingt immer größerer Beliebtheit – dem Remote Work Shift sei Dank. Oder eher nicht: Eine Menlo-Umfrage unter 200 IT-Managern hat zu Tage gefördert, dass diese Entwicklung bei 40 Prozent der Befragten zu steigenden Bedrohungen durch Cloud-Apps und IoT-Angriffe geführt hat.

Wenn es um diese Art der Cloud-Migration geht, gibt es gute und schlechte Ansätze, um sie zu schultern. Die Top 7 haben wir in den folgenden Absätzen für Sie zusammengestellt.

VPN für Remote-Zugriff

Je nach Anzahl der Remote-Arbeiter im Unternehmen ist ein Virtual Private Network (VPN) eventuell nicht die beste Wahl für den Fernzugriff. Das zeigt beispielsweise der Hackerangriff auf den Security-Anbieter FireEye im Dezember 2020 – hier diente ein kompromittierter VPN-Zugang den Angreifern als Einfallstor.

Die zeitgemäßere Lösung ist ein Zero Trust Network. Außerdem sind auch Security Policies fürs Homeoffice empfehlenswert, schließlich werden Rechner im Homeoffice unter Umständen nicht nur für berufliche Zwecke verwendet. Laut einer Umfrage von CyberArk speichern mehr als die Hälfte der Befragten ihre privaten Passwörter im Browser des Firmenrechners.

Falsches Cloud-Portfolio

Brauchen Sie Private Clouds, um businesskritische Daten vom Rest des Universums abzuschotten? Haben Sie daran gedacht, dass bestimmte Apps spezifische Windows- oder Linux-Konfigurationen erfordern? Haben Sie die richtigen Konnektoren und Authentifizierungsschutzmaßnahmen am Start, um ihr On-Premises-Equipment einzubinden?

Wenn Sie eine Legacy Mainframe App betreiben, empfiehlt es sich, diese erstmal einmal in der Private Cloud einem Testlauf zu unterziehen. Im Anschluss ermitteln Sie die Umgebung, die dem bestehenden Mainframe Setup am nächsten kommt.

Cloud-Untauglichkeit

Zu den gängigen Cloud-Security-Fehlgriffen gehören beispielsweise ungesicherte Storage Container, schlecht konfigurierte Zugriffsrechte und Authentifizierungsparameter oder großzügig geöffnete Ports. Egal ob Sie On-Premises unterwegs sind oder sich aus Timbuktu verbinden: Ihr Security-Niveau sollte so konsistent wie möglich sein.

Bevor Sie auch nur eine einzige App in die Cloud hieven, sollten Sie an die Security denken. So wie der Pharmariese Johnson & Johnson, der vor einigen Jahren das Gros seiner Workloads in die Cloud überführt und seine Security zentralisiert hat. Unterstützung bietet seit kurzem ein Open-Source-Tool von Netflix namens ConsoleMe. Es ermöglicht das Management mehrerer AWS Accounts in einem Browserfenster.

Disaster Recovery – eventuell

Wann haben Sie das letzte Mal Ihren Disaster-Recovery-Plan auf die Probe gestellt? Wahrscheinlich ist das schon eine Weile her, schließlich frisst die Betreuung einer Schar von Mitarbeitern im Homeoffice Zeit und Ressourcen.

Nur weil Ihre Apps in der Cloud sind, bedeutet das nicht, dass diese unabhängig von bestimmten Web- und Datenbanken-Servern sowie anderen Infrastruktur-Elementen abhängig sind. Diese Abhängigkeiten gilt es in einem guten Disaster-Recovery-Plan zu berücksichtigen – ebenso wie die kritischsten Workflows.

Continuous Testing ist ebenfalls ein wichtiger Bestandteil, um partielle Cloud-Ausfälle kompensieren zu können. Die treten auch bei den Hyperscalern Amazon, Google und Microsoft ab und zu auf. Das weiß man auch bei Netflix – und hat mit dem Tool „Chaos Monkey“ Abhilfe geschaffen. Dieses basiert auf Chaos Engineering und war so konzipiert, dass es die AWS-Infrastruktur des Streaming-Giganten durch konstantes, zufälliges Abschalten von Produktiv-Servern testete.

Mithilfe dieses Ansatzes und einiger spezifischer Security-Tests lassen sich Schwachpunkte in Ihrer Cloud-Konfiguration aufspüren. Der Schlüssel zum Erfolg liegt in der Automatisierung, um Bottlenecks und Infrastruktur-Schwächen zuverlässig aufzuspüren. Neben den Open-Source-Werkzeugen von Netflix stehen dafür auch einige kommerzielle Lösungen zur Verfügung:

Authentifizierungsdefizite

Eventuell haben Sie noch ein IAM, SIEM, CASB oder auch ein Single-Sign-On Tool aus den guten alten On-Premises-Zeiten im Einsatz. Das wäre nicht die beste Wahl für den Eintritt in die Cloud- und Remote-Access-Welt.

Schauen Sie sich solche Tools noch einmal ganz genau an: Können diese Ihre Wirkung in Cloud-Umgebungen voll und ganz entfalten und so den Schutz Ihrer Systeme gewährleisten? Cloud Access Security Broker sind beispielsweise bestens geeignet, um den Zugriff auf Cloud Apps zu managen. Es könnte aber auch sein, dass Sie eine andere Lösung benötigen, die mit Ihrer Custom App oder Risked-Based Authentication funktioniert oder sie auch vor raffinierteren Bedrohungen schützt.

Out-of-Date-Directory

Die richtigen Leute brauchen den richtigen Zugriff auf die richtigen Ressourcen zur richtigen Zeit und aus dem richtigen Grund. Entsprechend viel kann man hierbei falschmachen. Jedenfalls sollte Ihre Active Directory (AD) auf dem aktuellen Stand sein, was autorisierte User, Apps und Server angeht. Der Weg in die Cloud gestaltet sich mit einer akkuraten AD wesentlich komfortabler.

Support-Verweigerung

Jede Menge Managed Service Provider haben sich auf diese Art der Cloud-Migration spezialisiert – Sie sollten also nicht zögern, Hilfe in Anspruch zu nehmen, wenn Sie diese benötigen. Gerade bei etwas überstürzten Migrationen kann es vorkommen, dass die ein oder andere Hintertür für kriminelle Hacker offenbleibt. 

*David Strom schreibt unter anderem für unsere US-Schwesterpublikationen CSO Online, Network World und Computerworld.


Mehr Artikel

Kommentar

IT-Angriffe müssen keine Naturkatastrophe sein

Eine Cyberattacke kann erhebliche Schäden verursachen – bis hin zum Produktionsstopp. Auch wenn der genaue Ablauf nicht vorherzusehen ist, können sich Unternehmen durch geeignete Maßnahmen davor schützen. Dazu gehören strenge Zugriffskontrollen, Schwachstellen-Management und eine umfassende Überwachung des Datenverkehrs. Dann müssen IT-Angriffe keine Katastrophe mehr sein. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*