Cloud ist nicht gleich sicher

Weshalb Sie trotz AWS auf IT-Sicherheit achten müssen

Die Zeiten in denen es für alle größeren Firmen zwingend notwendig war eine eigene IT-Infrastruktur aufzubauen sind mittlerweile vorbei. Mailserver, Datenbanken, Filesharing und selbst Backups - für jede Anforderung gibt es inzwischen Anbieter die einen Großteil der Administration für den Kunden übernehmen und somit auch die technischen Herausforderungen die damit einher gehen.

Die drei für Entwickler bedeutendsten Anbieter in diesem Segment sind Google, Amazon und Microsoft. Sie stellen verschieden Plattformen für Anwendungsentwickler zur Verfügung, namentlich Microsoft Azure, Google Cloud Platform (GCP) und Amazon Web Services (AWS). Aufgrund der exzellenten zur Verfügung gestellten Infrastruktur - Google nutzt GCP’s Infrastruktur beispielsweise selbst für Dienste wie YouTube - ist es möglich Nutzern international einen konstant guten Service mit minimalster Downtime zu bieten.

Doch auch wenn diese Anbieter den Nutzern einen Großteil der Administration abnehmen, funktionieren ihre Dienste nicht ohne entsprechende Einrichtung des Nutzers. So werden beispielsweise für einige dieser Angebote APIs verwendet, mit denen der Entwickler direkt kommunizieren muss. Dafür werden API Keys genutzt, welche der Authentifizierung gegenüber des Endpunktes dienen.

Umfangreiche Einstellungsmöglichkeiten bei allen Anbietern

Des weiteren gibt es umfangreiche Einstellungsmöglichkeiten seitens der Anbieter. Diese sind allerdings nicht immer intuitiv. Dies ist wohl dem Umstand geschuldet, dass die fehlende Möglichkeit der eigenen Einrichtung der verschiedenen Systeme auch den Nachteil bringt, dass das schrittweise Einrichten der Infrastruktur entfällt.

Somit müssen diese Anbieter sowohl jene Kunden bedienen, die nicht den nötigen Sachverstand besitzen um diese Systeme zu installieren, als auch jene die die Einrichtung zwar selbst übernehmen könnten, sich jedoch aufgrund anderer Vorteile dazu entschieden haben den entsprechenden Service zu nutzen. Das ist beispielsweise der eingangs erwähnte Vorteil der Geschwindigkeit und Verfügbarkeit.

Eine schwer verständliches Controlpanel birgt Gefahren

Jedoch sind selbst für erfahrene Nutzer die Einstellungsmöglichkeiten nicht immer selbsterklärend. So musste Amazon beispielsweise vor einiger Zeit eine E-Mail an AWS Kunden senden um sie darauf hinzuweisen, dass einige ihrer S3 Buckets - Bestandteile von Amazon’s Onlinespeicherservice - öffentlich verfügbar waren. Dies kann zwar durchaus legitime Gründe haben, jedoch war es aufgrund einer verwirrenden Beschreibung in AWS’ Controlpanel häufiger dazu gekommen, dass Nutzer ihre Dateien versehentlich halböffentlich zur Verfügung gestellt hatten.

Der Grund dafür war, dass eine der Sichtbarkeitsoptionen “alle angemeldeten Nutzer” einschloss. Viele Administratoren waren der Ansicht, dass dies bedeutete, dass nur freigegebene Nutzer die Dateien herunterladen konnten. Die eigentliche Bedeutung dieser Option ist allerdings, dass alle Nutzer die bei AWS angemeldet sind, Zugriff auf den Onlinespeicher erhalten. Da es ein leichtes ist einen solchen Account zu erstellen, sind die Daten im Prinzip öffentlich verfügbar.

Dies zeigt mehr als deutlich, dass es nicht immer einfach ist, einen Kompromiss zu finden zwischen Sicherheit und der Möglichkeit einer umfassenden Konfiguration.

Die Vor- und Nachteile von Cloudlösungen

Will man also zu einem Cloudanbieter migrieren, sollte man sich einen groben Überblick darüber verschaffen, wie die jeweilige Benutzeroberfläche funktioniert. Ein großer Vorteil hierbei ist oftmals, dass sich teure Hardwarekomponenten wie (Web Application) Firewalls einsparen lassen. Diese sind meist bereits seitens der Anbieter integriert oder lassen sich für einen geringen Preis zuschalten.

Oftmals ist sogar schon ein rudimentärer Schutz gegen DDoS Angriffe vorhanden, dieser lässt sich aber bei Bedarf erweitern. Das Problem bei Distributed Denial of Service Angriffen ist, dass der Angreifer versucht, das Zielsystem mit mehr Anfragen zu überladen als dieses schultern kann. Das bedeutet zugleich, dass das Opfer die nötige Hardware, welche zur Abwehr des Angriffs nötig wäre, nur selten selbst bereitstellen kann. Abhilfe schaffen dann externe Anbieter, wie Cloudflare. Doch auch Anbieter wie Amazon bieten DDoS Schutz an.

Der Vorteil hierbei ist, dass es oftmals einfach ist diesen bei Bedarf zuzuschalten. Bei einer Lösung wie der von Cloudflare sind oftmals aufwendige Konfigurationen nötig, welche bei AWS wegfallen. Des weiteren ist es möglich eine kostengünstige Web Application Firewall zuzubuchen. Hier sei allerdings gesagt, dass die Konfiguration schwer und kaum selbsterklärend ist. Eine Schritt-für-Schritt Anleitung zur Implementierung der WAF kann hier befolgt werden.

Beispielsweise muss diese, um korrekt zu funktionieren, oftmals den jeweiligen Input transformieren, also beispielsweise URL-Encoding decodieren. Dies ist nicht sofort ersichtlich und führt dazu, dass die WAF möglicherweise nicht korrekt arbeitet und gefährliche Anfragen nicht zuverlässig filtert. Des weiteren ist es nicht ohne weiteres nötig einen einzelnen bei AWS gehosteten Webserver zu schützen ohne zuvor AWS CloudFront zu aktivieren. Auch hier ist die Einrichtung eher mühsam und nicht unbedingt selbsterklärend.

Hier liegt auch eine der Schwächen von AWS und anderen Cloud Anbietern. Es ist leider nicht immer möglich einzelne Komponenten zu aktivieren ohne andere Dienste in Anspruch nehmen zu müssen. Dies ist nicht wirklich darauf zurückzuführen, dass sich die Anbieter einen höheren Gewinn erhoffen, sondern liegt daran, dass einzelne Komponenten möglichst kompatibel zueinander sein sollten. Daher ist es einfacher eine einzelne Art von Reverse Proxy für Caches und WAFs gleichermaßen zu verwenden anstatt zwei unterschiedliche Server hierfür zu benutzen. Das heißt auch, dass diese Konfigurationen zwar anfangs häufiger vorgenommen werden müssen, sobald man jedoch eine Reihe verschiedener Features nutzt und konfiguriert hat, werden die Abhängigkeiten die neue Services nach sich ziehen, aller Wahrscheinlichkeit schon zuvor konfiguriert worden sein.

Ob sich ein Wechsel also lohnt, hängt auch damit zusammen wie viele unterschiedliche Dienste benötigt werden, welchen Mehrwert die Cloudlösungen insgesamt für das eigene Setup bringen und wie groß das Unternehmen ist. Des weiteren sei gesagt, dass die Migration häufig sehr langsam von statten gehen muss. Nachdem ein Teil der Infrastruktur in die Cloud verlagert wurde sollten häufig Tests durchgeführt werden, um zu überprüfen ob die Infrastruktur wie erwartet funktioniert, um Konfigurationsfehler, wie die der fehlerhaften WAF zu erkennen.