Cyberkriminelle nehmen immer häufiger Cloud-Ressourcen ins Visier. Das ist kein Wunder, denn viele Unternehmen vernachlässigen deren Sicherheit und verlassen sich zu sehr auf die Security-Maßnahmen des Providers. Welche Folgen das haben kann und wie Sie es besser machen, das zeigt dieses Whitepaper an konkreten Beispielen.
Inhalt:
Unternehmen setzen zunehmend auf Cloud-Technologien, agile Entwicklungskonzepte und moderne Anwendungsarchitekturen wie Mikroservices und Container. Dies führt zu immer komplexeren hybriden IT-Umgebungen, die sich nur noch mit großem Aufwand verteidigen lassen. Dies ist sehr gefährlich, denn auch Cyberkriminelle gehen dazu über, vermehrt Cloud-Infrastrukturen anzugreifen.
Vor allem Unternehmen, die wenig Erfahrung mit Cloud-Ressourcen haben, sind gefährdet. Unerfahrene IT-Mitarbeiter unterschätzen häufig die Risiken einer unzureichenden Absicherung und vertrauen zu sehr auf die Sicherheitsvorkehrungen des Cloud-Providers.
In diesem Whitepaper geben die Autoren anhand von Amazon Web Services (AWS) konkrete Beispiele für die Bedrohungen und Risiken, denen Unternehmen ausgesetzt sind, wenn sie bei der Konfiguration von Cloud-Diensten Fehler machen. Außerdem stellen sie Abhilfemaßnahmen und bewährte Verfahren zur Verbesserung der Sicherheitslage vor.
Hier die wichtigsten Systeme, die Sie in diesem Dokument behandelt werden:
- Amazon S3 Buckets
- Container (Docker und Kubernetes)
- Serverless Computing
Originalauszug aus dem Dokument:
In February 2018, a Monero cryptocurrency miner was discovered in the JavaScript of a subdomain of the website of a major U.S. newspaper.2 The newspaper had an AWS-hosted website that was statically hosted in an Amazon S3 bucket. The entire website was contained in a bucket, including all of the images, Cascading Style Sheets (CSS) files, and JavaScript files, which were stored as objects in that bucket. HTTP(S) interface provide read-only access to the content of the Amazon S3 bucket. However, the bucket was misconfigured such that if an attacker accessed it via the Amazon S3 native protocol, they could write to it or even change the permissions. (The problem has since been mitigated by making the bucket harder to misconfigure.)
The newspaper’s misconfiguration of the ACLs allowed write access to the entire bucket from any account. This in turn allowed an attacker to add their Monero cryptocurrency miner to the JavaScript code, which was executed every time a visitor opened the website.
This sort of mistake is very common among novice users, who use Amazon S3 HTTP(S) access points to host web content. When creating an Amazon S3-hosted site, it is not always obvious to these users that all of the content becomes accessible not just via HTTP(S) but also through the AWS API itself, and the name of the bucket could be derived from the HTTP(S) domain name.