ProHoster > Blog > Verwaltung > Cloud-Sicherheitsüberwachung

Cloud-Sicherheitsüberwachung

Die Verlagerung von Daten und Anwendungen in die Cloud stellt eine neue Herausforderung für Unternehmens-SOCs dar, die nicht immer bereit sind, die Infrastruktur anderer Personen zu überwachen. Laut Netoskope nutzt das durchschnittliche Unternehmen (offenbar in den USA) 1246 verschiedene Cloud-Dienste, das sind 22 % mehr als vor einem Jahr. 1246 Cloud-Dienste!!! 175 davon beziehen sich auf HR-Dienstleistungen, 170 auf Marketing, 110 auf den Bereich Kommunikation und 76 auf Finanzen und CRM. Cisco nutzt „nur“ 700 externe Cloud-Dienste. Deshalb bin ich etwas verwirrt über diese Zahlen. Aber auf jeden Fall liegt das Problem nicht bei ihnen, sondern darin, dass die Cloud von immer mehr Unternehmen recht aktiv genutzt wird, die die gleichen Möglichkeiten zur Überwachung der Cloud-Infrastruktur wie in ihrem eigenen Netzwerk haben möchten. Und dieser Trend nimmt zu – laut nach Angaben der American Chamber of Accounts Bis 2023 werden in den USA 1200 Rechenzentren geschlossen (6250 wurden bereits geschlossen). Der Übergang zur Cloud bedeutet jedoch nicht nur „Lasst uns unsere Server zu einem externen Anbieter verlagern“. Neue IT-Architektur, neue Software, neue Prozesse, neue Einschränkungen ... All dies bringt erhebliche Veränderungen nicht nur für die Arbeit der IT, sondern auch der Informationssicherheit mit sich. Und wenn Anbieter gelernt haben, irgendwie damit umzugehen, die Sicherheit der Cloud selbst zu gewährleisten (zum Glück gibt es viele Empfehlungen), dann gibt es bei der Überwachung der Cloud-Informationssicherheit, insbesondere auf SaaS-Plattformen, erhebliche Schwierigkeiten, über die wir sprechen werden.

Cloud-Sicherheitsüberwachung

Nehmen wir an, Ihr Unternehmen hat einen Teil seiner Infrastruktur in die Cloud verlagert ... Stopp. Nicht so. Wenn die Infrastruktur übertragen wurde und Sie erst jetzt darüber nachdenken, wie Sie sie überwachen, haben Sie bereits verloren. Sofern es sich nicht um Amazon, Google oder Microsoft handelt (und auch dann unter Vorbehalt), werden Sie wahrscheinlich nicht viele Möglichkeiten haben, Ihre Daten und Anwendungen zu überwachen. Es ist gut, wenn Sie die Möglichkeit haben, mit Protokollen zu arbeiten. Manchmal sind Daten zu Sicherheitsereignissen verfügbar, Sie haben jedoch keinen Zugriff darauf. Zum Beispiel Office 365. Wenn Sie die günstigste E1-Lizenz haben, stehen Ihnen Sicherheitsereignisse überhaupt nicht zur Verfügung. Wenn Sie eine E3-Lizenz haben, werden Ihre Daten nur 90 Tage lang gespeichert, und nur wenn Sie eine E5-Lizenz haben, ist die Dauer der Protokolle für ein Jahr verfügbar (dies hat jedoch auch seine eigenen Nuancen im Zusammenhang mit der Notwendigkeit, sie separat zu speichern). Fordern Sie zahlreiche Funktionen zum Arbeiten mit Protokollen beim Microsoft-Support an. Übrigens ist die E3-Lizenz hinsichtlich der Überwachungsfunktionen deutlich schwächer als Corporate Exchange. Um das gleiche Niveau zu erreichen, benötigen Sie eine E5-Lizenz oder eine zusätzliche Advanced Compliance-Lizenz, was möglicherweise zusätzliche Mittel erfordert, die in Ihrem Finanzmodell für den Wechsel zur Cloud-Infrastruktur nicht berücksichtigt wurden. Und dies ist nur ein Beispiel für die Unterschätzung von Problemen im Zusammenhang mit der Überwachung der Cloud-Informationssicherheit. In diesem Artikel möchte ich ohne Anspruch auf Vollständigkeit auf einige Nuancen aufmerksam machen, die bei der Auswahl eines Cloud-Anbieters aus Sicherheitsgründen berücksichtigt werden sollten. Und am Ende des Artikels wird eine Checkliste gegeben, die es wert ist, ausgefüllt zu werden, bevor man davon ausgeht, dass das Problem der Überwachung der Cloud-Informationssicherheit gelöst ist.

Es gibt mehrere typische Probleme, die zu Vorfällen in Cloud-Umgebungen führen, auf die Informationssicherheitsdienste keine Zeit haben zu reagieren oder sie überhaupt nicht bemerken:

  • Es sind keine Sicherheitsprotokolle vorhanden. Dies ist eine ziemlich häufige Situation, insbesondere bei Neulingen auf dem Markt für Cloud-Lösungen. Aber man sollte sie nicht gleich aufgeben. Kleinere Anbieter, insbesondere inländische, reagieren sensibler auf Kundenanforderungen und können einige erforderliche Funktionen schnell implementieren, indem sie die genehmigte Roadmap für ihre Produkte ändern. Ja, dies wird kein Analogon zu GuardDuty von Amazon oder dem „Proactive Protection“-Modul von Bitrix sein, aber zumindest etwas.
  • Die Informationssicherheit weiß nicht, wo die Protokolle gespeichert sind, oder es besteht kein Zugriff darauf. Hier ist es notwendig, Verhandlungen mit dem Cloud-Dienstleister aufzunehmen – vielleicht stellt er solche Informationen zur Verfügung, wenn er den Kunden für wichtig hält. Aber im Allgemeinen ist es nicht sehr gut, wenn der Zugriff auf Protokolle „durch besondere Entscheidung“ gewährt wird.
  • Es kommt auch vor, dass der Cloud-Anbieter über Protokolle verfügt, diese jedoch nur eine begrenzte Überwachung und Ereignisaufzeichnung bieten, die nicht ausreichen, um alle Vorfälle zu erkennen. Beispielsweise erhalten Sie möglicherweise nur Protokolle von Änderungen auf der Website oder Protokolle von Benutzerauthentifizierungsversuchen, jedoch keine anderen Ereignisse, beispielsweise zum Netzwerkverkehr, wodurch Ihnen eine ganze Ebene von Ereignissen verborgen bleibt, die Versuche, Ihre Cloud-Infrastruktur zu hacken, charakterisieren .
  • Es gibt Protokolle, aber der Zugriff darauf lässt sich nur schwer automatisieren, was dazu führt, dass sie nicht kontinuierlich, sondern nach einem Zeitplan überwacht werden. Und wenn Sie Protokolle nicht automatisch herunterladen können, kann das Herunterladen von Protokollen, beispielsweise im Excel-Format (wie bei einer Reihe inländischer Anbieter von Cloud-Lösungen), sogar dazu führen, dass der Informationssicherheitsdienst des Unternehmens nicht bereit ist, daran herumzubasteln.
  • Keine Protokollüberwachung. Dies ist möglicherweise der unklarste Grund für das Auftreten von Informationssicherheitsvorfällen in Cloud-Umgebungen. Es scheint, dass es Protokolle gibt und es möglich ist, den Zugriff darauf zu automatisieren, aber niemand tut dies. Warum?

Gemeinsames Cloud-Sicherheitskonzept

Der Übergang zur Cloud ist immer eine Suche nach einem Gleichgewicht zwischen dem Wunsch, die Kontrolle über die Infrastruktur zu behalten und sie in die professionelleren Hände eines Cloud-Anbieters zu übertragen, der auf deren Wartung spezialisiert ist. Und auch im Bereich der Cloud-Sicherheit muss dieses Gleichgewicht angestrebt werden. Darüber hinaus wird dieses Gleichgewicht je nach verwendetem Cloud-Service-Bereitstellungsmodell (IaaS, PaaS, SaaS) immer unterschiedlich ausfallen. Auf jeden Fall müssen wir bedenken, dass alle Cloud-Anbieter heute dem sogenannten Modell der geteilten Verantwortung und der gemeinsamen Informationssicherheit folgen. Für einige Dinge ist die Cloud verantwortlich, für andere ist der Kunde verantwortlich, der seine Daten, seine Anwendungen, seine virtuellen Maschinen und andere Ressourcen in der Cloud ablegt. Es wäre leichtsinnig zu erwarten, dass wir durch den Wechsel in die Cloud die gesamte Verantwortung auf den Anbieter abwälzen. Aber es ist auch unklug, beim Umzug in die Cloud die gesamte Sicherheit selbst aufzubauen. Es ist ein Gleichgewicht erforderlich, das von vielen Faktoren abhängt: - Risikomanagementstrategie, Bedrohungsmodell, dem Cloud-Anbieter zur Verfügung stehende Sicherheitsmechanismen, Gesetzgebung usw.

Cloud-Sicherheitsüberwachung

Beispielsweise liegt die Klassifizierung der in der Cloud gehosteten Daten immer in der Verantwortung des Kunden. Ein Cloud-Anbieter oder ein externer Dienstleister kann ihm nur mit Tools helfen, die dabei helfen, Daten in der Cloud zu markieren, Verstöße zu erkennen, rechtswidrige Daten zu löschen oder sie auf die eine oder andere Weise zu maskieren. Andererseits liegt die Verantwortung für die physische Sicherheit stets beim Cloud-Anbieter und kann diese nicht mit den Kunden teilen. Aber genau alles, was zwischen Daten und physischer Infrastruktur liegt, wird in diesem Artikel diskutiert. So liegt beispielsweise die Verfügbarkeit der Cloud in der Verantwortung des Anbieters, die Einrichtung von Firewall-Regeln oder die Aktivierung der Verschlüsselung obliegt dem Kunden. In diesem Artikel werden wir versuchen zu untersuchen, welche Mechanismen zur Überwachung der Informationssicherheit heute von verschiedenen beliebten Cloud-Anbietern in Russland bereitgestellt werden, welche Merkmale ihre Verwendung haben und wann es sich lohnt, nach externen Overlay-Lösungen zu suchen (z. B. Cisco E- Mail Security), die die Möglichkeiten Ihrer Cloud im Hinblick auf Cybersicherheit erweitern. In manchen Fällen, insbesondere wenn Sie eine Multi-Cloud-Strategie verfolgen, bleibt Ihnen nichts anderes übrig, als externe Lösungen zur Informationssicherheitsüberwachung in mehreren Cloud-Umgebungen gleichzeitig einzusetzen (z. B. Cisco CloudLock oder Cisco Stealthwatch Cloud). Nun, in einigen Fällen werden Sie feststellen, dass der Cloud-Anbieter, den Sie ausgewählt (oder Ihnen auferlegt) haben, überhaupt keine Funktionen zur Überwachung der Informationssicherheit bietet. Das ist zwar unangenehm, aber auch nicht wenig, denn so lässt sich das mit der Arbeit mit dieser Cloud verbundene Risiko angemessen einschätzen.

Lebenszyklus der Cloud-Sicherheitsüberwachung

Um die Sicherheit der von Ihnen genutzten Clouds zu überwachen, haben Sie nur drei Möglichkeiten:

  • Verlassen Sie sich auf die Tools Ihres Cloud-Anbieters,
  • Lösungen von Drittanbietern nutzen, die die von Ihnen genutzten IaaS-, PaaS- oder SaaS-Plattformen überwachen,
  • Erstellen Sie Ihre eigene Cloud-Monitoring-Infrastruktur (nur für IaaS/PaaS-Plattformen).

Sehen wir uns an, welche Funktionen jede dieser Optionen bietet. Zunächst müssen wir jedoch den allgemeinen Rahmen verstehen, der bei der Überwachung von Cloud-Plattformen verwendet wird. Ich möchte 6 Hauptkomponenten des Informationssicherheitsüberwachungsprozesses in der Cloud hervorheben:

  • Vorbereitung der Infrastruktur. Bestimmen der erforderlichen Anwendungen und Infrastruktur zum Sammeln von für die Informationssicherheit wichtigen Ereignissen im Speicher.
  • Sammlung. In dieser Phase werden Sicherheitsereignisse aus verschiedenen Quellen zur anschließenden Übertragung zur Verarbeitung, Speicherung und Analyse zusammengefasst.
  • Behandlung. In dieser Phase werden die Daten transformiert und angereichert, um die anschließende Analyse zu erleichtern.
  • Lagerung. Diese Komponente ist für die kurz- und langfristige Speicherung der gesammelten verarbeiteten Daten und Rohdaten verantwortlich.
  • Analyse. In dieser Phase haben Sie die Möglichkeit, Vorfälle zu erkennen und automatisch oder manuell darauf zu reagieren.
  • Berichterstattung. Diese Phase hilft bei der Formulierung von Schlüsselindikatoren für Stakeholder (Management, Prüfer, Cloud-Anbieter, Kunden usw.), die uns dabei helfen, bestimmte Entscheidungen zu treffen, beispielsweise einen Anbieterwechsel oder eine Stärkung der Informationssicherheit.

Wenn Sie diese Komponenten verstehen, können Sie in Zukunft schnell entscheiden, was Sie von Ihrem Anbieter mitnehmen können und was Sie selbst oder unter Einbeziehung externer Berater tun müssen.

Integrierte Cloud-Dienste

Ich habe oben bereits geschrieben, dass viele Cloud-Dienste heute keine Überwachungsfunktionen für die Informationssicherheit bieten. Im Allgemeinen schenken sie dem Thema Informationssicherheit keine große Aufmerksamkeit. Zum Beispiel einer der beliebtesten russischen Dienste zum Versenden von Berichten an Regierungsbehörden über das Internet (ich werde seinen Namen nicht ausdrücklich erwähnen). Der gesamte Abschnitt über die Sicherheit dieses Dienstes dreht sich um die Verwendung zertifizierter CIPF. Der Bereich Informationssicherheit eines anderen inländischen Cloud-Dienstes für die elektronische Dokumentenverwaltung ist nicht anders. Es geht um Public-Key-Zertifikate, zertifizierte Kryptografie, die Beseitigung von Web-Schwachstellen, den Schutz vor DDoS-Angriffen, den Einsatz von Firewalls, Backups und sogar regelmäßige Informationssicherheitsprüfungen. Über Überwachung und die Möglichkeit, Zugang zu Informationssicherheitsereignissen zu erhalten, die für Kunden dieses Dienstleisters von Interesse sein könnten, gibt es jedoch kein Wort.

Generell lässt sich an der Art und Weise, wie der Cloud-Anbieter auf seiner Website und in seiner Dokumentation Fragen der Informationssicherheit beschreibt, erkennen, wie ernst er dieses Thema nimmt. Liest man zum Beispiel die Handbücher zu den „My Office“-Produkten, findet man zum Thema Sicherheit überhaupt kein Wort, wohl aber in der Dokumentation zum separaten Produkt „My Office“. KS3“, das zum Schutz vor unbefugtem Zugriff konzipiert ist, enthält eine übliche Auflistung der Punkte der 17. Ordnung des FSTEC, die „My Office.KS3“ umsetzt, es wird jedoch nicht beschrieben, wie es diese umsetzt und vor allem wie Integrieren Sie diese Mechanismen in die Informationssicherheit des Unternehmens. Möglicherweise gibt es eine solche Dokumentation, aber ich habe sie nicht im öffentlichen Bereich auf der Website „Mein Büro“ gefunden. Obwohl ich vielleicht einfach keinen Zugriff auf diese geheimen Informationen habe?

Cloud-Sicherheitsüberwachung

Für Bitrix ist die Situation viel besser. Die Dokumentation beschreibt die Formate der Ereignisprotokolle und interessanterweise des Einbruchsprotokolls, das Ereignisse im Zusammenhang mit potenziellen Bedrohungen für die Cloud-Plattform enthält. Von dort aus können Sie die IP, den Benutzer- oder Gastnamen, die Ereignisquelle, die Uhrzeit, den Benutzeragenten, den Ereignistyp usw. abrufen. Sie können mit diesen Ereignissen zwar entweder über das Control Panel der Cloud selbst arbeiten oder Daten im MS Excel-Format hochladen. Es ist jetzt schwierig, die Arbeit mit Bitrix-Protokollen zu automatisieren, und Sie müssen einen Teil der Arbeit manuell erledigen (Hochladen des Berichts und Laden in Ihr SIEM). Aber wenn wir bedenken, dass es bis vor relativ kurzer Zeit keine solche Möglichkeit gab, dann ist das ein großer Fortschritt. Gleichzeitig möchte ich darauf hinweisen, dass viele ausländische Cloud-Anbieter eine ähnliche Funktionalität „für Anfänger“ anbieten – entweder schauen Sie sich die Protokolle mit den Augen durch das Control Panel an oder laden Sie die Daten auf sich selbst hoch (die meisten laden Daten jedoch in . csv-Format, nicht Excel).

Cloud-Sicherheitsüberwachung

Ohne die Option „Keine Protokolle“ in Betracht zu ziehen, bieten Ihnen Cloud-Anbieter in der Regel drei Optionen zur Überwachung von Sicherheitsereignissen an: Dashboards, Daten-Upload und API-Zugriff. Das erste scheint viele Probleme für Sie zu lösen, aber das stimmt nicht ganz – wenn Sie mehrere Zeitschriften haben, müssen Sie zwischen den Bildschirmen wechseln, auf denen sie angezeigt werden, wodurch das Gesamtbild verloren geht. Darüber hinaus ist es unwahrscheinlich, dass Ihnen der Cloud-Anbieter die Möglichkeit bietet, Sicherheitsereignisse zu korrelieren und generell unter Sicherheitsgesichtspunkten zu analysieren (normalerweise handelt es sich um Rohdaten, die Sie selbst verstehen müssen). Es gibt Ausnahmen und wir werden weiter darüber sprechen. Abschließend lohnt es sich zu fragen, welche Ereignisse von Ihrem Cloud-Anbieter in welchem ​​Format aufgezeichnet werden und wie sie Ihrem Prozess zur Überwachung der Informationssicherheit entsprechen. Beispielsweise Identifizierung und Authentifizierung von Benutzern und Gästen. Das gleiche Bitrix ermöglicht es Ihnen, basierend auf diesen Ereignissen das Datum und die Uhrzeit des Ereignisses, den Namen des Benutzers oder Gastes (wenn Sie über das Modul „Web Analytics“ verfügen), das aufgerufene Objekt und andere für eine Website typische Elemente aufzuzeichnen . Unternehmensinformationssicherheitsdienste benötigen jedoch möglicherweise Informationen darüber, ob der Benutzer von einem vertrauenswürdigen Gerät auf die Cloud zugegriffen hat (in einem Unternehmensnetzwerk wird diese Aufgabe beispielsweise von Cisco ISE implementiert). Wie wäre es mit einer so einfachen Aufgabe wie der Geo-IP-Funktion, mit deren Hilfe festgestellt werden kann, ob ein Cloud-Dienst-Benutzerkonto gestohlen wurde? Und selbst wenn der Cloud-Anbieter es Ihnen zur Verfügung stellt, reicht dies nicht aus. Das gleiche Cisco CloudLock analysiert nicht nur die Geolokalisierung, sondern nutzt hierfür maschinelles Lernen, analysiert historische Daten für jeden Benutzer und überwacht verschiedene Anomalien bei Identifikations- und Authentifizierungsversuchen. Nur MS Azure verfügt über eine ähnliche Funktionalität (sofern Sie über das entsprechende Abonnement verfügen).

Cloud-Sicherheitsüberwachung

Es gibt noch eine weitere Schwierigkeit: Da die Überwachung der Informationssicherheit für viele Cloud-Anbieter ein neues Thema ist, mit dem sie sich gerade erst beschäftigen, ändern sie ständig etwas an ihren Lösungen. Heute haben sie eine Version der API, morgen eine andere, übermorgen eine dritte. Auch hierauf müssen Sie vorbereitet sein. Das Gleiche gilt für die Funktionalität, die sich ändern kann und in Ihrem Informationssicherheitsüberwachungssystem berücksichtigt werden muss. Beispielsweise verfügte Amazon zunächst über separate Cloud-Ereignisüberwachungsdienste – AWS CloudTrail und AWS CloudWatch. Dann erschien ein separater Dienst zur Überwachung von Informationssicherheitsereignissen – AWS GuardDuty. Nach einiger Zeit führte Amazon ein neues Managementsystem ein, Amazon Security Hub, das die Analyse der von GuardDuty, Amazon Inspector, Amazon Macie und mehreren anderen empfangenen Daten umfasst. Ein weiteres Beispiel ist das Azure-Log-Integrationstool mit SIEM – AzLog. Es wurde von vielen SIEM-Anbietern aktiv genutzt, bis Microsoft 2018 die Einstellung seiner Entwicklung und seines Supports ankündigte, was viele Kunden, die dieses Tool verwendeten, mit einem Problem konfrontierte (wir werden später darüber sprechen, wie es gelöst wurde).

Überwachen Sie daher sorgfältig alle Überwachungsfunktionen, die Ihnen Ihr Cloud-Anbieter bietet. Oder verlassen Sie sich auf externe Lösungsanbieter, die als Vermittler zwischen Ihrem SOC und der Cloud fungieren, die Sie überwachen möchten. Ja, es wird teurer (wenn auch nicht immer), aber Sie werden die gesamte Verantwortung auf jemand anderen abwälzen. Oder nicht alles? Erinnern wir uns an das Konzept der gemeinsamen Sicherheit und verstehen wir, dass wir nichts ändern können – wir müssen unabhängig verstehen, wie verschiedene Cloud-Anbieter die Informationssicherheit Ihrer Daten, Anwendungen, virtuellen Maschinen und anderer Ressourcen überwachen in der Cloud gehostet. Und wir beginnen mit dem, was Amazon in diesem Teil anbietet.

Beispiel: Informationssicherheitsüberwachung in IaaS auf Basis von AWS

Ja, ja, ich verstehe, dass Amazon nicht das beste Beispiel ist, da es sich um einen amerikanischen Dienst handelt und dieser im Rahmen des Kampfes gegen Extremismus und der in Russland verbotenen Verbreitung von Informationen blockiert werden kann. In dieser Publikation möchte ich aber lediglich aufzeigen, wie sich verschiedene Cloud-Plattformen in ihren Möglichkeiten zur Informationssicherheitsüberwachung unterscheiden und worauf Sie aus sicherheitstechnischer Sicht bei der Verlagerung Ihrer Schlüsselprozesse in die Clouds achten sollten. Nun, wenn einige der russischen Entwickler von Cloud-Lösungen etwas Nützliches für sich lernen, dann wäre das großartig.

Cloud-Sicherheitsüberwachung

Zunächst muss man sagen, dass Amazon keine uneinnehmbare Festung ist. Seinen Klienten passieren regelmäßig verschiedene Vorfälle. Beispielsweise wurden die Namen, Adressen, Geburtsdaten und Telefonnummern von 198 Millionen Wählern aus Deep Root Analytics gestohlen. Das israelische Unternehmen Nice Systems hat 14 Millionen Datensätze von Verizon-Abonnenten gestohlen. Mit den integrierten Funktionen von AWS können Sie jedoch ein breites Spektrum an Vorfällen erkennen. Zum Beispiel:

  • Auswirkungen auf die Infrastruktur (DDoS)
  • Knotenkompromittierung (Befehlsinjektion)
  • Kontokompromittierung und unbefugter Zugriff
  • falsche Konfiguration und Schwachstellen
  • unsichere Schnittstellen und APIs.

Diese Diskrepanz ist darauf zurückzuführen, dass, wie wir oben herausgefunden haben, der Kunde selbst für die Sicherheit der Kundendaten verantwortlich ist. Und wenn er sich nicht die Mühe gemacht hat, Schutzmechanismen einzuschalten und keine Überwachungstools einzuschalten, dann erfährt er von dem Vorfall nur aus den Medien oder von seinen Kunden.

Um Vorfälle zu identifizieren, können Sie eine Vielzahl unterschiedlicher Überwachungsdienste nutzen, die von Amazon entwickelt wurden (obwohl diese häufig durch externe Tools wie Osquery ergänzt werden). In AWS werden also alle Benutzeraktionen überwacht, unabhängig davon, wie sie ausgeführt werden – über die Verwaltungskonsole, die Befehlszeile, das SDK oder andere AWS-Dienste. Alle Aufzeichnungen der Aktivität jedes AWS-Kontos (einschließlich Benutzername, Aktion, Dienst, Aktivitätsparameter und Ergebnis) und der API-Nutzung sind über AWS CloudTrail verfügbar. Sie können diese Ereignisse (z. B. AWS IAM-Konsolenanmeldungen) über die CloudTrail-Konsole anzeigen, sie mit Amazon Athena analysieren oder sie an externe Lösungen wie Splunk, AlienVault usw. „auslagern“. Die AWS CloudTrail-Protokolle selbst werden in Ihrem AWS S3-Bucket abgelegt.

Cloud-Sicherheitsüberwachung

Zwei weitere AWS-Dienste bieten eine Reihe weiterer wichtiger Überwachungsfunktionen. Erstens ist Amazon CloudWatch ein Überwachungsdienst für AWS-Ressourcen und -Anwendungen, mit dem Sie unter anderem verschiedene Anomalien in Ihrer Cloud identifizieren können. Alle integrierten AWS-Dienste wie Amazon Elastic Compute Cloud (Server), Amazon Relational Database Service (Datenbanken), Amazon Elastic MapReduce (Datenanalyse) und 30 weitere Amazon-Dienste verwenden Amazon CloudWatch zum Speichern ihrer Protokolle. Entwickler können die offene API von Amazon CloudWatch verwenden, um benutzerdefinierten Anwendungen und Diensten Protokollüberwachungsfunktionen hinzuzufügen und so den Umfang der Ereignisanalyse im Sicherheitskontext zu erweitern.

Cloud-Sicherheitsüberwachung

Zweitens können Sie mit dem VPC Flow Logs-Dienst den Netzwerkverkehr analysieren, der von Ihren AWS-Servern (extern oder intern) sowie zwischen Microservices gesendet oder empfangen wird. Wenn eine Ihrer AWS-VPC-Ressourcen mit dem Netzwerk interagiert, zeichnen VPC-Flussprotokolle Details zum Netzwerkverkehr auf, einschließlich der Quell- und Zielnetzwerkschnittstelle sowie der IP-Adressen, Ports, Protokolle, Anzahl der Bytes und Anzahl der von Ihnen gesendeten Pakete gesehen. Diejenigen, die Erfahrung mit der Sicherheit lokaler Netzwerke haben, werden dies als Analogie zu Threads erkennen NetFlow, die von Switches, Routern und Firewalls der Unternehmensklasse erstellt werden können. Diese Protokolle sind für die Überwachung der Informationssicherheit wichtig, da sie Ihnen im Gegensatz zu Ereignissen über die Aktionen von Benutzern und Anwendungen auch ermöglichen, Netzwerkinteraktionen in der virtuellen privaten Cloud-Umgebung von AWS nicht zu verpassen.

Cloud-Sicherheitsüberwachung

Zusammenfassend bieten diese drei AWS-Services – AWS CloudTrail, Amazon CloudWatch und VPC Flow Logs – zusammen ziemlich aussagekräftige Einblicke in Ihre Kontonutzung, Ihr Benutzerverhalten, Ihre Infrastrukturverwaltung, Ihre Anwendungs- und Serviceaktivität sowie Ihre Netzwerkaktivität. Sie können beispielsweise zur Erkennung folgender Anomalien eingesetzt werden:

  • Versuche, die Website zu scannen, nach Hintertüren zu suchen, nach Schwachstellen durch Schübe von „404-Fehlern“ zu suchen.
  • Injektionsangriffe (z. B. SQL-Injection) durch Ausbrüche von „500 Fehlern“.
  • Bekannte Angriffstools sind sqlmap, nikto, w3af, nmap usw. durch Analyse des User-Agent-Feldes.

Amazon Web Services hat auch andere Dienste für Cybersicherheitszwecke entwickelt, mit denen Sie viele andere Probleme lösen können. AWS verfügt beispielsweise über einen integrierten Dienst zur Überwachung von Richtlinien und Konfigurationen – AWS Config. Dieser Service bietet eine kontinuierliche Prüfung Ihrer AWS-Ressourcen und ihrer Konfigurationen. Nehmen wir ein einfaches Beispiel: Nehmen wir an, Sie möchten sicherstellen, dass Benutzerpasswörter auf allen Ihren Servern deaktiviert sind und der Zugriff nur auf Basis von Zertifikaten möglich ist. Mit AWS Config können Sie dies ganz einfach für alle Ihre Server überprüfen. Es gibt weitere Richtlinien, die auf Ihre Cloud-Server angewendet werden können: „Kein Server kann Port 22 verwenden“, „Nur Administratoren können Firewall-Regeln ändern“ oder „Nur Benutzer Ivashko kann neue Benutzerkonten erstellen, und das kann er nur dienstags.“ " Im Sommer 2016 wurde der AWS Config-Service erweitert, um die Erkennung von Verstößen gegen entwickelte Richtlinien zu automatisieren. Bei AWS Config Rules handelt es sich im Wesentlichen um kontinuierliche Konfigurationsanfragen für die von Ihnen genutzten Amazon-Dienste, die bei Verstößen gegen die entsprechenden Richtlinien Ereignisse generieren. Anstatt beispielsweise regelmäßig AWS Config-Abfragen auszuführen, um zu überprüfen, ob alle Festplatten auf einem virtuellen Server verschlüsselt sind, können AWS Config Rules verwendet werden, um Serverfestplatten kontinuierlich zu überprüfen, um sicherzustellen, dass diese Bedingung erfüllt ist. Und was am wichtigsten ist: Im Zusammenhang mit dieser Veröffentlichung führen Verstöße zu Ereignissen, die von Ihrem Informationssicherheitsdienst analysiert werden können.

Cloud-Sicherheitsüberwachung

AWS verfügt auch über ein Äquivalent zu herkömmlichen Informationssicherheitslösungen für Unternehmen, die ebenfalls Sicherheitsereignisse generieren, die Sie analysieren können und sollten:

  • Einbruchserkennung – AWS GuardDuty
  • Kontrolle von Informationslecks – AWS Macie
  • EDR (obwohl es etwas seltsam über Endpunkte in der Cloud spricht) – AWS Cloudwatch + Open-Source-Osquery- oder GRR-Lösungen
  • Netflow-Analyse – AWS Cloudwatch + AWS VPC Flow
  • DNS-Analyse – AWS Cloudwatch + AWS Route53
  • AD – AWS-Verzeichnisdienst
  • Kontoverwaltung – AWS IAM
  • SSO – AWS SSO
  • Sicherheitsanalyse – AWS Inspector
  • Konfigurationsverwaltung – AWS Config
  • WAF – AWS WAF.

Ich werde nicht alle Amazon-Dienste im Detail beschreiben, die im Zusammenhang mit der Informationssicherheit nützlich sein können. Die Hauptsache ist zu verstehen, dass sie alle Ereignisse generieren können, die wir im Kontext der Informationssicherheit analysieren können und sollten, indem wir zu diesem Zweck sowohl die integrierten Funktionen von Amazon selbst als auch externe Lösungen, beispielsweise SIEM, nutzen, die dies können Bringen Sie Sicherheitsereignisse in Ihr Überwachungszentrum und analysieren Sie sie dort zusammen mit Ereignissen von anderen Cloud-Diensten oder von interner Infrastruktur, Perimeter oder mobilen Geräten.

Cloud-Sicherheitsüberwachung

In jedem Fall beginnt alles mit den Datenquellen, die Ihnen Informationen zur Informationssicherheit liefern. Zu diesen Quellen gehören unter anderem:

  • CloudTrail – API-Nutzung und Benutzeraktionen
  • Trusted Advisor – Sicherheitsprüfung anhand von Best Practices
  • Config – Inventarisierung und Konfiguration von Konten und Diensteinstellungen
  • VPC-Flussprotokolle – Verbindungen zu virtuellen Schnittstellen
  • IAM – Identifikations- und Authentifizierungsdienst
  • ELB-Zugriffsprotokolle – Load Balancer
  • Inspektor – Anwendungsschwachstellen
  • S3 – Dateispeicherung
  • CloudWatch – Anwendungsaktivität
  • SNS ist ein Benachrichtigungsdienst.

Amazon bietet zwar eine große Auswahl an Ereignisquellen und Tools für deren Generierung, ist jedoch nur sehr begrenzt in der Lage, die gesammelten Daten im Hinblick auf die Informationssicherheit zu analysieren. Sie müssen die verfügbaren Protokolle unabhängig untersuchen und darin nach relevanten Indikatoren für eine Kompromittierung suchen. AWS Security Hub, den Amazon kürzlich eingeführt hat, zielt darauf ab, dieses Problem zu lösen, indem er zu einem Cloud-SIEM für AWS wird. Bisher steht es jedoch erst am Anfang seiner Reise und ist sowohl durch die Anzahl der Quellen, mit denen es arbeitet, als auch durch andere Einschränkungen, die durch die Architektur und die Abonnements von Amazon selbst entstehen, begrenzt.

Beispiel: Informationssicherheitsüberwachung in IaaS auf Basis von Azure

Ich möchte mich nicht auf eine lange Debatte darüber einlassen, welcher der drei Cloud-Anbieter (Amazon, Microsoft oder Google) besser ist (zumal jeder von ihnen noch seine eigenen spezifischen Besonderheiten hat und für die Lösung seiner eigenen Probleme geeignet ist); Konzentrieren wir uns auf die Möglichkeiten zur Überwachung der Informationssicherheit, die diese Akteure bieten. Man muss zugeben, dass Amazon AWS zu den ersten Anbietern in diesem Segment gehörte und daher hinsichtlich seiner Informationssicherheitsfunktionen am weitesten fortgeschritten ist (obwohl viele zugeben, dass diese schwierig zu nutzen sind). Das bedeutet aber nicht, dass wir die Möglichkeiten, die uns Microsoft und Google bieten, ignorieren werden.

Microsoft-Produkte zeichnen sich seit jeher durch ihre „Offenheit“ aus und bei Azure ist die Situation ähnlich. Wenn beispielsweise AWS und GCP immer von dem Konzept ausgehen: „Was nicht erlaubt ist, ist verboten“, dann verfolgt Azure den genau entgegengesetzten Ansatz. Wenn Sie beispielsweise ein virtuelles Netzwerk in der Cloud und eine virtuelle Maschine darin erstellen, sind alle Ports und Protokolle standardmäßig geöffnet und zulässig. Daher müssen Sie bei der Ersteinrichtung des Zutrittskontrollsystems in der Cloud von Microsoft etwas mehr Aufwand betreiben. Und damit werden auch höhere Anforderungen an Sie hinsichtlich der Überwachung der Aktivitäten in der Azure-Cloud gestellt.

Cloud-Sicherheitsüberwachung

AWS weist eine Besonderheit auf, die damit zusammenhängt, dass Sie bei der Überwachung Ihrer virtuellen Ressourcen, wenn diese sich in verschiedenen Regionen befinden, Schwierigkeiten haben, alle Ereignisse und deren einheitliche Analyse zu kombinieren, um diese zu beseitigen, müssen Sie auf verschiedene Tricks zurückgreifen, wie z Erstellen Sie Ihren eigenen Code für AWS Lambda, der Ereignisse zwischen Regionen transportiert. Azure hat dieses Problem nicht – sein Aktivitätsprotokollmechanismus verfolgt alle Aktivitäten im gesamten Unternehmen ohne Einschränkungen. Gleiches gilt für AWS Security Hub, der kürzlich von Amazon entwickelt wurde, um viele Sicherheitsfunktionen innerhalb eines einzigen Sicherheitszentrums zu konsolidieren, allerdings nur innerhalb seiner Region, was für Russland jedoch nicht relevant ist. Azure verfügt über ein eigenes Sicherheitscenter, das nicht an regionale Beschränkungen gebunden ist und Zugriff auf alle Sicherheitsfunktionen der Cloud-Plattform bietet. Darüber hinaus kann es für verschiedene lokale Teams eigene Schutzfunktionen bereitstellen, einschließlich der von ihnen verwalteten Sicherheitsereignisse. AWS Security Hub ist immer noch auf dem Weg, dem Azure Security Center ähnlich zu werden. Aber es lohnt sich, einen Wermutstropfen hinzuzufügen: Sie können aus Azure vieles herausholen, was zuvor in AWS beschrieben wurde, aber dies ist am bequemsten nur für Azure AD, Azure Monitor und Azure Security Center möglich. Alle anderen Azure-Sicherheitsmechanismen, einschließlich der Analyse von Sicherheitsereignissen, werden noch nicht auf die bequemste Weise verwaltet. Das Problem wird teilweise durch die API gelöst, die alle Microsoft Azure-Dienste durchdringt. Dies erfordert jedoch zusätzlichen Aufwand von Ihnen, um Ihre Cloud in Ihr SOC zu integrieren, und die Anwesenheit qualifizierter Spezialisten (eigentlich wie bei jedem anderen SIEM, das mit der Cloud arbeitet). APIs). Einige SIEMs, die später besprochen werden, unterstützen Azure bereits und können die Überwachungsaufgabe automatisieren, haben aber auch ihre eigenen Schwierigkeiten – nicht alle können alle Protokolle sammeln, über die Azure verfügt.

Cloud-Sicherheitsüberwachung

Die Ereigniserfassung und -überwachung in Azure wird mithilfe des Azure Monitor-Dienstes bereitgestellt, dem Haupttool zum Sammeln, Speichern und Analysieren von Daten in der Microsoft-Cloud und ihren Ressourcen – Git-Repositorys, Container, virtuelle Maschinen, Anwendungen usw. Alle von Azure Monitor gesammelten Daten sind in zwei Kategorien unterteilt: Metriken, die in Echtzeit erfasst werden und wichtige Leistungsindikatoren der Azure-Cloud beschreiben, und Protokolle, die in Datensätzen organisierte Daten enthalten, die bestimmte Aspekte der Aktivität von Azure-Ressourcen und -Diensten charakterisieren. Darüber hinaus kann der Azure Monitor-Dienst mithilfe der Data Collector-API Daten aus jeder REST-Quelle sammeln, um eigene Überwachungsszenarien zu erstellen.

Cloud-Sicherheitsüberwachung

Hier sind einige Sicherheitsereignisquellen, die Azure Ihnen bietet und auf die Sie über das Azure-Portal, die CLI, PowerShell oder die REST-API (und einige nur über die Azure Monitor/Insight-API) zugreifen können:

  • Aktivitätsprotokolle – Dieses Protokoll beantwortet die klassischen Fragen „Wer“, „Was“ und „Wann“ in Bezug auf Schreibvorgänge (PUT, POST, DELETE) auf Cloud-Ressourcen. Ereignisse im Zusammenhang mit Lesezugriffen (GET) sind, wie viele andere auch, nicht in diesem Protokoll enthalten.
  • Diagnoseprotokolle – enthalten Daten zu Vorgängen mit einer bestimmten Ressource, die in Ihrem Abonnement enthalten ist.
  • Azure AD-Berichterstellung – enthält sowohl Benutzeraktivität als auch Systemaktivität im Zusammenhang mit der Gruppen- und Benutzerverwaltung.
  • Windows-Ereignisprotokoll und Linux-Syslog – enthält Ereignisse von virtuellen Maschinen, die in der Cloud gehostet werden.
  • Metriken – enthalten Telemetriedaten zur Leistung und zum Gesundheitszustand Ihrer Cloud-Dienste und -Ressourcen. Jede Minute gemessen und gespeichert. innerhalb von 30 Tagen.
  • Netzwerksicherheitsgruppen-Flussprotokolle – enthalten Daten zu Netzwerksicherheitsereignissen, die mithilfe des Network Watcher-Dienstes und der Ressourcenüberwachung auf Netzwerkebene erfasst wurden.
  • Speicherprotokolle – enthalten Ereignisse im Zusammenhang mit dem Zugriff auf Speichereinrichtungen.

Cloud-Sicherheitsüberwachung

Zur Überwachung können Sie externe SIEMs oder den integrierten Azure Monitor und seine Erweiterungen verwenden. Wir werden später über Informationssicherheits-Ereignisverwaltungssysteme sprechen, aber zunächst wollen wir sehen, was Azure selbst uns für die Datenanalyse im Sicherheitskontext bietet. Der Hauptbildschirm für alles, was mit der Sicherheit in Azure Monitor zu tun hat, ist das Log Analytics-Sicherheits- und Audit-Dashboard (die kostenlose Version unterstützt eine begrenzte Menge an Ereignisspeicher für nur eine Woche). Dieses Dashboard ist in fünf Hauptbereiche unterteilt, die zusammenfassende Statistiken darüber visualisieren, was in der von Ihnen verwendeten Cloud-Umgebung geschieht:

  • Sicherheitsdomänen – wichtige quantitative Indikatoren im Zusammenhang mit der Informationssicherheit – die Anzahl der Vorfälle, die Anzahl der kompromittierten Knoten, nicht gepatchten Knoten, Netzwerksicherheitsereignisse usw.
  • Bemerkenswerte Probleme – zeigt die Anzahl und Wichtigkeit aktiver Informationssicherheitsprobleme an
  • Erkennungen – zeigt Angriffsmuster gegen Sie an
  • Threat Intelligence – zeigt geografische Informationen zu externen Knoten an, die Sie angreifen
  • Häufige Sicherheitsabfragen – typische Abfragen, die Ihnen helfen, Ihre Informationssicherheit besser zu überwachen.

Cloud-Sicherheitsüberwachung

Zu den Azure Monitor-Erweiterungen gehören Azure Key Vault (Schutz kryptografischer Schlüssel in der Cloud), Malware Assessment (Analyse des Schutzes vor Schadcode auf virtuellen Maschinen), Azure Application Gateway Analytics (Analyse unter anderem von Cloud-Firewall-Protokollen) usw. . Mit diesen Tools, angereichert mit bestimmten Regeln zur Verarbeitung von Ereignissen, können Sie verschiedene Aspekte der Aktivität von Cloud-Diensten, einschließlich der Sicherheit, visualisieren und bestimmte Abweichungen vom Betrieb erkennen. Aber wie so oft erfordert jede zusätzliche Funktionalität ein entsprechendes kostenpflichtiges Abonnement, das von Ihnen entsprechende finanzielle Investitionen erfordert, die Sie im Voraus planen müssen.

Cloud-Sicherheitsüberwachung

Azure verfügt über eine Reihe integrierter Bedrohungsüberwachungsfunktionen, die in Azure AD, Azure Monitor und Azure Security Center integriert sind. Dazu gehören beispielsweise die Erkennung der Interaktion virtueller Maschinen mit bekannten bösartigen IPs (aufgrund der vorhandenen Integration mit Threat Intelligence-Diensten von Microsoft), die Erkennung von Malware in der Cloud-Infrastruktur durch den Empfang von Alarmen von in der Cloud gehosteten virtuellen Maschinen und Passwörter Vermutungsangriffe auf virtuelle Maschinen, Schwachstellen in der Konfiguration des Benutzeridentifikationssystems, Anmeldung beim System von Anonymisierern oder infizierten Knoten, Kontolecks, Anmeldung beim System von ungewöhnlichen Orten usw. Azure ist heute einer der wenigen Cloud-Anbieter, der Ihnen integrierte Threat Intelligence-Funktionen bietet, um erfasste Informationssicherheitsereignisse anzureichern.

Cloud-Sicherheitsüberwachung

Wie oben erwähnt, stehen die Sicherheitsfunktionalität und damit die dadurch generierten Sicherheitsereignisse nicht allen Benutzern gleichermaßen zur Verfügung, sondern erfordern ein bestimmtes Abonnement, das die von Ihnen benötigte Funktionalität enthält und die entsprechenden Ereignisse zur Überwachung der Informationssicherheit generiert. Einige der im vorherigen Absatz beschriebenen Funktionen zur Überwachung von Anomalien in Konten sind beispielsweise nur in der P2-Premium-Lizenz für den Azure AD-Dienst verfügbar. Ohne sie müssen Sie, wie im Fall von AWS, die gesammelten Sicherheitsereignisse „manuell“ analysieren. Außerdem stehen je nach Art der Azure AD-Lizenz nicht alle Ereignisse für die Analyse zur Verfügung.

Im Azure-Portal können Sie sowohl Suchanfragen nach für Sie interessanten Protokollen verwalten als auch Dashboards einrichten, um wichtige Indikatoren zur Informationssicherheit zu visualisieren. Darüber hinaus können Sie dort Azure Monitor-Erweiterungen auswählen, mit denen Sie die Funktionalität von Azure Monitor-Protokollen erweitern und eine tiefere Analyse von Ereignissen unter Sicherheitsgesichtspunkten erhalten können.

Cloud-Sicherheitsüberwachung

Wenn Sie nicht nur die Möglichkeit benötigen, mit Protokollen zu arbeiten, sondern ein umfassendes Sicherheitscenter für Ihre Azure-Cloud-Plattform, einschließlich der Verwaltung von Informationssicherheitsrichtlinien, dann können Sie über die Notwendigkeit sprechen, mit dem Azure Security Center zu arbeiten, das die meisten nützlichen Funktionen bietet sind für etwas Geld erhältlich, zum Beispiel Bedrohungserkennung, Überwachung außerhalb von Azure, Compliance-Bewertung usw. (In der kostenlosen Version haben Sie lediglich Zugriff auf eine Sicherheitsbewertung und Empfehlungen zur Behebung festgestellter Probleme.) Es konsolidiert alle Sicherheitsthemen an einem Ort. Tatsächlich können wir von einem höheren Maß an Informationssicherheit sprechen, als Azure Monitor Ihnen bietet, da in diesem Fall die in Ihrer Cloud-Fabrik gesammelten Daten mithilfe vieler Quellen wie Azure, Office 365, Microsoft CRM Online und Microsoft Dynamics AX angereichert werden , outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) und Microsoft Security Response Center (MSRC), denen verschiedene hochentwickelte Algorithmen für maschinelles Lernen und Verhaltensanalyse überlagert sind, die letztendlich die Effizienz bei der Erkennung und Reaktion auf Bedrohungen verbessern sollen .

Auch Azure verfügt über ein eigenes SIEM – es erschien Anfang 2019. Dabei handelt es sich um Azure Sentinel, das auf Daten von Azure Monitor basiert und auch mit integriert werden kann. externe Sicherheitslösungen (zum Beispiel NGFW oder WAF), deren Liste ständig wächst. Darüber hinaus haben Sie durch die Integration der Microsoft Graph Security API die Möglichkeit, Ihre eigenen Threat Intelligence-Feeds mit Sentinel zu verbinden, was die Möglichkeiten zur Analyse von Vorfällen in Ihrer Azure-Cloud erweitert. Man kann argumentieren, dass Azure Sentinel das erste „native“ SIEM ist, das von Cloud-Anbietern auf den Markt kam (derselbe Splunk oder ELK, der in der Cloud, beispielsweise AWS, gehostet werden kann, wird von herkömmlichen Cloud-Dienstanbietern immer noch nicht entwickelt). Azure Sentinel und Security Center könnten als SOC für die Azure-Cloud bezeichnet werden und könnten (mit gewissen Vorbehalten) auf diese beschränkt werden, wenn Sie keine Infrastruktur mehr hätten und alle Ihre Computerressourcen in die Cloud übertragen würden und es die Microsoft-Cloud Azure wäre.

Cloud-Sicherheitsüberwachung

Da die integrierten Funktionen von Azure (selbst wenn Sie ein Sentinel-Abonnement haben) jedoch oft nicht ausreichen, um die Informationssicherheit zu überwachen und diesen Prozess mit anderen Quellen von Sicherheitsereignissen (sowohl in der Cloud als auch intern) zu integrieren, gibt es eine Sie müssen die gesammelten Daten in externe Systeme exportieren, zu denen auch SIEM gehören kann. Dies geschieht sowohl über die API als auch über spezielle Erweiterungen, die derzeit offiziell nur für die folgenden SIEMs verfügbar sind: Splunk (Azure Monitor Add-On für Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight und ELK. Bis vor kurzem gab es mehr solcher SIEMs, aber ab dem 1. Juni 2019 hat Microsoft die Unterstützung des Azure Log Integration Tool (AzLog) eingestellt, das zu Beginn der Existenz von Azure und in Ermangelung einer normalen Standardisierung der Arbeit mit Protokollen (Azure Monitor gab es noch nicht einmal) machte es einfach, externes SIEM in die Microsoft-Cloud zu integrieren. Jetzt hat sich die Situation geändert und Microsoft empfiehlt die Azure Event Hub-Plattform als Hauptintegrationstool für andere SIEMs. Viele haben eine solche Integration bereits implementiert, aber seien Sie vorsichtig – sie erfassen möglicherweise nicht alle Azure-Protokolle, sondern nur einige (schauen Sie in der Dokumentation zu Ihrem SIEM nach).

Zum Abschluss eines kurzen Ausflugs in Azure möchte ich noch eine allgemeine Empfehlung zu diesem Cloud-Dienst aussprechen: Bevor Sie etwas zu den Funktionen zur Überwachung der Informationssicherheit in Azure sagen, sollten Sie diese sehr sorgfältig konfigurieren und testen, ob sie wie in der Dokumentation beschrieben funktionieren wie Ihnen die Berater von Microsoft mitgeteilt haben (und sie haben möglicherweise unterschiedliche Ansichten über die Funktionalität von Azure-Funktionen). Wenn Sie über die finanziellen Mittel verfügen, können Sie im Hinblick auf die Überwachung der Informationssicherheit viele nützliche Informationen aus Azure herausholen. Wenn Ihre Ressourcen begrenzt sind, müssen Sie sich, wie im Fall von AWS, nur auf Ihre eigene Stärke und die Rohdaten verlassen, die Ihnen Azure Monitor liefert. Und denken Sie daran, dass viele Überwachungsfunktionen Geld kosten und es besser ist, sich vorab mit der Preispolitik vertraut zu machen. Sie können beispielsweise 31 Tage lang kostenlos Daten bis zu einem Maximum von 5 GB pro Kunde speichern. Wenn Sie diese Werte überschreiten, müssen Sie zusätzliches Geld ausgeben (ungefähr 2 USD und mehr für die Speicherung jedes zusätzlichen GBs beim Kunden und 0,1 USD für Speicherung von 1 GB für jeden weiteren Monat). Für die Arbeit mit Anwendungstelemetrie und -metriken sowie für die Arbeit mit Warnungen und Benachrichtigungen sind möglicherweise zusätzliche Mittel erforderlich (ein bestimmtes Limit ist kostenlos verfügbar, was für Ihre Anforderungen möglicherweise nicht ausreicht).

Beispiel: Informationssicherheitsüberwachung in IaaS auf Basis der Google Cloud Platform

Die Google Cloud Platform sieht im Vergleich zu AWS und Azure wie ein junger Anbieter aus, aber das ist teilweise gut. Im Gegensatz zu AWS, das seine Fähigkeiten, einschließlich der Sicherheitsfunktionen, schrittweise erweiterte und Probleme mit der Zentralisierung hatte; GCP lässt sich wie Azure viel besser zentral verwalten, was Fehler und Implementierungszeiten im gesamten Unternehmen reduziert. Aus Sicherheitsgründen liegt GCP seltsamerweise zwischen AWS und Azure. Er verfügt auch über eine einzige Veranstaltungsanmeldung für die gesamte Organisation, die jedoch unvollständig ist. Einige Funktionen befinden sich noch im Beta-Modus, aber nach und nach soll dieser Mangel behoben werden und GCP zu einer ausgereifteren Plattform im Hinblick auf die Überwachung der Informationssicherheit werden.

Cloud-Sicherheitsüberwachung

Das Haupttool zum Protokollieren von Ereignissen in GCP ist Stackdriver Logging (ähnlich wie Azure Monitor), mit dem Sie Ereignisse in Ihrer gesamten Cloud-Infrastruktur (sowie von AWS) erfassen können. Aus Sicherheitsgründen verfügt in GCP jede Organisation, jedes Projekt oder jeder Ordner über vier Protokolle:

  • Admin-Aktivität – enthält alle Ereignisse im Zusammenhang mit dem Administratorzugriff, zum Beispiel das Erstellen einer virtuellen Maschine, das Ändern von Zugriffsrechten usw. Dieses Protokoll wird unabhängig von Ihrem Wunsch immer geschrieben und speichert seine Daten 400 Tage lang.
  • Datenzugriff – enthält alle Ereignisse im Zusammenhang mit der Arbeit mit Daten durch Cloud-Benutzer (Erstellung, Änderung, Lesen usw.). Standardmäßig wird dieses Protokoll nicht geschrieben, da sein Umfang sehr schnell ansteigt. Aus diesem Grund beträgt die Haltbarkeit nur 30 Tage. Darüber hinaus steht in diesem Magazin nicht alles geschrieben. Beispielsweise werden Ereignisse im Zusammenhang mit Ressourcen, die für alle Benutzer öffentlich zugänglich sind oder auf die ohne Anmeldung bei GCP zugegriffen werden kann, nicht darauf geschrieben.
  • Systemereignis – enthält Systemereignisse, die sich nicht auf Benutzer beziehen, oder Aktionen eines Administrators, der die Konfiguration von Cloud-Ressourcen ändert. Es wird immer geschrieben und 400 Tage lang gespeichert.
  • Access Transparency ist ein einzigartiges Beispiel für ein Protokoll, das alle Aktionen von Google-Mitarbeitern (aber noch nicht für alle GCP-Dienste) erfasst, die im Rahmen ihrer beruflichen Aufgaben auf Ihre Infrastruktur zugreifen. Dieses Protokoll wird 400 Tage lang gespeichert und steht nicht jedem GCP-Kunden zur Verfügung, sondern nur, wenn eine Reihe von Bedingungen erfüllt sind (entweder Gold- oder Platinum-Level-Support oder das Vorhandensein von 4 Rollen eines bestimmten Typs im Rahmen des Unternehmenssupports). Eine ähnliche Funktion steht beispielsweise auch in Office 365 – Lockbox zur Verfügung.

Protokollbeispiel: Zugriffstransparenz

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Der Zugriff auf diese Protokolle ist auf verschiedene Weise möglich (ähnlich wie zuvor bei Azure und AWS besprochen) – über die Log Viewer-Schnittstelle, über die API, über das Google Cloud SDK oder über die Aktivitätsseite Ihres Projekts, für das Sie zuständig sind sind an Veranstaltungen interessiert. Ebenso können sie zur weiteren Analyse in externe Lösungen exportiert werden. Letzteres erfolgt durch den Export von Protokollen in BigQuery oder Cloud Pub/Sub-Speicher.

Neben Stackdriver Logging bietet die GCP-Plattform auch Stackdriver Monitoring-Funktionen, mit denen Sie wichtige Kennzahlen (Leistung, MTBF, Gesamtzustand usw.) von Cloud-Diensten und -Anwendungen überwachen können. Aufbereitete und visualisierte Daten können das Auffinden von Problemen in Ihrer Cloud-Infrastruktur, auch im Sicherheitskontext, erleichtern. Es ist jedoch zu beachten, dass diese Funktionalität im Kontext der Informationssicherheit nicht sehr umfangreich sein wird, da GCP heute kein Analogon zu AWS GuardDuty hat und schlechte Ereignisse nicht unter allen registrierten Ereignissen identifizieren kann (Google hat Event Threat Detection entwickelt). aber es befindet sich noch in der Beta-Entwicklung und es ist noch zu früh, um über seinen Nutzen zu sprechen. Stackdriver Monitoring könnte als System zur Erkennung von Anomalien eingesetzt werden, die dann untersucht würden, um die Ursachen ihres Auftretens zu finden. Angesichts des Mangels an qualifiziertem Personal im Bereich GCP-Informationssicherheit auf dem Markt erscheint diese Aufgabe derzeit jedoch schwierig.

Cloud-Sicherheitsüberwachung

Es lohnt sich auch, eine Liste einiger Informationssicherheitsmodule anzugeben, die in Ihrer GCP-Cloud verwendet werden können und denen von AWS ähneln:

  • Cloud Security Command Center ist ein Analogon zu AWS Security Hub und Azure Security Center.
  • Cloud DLP – Automatische Erkennung und Bearbeitung (z. B. Maskierung) von in der Cloud gehosteten Daten mithilfe von mehr als 90 vordefinierten Klassifizierungsrichtlinien.
  • Cloud Scanner ist ein Scanner für bekannte Schwachstellen (XSS, Flash Injection, ungepatchte Bibliotheken usw.) in App Engine, Compute Engine und Google Kubernetes.
  • Cloud IAM – Kontrollieren Sie den Zugriff auf alle GCP-Ressourcen.
  • Cloud Identity – Verwalten Sie GCP-Benutzer-, Geräte- und Anwendungskonten über eine einzige Konsole.
  • Cloud HSM – Schutz kryptografischer Schlüssel.
  • Cloud Key Management Service – Verwaltung kryptografischer Schlüssel in GCP.
  • VPC Service Control – Erstellen Sie einen sicheren Umkreis um Ihre GCP-Ressourcen, um sie vor Lecks zu schützen.
  • Titan Security Key – Schutz vor Phishing.

Cloud-Sicherheitsüberwachung

Viele dieser Module generieren Sicherheitsereignisse, die zur Analyse oder zum Export in andere Systeme, einschließlich SIEM, an den BigQuery-Speicher gesendet werden können. Wie oben erwähnt, ist GCP eine sich aktiv entwickelnde Plattform und Google entwickelt derzeit eine Reihe neuer Informationssicherheitsmodule für seine Plattform. Dazu gehören Event Threat Detection (jetzt in der Betaversion verfügbar), das Stackdriver-Protokolle nach Spuren nicht autorisierter Aktivitäten durchsucht (analog zu GuardDuty in AWS), oder Policy Intelligence (in der Alphaversion verfügbar), mit dem Sie intelligente Richtlinien für entwickeln können Zugriff auf GCP-Ressourcen.

Ich habe einen kurzen Überblick über die integrierten Überwachungsfunktionen in beliebten Cloud-Plattformen erstellt. Aber verfügen Sie über Spezialisten, die in der Lage sind, mit „rohen“ Protokollen von IaaS-Anbietern zu arbeiten (nicht jeder ist bereit, die erweiterten Funktionen von AWS, Azure oder Google zu kaufen)? Darüber hinaus kennen viele das Sprichwort „Vertrauen, aber überprüfen“, das im Bereich Sicherheit wahrer denn je ist. Wie sehr vertrauen Sie den integrierten Funktionen des Cloud-Anbieters, der Ihnen Informationssicherheitsereignisse sendet? Wie sehr legen sie überhaupt Wert auf Informationssicherheit?

Manchmal lohnt es sich, nach Overlay-Lösungen zur Überwachung der Cloud-Infrastruktur zu suchen, die die integrierte Cloud-Sicherheit ergänzen können, und manchmal sind solche Lösungen die einzige Option, um Einblicke in die Sicherheit Ihrer in der Cloud gehosteten Daten und Anwendungen zu erhalten. Darüber hinaus sind sie einfach komfortabler, da sie alle Aufgaben der Analyse der notwendigen Protokolle übernehmen, die von verschiedenen Cloud-Diensten verschiedener Cloud-Anbieter generiert werden. Ein Beispiel für eine solche Overlay-Lösung ist Cisco Stealthwatch Cloud, die sich auf eine einzige Aufgabe konzentriert – die Überwachung von Informationssicherheitsanomalien in Cloud-Umgebungen, darunter nicht nur Amazon AWS, Microsoft Azure und Google Cloud Platform, sondern auch private Clouds.

Beispiel: Informationssicherheitsüberwachung mit Stealthwatch Cloud

AWS bietet eine flexible Computerplattform, aber diese Flexibilität macht es für Unternehmen einfacher, Fehler zu machen, die zu Sicherheitsproblemen führen. Und das gemeinsame Informationssicherheitsmodell trägt nur dazu bei. Ausführen von Software in der Cloud mit unbekannten Schwachstellen (bekannte können beispielsweise mit AWS Inspector oder GCP Cloud Scanner bekämpft werden), schwachen Passwörtern, falschen Konfigurationen, Insidern usw. Und all dies spiegelt sich im Verhalten von Cloud-Ressourcen wider, das von Cisco Stealthwatch Cloud überwacht werden kann, einem System zur Überwachung der Informationssicherheit und zur Erkennung von Angriffen. öffentliche und private Clouds.

Cloud-Sicherheitsüberwachung

Eine der Hauptfunktionen der Cisco Stealthwatch Cloud ist die Möglichkeit, Entitäten zu modellieren. Damit können Sie ein Softwaremodell (also eine Simulation nahezu in Echtzeit) jeder Ihrer Cloud-Ressourcen erstellen (egal ob AWS, Azure, GCP oder etwas anderes). Dazu können Server und Benutzer sowie für Ihre Cloud-Umgebung spezifische Ressourcentypen gehören, z. B. Sicherheitsgruppen und Gruppen mit automatischer Skalierung. Diese Modelle nutzen strukturierte Datenströme, die von Cloud-Diensten bereitgestellt werden, als Eingabe. Für AWS wären dies beispielsweise VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda und AWS IAM. Die Entitätsmodellierung erkennt automatisch die Rolle und das Verhalten Ihrer Ressourcen (Sie können über die Profilierung aller Cloud-Aktivitäten sprechen). Zu diesen Rollen gehören Android- oder Apple-Mobilgeräte, Citrix PVS-Server, RDP-Server, Mail-Gateway, VoIP-Client, Terminalserver, Domänencontroller usw. Anschließend wird ihr Verhalten kontinuierlich überwacht, um festzustellen, wann riskantes oder sicherheitsgefährdendes Verhalten auftritt. Sie können das Erraten von Passwörtern, DDoS-Angriffe, Datenlecks, illegalen Fernzugriff, schädliche Codeaktivitäten, Schwachstellenscans und andere Bedrohungen erkennen. So sieht beispielsweise die Erkennung eines Fernzugriffsversuchs aus einem für Ihre Organisation untypischen Land (Südkorea) auf einen Kubernetes-Cluster über SSH aus:

Cloud-Sicherheitsüberwachung

Und so sieht das angebliche Durchsickern von Informationen aus der Postgress-Datenbank in ein Land aus, mit dem wir bisher keine Interaktion erlebt haben:

Cloud-Sicherheitsüberwachung

Abschließend sehen Sie so, wie zu viele fehlgeschlagene SSH-Versuche aus China und Indonesien von einem externen Remote-Gerät aus aussehen:

Cloud-Sicherheitsüberwachung

Oder nehmen Sie an, dass die Serverinstanz in der VPC laut Richtlinie niemals ein Remote-Anmeldeziel sein darf. Nehmen wir weiter an, dass dieser Computer aufgrund einer fehlerhaften Änderung der Firewall-Regelrichtlinie eine Remote-Anmeldung durchgeführt hat. Die Entity Modeling-Funktion erkennt und meldet diese Aktivität („Ungewöhnlicher Fernzugriff“) nahezu in Echtzeit und verweist auf den spezifischen AWS CloudTrail-, Azure Monitor- oder GCP Stackdriver Logging-API-Aufruf (einschließlich Benutzername, Datum und Uhrzeit und anderen Details). ), was zur Änderung der ITU-Regel führte. Anschließend können diese Informationen zur Analyse an SIEM gesendet werden.

Cloud-Sicherheitsüberwachung

Ähnliche Funktionen sind für jede von Cisco Stealthwatch Cloud unterstützte Cloud-Umgebung implementiert:

Cloud-Sicherheitsüberwachung

Die Entitätsmodellierung ist eine einzigartige Form der Sicherheitsautomatisierung, die ein bisher unbekanntes Problem mit Ihren Mitarbeitern, Prozessen oder Ihrer Technologie aufdecken kann. So können Sie beispielsweise unter anderem Sicherheitsprobleme erkennen wie:

  • Hat jemand eine Hintertür in der von uns verwendeten Software entdeckt?
  • Gibt es in unserer Cloud Software oder Geräte von Drittanbietern?
  • Missbraucht der autorisierte Benutzer seine Privilegien?
  • Gab es einen Konfigurationsfehler, der den Fernzugriff oder eine andere unbeabsichtigte Nutzung von Ressourcen ermöglichte?
  • Gibt es ein Datenleck auf unseren Servern?
  • Hat jemand versucht, von einem untypischen geografischen Standort aus eine Verbindung zu uns herzustellen?
  • Ist unsere Cloud mit Schadcode infiziert?

Cloud-Sicherheitsüberwachung

Ein erkanntes Informationssicherheitsereignis kann in Form eines entsprechenden Tickets an Slack, Cisco Spark, das Incident-Management-System PagerDuty und auch an verschiedene SIEMs, darunter Splunk oder ELK, gesendet werden. Zusammenfassend können wir sagen, dass die Verwendung der Cisco Stealthwatch Cloud eine gute Option ist, um ein einheitliches Überwachungsset zu erhalten, wenn Ihr Unternehmen eine Multi-Cloud-Strategie verwendet und nicht auf einen einzelnen Cloud-Anbieter beschränkt ist Funktionen für die führenden Cloud-Player – Amazon, Microsoft und Google. Das Interessanteste ist, dass sich beim Vergleich der Preise für Stealthwatch Cloud mit erweiterten Lizenzen für die Informationssicherheitsüberwachung in AWS, Azure oder GCP herausstellen kann, dass die Cisco-Lösung sogar günstiger ist als die integrierten Funktionen von Amazon, Microsoft und Google-Lösungen. Es ist paradox, aber es ist wahr. Und je mehr Clouds und deren Fähigkeiten Sie nutzen, desto offensichtlicher wird der Vorteil einer konsolidierten Lösung.

Cloud-Sicherheitsüberwachung

Кроме того, Stealthwatch Cloud может мониторить и частные облака, развернутые у вас в организации, например, на базе контейнеров Kubernetes или путем мониторинга потоков Netflow или сетевого трафика, получаемого через зеркалирование в сетевом оборудовании (даже отечественного производства), данных AD или DNS-серверов usw. Alle diese Daten werden mit Threat Intelligence-Informationen angereichert, die von Cisco Talos, der weltweit größten nichtstaatlichen Gruppe von Forschern für Cybersicherheitsbedrohungen, gesammelt werden.

Cloud-Sicherheitsüberwachung

Dadurch können Sie ein einheitliches Überwachungssystem für öffentliche und hybride Clouds implementieren, die Ihr Unternehmen möglicherweise nutzt. Die gesammelten Informationen können dann mithilfe der integrierten Funktionen von Stealthwatch Cloud analysiert oder an Ihr SIEM gesendet werden (Splunk, ELK, SumoLogic und mehrere andere werden standardmäßig unterstützt).

Damit schließen wir den ersten Teil des Artikels ab, in dem ich die integrierten und externen Tools zur Überwachung der Informationssicherheit von IaaS/PaaS-Plattformen besprochen habe, die es uns ermöglichen, Vorfälle in den Cloud-Umgebungen schnell zu erkennen und darauf zu reagieren Unser Unternehmen hat sich entschieden. Im zweiten Teil werden wir das Thema fortführen und uns am Beispiel von Salesforce und Dropbox mit Möglichkeiten zur Überwachung von SaaS-Plattformen befassen. Darüber hinaus werden wir versuchen, alles zusammenzufassen und zusammenzufassen, indem wir ein einheitliches Informationssicherheitsüberwachungssystem für verschiedene Cloud-Anbieter erstellen.

Source: habr.com

Kommentar hinzufügen