Security Testing
Cloud Security Testing
Aus der Perspektive Sicherheit teilen sich Cloud-Nutzer und Cloud-Provider die Verantwortlichkeit nach dem sogenannten Shared Responsibilty Model. Dieses besagt, dass der Kunde für die Sicherheit innerhalb der Cloud, insbesondere also für dessen Anwendungen, verantwortlich ist und der Provider für die Cloud selbst.
Dabei gibt es grundsätzliche Unterschiede im Vergleich zum Selbsthosten. Auf der einen Seite liefern die Cloud-Lösungen umfangreiche Authentifizierungs- und Autorisierungsmechanismen mit sowie die Möglichkeit, eigene virtuelle Netzwerke einfach zu erstellen. Andererseits sind die Verwaltung und teilweise auch die Cloud-Dienste/-Ressourcen stets im Internet exponiert. Beim Umstieg auf die Cloud werden zudem häufig Verantwortlichkeiten neu strukturiert und Entwickler erhalten Aufgaben, die vorher von Administratoren erledigt wurden.
Heutzutage bieten die verschiedenen Cloud-Lösungen Dienste an, die die Konfiguration auf typische Fehler und Schwächen untersuchen. Das sollte von Kundenseite vorab analysiert werden und reicht bei kleinen Applikationen meist aus.
Bei größeren Anwendungen ist jedoch auch die Interaktion der eingesetzten Ressourcen und Dienste vor dem Kontext der jeweiligen Anwendung im Auge zu behalten. Beispielsweise um Nutzer mit eingeschränkten Berechtigungen zu identifizieren, die durch Nutzung anderer Ressourcen Aktionen ausführen können, die eigentlich nicht erlaubt sein sollten. Schlimmstenfalls kann solch ein Nutzer die Rechte eines Administrators erlangen.
Wir unterstützen Sie
Analyse der Cloud-Konfiguration und Empfehlung von Maßnahmen für die Cloud-Provider AWS, Microsoft Azure und andere. Der Fokus hängt dabei stark von der jeweiligen Applikation ab. Typische Aspekte sind:
Identity and Access Management: Überprüfung der Authentifizierung und der Benutzerverwaltung. Zugriffsrichtlinien werden dahingehend analysiert, ob sie das Prinzip geringster Privilegien sinnvoll umsetzen.
Netzwerk und Infrastruktur: Die Netzwerkarchitektur wird konzeptionell analysiert. Es wird untersucht, ob die vorliegende Architektur den Bedürfnissen der Anwendung entspricht und das Netzwerk angemessen segmentiert ist. Der Einsatz von Sicherheitsmechanismen wie Security Groups und Netzwerkzugriffskontrolllisten wird auf ihre korrekte Implementierung analysiert.
Datensicherheit: Überprüfung, ob Daten entsprechend ihres Schutzbedarfs auf sichere Weise transportiert und gespeichert werden.
Logging und Monitoring: Es wird analysiert, ob empfohlene Standards angewendet werden, um Angriffe zu identifizieren, nachzuverfolgen und um verantwortliche Stellen zu alarmieren.
Ihr Ansprechpartner
Benedikt Haußner
Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.
Mehr Infos
KARRIERE
Du bist Experte in diesem Thema?
Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.
Du bist noch Einsteiger?
Dann schau auch hier:
