Cloud Security in der Praxis (eBook)

KAPITEL 2

Schutz und Management von Data Assets

Nachdem Sie nun in Kapitel 1 Informationen dazu erhalten haben, wo die Verantwortung Ihres Cloud-Providers endet und wo Ihre beginnt, besteht Ihr erster Schritt beim Absichern Ihrer Cloud-Umgebung darin, herauszufinden, wo sich Ihre Daten befinden (werden) und wie Sie sie schützen können. Es herrscht oft Verwirrung bezüglich des Begriffs »Asset Management«. Was sind genau unsere Assets, und was müssen wir tun, um sie zu managen? Die offensichtliche (und nicht hilfreiche) Antwort ist, dass Assets das sind, was Sie an Wert haben. Beginnen wir also, uns die Details anzuschauen.

In diesem Buch habe ich das Asset Management in zwei Teile aufgeteilt: Data Asset Management und Cloud Asset Management. Data Assets sind die wichtigen Informationen, die Sie haben, wie zum Beispiel Namen und Adressen von Kunden, Kreditkarteninformationen, Bankkonteninformationen oder Credentials für den Zugriff auf solche Daten. Cloud Assets sind die Dinge, die Sie haben, um Ihre Daten abzuspeichern und zu verarbeiten – Rechenressourcen wie Server oder Container, Storage wie Object Stores oder Block Storage und Plattforminstanzen wie Datenbanken oder Queues. Das Managen dieser Assets wird im nächsten Kapitel behandelt. Es ist zwar prinzipiell egal, ob Sie mit Data Assets oder Cloud Assets beginnen, da Sie sowieso immer wieder hin- und herspringen müssen, um das ganze Bild sehen zu können, aber ich finde es einfacher, mit Data Assets zu beginnen.

Die Theorie des Managens von Data Assets in der Cloud unterscheidet sich nicht von der On-Premises-Welt, aber in der Praxis gibt es einige Cloud-Technologien, die helfen können.

Identifizieren und Klassifizieren von Daten

Haben Sie wie im vorherigen Kapitel ein Diagramm und ein Threat Model zumindest auf einem Schmierzettel erstellt, haben Sie eine grobe Vorstellung davon, was Ihre wichtigen Daten sind, um welche Threat Actors Sie sich sorgen müssen und worauf diese aus sein könnten. Schauen wir uns unterschiedliche Wege an, wie Threat Actors Ihre Daten angreifen könnten.

Eines der beliebteren Modelle zur Informationssicherheit ist die CIA Triade: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Ein Threat Actor, der versucht, die Vertraulichkeit Ihrer Daten zu verletzen, will sie stehlen – meist, um sie zu verkaufen oder Sie zu blamieren. Ein Threat Actor, der versucht, Ihre Datenintegrität zu stören, will Ihre Daten beeinflussen, zum Beispiel einen Kontostand verändern. (Das kann sogar effektiv sein, wenn beim Angriff keine Daten gelesen werden können – ich würde mich beispielsweise freuen, den gleichen Kontostand von Bill Gates zu haben, auch wenn ich den Betrag gar nicht kenne.) Ein Threat Actor, der versucht, Ihre Datenverfügbarkeit zu beeinflussen, will die Daten aus Spaß an der Freude oder für den Profit offline nehmen oder sie mit Ransomware verschlüsseln.1

Die meisten von uns haben nur begrenzte Ressourcen und müssen bei ihrem Vorgehen Prioritäten setzen.2 Ein System zur Klassifikation von Daten kann dabei helfen, aber widerstehen Sie dem Drang, es komplizierter als absolut notwendig zu machen.

Beispiele für Stufen der Datenklassifikation

Jede Organisation ist anders, aber die folgenden Regeln bilden einen guten und einfachen Ausgangspunkt für das Einschätzen des Werts Ihrer Daten und damit des Risikos, dass unbefugt auf sie zugegriffen wird:

Niedrig oder öffentlich

Egal ob die Informationen in dieser Kategorie für eine Veröffentlichung gedacht sind – wenn sie öffentlich gemacht würden, wären die Auswirkungen auf die Organisation sehr gering oder vernachlässigbar. Hier ein paar Beispiele:

• Die öffentlichen IP-Adressen Ihrer Server.
• Anwendungs-Log-Daten ohne persönliche Daten, Secrets oder Daten von Wert für angreifende Personen.
• Softwareinstallationsmaterialien ohne Secrets oder andere für Angreifer wertvollen Elemente.

Mittel oder privat

Diese Informationen sollten außerhalb der Organisation nicht ohne ein passendes Nondisclosure Agreement verfügbar sein. In viele Fällen (insbesondere in größeren Organisationen) sollte diese Art von Daten auch innerhalb der Organisation nur auf Need-to-know-Basis nutzbar sein. In vielen Unternehmen fällt der Großteil der Daten in diese Kategorie. Hier ein paar Beispiele:

• Detaillierte Informationen dazu, wie Ihre Informationssysteme entworfen sind – nützliche Informationen für einen Angriff.
• Informationen zu Ihren Mitarbeiterinnen und Mitarbeitern, die sich für Phishing- oder Pretexting-Angriffe nutzen lassen.
• Normale Finanzinformationen, wie zum Beispiel Bestellungen oder Reisekostenerstattungen, die genutzt werden könnten, um eventuell zu schlussfolgern, dass eine Übernahme ansteht.

Hoch oder vertraulich

Diese Informationen sind für die Organisation von großer Wichtigkeit, und eine Veröffentlichung kann signifikanten Schaden anrichten. Der Zugriff auf diese Daten sollte sehr strikt gesteuert werden, und es sollte mehrere Schutzebenen geben. In manchen Organisationen wird diese Art von Daten als »Crown Juwels« bezeichnet. Hier ein paar Beispiele:

• Informationen über zukünftige Strategien oder Finanzinformationen, die Wettbewerbern einen deutlichen Vorteil verschaffen würden.
• Geschäftsgeheimnisse, wie zum Beispiel das Rezept für Ihren beliebten Softdrink oder für frittierte Hähnchenteile.
• Geheimnisse, die als »Schlüssel zum Himmelsreich« dienen, wie zum Beispiel die Credentials für den umfassenden Zugriff auf Ihre Cloud-Infrastruktur.
• Kritische Informationen, die Sie zum Aufbewahren bekommen haben, wie zum Beispiel finanzielle Daten Ihrer Kunden.
• Andere Informationen, bei denen eine Datenleck Nachrichtenwert hätte.

Beachten Sie, dass Gesetze und Branchenregeln vorgeben können, wie Sie bestimmte Informationen klassifizieren. So enthält beispielsweise die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) viele verschiedene Anforderungen für den Umgang mit persönlichen Daten, sodass Sie sich möglicherweise dazu entscheiden, alle persönlichen Daten als »moderates Risiko« zu klassifizieren und sie entsprechend zu schützen. Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) würden wahrscheinlich vorgeben, dass Sie Daten zu Kreditkarten als »hohes Risiko« klassifizieren, wenn Sie diese in Ihrer Umgebung nutzen.

Beachten Sie auch, dass es Cloud-Services gibt, die Ihnen beim Klassifizieren und Schützen helfen können. So unterstützt Sie beispielsweise Amazon Macie (https://oreil.ly/znsxp) dabei, vertrauliche Daten in Amazon-S3-Buckets zu finden, Google Cloud Sensitive Data Prevention (https://oreil.ly/MSzAr) kann dabei helfen, bestimmte Arten vertraulicher Daten zu klassifizieren oder zu maskieren, und Microsoft Pureview (https://oreil.ly/av897) kann Daten auf Azure Cloud Services klassifizieren.

Was auch immer Sie für ein System zur Datenklassifikation nutzen – schreiben Sie eine Definition jeder Klassifikationsstufe und ein paar Beispiele auf und stellen Sie sicher, dass jeder, der Daten erzeugt, sammelt oder schützt, das Klassifikationssystem versteht.

Relevante Anforderungen aus Gesetzen oder aus Branchenvorgaben

Wie schon in der Einleitung erwähnt, ist dies ein Buch zu Sicherheit, nicht zu Compliance. Sehr vereinfacht gesagt, geht es bei Compliance darum, Ihre Sicherheit gegenüber einem Dritten zu beweisen – und das lässt sich viel einfacher erreichen, wenn Sie Ihre Systeme und Daten auch tatsächlich abgesichert haben. Die Informationen in diesem Buch werden Ihnen dabei helfen, sicher zu sein, es müssen jedoch zusätzliche Compliance-Aufgaben und Dokumentationen durchgeführt werden, nachdem Sie Ihre Systeme sicher gestaltet haben.

Manche Compliance-Anforderungen können aber Einfluss auf Ihr Sicherheitsdesign haben. Daher ist es schon in diesem frühen Stadium wichtig, ein paar Anforderungen aus Gesetzen und Branchenvorgaben zu kennen:

DSGVO (EU)

Diese Verordnung kann auf die persönlichen Daten jedes Mitbürgers der Europäischen Union oder des Europäischen Wirtschaftsraums angewandt werden – egal wo sich diese Daten auf der Welt befinden. Die Datenschutz-Grundverordnung (DSGVO) fordert von Ihnen, Zugriff auf »alle Informationen über eine bestimmte oder bestimmbare natürliche Person … die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer« zu katalogisieren, zu schützen und zu auditieren. Die Techniken in diesem Kapitel können Ihnen dabei helfen, einige der...