«Kubernetes führt zu Konfigurations-Durcheinander»

Häufige Fehl-Konfigurationen

Computerworld: Abgesehen von Kubernetes: Was sind häufige Fehl-Konfigurationen in der Cloud?
Alon: Ein häufiges Problem ist, dass veraltete Protokolle verwendet werden, wie etwa TLS 1.0. Damit haben die Benutzeroberflächen der Webapplikationen eine Schwachstelle, die nur darauf wartet, von Angreifern ausgenutzt zu werden.
Ein weiterer «Klassiker» ist, wenn wegen einer Fehlkonfiguration die Speicherbehältnisse in der Cloud, die sogenannten Storage Buckets, exponiert werden. Ein dritter oft gemachter Fehler entsteht bei der Verteilung von Rechten. So können Funktionen mit exzessiven Rechten versehen werden, so dass ein Angreifer, wenn er diese übernimmt, die Erlaubnis erhält, beispielsweise alle Daten zu löschen. Das sind drei isolierte Fälle von falscher Konfiguration, die schwerwiegende Sicherheitsprobleme nach sich ziehen könnten und meist von den Betreibern unentdeckt bleiben.
Aber damit nicht genug: die Cloudumgebung und die zugehörigen Produkte sowie Protokolle werden bekanntlich weiterentwickelt. Was heute noch als sicher gilt, etwa die Verwendung von TLS 1.2 als Protokoll, kann morgen nicht mehr zutreffen. Darum sollten die Konfigurationsparameter auch laufend überprüft werden und nicht nur bei der Installation. Dann besteht auch die Gefahr, dass beispielsweise irgend ein Script mit einem Bug bestehende Konfigurationen ändert. Auch hier ist ständiges Monitoring von Vorteil. Hierfür haben wir unsere CloudBots entwickelt, die wir kostenlos und quelloffen zur Verfügung stellen. Damit lassen sich die Einstellungen überwachen und so einstellen, dass das Angriffsrisiko vermindert werden kann.
Computerworld: Was sind die schlimmsten Fehl-Konfigurationen, die Sie im Feld bei Firmen schon angetroffen haben?
Alon: Oft sind es Fehler, die eigentlich leicht zu vermeiden wären. So kommt es häufig vor, dass beispielsweise SSL-Zertifikate für Loadbalancer nur noch wenige Stunden gültig sind. Laufen diese ab, kann das gröbere Folgen für den laufenden Betrieb haben, weil gewisse Dienste nicht mehr funktionieren. Das lässt sich aber mit entsprechender Überwachung und Planung einfach verbessern. Unsere Compliance-Engine kann etwa mit einer einfachen Regel sicher stellen, dass alle Zertifikate der verschiedenen Cloud-Installationen mindestens noch 90 Tage gültig sind, und dass die Verantwortlichen benachrichtigt werden, wenn dies nicht mehr der Fall ist. So hat die IT-Mannschaft genug Zeit, um die Zertifikate zu erneuern.
Häufig sind auch Speicher-Instanzen offen, weil sie falsch konfiguriert sind, um ein weiteres Beispiel zu nennen. Das ist auch kaum verwunderlich, haben die Anbieter ständig mehr Einstellmöglichkeiten hinzugefügt. S3 von Amazon ist beispielsweise mit zehn Konfigurationspunkten gestartet. Heute müssen 80 Einstellungen vorgenommen werden. Dies hat unweigerlich zur Folge, dass die Chance einer Fehlkonfiguration dramatisch steigt.
Ein bekanntes Beispiel ist in diesem Zusammenhang auch der Datenklau bei Capital One, der im Juli 2019 bekannt geworden ist. Auch hier stand eine falsche Konfiguration im Zentrum. So war eine Webapplikation fälschlicherweise so eingestellt, dass sie Zugriffsrechte auf gespeicherte Daten besass, was dann von Cyberkriminellen ausgenutzt wurde. Das Besondere in dieser Situation war zudem, dass die Zugriffsrechte nicht aktiv vergeben, sondern vererbt wurden, weil die App zufällig einer Gruppe mit entsprechenden Rechten zugeordnet war.



Das könnte Sie auch interessieren