Cloud Security in der Praxis

Inhalt

1Prinzipien und Konzepte

Least Privilege

Defense in Depth

Threat Actors, Diagramme und Trust Boundaries

Delivery-Modelle für Cloud-Services

Das Cloud Shared Responsibility Model

Risikomanagement

Zusammenfassung

2Schutz und Management von Data Assets

Identifizieren und Klassifizieren von Daten

Beispiele für Stufen der Datenklassifikation

Relevante Anforderungen aus Gesetzen oder aus Branchenvorgaben

Data Asset Management in der Cloud

Cloud-Ressourcen taggen

Daten in der Cloud schützen

Verschlüsselung

Zusammenfassung

3Schutz und Management von Cloud Assets

Unterschiede zur klassischen IT

Arten von Cloud Assets

Asset Management Pipeline

Beschaffungslecks

Verarbeitungslecks

Erkenntnislecks

Cloud Assets taggen

Zusammenfassung

4Identity and Access Management

Unterschiede zu klassischer IT

Lebenszyklus von Identität und Zugriff

Erzeugen, löschen, zuweisen oder zurückziehen

Authentifizierung

Cloud IAM Identities

Business-to-Consumer und Business-to-Employee

Multifaktor-Authentifizierung

Passwörter, Passphrasen und API-Schlüssel

Federated Identity

Instanz-Metadaten und Identitätsdokumente

Secrets Management

Zentrale Autorisation

Bringen wir alles in der Beispielanwendung zusammen

Zusammenfassung

5Vulnerability Management

Unterschiede zu klassischer IT

Verletzliche Bereiche

Virtualisierte Infrastruktur

Physische Infrastruktur

Schwachstellen finden und beheben

Network Vulnerability Scanner

Agentenlose Scanner und Configuration Management Systems

Agentenbasierte Scanner und Configuration Management Systems

Cloud Workload Protection Platforms

Containerscanner

Dynamic Application Scanner (DAST)

Static Application Scanner (SAST)

Software Composition Analysis Tools (SCA)

Interactive Application Scanner (IAST)

Runtime Application Self-Protection Scanner (RASP)

Manuelle Code-Reviews

Penetration Tests

Beispieltools für das Vulnerability und Configuration Management

Risikomanagementprozess

Metriken beim Vulnerability Management

Mean Time to Remediate

Systeme/Anwendungen mit offenen Schwachstellen

Anteil der Falsch-Positiven

Anteil der Falsch-Negativen

Vulnerability Recurrence Rate

Change Management

Bringen wir alles in der Beispielanwendung zusammen

Zusammenfassung

6Netzwerksicherheit

Unterschiede zu klassischer IT

Konzepte und Definitionen

Zero Trust Networking

Allowlists und Denylists

Software-Defined Networking

Network Functions Virtualization

Overlay Networks und Kapselung

Virtual Private Clouds

Network Address Translation

Netzwerkverteidigung bei der Beispielanwendung

Verschlüsselung auf dem Transportweg

Firewalls und Netzwerksegmentierung

Administrativen Zugriff erlauben

Network Defense Tools

Data Loss Prevention

Zusammenfassung

7Erkennen, reagieren und wiederherstellen

Unterschiede zur klassischen IT

Was soll überwacht werden?

Zugriff privilegierter User

Logs aus Verteidigungstools

Logs und Metriken von Cloud-Services

Logs und Metriken von Betriebssystemen

Middleware-Logs

Wie soll überwacht werden?

Aggregation und Aufbewahrung

Suchen und korrelieren

Alerting und automatisierte Response

Security Information and Event Managers

Auf einen Vorfall vorbereiten

Auf einen Vorfall reagieren

Cyber Kill Chains und MITRE ATT&CK

Die OODA-Schleife

Unautorisierten Zugriff blockieren

Datenabzug und Command and Control stoppen

Wiederherstellen

IT-Systeme erneut deployen

Benachrichtigungen

Lessons Learned

Beispielmetriken

Toolbeispiele für Erkennung, Reaktion und Wiederherstellung

Erkennung und Reaktion in einer Beispielanwendung

Die Schutzsysteme überwachen

Die Anwendung überwachen

Das Administrationsteam monitoren

Die Audit-Infrastruktur verstehen

Zusammenfassung

Anhang: Lösungen zu den Übungen