CSPM (Cloud Security Posture Management) Tools können verschiedene Funktionen erfüllen. Meiner Meinung nach ist die Visibilität eine der interessantesten Optionen, wobei auch die weiteren Funktionalitäten sehr spannend sind und je nach Branche und Firma mindestens genauso interessant sein können.


Visibilität gewinnen

Es gibt in der Security eine altbekannte Maxime: «Man kann nur schützen, was man kennt». Dementsprechend kann man auch nicht schützen, was man nicht kennt. Und genau deswegen ist Visibilität so wichtig. Während man normalerweise in On-Premises Umgebungen bereits eine gute Übersicht über seine Assets hat und meistens auch ein Asset Management betreibt, ist das in Cloud Umgebungen doch etwas komplexer und ein oft übersehener Faktor. Es gibt in der Cloud auch viel mehr Möglichkeiten, etwas zu übersehen: verschiedene Regionen und Zonen, sehr viele Services, API-Anbindungen, usw. Ein CSPM hilft, eine Übersicht über die eigenen Assets zu bekommen.

Konfigurationsfehler finden

Eine zweite Funktionalität von CSPMs ist, dass man sicherstellen kann, ob die vorhandenen Assets, Services, Funktionen und Anbindungen korrekt und fehlerfrei konfiguriert worden sind. Dies macht man, indem man die Konfigurationen gegenüber Best-Practices und Standards vergleicht. Das können Industrie-Standards sein, wie PCI-DSS, SOC 2, HIPAA, GDPR oder Governance-Kontrollen wie NIST CSF, NIST 800, ISO 27001 und CIS. Zusätzlich interne Compliance Vorgaben können meistens ebenfalls sehr einfach als Policies umgesetzt und überwacht werden.


Compliance sicherstellen

Best-Practices und Standards ändern sich und werden oft angepasst und mit einer CPSM Lösung kann man schnell identifizieren, ob nach einer solchen Änderung Anpassungen in der eigenen Umgebung oder Konfiguration nötig sind.

Früher (on-Prem) hätte man solche Kontrollen regelmässig durchgeführt; monatlich oder quartalsweise. Dies ist aber in Cloud-Umgebungen nicht mehr praktikabel. Deswegen überwacht eine CSPM Lösung die Assets und die Cloud-Umgebung kontinuierlich und kann dank API-Anbindung jede Änderung sofort gegenüber den Policies abgleichen.

Bei Abweichungen kann ein Alert generiert werden (in der CSPM Konsole, per E-Mail, Slack etc.), Korrekturen (sogenannte Remediations) sind ebenfalls möglich. Dies hängt zum Teil davon ab, wie die Berechtigungen eingestellt sind, ein CSPM kann entweder selber Änderungen vornehmen oder Skripts (meistens Funktionen) aufrufen, die sehr beschränkte Berechtigungen haben, um nur etwas ganz Bestimmtes korrigieren zu dürfen.

Damit dies nicht allzu abstrakt tönt, ein konkretes Beispiel. Ein Cloud Storage Bucket (z.b. AWS S3 Bucket oder Google storage bucket) sollte per Best-Practices gewisse Einstellungen erfüllen:

  • Verschlüsselung at Rest ist aktiv
  • Verschlüsselung bei Schreibfunktionen ist aktiv
  • Versionierung ist aktiv
  • Server Access Logging ist aktiv
  • Secure Transport Verschlüsselung (SSL) ist aktiv
  • usw.

Je nach Ruleset gibt es für Buckets verschiedene Anforderungen. Wenn ein Benutzer fälschlicherweise die SSL-Verschlüsselung deaktiviert, dann wird dies sofort als ein Alert gemeldet. Wenn dies mehrmals vorkommt, kann man eine Funktion schreiben, die SSL in einem Storage Bucket aktiviert. Diese Funktion bekommt administrative Rechte und kann dann vom CSPM aus gestartet werden, wenn ein User erneut SSL deaktiviert. Der Vorteil ist, dass das CSPM selber keine administrativen Rechte auf den Buckets hat, sondern nur die Funktion aufrufen darf. Und die Funktion selber kann auch nur SSL aktivieren, was wiederum die Risikobetrachtung vereinfacht.


CSPM für SaaS Services

Bis jetzt habe ich CSPM vor allem im IaaS Kontext betrachtet, aber moderne CSPM Lösungen können durchaus auch für SaaS Services eingesetzt werden. Die Logik und Vorgehensweise sind sehr ähnlich, es gibt aber weniger Standards. Best-Practices sind aber durchaus vorhanden und eigene Policies können ohne Weiteres erstellt werden. Bei SaaS Services sollen ebenfalls Konfigurationsfehler (oder unsichere Konfigurationen) identifiziert werden. Bei komplexeren SaaS Lösungen wie z.B. Office 365 kann viel mehr verifiziert werden als bei Dropbox oder Ähnlichem, dafür können Korrekturen (oder Auto-Remediations) über API oft einfacher umgesetzt werden.

CSPM in Container-Umgebungen

CSPM kann man auch bei Container-Umgebungen einsetzen. Dabei werden ähnlich wie bei IaaS auch Best-Practices und Standards gegenüber den effektiven Konfigurationen abgeglichen. Für Container-Umgebungen wir Kubernetes (oder auch EKS, GKE, AKS) gibt es schon viele angepasste Standards wie CIS, NIST, OWASP aber auch PCI-DSS oder GDPR.


Schnell und einfach eingeführt

Es ist sicher gut bekannt, dass Cloud-Security Vorgaben oft als sehr restriktiv angesehen werden. Vor allem von Entwicklern, die gerne sehr schnell und agil arbeiten. Cloud Projekte werden auch gerne durch Business-Abteilungen gepusht, und gehen nicht sofort über die IT oder Infrastruktur-Abteilung. Deswegen bieten die meisten CSPM Lösungen aber gute Integrationen in CI-CD Pipelines, um die Zusammenarbeit mit den Entwicklern sicherzustellen. Dadurch dass eine CSPM auch nur als Read-only Lösung ohne Schreib- oder Administrativ-Rechte funktioniert, kann sie ein sehr interessantes Tool für einen CISO oder eine Security Abteilung sein, die sich damit zuerst einmal eine Gesamtübersicht über alle Cloud-Assets über alle Abteilungen hinweg, sogar bis hin zu outgesourcten Aktivitäten, verschaffen können. Dieser Aspekt ist übrigens auch bei M&A (Mergers & Acquisitions) interessant, denn ein CSPM kann so eine sehr schnelle aber nichtinvasive Gesamtsicht über die Cloud der neu akquirierten Gesellschaft geben.


Abgrenzung zu CASB und CWPP

Abschliessend vielleicht noch ein paar Worte zu ähnlichen und verwandten Technologien. Ein CSPM ist kein CASB (Cloud Access Security Broker), kann aber bei SaaS-Umgebungen durchaus ergänzend eingesetzt werden. Eine CASB Lösung soll den Zugriff der User auf Cloud-Services prüfen und einschränken, welche Daten ausgetauscht werden. Konfigurationen werden dabei aber nicht überprüft. Ein CSPM und ein CASB ersetzen sich gegenseitig also nicht.

Eine CWPP (Cloud Workload Protection Platform) ist ebenfalls kein Ersatz für ein CSPM. Beide können für die gleichen Cloud-Services eingesetzt werden, sind aber für andere Ebenen zuständig. Eine CWPP führt die Workload Protection auf der Data-Plane aus, während ein CSPM auf der Control-Plane der Cloud agiert.


Links

So schützen sich Unternehmen mit CSPM vor Konfigurationsfehlern in der Cloud: www.youtube.com/watch?v=Pafz-6PMoh0

www.avantec.ch/themen/cloud-security/