Web Security aus der Cloud: Eine langfristige Option oder experimenteller Hype?

02.10.2019 / Timo Schmitz / Referent

aus Netzwerk Insider Ausgabe Oktober 2019

Die Absicherung des Internetzugriffs für Mitarbeiter eines Unternehmens nimmt einen hohen Stellenwert in der Informationssicherheit ein. Dazu verfolgen verschiedene Appliances das Ziel, den Nachrichtenverkehr auf Schadcode zu inspizieren bzw. dafür zu sorgen, dass unternehmensweite Richtlinien wie verweigerte Zugriffe auf verbotene Webseiten durchgesetzt werden.

In den vergangenen Jahren etablierten sich hierzu Lösungen, die auf einer Cloud Infrastruktur aufsetzen und dem Unternehmen verschiedene Vorteile finanzieller und technischer Natur versprechen. Ob solche Lösungen ein innovativer Schritt Richtung Zukunft sind oder sich der Trend womöglich als „Eintagsfliege“ herausstellen könnte, soll in diesem Artikel besprochen werden. Zusätzlich werden Schritte vorgestellt, die bei der Einführung einer solchen Lösung aus der Cloud beachtet werden sollten.

Frei nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ schützen sich Unternehmen neben der reinen Mitarbeitersensibilisierung selbstredend auch in technischer Hinsicht vor dem größten Angriffsvektor auf sensible Daten und die interne Infrastruktur: dem Internet. Hierzu bietet der Markt eine große Vielfalt verschiedener Lösungen an, die sich über unterschiedliche Appliances wie Secure Web/Mail Gateways bis hin zu ausgewachsenen Next Generation Firewalls mit zustandsorientierter Paketinspektion erstrecken. Die Absicherung des gen Internet gerichteten Verkehrs gewinnt zusätzlich zunehmend Bedeutung durch die Verlagerung von lokal installierter Software hin zu „Cloud-based Applications“ bzw. Software-as-a-Service Produkten, deren Datenhaltung und Verarbeitung ins Internet, sprich: die Cloud, ausgelagert wird. Einige Sicherheitsunternehmen nahmen diesen Trend zum Anlass, um ihre Sicherheitslösungen ebenfalls teilweise oder komplett in die Cloud zu verlagern und dadurch Abstand von der klassischen Hub-and-Spoke Topologie zu nehmen (siehe Abbildung 1).

Abbildung 1: Simplifizierte Netzwerktopologie einer Web-Sicherheitslösung in der Cloud

Ein weiterer Grund ist der in den vergangenen Jahren stark fortgeschrittene Wandel des Arbeitsalltags von Unternehmensmitarbeitern: Ein Unternehmen kann nicht mehr davon ausgehen, dass Zugriffe seiner Mitarbeiter auf das Internet ausschließlich aus dem internen Firmennetzwerk erfolgen. Mitarbeiter sind deutlich mobiler unterwegs und arbeiten häufiger im Sinne eines „Road -Warriors“ aus dem Home Office oder unterwegs. Zusätzlich nutzen sie mobile Geräte wie Smartphone oder Tablets, um mit Unternehmensanwendungen zu arbeiten, die ggf. gar keinen direkten Zugriff auf das Firmennetz erfordern. Nichtsdestotrotz werden dort unter Umständen sensible Daten verarbeitet, und ein Unternehmen hat daher ein Eigeninteresse daran, auch solche Geräte bzw. Zugriffe abzusichern. Ein Perimeterschutz alleine ist also nicht mehr ausreichend.

Wir möchten in diesem Artikel das Phänomen „Web Security in der Cloud“ genauer beleuchten, um zu prüfen, ob Unternehmen einen echten Vorteil daraus ziehen können oder ob es sich dabei womöglich nur um einen Trend handelt, der sich auf langfristige Sicht ggf. als das falsche Zugpferd herausstellen könnte.

Sehen wir uns den aktuellen Markt genauer an, erkennen wir, welchen disruptiven Effekt Cloud-basierte Web Security Lösungen erzeugen, siehe Abbildung 2. Der Großteil der im Gartner Report über Secure Web Gateways [1] genannten Unternehmen bietet „konventionelle“ On-Premises Secure Web Gateways an. Darunter mischen sich jedoch auch Hybrid-Lösungen (bspw. Symantec) sowie Unternehmen, die nahezu ausschließlich Cloud-basierte Lösungen anbieten (bspw. Zscaler). Diese „Cloud-only“-Lösungen mischen den Markt stark auf: So wurde Zscaler bspw. im Gartner Report von 2018 zum 8. Mal in Folge als „Leader“ im Segment der Secure Web Gateways benannt.

Der Status Quo

Gehen wir einen Schritt zurück und blicken auf das Gefahrenpotenzial und den Zustand der gegenwärtigen Internetnutzung, um Anforderungen an die Sicherheit identifizieren zu können: Vergangenes Jahr entschloss sich Google dazu, auf die besondere Kennzeichnung von TLS-verschlüsselten Webseiten zu verzichten, da „Nutzer erwarten sollen, dass das Web standardmäßig sicher ist“ [2]. Die Statistiken geben Google zumindest in der Hinsicht Recht, dass der absolute Löwenanteil der Webseiten, welche ein Nutzer täglich aufruft, über TLS verschlüsselt sind: Gemäß Google Transparency Report [3] waren beispielsweise 90 % der Webseiten, die deutsche Chrome-Nutzer am 17. August 2019 aufriefen, via TLS verschlüsselt, siehe Abbildung 3.

Abbildung 2: Gartner Magic Quadrant „Secure Web Gateways“ 2018 [1]

Die Aussage von Google bezogen auf die Sicherheit des Internets als solches ist jedoch mit Vorsicht zu genießen: Dass eine Webseite ausschließlich über einen verschlüsselten Kanal Inhalte vermittelt, ist grundsätzlich zwar die richtige Richtung hin zu einem Internet, welches ein größeres Augenmerk auf den Datenschutz und die Privatsphäre des Nutzers legt. Jedoch bedeutet dies nicht, dass die publizierten Inhalte per se keinen Schadcode enthalten können. Bei wenig technikversierten Nutzern erzeugt die zitierte Maxime den Eindruck, dass eine Seite grundsätzlich vertrauenswürdig ist, wenn ihr Browser sie als „sicher“ kennzeichnet. Das ist aber keineswegs der Fall: Laut Auswertungen des Herstellers Zscaler verbirgt sich über 50% der Malware mittlerweile hinter SSL-/TLS-Verschlüsselung (siehe [4]). Zudem steige die Verbreitung der Malware über diesen Kanal rasant an (30% mehr Malware in einem Zeitraum von 6 Monaten, siehe [5]).

Dieser Zustand ist jedoch logisch bedingt durch die Weiterentwicklung des Mediums „Internet“: Nutzer werden sensibilisiert und angehalten, sich von nicht vertrauenswürdigen Webseiten (sprich: regulären HTTP-Seiten) fernzuhalten. Also entwickeln Angreifer Methoden, um ihren Schadcode über vermeintlich vertrauenswürdige Wege zu verbreiten. Der Aufwand ist bspw. dank „Domain-validierten Zertifikaten“ und kostenfreier Zertifizierung (bspw. durch Anbieter wie „Let’s Encrypt“) nicht sonderlich groß.

Ein verschlüsselter Kanal bewirkt, dass die Kommunikation zwischen Client und Server nicht abgehört, aber auch nicht auf Schadcode inspiziert werden kann. Unternehmen haben selbstverständlich dennoch ein großes Interesse daran, diesen Angriffsvektor abzusichern. An dieser Stelle kommt die Technik der „SSL/TLS Inspection/Interception“ ins Spiel: Vor der Etablierung der TLS-Session mittels HTTP CONNECT Header öffnet das Secure Web Gateway bzw. der Proxy das Paket, um als „friendly Man-in-the-Middle“ zu agieren und dies auch gegenüber dem Client zu kommunizieren (Einsatz eines vertrauenswürdigen Zertifikats).

Prozentsatz der in Chrome über HTTPS geladenen Seiten nach Land [3]

Wir schließen aus den obigen Aussagen zum verschlüsselten Verkehr, dass ein erheblicher Sicherheitsgewinn auf dem Transportweg aus dem Einsatz von TLS/SSL Inspection geschöpft werden kann. Für TLS in den Versionen 1.0 – 1.2 trifft diese Aussage auch vollkommen zu, und die Implementierung ist aus technischer Sicht durchführbar. TLS in der Version 1.3 kann die Hersteller jedoch vor Herausforderungen stellen: Wie in Artikel [6] beschrieben, ist der „Kampf“ um Aufschlüsselungsoptionen aus Provider- und Strafverfolgersicht für TLS 1.3 verloren gegangen. Solange ein Proxy jedoch als explizites Gateway den Zugang zu Webseiten bereitstellt, kann er weiterhin als „friendly Man-in-the-Middle“ agieren, da die HTTPS Session entkoppelt wird. Auch zukünftig kann also eine zusätzliche Transportsicherheit gewährleistet werden.

Das Potenzial der Cloud

Dieses Aufbrechen von TLS-verschlüsseltem Verkehr ist sehr rechenintensiv. Dementsprechend lassen sich Hersteller die Funktionalität gut bezahlen. Beim Einsatz von On-Premises Hardware ist hierbei zudem eine Abwägung zu treffen: Welche Hardware schaffe ich heute an, um auch in Zukunft gegenüber skalierenden Bedingungen in Form von Schwankungen der Nutzeranzahl oder Verbreitung von Malware in verschlüsseltem Verkehr gewappnet zu sein? So oder so: In der Regel ist die Hardware bei Anschaffung überdimensioniert, und Ressourcen bleiben ungenutzt.

Eine Web-Security-Lösung aus der Cloud löst diese Probleme sehr flexibel: Für eine Sicherheitsanalyse von Paketen kann auf die geteilten Ressourcen im Cloud-Rechenzentrum zurückgegriffen werden. Die Kosten beschränken sich dadurch i.d.R. auf die tatsächlich genutzten Ressourcen. Eine Skalierbarkeit bei Änderungen des Nutzungsvolumens ist ebenfalls gegeben, ohne dass eine Anschaffung und Integration weiterer Hardware notwendig wäre. Dies ist insbesondere in den heutigen Zeiten von Vorteil, in denen stetig neue Applikationen in die Cloud ausgelagert werden, deren Nutzungsfälle bisher meist durch On-Premises-Applikationen abgedeckt wurden und dadurch keinen oder ausschließlich internen Datenverkehr erzeugt haben (Stichwort: Office 365), der bisher keine Sicherheitsanalyse des Nachrichtenverkehrs verlangte.

Die Skalierbarkeit bezieht sich jedoch nicht ausschließlich auf das verarbeitete Volumen: Viele Sicherheitsanbieter in der Cloud zielen darauf ab, weitere Sicherheitsfunktionalitäten, die bisher primär von On-Premises-Appliances angeboten wurden, als zusätzliche Funktionalität im ggf. bereits eingesetzten Cloud Service bereitzustellen (natürlich i.d.R. gegen Einwurf zusätzlicher Münzen). Der Haupteinsatzzweck der Web Security Cloud zum Entkoppeln und Filtern des Verkehrs wird dadurch bspw. durch „Value Added Features“ ergänzt, wie bspw. Sandboxing, Intrusion Prevention System (IPS), Data Loss Prevention (DLP) oder Bandbreitenkontrolle.

Flexible Skalierbarkeit ist jedoch nur einer der Aspekte, bei denen Unternehmen von einem Cloud-Deployment der Websicherheit profitieren können. Durch das Bereitstellen der Sicherheitsfunktionalitäten in der Cloud verlagert sich natürlich auch die Administration in die Cloud. Diese kann auf einfachem Wege weltweit standortübergreifend und zentral umgesetzt werden, falls vom Unternehmen gewünscht. Auf diesem Weg kann bspw. auch ein Governance-Konzept umgesetzt werden, welches vorsehen könnte, dass IT-Administratoren der Zweigstellen des Unternehmens beschränkte Administrationsrechte erhalten, um aus administrativer Hinsicht teilweise oder ganz unabhängig vom Hauptstandort zu sein. Das gegenteilige Konzept kann selbstredend auch umgesetzt werden: Die administrative Hoheit über sämtliche Unternehmensstandorte könnte auf einfachem Wege an einen Managed Service Provider abgegeben werden, um bspw. ein standardisiertes unternehmensweites Sicherheitskonzept durchzusetzen.

Eine Wartung und Instandhaltung der bisherigen Security Appliances vor Ort kann ebenfalls entfallen, da sie nicht mehr vorhanden sind. Funktions- und Sicherheitsupdates werden zentral durch den jeweiligen Hersteller eingespielt – so wie Nutzer es bereits von Software-as-a-Service gewohnt sind. Die Bereitstellung von Web Security in der Cloud wird daher auch als „Security-as-a-Service“ bezeichnet. Gesamtbetriebskosten können dadurch im Idealfall komfortabel bedarfsgerecht klein gehalten werden.

Eine Georedundanz ist durch verteilte Rechenzentren der Service Provider i.d.R. auf einfachem Wege umsetzbar. Je nach Service Provider kann man hier zusätzlich ggf. vom guten Peering profitieren, z.B. für Office-365-Transaktionen zu Microsoft-Rechenzentren.

Die Schattenseite der Cloud

Selbstverständlich ist die Cloud nicht das Allheilmittel, welches jegliche Probleme aus dem Weg räumt. Mit dem Einsatz einer Sicherheitslösung aus der Cloud müssen auch gewisse Kompromisse eingegangen werden.

Gewisse Applikationen oder Webseiten können beispielsweise erfordern, dass der Zugriff aus einem definierten vertrauenswürdigen IP-Adressbereich geschieht. Bei der Nutzung eines Cloud Proxy teilen sich i.d.R. jedoch mehrere Unternehmen die Adresse des Cloud-Proxy, von dessen IP-Adresse die externe Verbindung ausgeht, um den Verkehr zu entkoppeln. Im Falle eines „location-based conditional Access“ kann es daher schwierig sein, einen Zugriff von einer IP-Adresse zuzulassen, die nicht alleinig unter der Kontrolle des vertrauenswürdigen Unternehmens ist. Für diesen Anwendungsfall müssten also bspw. Maßnahmen geschaffen werden, um den Zugriff dennoch zu ermöglichen.

Die Implementierung einer Sicherheitslösung aus der Cloud kann auch in sich selbst ein potenzielles Sicherheitsrisiko darstellen: Sollte der TLS/SSL Verkehr durch den Cloud-Dienstleister entschlüsselt werden, so erfordert diese Maßnahme die Implementierung einer Vertrauensstellung zwischen den Clients im Unternehmen sowie dem Cloud Proxy. Dies kann über verschiedene Wege geschehen: Die Clients könnten bspw. so konfiguriert werden, dass sie dem Wurzelzertifikat des Service-Providers vertrauen. Alternativ bieten einige Anbieter die Möglichkeit, ein Zertifikat des eigenen Unternehmens für die Kennzeichnung der Vertrauenswürdigkeit einzusetzen. Damit wird dem Hersteller jedoch in der Theorie die Möglichkeit gegeben, dieses Zertifikat auch für anderweitige (nicht im Sinne des Unternehmens liegende) Zwecke einzusetzen.

Letztlich sollten Sie sich also vor der Implementierung einer Cloud Security Lösung intensiv mit der Reputation des Herstellers befassen und insbesondere ein Augenmerk auf dessen Compliance und Zertifizierungen (ISO 27001, SOC 2, FedRAMP, …) legen.

Baustellen auf dem Wege der Migration

Wenn sich Ihr Unternehmen nach einer ausführlichen Analyse der Vor- und Nachteile für die Implementierung einer Sicherheitslösung aus der Cloud entscheiden sollte, sind verschiedene Faktoren auf einem Migrationsweg zu beachten.

Ein nicht zu vernachlässigendes Thema ist in diesem Zusammenhang die Authentisierung und Provisionierung der Nutzer(daten). In der Regel sollte die Einführung einer neuen Sicherheitslösung für die Endnutzer möglichst transparent ablaufen und keine neue Prozesskette für den regulären Arbeitsalltag eröffnen. Eine Web-Security-Lösung hat neben einer reinen Sicherheitsfunktion in den häufigsten Fällen auch das Ziel, unternehmensweite Richtlinien umzusetzen und in diesem Zuge bspw. den Zugriff zu gewissen Internetseiten grundsätzlich zu sperren. Solche Sperrungen und Freigaben orientieren sich in der Regel an individuellen Berechtigungen der jeweiligen Endnutzer. Um dies technisch umsetzen zu können, müssen Zugriffe demnach authentisiert stattfinden, um eine entsprechende Autorisierung gewähren zu können.

Für eine aus Endnutzersicht transparente Nutzung einer Web-Security-Lösung ist demnach die Implementierung eines Single/Seamless Sign-On zu empfehlen. Der Großteil der Cloud Web Security Provider bietet hierbei eine Anbindung z.B. via SAML oder OpenID Connect an unterstützte Identity Provider. Bei der Umsetzung sollte beachtet werden, dass eine Vertrauensstellung zwischen dem Service Provider der Sicherheitslösung sowie dem Identity Provider etabliert wird, um eine unidirektionale Kommunikation zu ermöglichen. Ein weiteres Augenmerk sollte das Synchronisierungs- und Authentisierungsintervall sein, in dem Nutzerdaten zwischen den Systemen ausgetauscht werden. So wird vermieden, dass Nutzer unberechtigterweise Zugriff auf Ressourcen erhalten.

Die Konfiguration von Policies bzw. Richtlinien ist im Zusammenhang einer Web-Security-Lösung ebenfalls elementar. Hier unterscheiden sich die Anbieter im Detail voneinander: In der Regel werden Webseiten durch den jeweiligen Anbieter einer Klassifizierung unterzogen, um darauf basierend Zugriffe zu steuern. Je nach Anbieter gibt es hierbei feingranularere Unterscheidungen zwischen Kategorien, bspw. die Konsolidierung von Inhalten mit Medieninhalten oder die Aufteilung in Musik- und Videostreaming-Dienste oder eine Unterteilung in Oberkategorien wie bspw. “Geschäftliche Dienste” oder “Bandbreitenintensive Dienste“. Dem dienstnutzenden Unternehmen wird dadurch eine manuelle Klassifizierung erspart, obwohl diese natürlich in der Regel dennoch unternehmensspezifisch anpassbar bleibt.

Je nach Größe Ihres Unternehmens spielt das Logging von Transaktionen ebenfalls eine wichtige Rolle. In diesem Zusammenhang ist nicht nur das reine Logging auf Seiten des Service-Providers zu beachten, sondern auch ggf. die Anbindung an ein Security Information and Event Management (SIEM). Da es sich hierbei um sensible Daten handelt, ist für eine Absicherung und ggf. Verschlüsselung der Daten selbstredend Sorge zu tragen.

Wenn Ihr Unternehmen die Privatnutzung des Internets für Mitarbeiter erlaubt und den Nachrichtenverkehr zusätzlich auch bei TLS-verschlüsseltem Verkehr inspizieren möchte (SSL/TLS Inspection), muss diese Maßnahme insbesondere hinsichtlich des Datenschutzes geprüft werden. Zwingend notwendig ist in diesem Fall die Aufklärung der Nutzer über die eingesetzten Mechanismen und eine mögliche Nachverfolgbarkeit der Transaktionen. Dem Einsatz von SSL/TLS Inspection kann jedoch aus einer Sicherheitsperspektive im Sinne des Schutzes von Firmeneigentum ggf. eine höhere Priorität zugeordnet werden als der Vertraulichkeit des Zugriffsprofils von Personen auf das Internet. Es gibt jedoch auch einen Mittelweg, der eingeschlagen werden kann: Bestimmte Webseitenkategorien, die besonders sensibel aus Sicht des Datenschutzes sind, könnten von der Inspektion des verschlüsselten Verkehrs ausgeschlossen werden, z.B. Webseiten im Zusammenhang mit Finanztransaktionen oder medizinischem Inhalt.

Die Zukunft: Cloud-Only?

Nach dieser Betrachtung kommen wir zurück zur initial formulierten Frage: Können sich Web Security Lösungen aus der Cloud auch gegenüber konventionellen On-Premises Appliances langfristig behaupten? Wir sagen „Ja“: Die in den vergangenen Jahren veränderte Arbeitsweise erfordert ein Umdenken auch aus technischer Sicht. Unternehmensdaten haben nicht an ihrem Anspruch an Vertraulichkeit eingebüßt, werden jedoch zunehmend auf Systemen gelagert, welche sich nicht mehr in der Obhut des Unternehmens selbst befinden. Dadurch werden Systeme zum beliebten Angriffsziel, welche sich ebenfalls nicht mehr in der völligen Kontrolle des Unternehmens befinden, sondern aus einer Vielfalt an Endpunkten auf das potenziell unsichere Medium „Internet“ zugreifen.

Letztlich ist bei der Konfiguration und dem Einsatz einer Sicherheitslösung immer eine Abwägung zwischen der Privatsphäre des Endnutzers und der Sicherheit des Firmennetzwerks und der Unternehmensressourcen vorzunehmen. Im Zweifel sollte mindestens für eine ausreichende Sicherheit am Client gesorgt werden. Zu empfehlen wäre an dieser Stelle ein „Multi-Layer-Security“-Ansatz, der eine Absicherung des Nutzers und der Daten an verschiedenen Stellen erreicht.

Eine vollumfängliche Ablösung von Sicherheitskomponenten am Standort selbst ist heute nicht möglich. Bezogen auf die reine Websicherheit scheint ein solches Szenario jedoch denkbar: Die Potenziale, die aus dem Einsatz einer solchen Lösung geschöpft werden können, sind sehr hoch. Die Service Provider arbeiten eifrig daran, Vertrauen bei Unternehmen zu gewinnen, sodass der KMU-Sektor ggf. nachziehen wird.

Ob die genannten Vorteile in Ihrem Unternehmen die Nachteile überwiegen, muss individuell evaluiert werden und ist stark abhängig von der Bereitschaft, sich auf die Zuverlässigkeit der Service Provider aus der Cloud zu verlassen. Die Implementierung einer solchen Lösung könnte sich jedoch aus finanzieller, organisatorischer und ebenso sicherheitstechnischer Sicht auch für Ihr Unternehmen lohnen. Unsere Cloud-Sicherheitsexperten unterstützen Sie gerne bei einer solchen detaillierteren Risiko-/Nutzen-Abschätzung und geben Ihnen wertvolle Implementierungshinweise im Seminar „Web Security Cloud in der Praxis“, sollten Sie sich dazu entscheiden, diesen Weg gezielter zu verfolgen.

Verweise

[1] Gartner, Gartner Report 2018 „Secure Web Gateways“, https://www.gartner.com/en/documents/3894075

[2] heise.de, „40 Sicherheitslücken in Chrome geschlossen“: https://www.heise.de/security/meldung/40-Sicherheitsluecken-in-Chrome-69-geschlossen-4155330.html

[3] Google, Transparency Report, https://transparencyreport.google.com/https/

[4] Zscaler, Zscaler SSL Inspection, https://www.zscaler.de/products/ssl-inspection

[5] Zscaler, February 2018 Zscaler SSL Threat Report, https://www.zscaler.com/blogs/research/february-2018-zscaler-ssl-threat-report

[6] heise.de, “TLS-Aufschlüsselung: Malware und Angriffe in verschlüsselten Datenströmen erkennen“, https://www.heise.de/security/meldung/IETF-Treffen-Malware-und-Angriffe-in-verschluesselten-Datenstroemen-erkennen-4219047.html

Der Bezug des Netzwerk Insiders ist kostenlos und wird Ihnen per E-Mail als PDF-Download und als Online-Version zur Verfügung gestellt.

Zur Registrierung

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

Jetzt registrieren
© Copyright - ComConsult