Andreas Gollwitzer
Master Thesis, Hochschule Wismar, Juni 2023
Autor: Andreas Gollwitzer
Titel: Möglichkeiten und Grenzen der automatisierten Detektion und Mitigation von Schwachstellen in Cloud-Konfigurationen mittels Cloud Security Posture Management
Abstrakt
Der zunehmende Einsatz von Cloud-Infrastrukturen kann Wettbewerbsvorteile und Flexibilität für Unternehmen schaffen. Aktuelle Studien belegen jedoch, dass ein signifikanter Anteil an untersuchten Cloud-Konfigurationen teils gravierende Sicherheitsmängel aufweist.
Die Arbeit untersucht die Möglichkeiten und Grenzen Sicherheitsrichtlinien zu kodieren und über automatisiere Verfahren vorliegende Cloud-Konfigurationen hinsichtlich bestehender Sicherheitsmängeln zu auditieren. Zur Behebung identifizierter Sicherheitsmängel sollen idealerweise Maßnahmen automatisiert vorgeschlagen werden. Das Marktforschungsunternehmen Gartner Inc. hat den Begriff Cloud Security Posture Management (CSPM) in diesem Kontext geprägt.
Die Analyse des Application Programming Interface (API) eines Cloud-Anbieters (AWS), die als Informationsbasis für die automatisierte Sicherheitsprüfung dienen kann, zeigt deutlich auf, dass ein umfangreicher Zugriff auf sicherheitsrelevante Konfigurationsinformationen der Cloud-Infrastruktur machbar ist. Werden Cloud- Konfigurationen auf Basis von Infrastructure as Code (IaC) Daten analysiert, kann eine wesentliche Grenze des API-basierten Ansatzes ausgeschlossen werden.
Die Arbeit diskutiert und bewertet unterschiedliche technische Implementierungs- alternativen. Die prototypische Umsetzung auf Basis eines Security-Offloaders zeigt eine hohe funktionale Abdeckung der erarbeiteten funktionalen Anforderungen. Der Umsetzungsaufwand je Sicherheitsrichtlinie ist jedoch relativ hoch mit circa zwei bis zu acht Stunden je Richtlinie und verlangt eine intensive Einarbeitung. Zur Steige- rung der Effizienz ist es empfehlenswert Best-Practises einzusetzen. Die Arbeit hat unterschiedliche Quellen eingehend untersucht und bewertet. Sowohl Sicherheitsempfehlungen der Cloud-Anbieter als auch kommerzieller Sicherheitsunternehmen weisen die besten Ergebnisse auf.
Der herausgearbeitete Wertbeitrag von CSPM zur Verbesserung der Konformität zu Sicherheitsstandards wie dem BSI IT-Grundschutz Kompendium oder den Normen von NIST und CIS kann eine Investition in die Methodik vor allem dann rechtfertigen, wenn eine hohe Änderungshäufigkeit der Cloud-Infrastruktur zu erwarten ist.
Abstract
Potentials and Limits of Automated Vulnerability Detection and Mitigation in Cloud Configurations based on Cloud Security Posture Management
Enterprises increase their Cloud-infrastructure usage to gain competitive advantages and improve their flexibility. But recent studies show that a significant percentage of Cloud-configurations are suffering from partly sever information security weaknesses.
The thesis researches the potentials and limits to codify security policies and thus automate the security audit of existing cloud configurations regarding the existence of security vulnerabilities. Identified weaknesses shall be mitigated by automating remediation suggestions. The technology research firm Gartner Inc. created the term CSPM in this context.
The results of the executed API analysis of one Cloud Service Provider (CSP) (AWS), that can serve as an information source for the security automation, show a broad and detailed access to security-relevant cloud-configuration data. When using Infrastructure as Code (IaC) as source for cloud-configuration a major weakness of the API-based approach can be eliminated.
Different technical implementation approaches get evaluated and rated. The developed prototype is based on a security-offloader framework and shows an overall good functional fit to the defined functional requirements in this document. But the efforts are rated rather high with two up to eight hours pure coding per defi- ned security policy and requires intense preparation. To improve efficiency it is thus strongly recommended to leverage best-practices. The thesis assessed and rated different sources. Both commercial security advisers and security advice from CSP offer best results.
The value add of CSPM to improve security compliance with standards like BSI IT-Grundschutz compendium or security norms from NIST and CIS can justify an investment especially when a high rate of change to cloud-infrastructure is expected.
