Cloud-Dienste sicher im Griff – mit der Firewall

Cloud-Dienste sicher im Griff –
mit der Firewall

So gut wie jeder nutzt sie, doch keiner weiß genau, was sie tut: die Cloud. Sie stellt Firewall-Administratoren und Anwender vor ganz neue Herausforderungen. Bernhard Zaun, Firewall-Entwickler bei genua, beantwortet unsere Fragen zur IT-Sicherheit von Cloud-Diensten.

Was ist an Cloud-Diensten wie Dropbox oder Google Drive problematisch?

Bernhard Zaun: Letztendlich weiß niemand, wer alles Zugang zu den Daten in der Cloud hat. Ein Zugriff durch andere Nutzer lässt sich meistens einfach unterbinden. Allerdings sind die Daten dadurch noch lange nicht vor Wirtschaftsspionage oder Zugriff durch Geheimdienste wie der NSA sicher. Wo die Server eines Cloud-Anbieters stehen, ist meistens völlig unklar – und die Daten können auf der ganzen Welt verteilt sein. Nicht dass das überhaupt einen Unterschied für den Zugriff durch Dienste oder Hacker machen würde, aber immerhin gibt es in der EU strengere Datenschutzgesetze als in den USA oder in anderen Ländern.

Außerdem sind Cloud-Dienste eine Gefahr für die Privatsphäre: Bei der Entwicklung unserer "Kontrollfunktion für Skype und Cloud-Dienste" für die Hochsicherheits-Firewall genugate haben wir herausgefunden, dass so gut wie alle Anbieter starken Gebrauch von Tracking- und Werbenetzwerken machen. Trotzdem haben sich viele Nutzer an die praktischen Vorteile von Cloud-Diensten gewöhnt und wollen diese auch bei der Arbeit einsetzen.

Welche Probleme ergeben sich dadurch für Unternehmen und Behörden?

Bernhard Zaun: Aus Cloud-Speichern kann – natürlich meist unabsichtlich – Malware bezogen werden und es kann zu Data Leakage, also dem Abfluss sensibler Daten der betreffenden Organisation, kommen. Zudem kann durch die Verwendung von YouTube, Skype oder ähnlichen Diensten ein nicht akzeptabler Verbrauch von Bandbreite entstehen, der die Arbeit im Unternehmen lahmlegt oder zumindest stark behindert.

Da die meisten dieser Dienste einfache Web-Verbindungen über HTTP (Port 80) oder HTTPS (Port 443) nutzen, können sie auf gewöhnlichen Paketfilter-Firewalls nicht ohne weiteres erkannt werden. Auch die Verbreitung von Software-Updates basiert heutzutage auf Web-Technologien: Die Updates werden meist durch Content Delivery Networks ausgeliefert. Oft funktionieren diese nicht richtig, wenn man sie der für Web-Verkehr durchaus üblichen Behandlung durch Virenscanner und ähnliches unterzieht. Dasselbe gilt für weitere weniger kritische Dienste wie Google Maps: Ist im Firmennetz global die Verwendung von JavaScript verboten, funktionieren diese nicht.

Vor welchen Problemen stehen IT-Administratoren?

Bernhard Zaun: Die Administratoren bewegen sich auf einem schmalen Pfad zwischen Verbieten und Erlauben. Sie müssen den Nutzern bestmöglichen Service bieten, um sie nicht zu sehr in ihrer Arbeit einzuschränken. Dabei müssen Firmen-Policies zur Data Leakage Prevention (DLP) und zum Schutz des Firmennetzes eingehalten werden. Um dies zu erreichen, werden bestimmte Dienste gesperrt, freigegeben oder eingeschränkt.

Wie kann hier eine Firewall helfen?

Bernhard Zaun: Für übliche Probleme von Administratoren kann eine Firewall vorkonfigurierte Lösungen anbieten. Der Administrator benötigt dann keine detaillierten Kenntnisse über die genaue Funktionsweise der zu blockenden oder freizuschaltenden Anwendungen.

So können zum Beispiel für die sicherheitskritische Installation von Software-Updates automatisiert Ausnahmen in die Konfiguration von Virenscannern oder SSL-Bridging eingetragen werden. Die URLs der Update-Server sind ja wohlbekannt und den großen Anbietern wie Microsoft und Apple muss bei der Verteilung der Updates wohl oder übel vertraut werden. Ebenso können einzelne Anwendungen herausgefiltert werden, die im Unternehmen nicht erwünscht sind.

Manche Anwendungen, die von den Nutzern für ihre Arbeit benötigt werden, funktionieren mit der Grundkonfiguration der Firewall nicht. Es können Ausnahmen eingerichtet werden, die eine Funktion der Anwendung garantieren.

Außerdem kann die Firewall, so weit es eben geht, eine sichere Verwendung der genannten Dienste garantieren. Der Datenabfluss zu Tracking-Netzwerken und die meiste Werbung – Stichwort Malvertising – kann so unterbunden werden. Eine Einschränkung auf einzelne Adressbereiche ist ebenfalls einfach möglich.

Was ist hier der konkrete Vorteil eines Application Level Gateways (ALG) im Vergleich zu anderen Firewall-Technologien?

Bernhard Zaun: Am ALG haben wir die Hoheit über die übertragenen Inhalte. Das bedeutet, dass wir auf den gesamten Datenverkehr zugreifen können. Wir sehen zum Beispiel komplette Requests und können uns auch übertragene Dateien genau ansehen.

Andere Technologien, die auf Paketbasis arbeiten, haben diesen Vorteil nicht, da sie nicht den gesamten Datenstrom sehen. Eine Umgehung des ALG auf Paketbasis ist prinzipbedingt nicht möglich. Grundsätzlich sieht die Firewall die Daten in der gleichen Form wie der Benutzer. Das heißt, dass zum Beispiel das Netzwerkprotokoll SSL zur sicheren Übertragung von Daten entschlüsselt werden kann. Somit können auch im SSL-Strom enthaltene Daten analysiert werden.

Wir sehen also den kompletten Request und können unsere Signaturen, meist reguläre Ausdrücke, auf alle Felder anwenden. Die Filterung funktioniert dann auch auf Basis einzelner Requests.

 

Produktfoto: zweistufige Firewall genugateHoheit über die übertragenen Inhalte: Am ALG der genugate können Administratoren auf den gesamten Datenverkehr zugreifen

 

Und was genau kann jetzt die zweistufige Firewall genugate, um den Umgang mit Webanwendungen sicherer zu machen?

Bernhard Zaun: Unsere Kontrollfunktion für Skype und Cloud-Dienste unterstützt die Freigabe und Filterung von verschiedenen Web-Anwendungen. Die Liste der von uns unterstützten Dienste enthält unter anderem Storage-Cloud-Anbieter wie Dropbox oder OneDrive und auch Kommunikationsdienste wie Skype und Cisco WebEx. Auch unterstützen wir die Freigabe von Software-Updates verschiedener Hersteller von Anti-Viren-Software und die der gängigsten Betriebssysteme.

Zur Data Leakage Prevention kann unsere Firewall genugate die clientseitige Verschlüsselung von zu verschiedenen WebDAV-Anbietern (Web-based Distributed Authoring and Versioning) hochgeladenen Dateien erzwingen. Wir unterstützen hier die Verschlüsselungslösung BoxCryptor. Versucht der Anwender, unverschlüsselte Dateien hochzuladen, so schlägt der Upload fehl.

Wird extrem hohe Sicherheit gefordert, muss die Benutzung der Cloud vollständig unterbleiben. In allen anderen Fällen macht die Kontrollfunktion für Skype und Cloud-Dienste die Verwendung vieler Cloud-Dienste sicherer. Die sichere Konfiguration wird für den Firewall-Administrator erheblich vereinfacht.

Das Gespräch führte Maximilian Pascher.

Lesen Sie auch: Wozu braucht man die neue Kontrollfunktion für Skype und Cloud-Dienste?

 

Bildquelle: © hywards - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.