Cloud Security Audit

Für die Sicherheit Ihrer Cloud-Umgebung

Für viele Unternehmen ist es heute selbstverständlich, ihre Daten einem Cloud Service Provider wie AWS, Azure oder GCP anzuvertrauen. Mit dem Umzug in die Cloud geben Sie als Nutzer jedoch nicht die Verantwortung für den Schutz Ihrer Daten ab. Während die Provider für die Sicherheit der Cloud selbst verantwortlich sind, müssen Sie den Schutz Ihrer Daten innerhalb der Cloud sicherstellen. Eine inkorrekte Konfiguration von Cloud Services kann es Angreifern beispielsweise ermöglichen, Zugriff auf sensible Daten zu erhalten. Daher empfehlen wir Ihnen, durch ein Audit die sichere Konfiguration Ihrer Cloud zu überprüfen.

Dr. Kai Schubert
Managing Consultant

Bei Cloud-Projekten wird oft nicht bedacht, dass das auslagernde Unternehmen weiterhin die Verantwortung für die Sicherheit der Daten und dort betriebenen Anwendungen hat. Hier setzen wir an und beraten unsere Kunden eingehend – von der Migration in die Cloud, über Fragen zur IT-Sicherheit während des Betriebs bis hin zu regelmäßig durchgeführten Sicherheitsüberprüfungen der Cloud-Umgebung."

Fehlkonfigurationen finden sich beispielsweise in:

  • Identitäts- und Access-Management (z.B. AWS IAM, Azure AD, GCP IAM)
  • Storage Services (z.B. AWS S3, Azure Storage Accounts, GCP Cloud Storage)
  • Database Services (z.B. AWS RDS, Azure SQL, GCP Cloud SQL)
  • Logging, Monitoring und Alerting Services (z.B. AWS CloudWatch, Azure Security Center, GCP Cloud Audit Logs)

Wie können wir helfen?

Verwalten Sie sensible und schützenswerte Informationen und betreiben Sie Dienste in Cloud-Umgebungen, ist es wichtig, dass Sie einen aussagekräftigen Überblick über das IT-Sicherheitsniveau Ihrer Cloud-Umgebung erhalten. Unser Cloud Security Audit liefert Ihnen wertvolle Ergebnisse und Einblicke.

Unsere Auditor*innen verfügen über umfangreiche und jahrelange Erfahrung in vergleichbaren Audits und greifen auf eine Vielzahl von Best Practices und Sicherheitsstandards in unterschiedlichen Branchen zurück.

Wie steigen wir gemeinsam in ein Cloud Security Audit ein?

Jede Cloud-Umgebung und die dort betriebenen Services sind einzigartig. Wichtige Kriterien bei der Definition Ihres Prüfumfangs sind beispielsweise die genutzten Cloud Services, die Anzahl der genutzten Cloud Ressourcen, der Schutzbedarf und mögliche Risiken einer Kompromittierung.

Daher stimmen wir uns während des gesamten Projektverlaufs eng mit Ihnen ab, um ein optimal auf Ihr Unternehmen zugeschnittenes Cloud Security Audit zu garantieren.

Wie gehen wir bei einem Cloud Security Audit vor?

Mit unserer strukturierten Vorgehensweise prüfen wir die Sicherheit Ihrer Cloud-Umgebung manuell und automatisiert gegen ein Framework aus einer Vielzahl von Kontrollzielen, welches auf den CIS-Benchmarks für AWS, Azure und GCP, den Best Practices der Cloud Service Provider, international anerkannten Sicherherheitsstandards und unseren langjährigen Erfahrungen basieren. Auf Wunsch berücksichtigen wir Ihre unternehmenseigenen Vorgaben. In der Regel umfasst unser Vorgehen folgende Phasen:

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Phase 1: Vorbereitung und Scoping

Gemeinsam mit Ihnen definieren wir die Prüftiefe und -umfang des Cloud Security Audits basierend auf Ihren Wünschen, Bedürfnissen und den Risiken, Opfer eines Hackerangriffs zu werden.

Phase 2: Durchführung des Audits

Im Rahmen von Konfigurations-Reviews, Dokumentensichtung und Interviews auditieren wir unter Einsatz von etablierten und selbst entwickelten Tools neben der eigentlichen Konfiguration der Cloud Services auch die Sicherheitsarchitektur und die beteiligten Personen und Prozesse. Aufgrund des hohen Individualisierungsgrads der eingesetzten Cloud-Lösungen stimmen wir hierbei unseren Prüfkatalog stets individuell auf Ihre Cloud-Umgebung ab.

Wir überprüfen die Sicherheit all Ihrer Cloud-Dienste und -Ressourcen vollständig remote und verzichten dabei auf die Angriffsvektoren Denial-of-Service (DDoS, EDoS) oder Social Engineering. Ihr Betrieb wird während der Überprüfung nicht beeinträchtigt. Werden kritische Schwachstellen identifiziert, werden diese sofort kommuniziert.

Phase 3: Bericht

Nach Abschluss des Audits erhalten Sie:

  • Einen detaillierten Bericht zu allen relevanten Themen inklusive Beschreibung der identifizierten Schwachstellen und konkreter Empfehlungen zur Behebung
  • Präsentation der Ergebnisse remote oder bei Ihnen vor Ort (optional)
  • Beratung zur Umsetzung der notwendigen Maßnahmen (optional)
  • Optional führen wir nach der Behebung der Schwachstellen Ihrerseits eine Nachprüfung durch

Phillip Ansorge
Senior Consultant

„Cloud Computing ist hoch dynamisch. Daher entwickeln wir unsere Vorgehensweise kontinuierlich weiter und passen sie an aktuelle Bedrohungsszenarien an. So garantieren wir Ihnen ein gleichbleibend hohes Qualitätsniveau und eine nachhaltige Verbesserung Ihres Sicherheitsniveaus."

Welche Varianten des Cloud Security Audits gibt es?

Im Rahmen des Cloud Security Audits können die folgenden Services oder Provider von unseren Auditor*innen geprüft werden:

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Identitäts- und Access Management (IAM) Audit

Bei der Überprüfung Ihres Identitäts- und Access-Managements führen wir abhängig von Ihrer individuellen Cloud-Umgebung unter anderem folgende Prüfschritte durch:

 

  • Review der Zugriffsrichtlinien, wie Multi-Faktor-Authentifizierung oder Passwort-Richtlinien.
  • Analyse des API-Keys
  • Überprüfung der Notfall- und Fallback-Maßnahmen
  • Überprüfung von Berechtigungen, dazu gehören:
    • Privilegierte Berechtigungen
    • Nicht-privilegierte Benutzerberechtigungen
    • Sicherheit der Service Accounts
Amazon Web Services (AWS) Audit

Für das Cloud Security Audit einer AWS-Umgebung haben unsere Auditor*innen ein spezielles Prüfverfahren entwickelt, welches sich unter anderem am PCI DSS, ISO 27001, HIPAA, SOC2 und FFIEC orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS) und von unseren Auditoren eigens entwickelte Prüfverfahren berücksichtigt.

Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihrer AWS-Umgebung:

  • Analyse der EC2-Sicherheit
  • Überprüfung der S3-Sicherheit
  • Analyse der Amazon Virtual Private Cloud (VPC)-Sicherheit
  • Überprüfung der Services CloudTrail und CloudWatch
  • Prüfung der Sicherheit der Datenbanken
  • Überprüfung der Serverless-Infrastruktur
Google Cloud Platform (GCP) Audit

Für das Cloud Security Audit einer GCP-Umgebung haben unsere Auditor*innen ein spezielles Prüfverfahren entwickelt, welches sich unter anderem am PCI DSS und CFT Scorecard orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS), Benchmarks von Forseti sowie von unseren Auditoren eigens entwickelte Prüfverfahren berücksichtigt.

Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihrer GCP-Umgebung:

 

  • Überprüfung der Sicherheit der virtuellen Maschinen
  • Analyse der Cloud Storage Security und Cloud Network Security
  • Analyse von Logging und Monitoring
  • Überprüfung der Sicherheit der Cloud SQL-Datenbank
  • Analyse des Google BigQuery Service
Microsoft Azure Audit

Die folgenden Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihrer Azure Subscriptions:

  • Überprüfung der Zugriffsberechtigungen und Verschlüsselung von Storage Accounts
  • Überprüfung der Datenbanksicherheit, dazu gehören Zugriffsberechtigungen und die Sicherheit der Verknüpfungen
  • Überprüfung von Logging und Monitoring der kritischen Änderungen und entsprechende Metriken
  • Review der Zugriffsregelungen
  • Überprüfung der Verschlüsselung von virtuellen Maschinen
  • Review der Verbindungssicherheit von App-Diensten
  • Analyse der Endpunkt-Sicherheit
  • Analyse der Key Vaults
    • Stärke der Keys
    • Rotation
    • Vault-Sicherheit
Microsoft 365 (M365) Audit

Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihres Microsoft 365-Tenants:

 

  • Überprüfung der Konfiguration von Azure AD (siehe dazu Azure AD)
  • Review des Logging, Monitoring und Alerting
  • Überprüfung der Konfiguration von M365 Services, dazu gehören:
    • Exchange Online
    • Sharepoint Online
    • Teams
    • Intune (Endpoint Manager)
Azure Active Directory (AAD) Audit

Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihres Azure AAD:

 

  • Review der Zugriffsrichtlinien, Multi-Faktor-Authentifizierung und Passwort-Richtlinien
  • Überprüfung der Notfall- und Fallback-Maßnahmen
  • Überprüfung von Berechtigungen, dazu gehören:
    • Privilegierte Berechtigungen
    • Nicht-privilegierte Benutzerberechtigungen
    • Gastbenutzer-Berechtigungen

 

Azure Conditional Access Policies (CAP) Audit

Bei der Überprüfung der Sicherheit Ihrer Azure Conditional Access Policies führen wir darüber hinaus folgende Prüfungen durch:

 

  • Einhaltung der grundlegenden Empfehlungen, dazu gehören Multi-Faktor-Authentifizierung, Notfallaccounts und Überprüfung untypischer Authentifizierungen
  • Überprüfung, ob die Conditional Access Policies Ihren individuellen Anforderungen genügen und entsprechend konfiguriert sind
  • Suche nach bekannten Fehlern wie:
    • Richtlinien mit Lücken oder unwirksamer Konfiguration
    • Manipulation genehmigter Client-Anwendungen
    • Umgehung der Gerätekonformität
Azure AD Connect Audit

Bei der Überprüfung der Sicherheit von Azure AD Connect führen wir folgende Prüfungen durch:

 

  • Überprüfung von Berechtigungen
  • Review der Zugriffsrichtlinien, wie Multi-Faktor-Authentifizierung, Passwortrichtlinien und Fernzugriff
  • Überprüfung von Logging, Monitoring und Alerting der kritischen Änderungen und entsprechende Metriken
  • Einhaltung der grundlegenden Empfehlungen zur Wartung und Härtung
  • Überprüfung der Konfiguration
    • Synchronisationseinstellungen
    • Self-Service-Kennwortwiederherstellung
Azure DevOps Audit

Bei der Überprüfung der Sicherheit Ihres Azure DevOps führen wir darüber hinaus folgende Prüfungen durch:

 

  • Überprüfung der Zugriffsberechtigungen der Organisation
  • Überprüfung der Zugriffsberechtigungen der Projekte
  • Review der Genehmigungen und Benutzervalidierung der Pipelines
  • Überprüfung der Build Artifacts auf hartkodierte Secrets
  • Überprüfung von Logging und Monitoring von kritischen Ereignissen und Audit Logs
  • Review der Zugriffsberechtigungen der Feeds
Microsoft Defender Audit

Bei der Überprüfung der Sicherheit Ihres Microsoft Defenders führen wir außerdem folgende Prüfungen durch:

 

  • Überprüfung der MS Defender-Pläne, um festzustellen, ob die Verifikationsdienste vom MS Defender entsprechend dem Use Case hinreichend überwacht werden
  • Überprüfung ob ausreichend Benachrichtigungen angezeigt werden
  • Überprüfung, ob andere Microsoft Defender-Dienste korrekt integriert sind
Microsoft Dynamics 365 Audit

Bei der Überprüfung der Sicherheit von Microsoft Dynamics 365 führen wir darüber hinaus folgende Prüfungen durch:

 

  • Überprüfung von Logging und Monitoring der erfassten Logs sowie deren Aufbewahrung
  • Überprüfung, ob schwache Verschlüsselungsschlüssel verwendet werden
  • Review des Session Management
  • Analyse der Verbindungssicherheit und der Sicherheitsrichtlinie für Inhalte des Content Management
  • Überprüfung der Auto-Updates und Wartungsfester
Weitere Cloud Services und Provider

Benötigen Sie ein Cloud Security Audit für einen Provider oder Cloud Service, die Sie oben nicht finden konnten? Wir können auch diese Provider und Services überprüfen, wie z.B.: Kubernetes Services oder Software-as-a-Services.

 

Wir empfehlen ein solches Cloud Security Audit mindestens jährlich oder unmittelbar nach bedeutenden Änderungen durchzuführen.

Mehr zum Thema Cloud

Microsoft 365: Warum sollten Sie Ihre Umgebung einem Konfigurationsaudit unterziehen?

Experteninterview: Den Weg in die Cloud mit mehr Sicherheit bestreiten


Planen Sie jetzt Ihren Pentest und erhalten Sie unseren Online-Rabatt.

Pentest planen


 

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

 

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE