Cloud Security Audit
Für die Sicherheit Ihrer Cloud-Umgebung
Für viele Unternehmen ist es heute selbstverständlich, ihre Daten einem Cloud Service Provider wie AWS, Azure oder GCP anzuvertrauen. Mit dem Umzug in die Cloud geben Sie als Nutzer jedoch nicht die Verantwortung für den Schutz Ihrer Daten ab. Während die Provider für die Sicherheit der Cloud selbst verantwortlich sind, müssen Sie den Schutz Ihrer Daten innerhalb der Cloud sicherstellen. Eine inkorrekte Konfiguration von Cloud Services kann es Angreifern beispielsweise ermöglichen, Zugriff auf sensible Daten zu erhalten. Daher empfehlen wir Ihnen, durch ein Audit die sichere Konfiguration Ihrer Cloud zu überprüfen.
Dr. Kai Schubert
Managing Consultant
„Bei Cloud-Projekten wird oft nicht bedacht, dass das auslagernde Unternehmen weiterhin die Verantwortung für die Sicherheit der Daten und dort betriebenen Anwendungen hat. Hier setzen wir an und beraten unsere Kunden eingehend – von der Migration in die Cloud, über Fragen zur IT-Sicherheit während des Betriebs bis hin zu regelmäßig durchgeführten Sicherheitsüberprüfungen der Cloud-Umgebung."
Fehlkonfigurationen finden sich beispielsweise in:
- Identitäts- und Access-Management (z.B. AWS IAM, Azure AD, GCP IAM)
- Storage Services (z.B. AWS S3, Azure Storage Accounts, GCP Cloud Storage)
- Database Services (z.B. AWS RDS, Azure SQL, GCP Cloud SQL)
- Logging, Monitoring und Alerting Services (z.B. AWS CloudWatch, Azure Security Center, GCP Cloud Audit Logs)
Wie können wir helfen?
Verwalten Sie sensible und schützenswerte Informationen und betreiben Sie Dienste in Cloud-Umgebungen, ist es wichtig, dass Sie einen aussagekräftigen Überblick über das IT-Sicherheitsniveau Ihrer Cloud-Umgebung erhalten. Unser Cloud Security Audit liefert Ihnen wertvolle Ergebnisse und Einblicke.
Unsere Auditor*innen verfügen über umfangreiche und jahrelange Erfahrung in vergleichbaren Audits und greifen auf eine Vielzahl von Best Practices und Sicherheitsstandards in unterschiedlichen Branchen zurück.
Wie steigen wir gemeinsam in ein Cloud Security Audit ein?
Jede Cloud-Umgebung und die dort betriebenen Services sind einzigartig. Wichtige Kriterien bei der Definition Ihres Prüfumfangs sind beispielsweise die genutzten Cloud Services, die Anzahl der genutzten Cloud Ressourcen, der Schutzbedarf und mögliche Risiken einer Kompromittierung.
Daher stimmen wir uns während des gesamten Projektverlaufs eng mit Ihnen ab, um ein optimal auf Ihr Unternehmen zugeschnittenes Cloud Security Audit zu garantieren.
Wie gehen wir bei einem Cloud Security Audit vor?
Mit unserer strukturierten Vorgehensweise prüfen wir die Sicherheit Ihrer Cloud-Umgebung manuell und automatisiert gegen ein Framework aus einer Vielzahl von Kontrollzielen, welches auf den CIS-Benchmarks für AWS, Azure und GCP, den Best Practices der Cloud Service Provider, international anerkannten Sicherherheitsstandards und unseren langjährigen Erfahrungen basieren. Auf Wunsch berücksichtigen wir Ihre unternehmenseigenen Vorgaben. In der Regel umfasst unser Vorgehen folgende Phasen:
Ihr Titel
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
Phase 1: Vorbereitung und Scoping
Gemeinsam mit Ihnen definieren wir die Prüftiefe und -umfang des Cloud Security Audits basierend auf Ihren Wünschen, Bedürfnissen und den Risiken, Opfer eines Hackerangriffs zu werden.
Phase 2: Durchführung des Audits
Im Rahmen von Konfigurations-Reviews, Dokumentensichtung und Interviews auditieren wir unter Einsatz von etablierten und selbst entwickelten Tools neben der eigentlichen Konfiguration der Cloud Services auch die Sicherheitsarchitektur und die beteiligten Personen und Prozesse. Aufgrund des hohen Individualisierungsgrads der eingesetzten Cloud-Lösungen stimmen wir hierbei unseren Prüfkatalog stets individuell auf Ihre Cloud-Umgebung ab.
Wir überprüfen die Sicherheit all Ihrer Cloud-Dienste und -Ressourcen vollständig remote und verzichten dabei auf die Angriffsvektoren Denial-of-Service (DDoS, EDoS) oder Social Engineering. Ihr Betrieb wird während der Überprüfung nicht beeinträchtigt. Werden kritische Schwachstellen identifiziert, werden diese sofort kommuniziert.
Phase 3: Bericht
Nach Abschluss des Audits erhalten Sie:
- Einen detaillierten Bericht zu allen relevanten Themen inklusive Beschreibung der identifizierten Schwachstellen und konkreter Empfehlungen zur Behebung
- Präsentation der Ergebnisse remote oder bei Ihnen vor Ort (optional)
- Beratung zur Umsetzung der notwendigen Maßnahmen (optional)
- Optional führen wir nach der Behebung der Schwachstellen Ihrerseits eine Nachprüfung durch
Phillip Ansorge
Senior Consultant
„Cloud Computing ist hoch dynamisch. Daher entwickeln wir unsere Vorgehensweise kontinuierlich weiter und passen sie an aktuelle Bedrohungsszenarien an. So garantieren wir Ihnen ein gleichbleibend hohes Qualitätsniveau und eine nachhaltige Verbesserung Ihres Sicherheitsniveaus."
Welche Varianten des Cloud Security Audits gibt es?
Im Rahmen des Cloud Security Audits können die folgenden Services oder Provider von unseren Auditor*innen geprüft werden:
Ihr Titel
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
Identitäts- und Access Management (IAM) Audit
Bei der Überprüfung Ihres Identitäts- und Access-Managements führen wir abhängig von Ihrer individuellen Cloud-Umgebung unter anderem folgende Prüfschritte durch:
- Review der Zugriffsrichtlinien, wie Multi-Faktor-Authentifizierung oder Passwort-Richtlinien.
- Analyse des API-Keys
- Überprüfung der Notfall- und Fallback-Maßnahmen
- Überprüfung von Berechtigungen, dazu gehören:
- Privilegierte Berechtigungen
- Nicht-privilegierte Benutzerberechtigungen
- Sicherheit der Service Accounts
Amazon Web Services (AWS) Audit
Für das Cloud Security Audit einer AWS-Umgebung haben unsere Auditor*innen ein spezielles Prüfverfahren entwickelt, welches sich unter anderem am PCI DSS, ISO 27001, HIPAA, SOC2 und FFIEC orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS) und von unseren Auditoren eigens entwickelte Prüfverfahren berücksichtigt.
Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihrer AWS-Umgebung:
- Analyse der EC2-Sicherheit
- Überprüfung der S3-Sicherheit
- Analyse der Amazon Virtual Private Cloud (VPC)-Sicherheit
- Überprüfung der Services CloudTrail und CloudWatch
- Prüfung der Sicherheit der Datenbanken
- Überprüfung der Serverless-Infrastruktur
Google Cloud Platform (GCP) Audit
Für das Cloud Security Audit einer GCP-Umgebung haben unsere Auditor*innen ein spezielles Prüfverfahren entwickelt, welches sich unter anderem am PCI DSS und CFT Scorecard orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS), Benchmarks von Forseti sowie von unseren Auditoren eigens entwickelte Prüfverfahren berücksichtigt.
Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihrer GCP-Umgebung:
- Überprüfung der Sicherheit der virtuellen Maschinen
- Analyse der Cloud Storage Security und Cloud Network Security
- Analyse von Logging und Monitoring
- Überprüfung der Sicherheit der Cloud SQL-Datenbank
- Analyse des Google BigQuery Service
Microsoft Azure Audit
Die folgenden Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihrer Azure Subscriptions:
- Überprüfung der Zugriffsberechtigungen und Verschlüsselung von Storage Accounts
- Überprüfung der Datenbanksicherheit, dazu gehören Zugriffsberechtigungen und die Sicherheit der Verknüpfungen
- Überprüfung von Logging und Monitoring der kritischen Änderungen und entsprechende Metriken
- Review der Zugriffsregelungen
- Überprüfung der Verschlüsselung von virtuellen Maschinen
- Review der Verbindungssicherheit von App-Diensten
- Analyse der Endpunkt-Sicherheit
- Analyse der Key Vaults
- Stärke der Keys
- Rotation
- Vault-Sicherheit
Microsoft 365 (M365) Audit
Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihres Microsoft 365-Tenants:
- Überprüfung der Konfiguration von Azure AD (siehe dazu Azure AD)
- Review des Logging, Monitoring und Alerting
- Überprüfung der Konfiguration von M365 Services, dazu gehören:
- Exchange Online
- Sharepoint Online
- Teams
- Intune (Endpoint Manager)
Azure Active Directory (AAD) Audit
Folgende Prüfungen sind unter anderem Bestandteil des Cloud Security Audits Ihres Azure AAD:
- Review der Zugriffsrichtlinien, Multi-Faktor-Authentifizierung und Passwort-Richtlinien
- Überprüfung der Notfall- und Fallback-Maßnahmen
- Überprüfung von Berechtigungen, dazu gehören:
- Privilegierte Berechtigungen
- Nicht-privilegierte Benutzerberechtigungen
- Gastbenutzer-Berechtigungen
Azure Conditional Access Policies (CAP) Audit
Bei der Überprüfung der Sicherheit Ihrer Azure Conditional Access Policies führen wir darüber hinaus folgende Prüfungen durch:
- Einhaltung der grundlegenden Empfehlungen, dazu gehören Multi-Faktor-Authentifizierung, Notfallaccounts und Überprüfung untypischer Authentifizierungen
- Überprüfung, ob die Conditional Access Policies Ihren individuellen Anforderungen genügen und entsprechend konfiguriert sind
- Suche nach bekannten Fehlern wie:
- Richtlinien mit Lücken oder unwirksamer Konfiguration
- Manipulation genehmigter Client-Anwendungen
- Umgehung der Gerätekonformität
Azure AD Connect Audit
Bei der Überprüfung der Sicherheit von Azure AD Connect führen wir folgende Prüfungen durch:
- Überprüfung von Berechtigungen
- Review der Zugriffsrichtlinien, wie Multi-Faktor-Authentifizierung, Passwortrichtlinien und Fernzugriff
- Überprüfung von Logging, Monitoring und Alerting der kritischen Änderungen und entsprechende Metriken
- Einhaltung der grundlegenden Empfehlungen zur Wartung und Härtung
- Überprüfung der Konfiguration
- Synchronisationseinstellungen
- Self-Service-Kennwortwiederherstellung
Azure DevOps Audit
Bei der Überprüfung der Sicherheit Ihres Azure DevOps führen wir darüber hinaus folgende Prüfungen durch:
- Überprüfung der Zugriffsberechtigungen der Organisation
- Überprüfung der Zugriffsberechtigungen der Projekte
- Review der Genehmigungen und Benutzervalidierung der Pipelines
- Überprüfung der Build Artifacts auf hartkodierte Secrets
- Überprüfung von Logging und Monitoring von kritischen Ereignissen und Audit Logs
- Review der Zugriffsberechtigungen der Feeds
Microsoft Defender Audit
Bei der Überprüfung der Sicherheit Ihres Microsoft Defenders führen wir außerdem folgende Prüfungen durch:
- Überprüfung der MS Defender-Pläne, um festzustellen, ob die Verifikationsdienste vom MS Defender entsprechend dem Use Case hinreichend überwacht werden
- Überprüfung ob ausreichend Benachrichtigungen angezeigt werden
- Überprüfung, ob andere Microsoft Defender-Dienste korrekt integriert sind
Microsoft Dynamics 365 Audit
Bei der Überprüfung der Sicherheit von Microsoft Dynamics 365 führen wir darüber hinaus folgende Prüfungen durch:
- Überprüfung von Logging und Monitoring der erfassten Logs sowie deren Aufbewahrung
- Überprüfung, ob schwache Verschlüsselungsschlüssel verwendet werden
- Review des Session Management
- Analyse der Verbindungssicherheit und der Sicherheitsrichtlinie für Inhalte des Content Management
- Überprüfung der Auto-Updates und Wartungsfester
Weitere Cloud Services und Provider
Benötigen Sie ein Cloud Security Audit für einen Provider oder Cloud Service, die Sie oben nicht finden konnten? Wir können auch diese Provider und Services überprüfen, wie z.B.: Kubernetes Services oder Software-as-a-Services.
Wir empfehlen ein solches Cloud Security Audit mindestens jährlich oder unmittelbar nach bedeutenden Änderungen durchzuführen.
