Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Auch Cloud-Server müssen aktualisiert werden
7. Dezember 2020. TuxCare PR Team
Die Cloud-Bereitstellung hat lokal gehostete Server immer mehr verdrängt. Es ist einfach viel schneller und oft auch billiger, in der Cloud gehostete Linux-VMs zu starten, um Arbeitslasten zu bewältigen und je nach Bedarf zu skalieren.
Kein Wunder, dass der Markt für Infrastructure-as-a-Service (IaaS) schnell wächst, Gartner geht davon aus, dass die IaaS-Umsätze allein im Jahr 2019 um 37,3 % steigen werden. Doch diese Benutzerfreundlichkeit kann trügerisch sein - und Unternehmen, die in der Cloud gehostete Linux-Server betreiben, einem massiven Risiko von Cyberangriffen aussetzen.
In diesem Artikel erläutern wir, warum in der Cloud gehostete Linux-Server besondere Sicherheitsrisiken bergen, was dies für die Wartungspflichten Ihres Unternehmens bedeutet und was Ihr Unternehmen tun kann, um sicherzustellen, dass seine Cloud-Linux-Server stets auf dem neuesten Stand sind.
Inhalte:
- Was sind virtuelle Maschinen in der Cloud (IaaS)?
- Cloud-Dienste und IaaS sind in Gefahr
- Ein typischer Fall: SACK-Panik
- Es ist einfach, ein neues System aufzusetzen, aber die Wartung und Sicherheit liegt bei Ihnen
- Das Problem mit Kernel-Patching
- Wie KernelCare helfen kann
- Schlussfolgerung
Was sind virtuelle Maschinen in der Cloud (IaaS)?
Infrastruktur als Dienstleistung (IaaS) kann definiert werden als "eine sofortige Computerinfrastruktur, die über das Internet bereitgestellt und verwaltet wird". Eine Schlüsselkomponente von IaaS ist die Möglichkeit, die Nutzung von Hardwareressourcen wie Servern zu erwerben und diese Ressourcen schnell bereitzustellen, um die Anwendungsanforderungen Ihres Unternehmens oder Ihres Kunden zu erfüllen.
Die Anmietung eines Servers kann die Anmietung eines ganzen physischen Servers bedeuten, aber in der Regel mieten Unternehmen eine virtualisierte Hardware-Infrastruktur, die Zugang zu einer bestimmten Menge an Verarbeitungsleistung und Speicherplatz gewährt. Dies wird vom IaaS-Anbieter bereitgestellt, einem Anbieter, der physische Hardware mithilfe modernster Virtualisierungstechnologie flexibel verwaltet.
Als Teil eines Cloud-Server-Pakets bietet Ihnen Ihr Anbieter in der Regel bequeme Wege zur Installation einer vorkonfigurierten Linux-Distribution. Es ist auch ganz einfach: Sie müssen nur klicken, um die Installation auszulösen, und schon können Sie mit der Ausführung Ihrer Linux-Arbeitslast beginnen.
Die Installation kann jedoch täuschend einfach sein, und es ist leicht anzunehmen, dass Sie Ihren Linux-Server einfach einrichten und dann vergessen können. Aber das wäre ein erhebliches Risiko.
Cloud-Dienste und IaaS sind in Gefahr
Die jüngste Sophos Umfrage zum Stand der Cloud-Sicherheit hat gezeigt, wie leicht es ist, Cloud-Sicherheit als selbstverständlich anzusehen - und zu welchem Preis. Laut der Sophos Umfrage haben 98 % der Unternehmen den elementarsten Sicherheitsschritt - die Multi-Faktor-Authentifizierung (MFA) - für ihre Konten nicht aktiviert.
Daher überrascht es nicht, dass von den 3.200 befragten IT-Managern 70 % berichteten, dass sie gehackt wurden oder dass Daten von ihren Konten nach außen gelangten.
Immer wieder werden Sicherheitslücken in der Cloud aufgedeckt. Ein Beispiel, Anfang dieses Jahres hackte eine raffinierte Gruppe die Amazon Web Services (AWS)und installierte ein Rootkit, das es den Hackern ermöglichte, AWS-Server aus der Ferne zu steuern.
Das gilt natürlich nicht nur für AWS. Im Jahr 2019 erklärte das israelische Unternehmen NSO Group, das die Pegasus-Malware entwickelt hat, mit der WhatsApp gehackt wurde, dass sie in der Lage war, in alle Cloud-Dienste des großen Technologieunternehmens einzudringen. Im Wesentlichen behauptete das Unternehmen, dass seine Software entwickelt wurde, um Kriminalitätsuntersuchungen für Strafverfolgungsbehörden zu ermöglichen.
In jedem Fall ist es ein klares Indiz dafür, dass Cloud-Server anfällig sind. Und einer der wichtigsten Punkte der Anfälligkeit ist der Linux-Kernel.
Auch im Jahr 2019, hat der Medienriese Netflix eine Reihe kritischer Netzwerkschwachstellen in Linux-Kerneln gefunden. Mit diesem Exploit konnten Angreifer so lange vorgehen, wie sie eine TCP-Verbindung zum Server öffnen konnten - unabhängig davon, welcher Dienst im Spiel war. Eine der kritischsten Schwachstellen wurde von Netflix als "SACK Panic" bezeichnet.
Damit kann ein Angreifer einen Linux-Rechner zum Absturz bringen, indem er speziell für diesen Zweck erstellten Datenverkehr verwendet. Dies hat dazu geführt, dass viele große Distributionen, darunter Ubuntu und Red Hat, Warnungen vor dem SACK-Panic-Kernel-Exploit herausgegeben haben.
Die Entdeckung von Netflix macht deutlich, dass Linux-Kernel unglaublich anfällig sind. Ja, Schwachstellen führen zu Kernel-Patches, die diese Schwachstellen wirksam beheben, aber Patches haben eine entscheidende Schwachstelle: Ein perfekt wirksamer Patch wird niemals funktionieren, wenn der Betreiber des Linux-Rechners den Patch nicht anwendet.
Es ist einfach, ein neues System aufzusetzen, aber die Wartung und Sicherheit liegt bei Ihnen
Eine umfassende Liste der Sicherheitsmaßnahmen, die für die Absicherung von Cloud-Diensten erforderlich sind (z. B. MFA), würde den Rahmen dieses Artikels sprengen, aber wir werden hier einen entscheidenden Punkt ansprechen: Linux-Kernel-Patching. Mit Blick auf das obige Beispiel ist das Kernel-Patching ein offensichtlicher, aber oft vernachlässigter Aspekt der Sicherheit von Cloud-Servern.
Wenn Unternehmen Linux-Server in der Cloud bereitstellen, verlassen sie sich auf die schnellen, einfachen und skalierbaren Roll-out-Prozesse, die von IaaS-Anbietern angeboten werden. Dabei wird eine standardmäßige, aber oft leicht veraltete Linux-Distribution bereitgestellt, die zwangsläufig nicht die neuesten kritischen Patches enthält.
Schlimmer noch: Betreiber von Cloud-Servern gehen manchmal davon aus, dass der IaaS-Anbieter für das Live-Patching des Kernels verantwortlich ist, obwohl dieser in Wirklichkeit nur beim Neustart gepatcht wird. Wie uns SACK Panic zeigt, kann ein ungepatchter Kernel zu einem unglaublich teuren Cyberangriff führen. Als Betreiber von virtuellen Linux-Servern kann Ihr Unternehmen das Kernel-Live-Patching nicht ignorieren.
Leider ist es leichter gesagt als getan, Kernel konsequent zu patchen.
Das Problem mit Kernel-Patching
Erstens erfordert das Patchen des Kernels in einem Server normalerweise einen Neustart. Beim Neustart wird ein Server offline genommen - und die von diesem Server unterstützten Dienste werden offline genommen. Dies ist ein großes Hindernis für regelmäßiges, häufiges Patchen - Unternehmen wollen einfach nicht die Dienste unterbrechen, nur um einen Sicherheits-Patch aufzuspielen, es sei denn, er ist absolut kritisch.
Außerdem ist das Patchen ein arbeitsintensiver Prozess. Dabei geht es nicht nur um das Patchen, sondern auch um die Überwachung der Serverleistung beim Neustart und die Sicherstellung, dass die Patches keine kritischen Dienste unterbrechen. Angesichts der durch das Patchen verursachten Ausfallzeiten und des damit verbundenen Aufwands ist es nicht verwunderlich, dass regelmäßiges Patchen in den Hintergrund gerät, was zu erheblichen Risiken für die Cybersicherheit führt.
Es gibt jedoch eine Alternative zu Server-Neustarts und manuellem Patching.
Wie KernelCare helfen kann
Die Automatisierung des Kernel-Patchings, um ein konsistentes, müheloses Patchen von Kernels zu gewährleisten, ist der erste Schritt, und das ist der Kern von KernelCare. KernelCare überwacht kontinuierlich neu veröffentlichte Patches und stößt den Aktualisierungsprozess automatisch an, sobald ein Patch identifiziert wird.
Diese Automatisierung beseitigt das Problem des manuellen Aufwands - egal wie viele Patches verteilt werden, Ihre Cloud-Linux-Server sind immer gepatcht und sicher. KernelCare geht jedoch noch einen Schritt weiter.
Im Gegensatz zu vielen anderen automatischen Patching-Lösungen, kann KernelCare Live-Patching durchführen. Unternehmen, die KernelCare für das automatisierte Patching einsetzen, profitieren von minimalen Ausfallzeiten, da KernelCare Kernel-Patches anwenden kann, ohne dass ein vollständiger Neustart des Linux-Servers erforderlich ist.
Damit stellt KernelCare sicher, dass Ihre Linux-Server immer gepatcht sind und Sie sich nicht auf Ihre Patching-Bemühungen oder den (wahrscheinlich fehlenden) Support Ihres IaaS-Anbieters verlassen müssen.
Schlussfolgerung
Live-Patching ist ein wichtiger Schritt, aber die allgemeine Botschaft dieses Artikels bleibt, dass Sie Ihre IaaS-Linux-Server-Instanzen aktiv verwalten müssen. Überlegen Sie sich gut, ob Sie die Wartung und Sicherheit Ihrer Server den Anbietern überlassen wollen, die die Infrastruktur bereitstellen. Auf diese Weise bleiben Ihre Abläufe offen für Sicherheitslücken, die sehr kostspielig sein können - und die völlig vermeidbar sind.
