Im Internet lauern viele Gefahren. Viele Kriminelle nutzen automatisierte Tools, um Organisationen jeder Größe anzugreifen, und das rund um die Uhr, sieben Tage die Woche. Unabhängig von der Größe Ihres Unternehmens greifen Hacker Ihr Netzwerk an, um zu erpressen, Daten zu stehlen oder Ihr Unternehmen als Ausgangspunkt für nachfolgende Angriffe zu nutzen.
In diesem Blog werden wir uns ansehen, wie Hacker angreifen und wie man diese Angriffe abwehrt und die Sicherheit und Verfügbarkeit von Anwendungen in der Cloud aufrechterhält. Um sichere Anwendungen und eine hohe Verfügbarkeit zu gewährleisten, ist eine mehrschichtige Sicherheit erforderlich. In diesem Blog werden wir uns auf die mehrschichtige Sicherheit in Bezug auf Cloud-Anwendungen konzentrieren und darauf, wie mehrschichtige Sicherheit bei der Prävention und Eindämmung von Cyber-Bedrohungen helfen kann.
In diesem Blog werden folgende Themen behandelt:
Denial-of-Service-Angriffe: Was genau ist das und wie schütze ich meine Webanwendungen davor?
Denial-of-Service-Angriffe sind in der Regel schädlich oder auf Rache ausgerichtet. Sie versuchen selten, in Ihr Netzwerk einzudringen, sondern überfluten stattdessen Ihre Website mit Datenverkehr, was sich auf den normalen Betrieb auswirkt.
Denial-of-Service-Angriffe können zu erheblichen finanziellen Kosten durch entgangene Geschäftstransaktionen führen. Auch die Kosten für den Rufschaden führen zu einer Unterbrechung des normalen Betriebs und beeinträchtigen das Alltagsgeschäft.
Angriffe können auf Protokollen der Netzwerkschicht basieren und bekannte Angriffstechniken wie UDP-Reflection und das Senden von Datenfluten verwenden. Andere Angriffe können sich auf die Anwendungsschicht konzentrieren – in der Regel das HTTP-Protokoll, bei dem der Webserver mit Anfragen überlastet wird.
Die erste Schutzmaßnahme gegen Denial-of-Service-Angriffe ist Ihr Cloud-Dienstanbieter. Alle Cloud-Dienstanbieter verfügen über Schutzmaßnahmen zur Abwehr groß angelegter Angriffe, auch bekannt als Distributed Denial-of-Service-Angriffe oder DDoS.
Die DDoS-Schutzschicht Ihres Cloud-Dienstanbieters funktioniert gut gegen Angriffe, die auf der Netzwerkebene stattfinden. Wenn der Angriff jedoch gezielter ist, ein geringeres Datenverkehrsvolumen aufweist und auf der Anwendungsebene stattfindet, kann es sein, dass der DDoS-Schutz Ihres Dienstanbieters den Angriff nicht erkennt.
Bei einem DDoS-Angriff auf Anwendungsebene wird versucht, die Anwendungsserver mit einer Anfrage zu überlasten, die vom Netzwerk und dem bandbreitenorientierten DDoS-Schutz Ihres Cloud-Dienstanbieters möglicherweise nicht erkannt wird. Fügen Sie einen Load Balancer, wie den Progress Kemp LoadMaster, hinzu, um eine zusätzliche Schutzebene bereitzustellen, die die Cloud-eigenen DDoS-Dienste ergänzt.
DDoS-Schutz für Cloud-Anwendungen mit LoadMaster
Schauen wir uns an, wie wir mit LoadMaster einen DDoS-Schutz hinzufügen. Die erste Schutzschicht gegen DDoS-Angriffe besteht darin, den Datenverkehr von bekannten schadhaften Quellen anhand ihrer IP-Adresse zu blockieren. LoadMaster führt eine Liste mit schädlichen IP-Adressen, die regelmäßig aktualisiert wird und Verbindungsanfragen von diesen IP-Adressen ablehnt, bevor sie die Anwendungsserver erreichen.
Da ständig neue gehackte Endpunkte auftauchen, wird diese Liste nicht den gesamten Datenverkehr erfassen, kann aber von Administratoren ergänzt werden, um den bösartigen Datenverkehr weiter zu reduzieren. LoadMaster kann auch alle bekannten IP-Adressen aus bestimmten Ländern blockieren und so das Angriffsrisiko weiter minimieren. Die IP-Reputationskontrollen, die wir als IP-Blockierung bezeichnen, können auf die globale Serverlastausgleichsfunktion von LoadMaster oder GSLB angewendet werden, bei der DNS-Anfragen von böswilligen Akteuren ignoriert werden.
Um die potenziellen Auswirkungen von Denial-of-Service-Angriffen weiter zu reduzieren, kann LoadMaster Ratenbegrenzungen auf den Datenverkehr anwenden und so verhindern, dass böswillige Akteure die Anwendungsserver überlasten. Die Ratenbegrenzung kann auf die absolute Bandbreitenmenge, die Anzahl der Verbindungen pro Sekunde, die Anzahl der gleichzeitig geöffneten Verbindungen oder die Anzahl der Anfragen pro Sekunde angewendet werden. Die Ratenbegrenzung kann selektiv oder über alle Dienste hinweg und auf alle Quellen auf der Grundlage der erwarteten normalen Verkehrsmuster angewendet werden. Sie kann auch auf bestimmte Quellen basierend auf der IP- oder Netzwerkadresse zugeschnitten werden.
Die Steuerung von Ratenbegrenzung und IP-Reputation kann in Echtzeit aktualisiert werden und bietet so die Möglichkeit, einen laufenden Angriff schnell zu stoppen, was zu einer schnelleren Wiederherstellung des normalen Servicelevels für das Unternehmen führt. Mit IP-Reputation und Ratenbegrenzung können wir also den DDoS-Schutz der Cloud-Plattform verbessern, um das Volumen des bösartigen Datenverkehrs, der zu Anwendungsservern gelangt, weiter zu reduzieren.
Schwachstellen-Exploits: Schutz vor OWASP Top 10 und neuen Angriffen
Schauen wir uns die Ausnutzung von Schwachstellen an, bei der Hacker allgemeine Schwachstellen und Webanwendungen ausnutzen, um Zugriff auf Systeme zu erhalten. Es tauchen ständig neue Schwachstellen gegen Webanwendungen auf, sei es gegen die Toolsets oder Programmbibliotheken, die zur Erstellung der Anwendungen verwendet werden, oder gegen inhärente Schwachstellen in der Art und Weise, wie die Anwendung entwickelt oder eingesetzt wurde. Zahlreichen Branchenuntersuchungen zufolge, weisen nicht nur viele Anwendungen diese Schwachstellen auf, sondern auch die Erkennung und Behebung dieser Probleme stellt eine große Herausforderung dar.
Viele dieser Angriffe sind Bot-basiert und konzentrieren sich auf bekannte Schwachstellen, die von der gemeinnützigen Organisation OWASP (Open Web Application Security Project) überwacht und klassifiziert werden. Die unabhängige, von der Industrie unterstützte Gruppe, die sich auf die Sicherheit von Anwendungen konzentriert, erstellt jährlich eine Liste der zehn häufigsten Exploits, die als die OWASP Top 10 bezeichnet wird.
Die genutzten Schwachstellen ändern sich im Laufe der Jahre, aber einige sind seit Jahren in der OWASP Top 10-Liste konstant geblieben. Probleme wie Injection oder Datenkomponenten und serverseitige Fälschung sind Dauerbrenner auf der Liste.
Was können Sie also tun, um Ihre Anwendungen vor häufigen Schwachstellen und neuen Exploits zu schützen? Die Load Balancer Web Application Firewall (WAF) bietet Schutz vor bekannten und neu auftretenden Webangriffen. Die LoadMaster WAF wendet eine Reihe von Regeln an, die nicht nur die Abwehr der OWASP Top 10, sondern auch vieler anderer Schwachstellen umfassen.
Obwohl das Basisregelwerk umfassenden Schutz bietet, kann eine Feinabstimmung erforderlich sein, um Fehlalarme zu beseitigen. Administratoren können auch benutzerdefinierte Regelsätze erstellen, um anwendungs- oder geschäftsspezifische Anforderungen zu erfüllen. LoadMaster WAF ist vollständig in die Load Balancing-Appliance integriert und unterstützt beispielsweise die WAF-Konfiguration pro Anwendung.
Hacking Credentials: Wie Hacker Bots nutzen, um Schwachstellen auszunutzen
Lassen Sie uns nun untersuchen, wie Hacker Bots einsetzen, um Schwachstellen bei den Anmeldedaten der Benutzer auszunutzen. Ein Brute-Force-Angriff ist ein grober Ansatz, um Zugriff zu erlangen. Im Allgemeinen verwendet der Bot einen gängigen Benutzernamen wie „admin“ oder Konten, um mehrere Anmeldeversuche mit Passwörtern aus einem Wörterbuch mit häufig verwendeten Passwörtern durchzuführen. Diese Art von Angriffen ist in der Regel nicht erfolgreich, kann jedoch die Leistung beeinträchtigen, wenn viele Anmeldeanfragen generiert werden.
Ein weiterer Angriffsansatz, der in der Regel erfolgreicher ist, ist das Credential Stuffing. Die Schwachstelle ergibt sich aus der Tatsache, dass sich Menschen häufig mit ihrer allgemeinen E-Mail-Adresse auf Websites von Drittanbietern registrieren und ihr allgemeines Passwort wiederverwenden. Wenn diese Website eines Drittanbieters kompromittiert wird und die Liste mit Benutzernamen und Passwörtern gestohlen wird, versuchen Hacker, sich mit diesen kompromittierten Anmeldedaten anzumelden. Diese Anmeldeversuche sind hochgradig automatisiert, wobei erfolgreiche Anmeldungen gespeichert und dann in gezielten Hacking-Versuchen gegen das Unternehmen wiederverwendet werden.
Die LoadMaster-Authentifizierung schützt Anmeldeinformationen mit einem Client-Authentifizierungsdienst, der im Backend mit allen wichtigen Identitätsanbietern wie Active Directory, RADIUS LDAP und auch mit Cloud-basierten Diensten wie Azure Active Directory integriert ist. Bevor der Zugriff auf eine Ressource mit Lastenausgleich gewährt wird, müssen sich Clients erfolgreich bei LoadMaster authentifizieren und optional durch eine Methode wie Gruppenmitgliedschaft oder eine LoadMaster-Richtlinie für den Zero-Trust-Netzwerkzugriff autorisiert werden.
Wenn Anwendungen mit Load Balancing auch in den Identitätsanbieter integriert sind, kann LoadMaster Single Sign-on durchführen und so die Anzahl der Anmeldungen, die ein Benutzer durchführen muss, reduzieren. Selbst wenn die Anwendung kein Konzept für Authentifizierung oder Benutzer hat, können Sie die Vorauthentifizierung verwenden, um den Zugriff auf diese Anwendung zu steuern, obwohl sie nichts über Benutzer oder Authentifizierung weiß.
Eine der einfachsten Methoden, um einen Angriff auf Anmeldedaten durch Bots zu stoppen, ist die Verwendung von CAPTCHA. LoadMaster unterstützt die Erstellung benutzerdefinierter Anmeldebildschirme mit eingebetteten CAPTCHA-Herausforderungen, um die erste Hürde für jeden Angriff auf Anmeldedaten durch Bots zu schaffen.
Einige der fortschrittlicheren CAPTCHA-Dienste, wie reCAPTCHA von Google, weisen eine hohe Bot-Erkennungsrate auf und nutzen den bisherigen Browserverlauf – sogar Messwerte wie Mausbewegungen – um zu entscheiden, ob ein einfaches „Ich bin kein Roboter“-Kontrollkästchen oder eine komplexere Herausforderung angezeigt wird.
Die Nutzung fortschrittlicher CAPTCHA-Dienste bietet Schutz vor Brute-Force- und Credential-Stuffing-Angriffen. Nebenbei bemerkt haben viele Organisationen Richtlinien und Regelwerke, die die Verwendung von E-Mail-Adressen als Benutzernamen für Unternehmensanwendungen verbieten, insbesondere um die Möglichkeit von Credential-Stuffing-Angriffen zu verhindern.
Die Zwei-Faktor-Authentifizierung und ihre Rolle bei der Angriffsprävention
Die Zwei-Faktor-Authentifizierung ist wirksam gegen Bots, da Bots die sekundäre Herausforderung einfach nicht bewältigen können. LoadMaster bietet native Unterstützung für alle großen Anbieter von Zwei-Faktor-Authentifizierung, wodurch die Integration sehr, sehr einfach wird. Sie können den Zugriff auch weiter einschränken, indem Sie die Verwendung von Client-Zertifikaten auf Client-Geräten erzwingen.
Zero Trust: Anwendungszugriff, der "niemandem vertraut"
Zero Trust Network Access, oder ZTNA, ist ein Ansatz für den Zugriff auf Anwendungen und Ressourcen, der keiner Client-Entität vertraut und nur dann Zugriff gewährt, wenn dies ausdrücklich durch Richtlinien definiert ist. Zero Trust verfolgt eine „Vertraue niemandem“-Haltung und gewährt erst dann Zugriff, wenn sich der Client erfolgreich authentifiziert hat.
Zero Trust berücksichtigt zunächst die Identität des Clients und den Kontext der Zugriffsanfrage, z. B. von welchem Gerät oder Netzwerk ein Benutzer kommt. Stammt die Anfrage von einem vom Unternehmen verwalteten Gerät? Arbeiten sie von zu Hause aus? All diese Elemente werden berücksichtigt.
Nach der Authentifizierung werden die Kunden dann auf der Grundlage der Richtlinie autorisiert und erhalten gerade genug Zugriff, um sich mit den Ressourcen zu verbinden. LoadMaster kann als Zero-Trust-Netzwerkzugangs-Gateway mit einfacher Definition von Richtlinien über eine API fungieren und so die Integration mit anderen Sicherheits- und Richtlinien-Toolsets vereinfachen.
Case & Point: Load Balancing ist eine kritische Netzwerksicherheitsschicht
LoadMaster kann und wird als zentraler Punkt für die Durchsetzung von Sicherheitsmaßnahmen einen wesentlichen Beitrag zu Ihrer Cloud-Sicherheit leisten.
LoadMaster ist auf allen gängigen Cloud-Plattformen und als virtuelle Appliance verfügbar – falls Sie eine lokale Bereitstellung wünschen. Je nach Cloud-Plattform können Sie sich für ein frühzeitiges Pay-as-you-go-Abonnement, ein Jahresabonnement oder eine unbefristete Lizenz entscheiden.
Machen Sie den ersten Schritt und sprechen Sie mit einem unserer Experten, um zu erfahren, wie Sie Ihre Anwendungen mit mehrschichtiger Sicherheit mithilfe der am besten bewerteten Load Balancing-Appliance auf dem Markt schützen können.