Das Internet kann ein gefährlicher Ort mit unzähligen Angreifern, die automatisierte Tools nutzen, um Unternehmen jeder Größe rund um die Uhr ins Visier zu nehmen. Dabei spielt es keine Rolle, ob es sich um einen globalen Konzern oder ein mittelständisches Unternehmen handelt: Cyberkriminelle versuchen, Netzwerke zu infiltrieren, Daten zu stehlen, Geld zu erpressen oder kompromittierte Systeme für weitere Angriffe zu missbrauchen.
In diesem Blogbeitrag erklären wir, wie Hacker vorgehen, welche Schutzmaßnahmen Sie ergreifen können und wie Sie die Sicherheit und Verfügbarkeit Ihrer Cloud-Anwendungen nachhaltig schützen.
Der Schlüssel zu stabilen und sicheren Anwendungen liegt in einer mehrschichtigen Sicherheitsarchitektur (Layered Security). Wir zeigen, wie Sie diesen Ansatz gezielt in der Cloud umsetzen und so Cyberbedrohungen effektiv vorbeugen und abwehren können.
In diesem Artikel erfahren Sie:
Warum ein mehrschichtiger Schutz für Anwendungen unverzichtbar ist
Wie Sie Layered Security in Cloud-Umgebungen erfolgreich implementieren – inklusive Best Practices
Wie Layered Security gegen aktuelle und neu entstehende Cyberbedrohungen schützt
Denial-of-Service-Angriffe: Was steckt dahinter und wie schütze ich meine Webanwendungen?
Starten wir mit einer der häufigsten und zugleich ärgerlichsten Bedrohungen im Netz: Denial-of-Service-Angriffen (DoS). Diese Attacken sind in der Regel böswillig oder rachsüchtig motiviert. Ziel ist es nicht, in Ihr Netzwerk einzudringen, sondern Ihre Website oder Cloud-Anwendung mit einer Flut an Anfragen zu überlasten bis der reguläre Betrieb ins Stocken gerät oder ganz zum Erliegen kommt. Die Folgen können erheblich sein: Umsatzverluste durch ausgefallene Transaktionen, Reputationsschäden und Störungen im Geschäftsalltag sind keine Seltenheit.
Technisch betrachtet können DoS-Angriffe auf unterschiedlichen Ebenen stattfinden.
Einige zielen auf die Netzwerkebene und nutzen bekannte Methoden wie UDP-Reflections oder Flooding-Angriffe, bei denen massenhaft Datenpakete versendet werden. Andere konzentrieren sich auf die Anwendungsebene, meist über das HTTP-Protokoll, um den Webserver gezielt mit Anfragen zu überfluten.
Die erste Verteidigungslinie gegen groß angelegte Denial-of-Service-Angriffe ist in der Regel Ihr Cloud-Service-Provider. Alle großen Anbieter verfügen heute über integrierte Schutzmechanismen gegen massive, verteilte Angriffe, sogenannte Distributed Denial of Service (DDoS)-Attacken.
Diese DDoS-Schutzebene Ihres Cloud-Anbieters funktioniert hervorragend gegen Angriffe auf der Netzwerkebene. Doch sobald sich ein Angriff gezielter, mit geringerem Datenvolumen, aber auf der Anwendungsebene abspielt, stößt dieser Schutz an seine Grenzen. Denn ein Application-Layer-DDoS-Angriff versucht, die Serverressourcen selbst zu überlasten. Auf diese Weise wird der netzwerkbasierte Schutz Ihres Providers oft nicht erkannt wird.
Hier kommt eine zusätzliche Schutzschicht ins Spiel: ein Load Balancer wie der Progress Kemp LoadMaster Load Balancer. Dieser verteilt eingehende Anfragen intelligent, filtert verdächtigen Traffic heraus und verstärkt so die native DDoS-Abwehr Ihres Cloud-Anbieters.
DDoS-Schutz für Cloud-Anwendungen mit LoadMaster
Sehen wir uns nun an, wie Sie mit LoadMaster einen wirksamen DDoS-Schutz zu Ihren Cloud-Anwendungen hinzufügen können.
Die erste Verteidigungsschicht besteht darin, Datenverkehr von bekannt schädlichen Quellen zu blockieren basierend auf deren IP-Adressen. LoadMaster pflegt dafür eine ständig aktualisierte Liste bösartiger IPs und blockiert deren Verbindungsanfragen, bevor sie überhaupt Ihre Anwendung erreichen.
Da jedoch ständig neue kompromittierte Endpunkte im Umlauf sind, kann keine Liste alle Angriffe erfassen. Administratoren können diese Blacklist jedoch jederzeit anpassen und erweitern, um verdächtigen Datenverkehr weiter zu reduzieren.
Darüber hinaus ermöglicht LoadMaster die Blockierung ganzer Länder-IPs, um das Angriffsrisiko noch weiter zu minimieren. Diese sogenannte IP-Reputation-Control (auch IP-Blocking genannt) lässt sich zudem auf LoadMasters Global Server Load Balancing (GSLB) anwenden. Dadurch werden DNS-Anfragen von bekannten Angreifern einfach ignoriert noch bevor sie Schaden anrichten können.
Um die Auswirkungen möglicher Denial-of-Service-Angriffe zusätzlich zu begrenzen, kann LoadMaster Traffic-Rate-Limits festlegen. Diese Funktion verhindert, dass bösartige Akteure Ihre Server mit Anfragen überfluten.
Die Traffic-Begrenzung kann flexibel konfiguriert werden, etwa nach Bandbreite, Verbindungen pro Sekunde, gleichzeitigen offenen Sitzungen oder Anfragen pro Sekunde.
Diese Limits lassen sich gezielt pro Service oder Quelle anwenden und auf Basis typischer Traffic-Muster feinjustieren bis hinunter auf einzelne IPs oder Netzwerkadressen.
Sowohl die Rate-Limiting-Parameter als auch die IP-Reputation-Einstellungen können in Echtzeit aktualisiert werden. So lässt sich ein laufender Angriff schnell eindämmen, und Ihr Unternehmen kehrt zügig zu einem normalen Betriebsniveau zurück.Mit der Kombination aus IP-Reputation und Traffic-Rate-Limiting verstärkt LoadMaster die nativen DDoS-Schutzmechanismen Ihrer Cloud-Plattform – und sorgt dafür, dass bösartiger Datenverkehr gar nicht erst bis zu Ihren Anwendungen durchdringt.
Sicherheitslücken und Exploits: Schutz vor OWASP Top 10 und neuen Angriffen
Kommen wir nun zu einem weiteren zentralen Thema der Anwendungssicherheit; den Vulnerability Exploits, also Angriffen, bei denen Cyberkriminelle gezielt bekannte Schwachstellen in Webanwendungen ausnutzen, um sich Zugang zu Systemen zu verschaffen. Neue Exploits entstehen laufend, sei es durch Sicherheitslücken in Frameworks oder Bibliotheken, die bei der Entwicklung verwendet wurden, oder durch Design- und Implementierungsfehler in der Anwendung selbst. Studien zeigen: Viele Anwendungen enthalten solche Schwachstellen, und deren Erkennung und Behebung zählt nach wie vor zu den größten Herausforderungen der IT-Sicherheit.
Ein Großteil dieser Angriffe ist botgesteuert und zielt auf bekannte Verwundbarkeiten, die von der unabhängigen Non-Profit-Organisation OWASP (Open Web Application Security Project) überwacht und klassifiziert werden.
OWASP veröffentlicht jährlich die „OWASP Top 10“: eine Liste der zehn häufigsten und kritischsten Sicherheitsrisiken für Webanwendungen.
Die Antwort liegt in einer leistungsstarken Web Application Firewall (WAF), die auf einem Load Balancer integriert ist.
Die LoadMaster WAF schützt Ihre Webanwendungen sowohl vor bekannten Bedrohungen als auch vor neuen, aufkommenden Angriffsmustern. Sie arbeitet mit einem umfassenden Regelwerk, das nicht nur die OWASP Top 10 abdeckt, sondern darüber hinaus zahlreiche weitere Sicherheitslücken erkennt und blockiert. Die Standard-Regeln bieten bereits einen weitreichenden Basisschutz, können jedoch bei Bedarf feinjustiert werden, um Fehlalarme (False Positives) zu minimieren. Administratoren können außerdem eigene Regelsets erstellen, die speziell auf individuelle Geschäfts- oder Anwendungsanforderungen zugeschnitten sind. Da die LoadMaster WAF vollständig in die Load-Balancing-Appliance integriert ist, profitieren Sie von einer zentralen Verwaltung und der Möglichkeit, WAF-Konfigurationen pro Anwendung vorzunehmen.
Angriff auf Zugangsdaten: Wie Hacker Bots zur Ausnutzung von Schwachstellen einsetzen
Kommen wir nun zu einer weiteren beliebten Angriffsmethode: Bots, die Schwachstellen rund um Benutzeranmeldungen ausnutzen. Ein klassischer Ansatz ist der Brute-Force-Angriff. Dabei versucht ein Bot, mit häufig genutzten Benutzernamen wie „admin“ und Passwörtern aus einer vordefinierten Liste gängiger Passwörter Zugang zu erhalten. Solche Angriffe schlagen in der Regel fehl, können jedoch die Systemleistung erheblich beeinträchtigen, wenn sehr viele Login-Versuche gleichzeitig erfolgen.
Eine andere, häufig erfolgreichere Methode ist das sogenannte Credential Stuffing. Viele Anwender registrieren sich auf Drittanbieter-Webseiten mit ihrer gewohnten Unternehmens-E-Mail-Adresse und verwenden dabei dasselbe Passwort wie für andere Dienste. Wird diese Seite kompromittiert und die Benutzername-Passwort-Kombinationen gestohlen, versuchen Hacker automatisiert, sich mit diesen Zugangsdaten bei Unternehmenssystemen anzumelden. Erfolgreiche Logins werden gespeichert und in gezielten Angriffen erneut verwendet.
Der LoadMaster schützt Zugangsdaten über einen Client-Authentifizierungsdienst, der nahtlos mit allen gängigen Identitätsanbietern wie Active Directory, RADIUS, LDAP sowie cloudbasierten Diensten wie Azure Active Directory integriert ist. Bevor ein Zugriff auf eine load-balanced Ressource gewährt wird, muss der Benutzer erfolgreich authentifiziert und optional zusätzlich autorisiert werden, zum Beispiel über Gruppenmitgliedschaften oder eine Zero Trust Network Access Policy des LoadMaster. Sind die load-balanced Anwendungen ebenfalls in den Identitätsanbieter integriert, ermöglicht der LoadMaster Single Sign-On, wodurch sich die Anzahl der erforderlichen Logins für Benutzer deutlich reduziert. Selbst wenn eine Anwendung keine eigene Authentifizierung kennt, kann Pre-Authentication eingesetzt werden, um den Zugriff auf diese Anwendung zu steuern, ohne dass die Anwendung selbst Benutzerinformationen verwalten muss.
Eine der effektivsten Methoden, Bot-Angriffe auf Zugangsdaten zu verhindern, ist der Einsatz von CAPTCHA. LoadMaster unterstützt kundenspezifische Login-Bildschirme mit integrierten CAPTCHA-Herausforderungen, die Bots die erste Hürde in den Weg legen. Fortschrittlichere CAPTCHA-Lösungen wie Google reCAPTCHA erkennen Bots mit hoher Präzision und berücksichtigen sogar frühere Browser-Aktivitäten (etwa Mausbewegungen), um zu entscheiden, ob ein einfacher „Ich bin kein Roboter“-Haken oder eine komplexere Herausforderung angezeigt wird.
Durch den Einsatz solcher fortschrittlichen CAPTCHA-Dienste wird Ihr System effektiv gegen Brute-Force- und Credential-Stuffing-Angriffe abgesichert. Viele Unternehmen haben zudem Richtlinien, die die Nutzung von E-Mail-Adressen als Benutzernamen für Unternehmensanwendungen untersagen, um die Angriffsfläche für Credential-Stuffing weiter zu reduzieren.
Zwei-Faktor-Authentifizierung
Die Implementierung einer Zwei-Faktor-Authentifizierung, sei es über einen Einmalpasswort-Token oder SMS, ist ein weiterer effektiver Schutzmechanismus gegen Angriffe. Sie könnten beispielsweise einen Zwei-Schritte-Verifizierungsdienst wie Microsoft Authenticator einsetzen, um diese zusätzliche Sicherheitsebene einzuführen.
Zwei-Faktor-Authentifizierung ist besonders wirksam gegen Bot-Angriffe, da Bots die sekundäre Herausforderung schlichtweg nicht bestehen können. LoadMaster unterstützt nativ alle gängigen Zwei-Faktor-Authentifizierungsanbieter, was die Integration extrem einfach macht. Zusätzlich lässt sich der Zugriff weiter absichern, indem die Nutzung von Client-Zertifikaten auf den Endgeräten erzwungen wird.
Zero Trust
Zero Trust Network Access, kurz ZTNA, verfolgt einen Ansatz, bei dem grundsätzlich keinem Client vertraut wird. Der Zugriff auf Anwendungen und Ressourcen wird nur dann gewährt, wenn er explizit über Richtlinien definiert ist.
Zero Trust überprüft zunächst die Identität des Clients und den Kontext der Zugriffsanfrage; beispielsweise von welchem Gerät oder Netzwerk der Zugriff erfolgt. Stammt die Anfrage von einem unternehmenseigenen Gerät? Arbeitet der Benutzer von zu Hause aus? All diese Faktoren fließen in die Entscheidung ein.
Nachdem der Benutzer erfolgreich authentifiziert wurde, erhält er basierend auf den Richtlinien genau die Berechtigungen, die notwendig sind, um auf die Ressourcen zuzugreifen, nicht mehr, nicht weniger. LoadMaster kann als Zero Trust Network Access Gateway fungieren, wobei die Definition von Richtlinien über eine API einfach möglich ist, was die Integration mit anderen Sicherheits- und Policy-Tools deutlich erleichtert.
Fazit
LoadMaster kann Ihre Cloud-Sicherheit erheblich steigern, indem es als integrierter Sicherheitsdurchsetzungspunkt auf Load Balancern fungiert. Es ergänzt die Sicherheitsfunktionen Ihrer Cloud-Plattform und ermöglicht so einen mehrschichtigen Ansatz für die Sicherheit und Verfügbarkeit Ihrer Anwendungen.
LoadMaster ist auf allen gängigen Cloud-Plattformen verfügbar und kann auch als virtuelle Appliance eingesetzt werden, falls Sie eine On-Premises-Implementierung bevorzugen. Je nach Plattform haben Sie die Wahl zwischen einem flexiblen Pay-as-you-go-Abonnement, einer jährlichen Lizenz oder einer unbefristeten Lizenz.
Machen Sie den ersten Schritt und sprechen Sie mit einem Fachexperten, um zu erfahren, wie Sie Ihre Anwendungen mit mehrschichtiger Sicherheit durch die marktführende Load-Balancing-Appliance optimal schützen können.