Die digitale Welt verändert sich stetig, und Cyberkriminelle entwickeln immer hartnäckigere und ausgefeiltere Angriffsmethoden. Da die Risiken folglich zunehmen und Bedrohungen immer komplexer werden, ist Vertrauen wichtiger als je zuvor. Kund*innen müssen den Technologieplattformen vertrauen können, in die sie investieren, um den tagtäglichen Geschäftsbetrieb sicherzustellen. Wir sind einer der größten Cloud-Dienstanbieter und sorgen mithilfe der integrierten und sofort einsatzbereiten Sicherheitsmechanismen unserer Cloudplattformen dafür, dass unsere Kund*innen von Anfang an geschützt sind.

Der Sicherheitsansatz von Microsoft Azure konzentriert sich auf Defense-in-Depth und umfasst Ebenen für Schutzmaßnahmen in allen Entwurfs-, Entwicklungs- und Bereitstellungsphasen unserer Plattformen und Technologien. Ein weiterer Schwerpunkt liegt auf Transparenz, sodass unsere Kund*innen sicher sein können, dass wir unsere Angebote ständig verbessern, um die Cyberbedrohungen von heute zu entschärfen und uns für die Bedrohungen von morgen zu wappnen.

In diesem Blogbeitrag werden die umfassenden Sicherheitsmaßnahmen in der Vergangenheit, der Gegenwart und der Zukunft erläutert. Zudem werden die Chancen für kontinuierliches Lernen und Wachstum aufgezeigt. Dieser Teil stellt den Startpunkt einer vierteiligen Reihe für integrierte Sicherheitsmechanismen in Azure dar, die dabei helfen soll, aus den in der Vergangenheit aufgetretenen Sicherheitsrisiken zu lernen und Erkenntnisse entsprechend anzuwenden, um sicherzustellen, dass unsere Technologien und Prozesse für Kund*innen sicher sind. Die transparente Veröffentlichung unserer Erkenntnisse und Änderungen ist Teil unserer Anstrengung, ein Vertrauensverhältnis mit unseren Kund*innen aufzubauen, und wir hoffen, dass dies andere Cloud-Dienstanbieter dazu bewegt, dasselbe zu tun.

Unser Engagement für Sicherheit in der Vergangenheit, der Gegenwart und der Zukunft 

Seit Jahrzehnten liegt der Fokus bei Microsoft besonders auf der Sicherheit von Kund*innen und der Verbesserung der Plattformsicherheit. Dieses Engagement zeigt sich in der langen Geschichte unserer maßgeblichen bewährten Methoden für Sicherheit – von unserer lokalen Umgebung und Software bis hin zu den heutigen Cloud-First-Umgebungen. Ein gutes Beispiel hierfür ist das Jahr 2004, in dem wir mit dem SDL-Framework (Security Development Lifecycle) zum Integrieren von Sicherheitsmechanismen in Anwendungen und Dienste von Grund auf Pionierarbeit geleistet haben und dessen Einfluss nach wie vor weitreichend ist. Der SDL wird derzeit als Grundlage für integrierte Sicherheit in wichtigen Initiativen einschließlich internationaler Anwendungssicherheitsstandards (ISO/IEC 27034-1) und dem Exekutiverlass der US-Regierung zur Verbesserung der nationalen Cybersicherheit¹ verwendet.

Führungskräfte und Expert*innen im Bereich der Cybersicherheit wissen jedoch, dass die Aufgaben in diesem Bereich nie vollständig erledigt sind. Permanente Wachsamkeit ist von entscheidender Bedeutung. Aus diesem Grund investiert Microsoft derzeit stark in die interne Sicherheitsforschung sowie ein umfassendes Bounty-Programm. Intern beschäftigt Microsoft über 8.500 Sicherheitsexpert*innen, die sich dauerhaft auf das Ermitteln von Sicherheitsrisiken, Erkennen von Angriffstrends und Behandeln von Sicherheitsproblemmustern konzentrieren. Unsere erstklassigen Methoden im Bereich der Sicherheitsforschung und Threat Intelligence helfen dabei, unsere Kund*innen sowie Partnerunternehmen von Microsoft, Open-Source-Software-Partner und Branchenpartner zu schützen.

Wir investieren auch in eines der proaktivsten Bounty-Programme der Branche. Allein im Jahr 2021 zahlte Microsoft Belohnungen in Höhe von 13,7 Millionen für Bounty-Programme in verschiedenen Technologiebereichen aus. Seit dem letzten Jahr ist ein Anstieg der extern gemeldeten Sicherheitsrisiken erkennbar, die sich auf verschiedene Cloud-Dienstanbieter (einschließlich Azure) auswirken. Obwohl Sicherheitsrisiken in der gesamten Branche nicht ungewöhnlich sind, ist Microsoft als führender Cloud-Dienstanbieter und Nummer eins der Sicherheitsanbieter sowohl für Forscher*innen als auch für Wettbewerber*innen im Rahmen der Bounty-Programme von besonderem Interesse. Aus diesem Grund war unser öffentliches Bounty-Programm das erste, das ab 2014 auch Clouddienste umfasste, und im Jahr 2021 haben wir das Programm erneut erweitert, um höhere Belohnungen für mandantenübergreifende Fehlerberichte anzubieten. Durch diese Änderung konnte wie erwartet das Interesse von deutlich mehr externen Sicherheitsforscher*innen an Azure geweckt werden, was letztlich zu zahlreichen Belohnungen für mandantenübergreifend gemeldete Fehler führte. Unabhängig von den Gründen halfen diese Erkenntnisse dabei, bestimmte Azure-Dienste und unsere Kund*innen weiter zu schützen.

Schließlich sind wir fest davon überzeugt, dass Sicherheit eine gemeinsame Aufgabe ist, und unser Fokus auf Zusammenarbeit zeigt sich in unseren Beiträgen zum Sicherheitsökosystem (z. B. unserer Beteiligung am NIST Secure Software Development Framework (SSDF)²) und der Verbesserung des Sicherheitsstatus von Open-Source-Software (OSS) durch unsere Investitionen in das Alpha-Omega-Projekt der OpenSSF³ in Höhe von fünf Millionen US-Dollar.

Unser Engagement für Sicherheit ist unerschütterlich und reicht von einer jahrzehntelangen führenden Rolle beim SDL über die Ermittlung von Sicherheitsrisiken, Bounty-Programme und die aus Kollaborationen entstandenen Beiträge in der heutigen Zeit bis hin zu Investitionen in Höhe von 20 Milliarden US-Dollar in Cybersicherheit in den nächsten fünf Jahren⁴. Obwohl die Gewährleistung der Sicherheit von Beginn an bei Microsoft nicht neu ist, erkennen auch wir, dass sich die Sicherheitslandschaft kontinuierlich verändert, weshalb auch bei uns eine stetige Weiterentwicklung erforderlich ist.

Bei Microsoft stellt die wachstumsorientierte Mentalität einen wichtigen Teil der Kultur dar. Erkenntnisse von internen und externen Sicherheitsforscher*innen sind wichtig, damit wir alle unsere Plattformen und Produkte besser schützen können. Bei jeder Meldung eines intern oder extern ermittelten Sicherheitsrisikos in Azure führen wir eine ausführliche Ursachenanalyse und Überprüfungen nach dem Vorfall durch. Diese Bewertungen helfen uns dabei, die neuen Erkenntnisse auf allen Ebenen der Organisation zu reflektieren und anzuwenden sowie sicherzustellen, dass wir die Sicherheitsmechanismen bei Microsoft permanent weiterentwickeln können.

Basierend auf den Erkenntnissen, die wir aus den jüngsten Azure-Sicherheitsrisikoberichten gewonnen haben, erzielen wir Verbesserungen in drei wichtigen Bereichen. Diese Entwicklungen verbessern unsere Reaktionsprozesse, erweitern unsere interne Sicherheitsforschung und optimieren kontinuierlich unsere Schutzmechanismen für mehrinstanzenfähige Dienste.

1. Integrierte Reaktion

Einige Erkenntnisse aus dem letzten Jahr haben unsere Aufmerksamkeit auf Bereiche gelenkt, in denen wir uns verbessern müssen (z. B. Verkürzung der Reaktionszeiten). Diesen Ansatz verfolgen wir in allen unseren Prozessen für integrierte Reaktionen, und wir vereinheitlichen interne und externe Reaktionsmechanismen. Wir haben begonnen, sowohl die Häufigkeit als auch den Umfang unserer LiveSite-Sicherheitsüberprüfungen auf der Führungsebene und darunter zu erhöhen. Zudem verbessern wir die Integration unserer externen Sicherheitsvorfallverwaltung sowie unserer internen Vorfallkommunikations- und Verwaltungssysteme. Durch diese Änderungen kann die durchschnittliche Zeit für die Ermittlung und Behebung gemeldeter Sicherheitsrisiken reduziert werden, und unsere schnellen Antworten werden weiter optimiert. 

2. Cloudvariantensuche

Als Reaktion auf Cloudsicherheitstrends haben wir unser Programm für die Variantensuche um eine globale und dedizierte Funktion für die Cloudvariantensuche erweitert. Bei der Variantensuche werden zusätzliche und ähnliche Sicherheitsrisiken im betroffenen Dienst sowie ähnliche Sicherheitsrisiken in anderen Diensten identifiziert, um sicherzustellen, dass die Ermittlung und Behebung noch sorgfältiger erfolgt. Dies führt auch zu einem tiefgreifenderem Verständnis von Sicherheitsrisikomustern und infolgedessen zu ganzheitlichen Risikominderungen und Korrekturen. Im Folgenden sind einige Highlights unserer Bemühungen für die Cloudvariantensuche aufgeführt:

• In Azure Automation haben wir Varianten identifiziert und mehr als zwei Dutzend eindeutige Probleme behoben.
• In Azure Data Factory bzw. Synapse haben wir erhebliche Entwurfsverbesserungen identifiziert, die den Sicherheitsstatus des Diensts weiter stärken und Varianten ermitteln. Wir haben auch mit unserem Lieferanten und anderen Cloud-Dienstanbietern zusammengearbeitet, um sicherzustellen, dass Risiken umfassender behandelt wurden.
• In Azure Open Management Infrastructure haben wir mehrere Varianten identifiziert, die unsere Forscher*innen unter CVE-2022-29149 veröffentlicht haben. Zudem haben wir die Erstellung von Funktionen für automatische Erweiterungsupgrades vorangetrieben, um die für die Behebung benötigte Zeit für Kund*innen zu reduzieren. Von unserem Feature für automatische Erweiterungsupgrades profitieren bereits die Benutzer*innen von Azure Log Analytics, Azure Desired State Configuration und der Azure-Diagnose.

Darüber hinaus werden bei der Cloudvariantensuche potenzielle Probleme in allen unseren Diensten proaktiv identifiziert und behoben. Dazu gehören viele bekannte und neuartige Klassen von Sicherheitsrisiken, und in den kommenden Monaten werden wir weitere Details zu unserer Forschung veröffentlichen, sodass unsere Kunden und die gesamte Community davon profitieren.

3. Sichere Mehrinstanzenfähigkeit

Basierend auf Erkenntnissen aus allen unseren Quellen für Security Intelligence entwickeln wir weiterhin unsere Anforderungen an die sichere Mehrinstanzenfähigkeit sowie die Automatisierung, die wir bei Microsoft verwenden, um die frühzeitige Erkennung und Behebung potenzieller Sicherheitsrisiken zu ermöglichen. Durch die Analyse von Azure und anderen Cloudsicherheitsfällen in den letzten Jahren haben sowohl unsere internen als auch unsere externen Sicherheitsforscher*innen einzigartige Möglichkeiten gefunden, verschiedene Isolationsbarrieren zu überwinden. Microsoft investiert stark in proaktive Sicherheitsmaßnahmen, um dies zu verhindern, sodass diese neuen Erkenntnisse dazu beigetragen haben, die häufigsten Ursachen zu ermitteln und sicherzustellen, diese Risiken in Azure durch eine geringe Anzahl effektiver Änderungen zu vermeiden.

Darüber hinaus verdoppeln wir die Investitionen in unseren Defense-in-Depth-Ansatz durch die Anforderung und Anwendung noch strengerer Standards für die Compute-, Netzwerk- und Anmeldeinformationsisolation in allen Azure-Diensten, insbesondere bei der Nutzung von Drittanbieterdiensten oder OSS-Komponenten. Wir arbeiten weiterhin mit der OSS-Community (z. B. PostgreSQL) und anderen Cloud-Dienstanbietern zusammen an Features, die in mehrinstanzenfähigen Cloudumgebungen sehr wünschenswert sind. 

Diese Arbeit führte bereits zu einer Vielzahl unterschiedlicher Erkenntnisse und Korrekturen, von denen die Mehrheit (86 Prozent) unseren spezifischen Verbesserungen im Bereich der Compute-, Netzwerk- und Anmeldeinformationsisolation zuzuordnen ist. Im Kontext unserer Automatisierungsverbesserungen erweitern wir die internen Tests für die Sicherheit dynamischer Anwendungen (Dynamic Application Security Tests, DAST), um weitere Überprüfungen zur Validierung der Compute- und Netzwerkisolation einzuschließen und neue Runtimefunktionen für die Überprüfung der Anmeldeinformationsisolation hinzuzufügen. Parallel dazu werden unsere Clouddienste weiterhin von unseren Sicherheitsexpert*innen überprüft, um sicherzustellen, dass diese unseren Standards entsprechen. Es werden auch neue automatisierte Sicherheitsmechanismen entwickelt, von denen unsere Kund*innen und Microsoft selbst profitiert.

Im Cloudsicherheitsmodell für gemeinsame Verantwortung empfehlen wir unseren Kund*innen die Verwendung der Cloudsicherheitsbenchmark von Microsoft, um ihren Cloudsicherheitsstatus zu verbessern. Wir entwickeln eine Reihe neuer Empfehlungen, die sich auf bewährte Sicherheitsmethoden für Mehrinstanzenfähigkeit konzentrieren und im nächsten Release veröffentlicht werden.

Kurz gesagt: Microsoft setzt sich seit langer Zeit für die Sicherheit ein, und wir erweitern unser Wissen kontinuierlich, da sich auch die Sicherheitslandschaft ständig weiterentwickelt und verändert. Im Sinne dieser permanenten Weiterentwicklung befasst sich Microsoft mit den jüngsten Azure-Cloudsicherheitsproblemen. Die Standards für sichere Mehrinstanzenfähigkeit werden optimiert, unsere Kapazität für die Cloudvariantensuche erhöht und integrierte Reaktionsmechanismen entwickelt. Unsere Verbesserungen und der Umfang unserer Sicherheitsbemühungen verdeutlichen weiter unsere Führungsrolle und unser jahrzehntelanges Engagement zur kontinuierlichen Verbesserung unserer Sicherheitsprogramme und erhöhen die Sicherheitsstandards in der Branche. Wir verpflichten uns weiterhin der Integration von Sicherheitsmechanismen in allen Phasen des Entwurfs, der Entwicklung und des Betriebs, sodass unsere Kund*innen und auch alle anderen unsere Cloud sorgenfrei verwenden können.

• Lesen Sie den Microsoft Security Response Center-Blog, um weitere Informationen zu unseren neuesten Sicherheitsforschungsergebnissen zu erhalten.
• Informieren Sie sich, wie Microsoft Azure Ihnen dabei helfen kann, Ihren Sicherheitsstatus zu stärken.
• Lesen Sie die Blogbeiträge zur Anatomie eines Sicherheitsupdates für einen Clouddienst und Anatomie eines Sicherheitsupdates, um mehr über unsere Antworten auf Cloudsicherheitsupdates zu erfahren.

 

---

Quellen:

¹WhiteHouse.gov, Exekutiverlass der US-Regierung zur Verbesserung der nationalen Cybersicherheit, 12. Mai 2021.

²National Institute of Standards and Technology, Secure Software Development Framework-Projektübersicht (SSDF), aktualisiert am 3. Februar 2022.

³Open Source Security Foundation, OpenSSF kündigt das Alpha-Omega-Projekt zur Verbesserung der Sicherheit in der Softwarelieferkette für 10.000 OSS-Projekte an, OpenSSF.org, 1. Februar 2022.

⁴GeekWire.com, Microsoft vervierfacht die Investitionen in Cybersicherheit und gibt in fünf Jahren über 20 Milliarden US-Dollar aus, Todd Bishop, 25. August 2021.