Deutsch | English | Español

Pentests auch in Cloud-Umgebungen?

22. Mai 2017

Sind die klassischen Penetrationstests, kurz Pentests, auch bei der Nutzung externer Cloud-Services eine adäquate Sicherheitsmaßnahme? Kommt ganz auf das jeweilige Cloud-Modell an.

Bei Pentests werden fingierte Attacken auf IT-Systeme, Netzwerke und Anwendungen ausgeführt, um mögliche Lücken der Infrastruktur aufzuspüren und zu schließen. Sie sind geeignet, wenn Unternehmen im Rahmen von Hosted Cloud Services von einem Anbieter die Cloud-Infrastruktur mit virtuellen Maschinen mieten und dort ihre eigenen Anwendungen selbst aufbauen.

Anders sieht es aus, wenn eine reine Software vom Cloud-Anbieter genutzt wird. Dann kann dieser nicht in einen Pentest einbezogen werden. Daher sollten Kunden andere Kriterien für die Sicherheitsvalidierung heranziehen, zum Beispiel Zertifizierungen wie ISO27001, die garantieren, dass der Provider seine Prozesse regelmäßig externen Prüfungen unterzieht.

Handelt es sich beim Cloud-Modell um eine shared Infrastruktur, sind Pentests nicht grundsätzlich auszuschließen, sollten jedoch mit Anbieter abgestimmt werden. Da unangekündigte Pentests Auswirkungen auf alle Kunden des Cloud-Service-Providers haben könnten, sollten sie gegebenenfalls in einer speziellen Umgebung und koordiniert erfolgen.

Nähere Informationen auf funkschau.de



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png