Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Cloud Security Glossar

CSPM (Cloud Security Posture Management)

Automatisierte Erkennung und Behebung von Fehlkonfigurationen in Cloud-Umgebungen (AWS, Azure, GCP). CSPM überwacht kontinuierlich gegen Best-Practice-Frameworks wie CIS Benchmarks und deckt offene S3-Buckets, überprivilegierte IAM-Rollen und unverschlüsselte Datenbanken auf.

CSPM löst ein fundamentales Cloud-Problem: In der Cloud entstehen Fehlkonfigurationen schnell, sind oft unsichtbar und können massive Datenlecks verursachen. Ein öffentlicher S3-Bucket, eine zu offene Security Group, eine IAM-Rolle mit Admin-Rechten - CSPM findet diese Probleme automatisch und kontinuierlich.

Das Cloud-Fehlkonfigurations-Problem

Statistik (Gartner, Verizon DBIR)

  • 80% aller Cloud-Sicherheitsvorfälle: Ursache ist Fehlkonfiguration (nicht Exploit)
  • AWS S3-Buckets: tausende öffentlich zugänglich (Capital One 2019: 100 Mio. Kundendaten durch SSRF + offene S3)
  • Azure Storage: regelmäßige Funde offener Blob-Container
  • GCP: Compute-Instances ohne Firewall-Rules

Warum Fehlkonfigurationen so häufig sind

  • Cloud-API: Infrastruktur per Code → copy-paste-Fehler
  • Terraform/CDK: ein falsches "public": true → öffentlich
  • IAM: “zu viele Rechte” ist schneller als “minimale Rechte”
  • Tempo: Feature shipping > Security Review
  • Kein dauerhaftes Monitoring: Scan heute, morgen Änderung

Beispiele realer CSPM-Findings

  • S3 Bucket mit Kundendaten: public-read aktiviert
  • RDS-Datenbank: Snapshot public verfügbar
  • IAM User: Access Key nie rotiert (> 1 Jahr alt)
  • Security Group: SSH Port 22 offen für 0.0.0.0/0
  • CloudTrail: in einer Region deaktiviert
  • GuardDuty: komplett deaktiviert
  • MFA: Root-Account ohne MFA
  • S3 Bucket Versioning: deaktiviert (kein Ransomware-Schutz)

Was CSPM prüft (Beispiel AWS)

CSPM-Prüfkategorien nach CIS AWS Benchmark Level 1/2:

IAM (Identity and Access Management)

  • Root-Konto: MFA aktiviert?
  • Root-Konto: aktive Access Keys? (KEIN Sollzustand!)
  • IAM-User: MFA für alle Nutzer mit Konsolen-Zugang?
  • IAM Password Policy: Mindestlänge 14, Komplexität, Rotation?
  • Access Keys: älter als 90 Tage? → Rotation!
  • IAM Roles: “AdministratorAccess” an welche Entities?
  • IAM: Policies ohne Wildcard (*) auf Actions?

Storage (S3)

  • Alle S3-Buckets: Block Public Access aktiviert?
  • S3-Buckets: Server-Side Encryption aktiviert?
  • S3-Buckets: Versioning aktiviert? (Ransomware-Schutz)
  • S3-Buckets: Logging aktiviert?
  • S3-Buckets: ACL keine public-read oder public-read-write?

Netzwerk

  • Security Groups: Port 22 (SSH) nicht offen für 0.0.0.0/0!
  • Security Groups: Port 3389 (RDP) nicht offen für 0.0.0.0/0!
  • VPC: Flow Logs aktiviert? (Pflicht für Threat Detection!)
  • NAT Gateway: alle privaten Subnets über NAT? (kein direktes Internet)

Monitoring & Logging

  • CloudTrail: in ALLEN Regionen aktiv?
  • CloudTrail: Log File Validation aktiviert?
  • CloudTrail Logs: in S3 mit MFA Delete?
  • CloudWatch Alerts für: Root-Login, MFA-Deaktivierung, Security Group Änderungen
  • AWS Config: aktiviert in allen Regionen?
  • GuardDuty: aktiviert in allen Regionen?

Datenbank (RDS)

  • RDS: Snapshots nicht public?
  • RDS: Verschlüsselung aktiviert?
  • RDS: Backup-Retention > 7 Tage?
  • RDS: Multi-AZ für Produktionssysteme?
  • RDS: Public Access deaktiviert?

Encryption

  • CloudTrail Logs: verschlüsselt mit KMS?
  • EBS Volumes: alle verschlüsselt?
  • SNS Topics: verschlüsselt?

CSPM-Tools im Vergleich

Cloud-Native (kostenlos / günstig)

AWS Security Hub:

  • Aggregiert Findings aus GuardDuty, Macie, Inspector
  • CIS AWS Benchmark Check automatisch
  • Multi-Account-Aggregation
  • Preis: $0.001/Control/Account/Monat (ca. $10-50/Monat)

Azure Defender for Cloud (Microsoft):

  • Secure Score: 0-100 Punkte (was ist gut/schlecht)
  • Empfehlungen mit konkreten Fix-Anleitungen
  • CIS Azure Benchmark, NIST 800-53, ISO 27001 Mappings
  • Microsoft Defender für Cloud: $15/Server/Monat

Google Security Command Center (SCC):

  • Für GCP
  • Standard (kostenlos) vs. Premium ($0.06/Core/h)

Open Source

Prowler (AWS/Azure/GCP):

  • CLI-Tool, 300+ Checks
  • CIS, GDPR, HIPAA, ISO 27001, NIS2 Frameworks
  • Kostenlos, sehr aktive Community
  • github.com/prowler-cloud/prowler
# Schnell-Scan AWS
pip install prowler
prowler aws
# → CSV/JSON/HTML Report

ScoutSuite (ncc-group):

  • Multi-Cloud (AWS/Azure/GCP/Alibaba)
  • GUI-Report
  • github.com/nccgroup/ScoutSuite

Kommerzielle Lösungen

Wiz:

  • Marktführer 2024 (Unicorn)
  • Agent-less, sehr schnelle Installation
  • Graph-basiert: Angriffspfade visualisieren
  • Preismodell: pro Workload

Orca Security:

  • SideScanning-Technologie (kein Agent nötig)
  • Kombiniert: CSPM + Vulnerability + Secrets Detection
  • Gut für: Multi-Cloud

Lacework, Prisma Cloud (Palo Alto), Aqua Security:

  • Enterprise-Lösungen
  • Kombination aus CSPM + Container + Runtime
EinsatzEmpfehlung
KMUProwler + AWS Security Hub (günstig, gut)
EnterpriseWiz oder Orca (umfassend)

CSPM Implementierung

Phase 1: Sichtbarkeit (Woche 1-2)

  • CSPM-Tool auswählen
  • Least-Privilege IAM-Rolle für CSPM erstellen
  • Erst-Scan durchführen (alle Regionen/Accounts)
  • Findings kategorisieren: Critical/High/Medium/Low

Phase 2: Quick Wins (Wochen 3-6)

Critical Findings sofort beheben:

  • Root MFA aktivieren (5 Minuten!)
  • Access Keys des Root-Accounts löschen
  • Öffentliche S3-Buckets schließen (wenn nicht absichtlich)
  • Security Groups: SSH/RDP öffentlich → entfernen

High Findings: Sprint-basiert abarbeiten

Phase 3: Automatisierung (Monate 2-3)

  • CSPM-Alerts in Ticketing-System (Jira, ServiceNow)
# AWS Config Auto-Remediation
# Wenn S3 Bucket wird public → automatisch Block Public Access
aws configservice put-remediation-configurations \
  --remediation-configurations file://s3-remediation.json
  • CI/CD: CSPM-Scan in Deployment-Pipeline

Phase 4: Governance (dauerhaft)

  • Wöchentlicher CSPM-Report an Security-Team
  • Monatlicher Posture-Trend-Report an Management
  • Compliance-Report: CIS/ISO 27001 Abdeckung
  • Quarterly: neue Framework-Standards hinzufügen

KPIs

KPIZiel
Anzahl Critical FindingsTrend: sinkend
Mean Time to Remediate (MTTR)< 24h für Critical
CIS Benchmark Score> 80%
Ungelöste Findings > 90 Tage= 0

CSPM vs. CWPP vs. CIEM

Abgrenzung der Cloud Security-Tools

CSPM (Cloud Security Posture Management):

  • Konfiguration und Compliance
  • “Ist meine Cloud richtig konfiguriert?”

CWPP (Cloud Workload Protection Platform):

  • Laufzeitschutz für VMs, Container, Serverless
  • “Ist meine Cloud-Workload sicher?”
  • Features: Anti-Malware, HIDS, Runtime Behavior

CIEM (Cloud Infrastructure Entitlement Management):

  • IAM-Berechtigungen analysieren
  • “Wer hat was wirklich für Zugriffsrechte?”
  • Findet: Zombies-Accounts, über-privilegierte Rollen

CSNS (Cloud Native Security):

  • CSPM + CWPP + CIEM kombiniert
  • “Einheitliche Cloud Security Platform”

CNAPP (Cloud Native Application Protection Platform):

  • Neuester Begriff (Gartner 2021)
  • CSPM + CWPP + CIEM + Shift Left + IaC Security
  • Anbieter: Wiz, Prisma Cloud, Orca

Empfehlung nach Reifegrad

ReifegradEmpfehlung
EinsteigerCSPM zuerst (Konfiguration sauber)
FortgeschritteneCSPM + CWPP kombinieren
EnterpriseCNAPP (alles in einem)

AWARE7 Leistungen zum Thema

Cloud Security Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

Container-Sicherheit und Kubernetes Hardening: Der vollständige Guide

18 min Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Verwandte Begriffe

Cloud Security - Sicherheit in AWS, Azure und GCP IAM (Identity and Access Management) Least Privilege (Prinzip der minimalen Rechtevergabe) Risikomanagement (IT-Sicherheit) Schwachstellenscanner
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung