Domain 5

5.1. Aufbau und Implementierung der physischen und logischen Infrastruktur

In diesem Abschnitt geht es um den Aufbau und die Implementierung der physischen und virtuellen Infrastruktur.

Hardwarespezifische Anforderungen an die Sicherheitskonfiguration

Außerdem werden hier Sicherheitskomponenten auf Hardware-Basis behandelt. Eine davon, TPM nutzt wahrscheinlich jeder von uns täglich, ohne es zu merken. Die andere, HSM haben viele nur auf Bildern gesehen. Beide erfüllen ähnliche Zwecke, aber mit unterschiedlichem Fokus. TPM schützt primär die Integrität einzelner Systeme, HSM dient dem zentralen Schlüsselmanagement. Sie ergänzen sich damit gewissermaßen gegenseitig.

Hardware Security Module (HSM)

Ein HSM ist eine physische oder virtuelle Appliance, die hauptsächlich zur Ausführung kryptografischer Funktionen vorgesehen ist:

  • Erzeugung und sichere Speicherung kryptografischer Schlüssel
  • Verschlüsselung und Entschlüsselung
  • Signierung digitaler Objekte
  • Erstellung von Zufallszahlen
  • Schutz der privaten Schlüssel von Zertifizierungsstellen (Cas), das HSM ist keine CA, aber es schützt deren Schlüssel

Der entscheidende Sicherheitsmechanismus besteht darin, dass der private Schlüssel das HSM niemals im Klartext verlässt. Kryptografische Operationen werden vollständig im HSM selbst durchgeführt: Die Anwendung sendet Daten ins HSM, das HSM verarbeitet sie und gibt nur das Ergebnis zurück.

HSMs kommen normalerweise in Bereichen zum Einsatz, in denen höchste Sicherheit gefordert ist.  Typische Einsatzbereiche: Zahlungssysteme, PKI, Zahlungssysteme, Code Signing, TLS/SSL-Beschleunigung und Datenbankenverschlüsselung.

Die virtuellen HSM-Dienste der führenden Cloud Anbieter erfüllen hohe Sicherheitsstandards wie FIPS 140-2 oder FIPS 140-3 und haben einen Funktionsumfang, welcher sehr nah an physischen Geräten kommt. Beispiele: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM.

Eine physische On-Premises-Appliance ist die Grundlage für das Bring-Your-Own-Key (BYOK)-Modell: Der Kunde generiert den Schlüssel auf seinem eigenen HSM und überträgt ihn verschlüsselt in die Cloud. Dabei ist Key Wrapping zu beachten, der Schlüssel wird vor der Übertragung mit einem Transport-Schlüssel des CSP verschlüsselt.

Trusted Platform Module (TPM)

Ein TPM existiert in drei Varianten.

  1. Diskretes TPM. Es ist ein spezieller auf dem Mainboard eines Computers verbauter Chip.
  2. Virtuelles TPM (vTPM). Der Hypervisor (z. B. VMware, Hyper-V) simuliert für die VM ein TPM. Die geheimen Schlüssel der VM werden dabei oft in einer gesicherten Datei oder im Speicher des Hosts abgelegt.
  3. Firmware-TPM (fTPM). Es handelt sich nicht um einen separater Chip, sondern um einer CPU-Firmware (z. B. AMD fTPM, Intel PTT). Die Variante wird aktuell die häufigste Variante auf den Consumer-Geräten.

TPM dient zur:

  • Erzeugung und sicheren Speicherung kryptografischer Schlüssel.
  • Überprüfung der Systemintegrität beim Bootvorgang.
  • Festplattenverschlüsselung, z.B. der BitLocker speichert seinen Schlüssel im TPM.
  • Geräteattestation. Durch TPM kann beweisen werden, dass ein Gerät in einem vertrauenswürdigen Zustand ist.

Die Systemintegrität basiert auf den gespeicherten Hashwerten kritischer Systemkomponenten wie dem BIOS oder dem Bootloader. Beim Start werden diese Werte auf Unveränderbarkeit geprüft. Das TPM ermöglicht damit zwei wichtige Mechanismen:

  • Secure Boot blockiert aktiv das Booten nicht signierter Komponenten
  • Measured Boot misst und protokolliert alle Boot-Komponenten zur späteren Überprüfung, ohne diese jedoch aktiv zu blockieren.

Installation und Konfiguration von Verwaltungstools

Mit diesem abstrakten Punkt sind Management-Tools gemeint, die die Überwachung und Automatisierung der Cloud-Infrastruktur ermöglichen. Solche Management-Tools haben einen privilegierten Zugriff auf die gesamte Umgebung haben, sind somit ein attraktives Angriffsziel (High-Value Targets) und müssen dementsprechend abgesichert werden.

Die typische Tools-Kategorien sind:

Cloud Management Console, da diese der zentrale Einstiegspunkt für die Verwaltung aller Cloud-Ressourcen sind.

Infrastructure as Code – Tools, da diese der automatisierten Bereitstellung der Infrastruktur dienen und mit hohen Privilegien ausgestattet.

Konfigurationsmanagement – Tools (wie Ansible, Chef oder Puppet) dienen der automatisierten Systemkonfiguration sowie der Durchsetzung definierter Sicherheits-Baselines.

Alle oberen Tools müssen nicht nur installiert, sondern auch gemäß dem Hardening-Prinzip sicher konfiguriert werden. Die nötigen Security-Konzepte wurden bereits in diesem Buch behandelt:

  • Trennung der Netze (Out-of-Band Management) und verschlüsselte Kommunikation
  • Multi-Faktor-Authentifizierung und RBAC
  • Least Privilege
  • Lockdown (keine Default-Credentials und unnötige Funktionen)

Hardwarespezifische Anforderungen an virtuelle Hardware

Die grundlegenden Konzepte der Hypervisoren Typ 1/2, Multi-Tenant-Risiken und Netzwerksegmentierung wurden bereits in Abschnitt 3.1 erläutert. Ergänzend folgen nun einige sicherheitsrelevante Aspekte:

Software-Defined Network (z. B. VPC in AWS, VNet in Azure). Bei diesem Begriff handelt es sich um eine logisch isolierte Netzwerkumgebung innerhalb einer Public Cloud. Der Kunde definiert, ähnlich wie in einem eigenen Rechenzentrum, aber vollständig virtuell, eigene IP-Adressbereiche, Subnetze, Routing-Tabellen und Zugriffskontrollen. VPCs sind die primäre Methode zur Netzwerksegmentierung in Cloud-Umgebungen.

Ressourcenlimits (Quotas). CPU-, Memory- und Storage-Limits sollten für jeden Tenant definiert werden. Ohne diese Limits kann ein einzelner Tenant unverhältnismäßig viele Ressourcen verbrauchen (sogenanntes Noisy-Neighbor oder auch Resource Exhaustion) und andere Kunden dadurch beeinträchtigen.

Härtungsrichtlinien. Für virtuelle Komponenten gelten die gleichen Prinzipien wie für physische: minimale Angriffsfläche, keine unnötigen Dienste und regelmäßige Patches.

Redundanz und Hochverfügbarkeit. Eine virtuelle Infrastruktur sollte grundsätzlich so konzipiert sein, dass keine Single Points of Failure entstehen. Dies wird durch redundante Netzwerkpfade, Storage-Replikation und verteilte Compute-Ressourcen über mehrere Availability Zones erreicht.

Installation von Tools zur Virtualisierung von Gastbetriebssystemen (OS)

Die VMs Tools erweitern die Funktionalität virtueller Maschinen. Sie bieten eine bessere Hardware-Treiberunterstützung, optimierte Performance und eine detailliertere Monitoring-Integration mit dem Hypervisor.

Aus Sicherheitsgründen darf die Installation nicht nach dem Prinzip „Weiter > Weiter > Fertig“ durchgeführt werden, sondern nach dem Least-Functionality-Prinzip. Es sollten nur die tatsächlich benötigten Komponenten installiert und aktiviert werden, da zusätzliche Funktionen die potenzielle Angriffsfläche erhöhen. Wie jede andere Software müssen auch die Guest Tools regelmäßig aktualisiert werden.

,