Microsoft Cloud Deception - Diplomarbeit - FHSTP Phaidra
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Microsoft Cloud Deception
Diplomarbeit
zur Erlangung des akademischen Grades
Diplom-Ingenieur/in
eingereicht von
Rene Offenthaler, BSc
1810619819
im Rahmen des
Studiengangs Information Security an der Fachhochschule St. Pölten
Betreuung:
Betreuer: Dipl.-Ing. Dr. Martin Pirker, Bakk.
St. Pölten, 20.04.2020
(Unterschrift Autor/Autorin) (Unterschrift
Betreuer/Betreuerin)
Ehrenwörtliche Erklärung
Ich versichere, dass
◼ ich diese Diplomarbeit selbständig verfasst, andere als die angegebenen Quellen und
Hilfsmittel nicht benutzt und mich sonst keiner unerlaubten Hilfe bedient habe.
◼ ich dieses Diplomarbeitsthema bisher weder im Inland noch im Ausland einem
Begutachter/einer Begutachterin zur Beurteilung oder in irgendeiner Form als Prüfungsarbeit
vorgelegt habe.
◼ diese Arbeit mit der vom Begutachter/von der Begutachterin beurteilten Arbeit übereinstimmt.
Der Studierende/Absolvent räumt der FH St. Pölten das Recht ein, die Diplomarbeit für Lehre- und
Forschungstätigkeiten zu verwenden und damit zu werben (z.B. bei der Projektevernissage, in
Publikationen, auf der Homepage), wobei der Absolvent als Urheber zu nennen ist. Jegliche
kommerzielle Verwertung/Nutzung bedarf einer weiteren Vereinbarung zwischen dem
Studierenden/Absolventen und der FH St. Pölten.
St. Pölten, 20.04.2020
(Unterschrift Autor)
2
Danksagung
Ich möchte mich an dieser Stelle bei allen Menschen bedanken, die mich im Zuge der Durchführung
meiner Masterarbeit und auch während meiner fünfjährigen Laufbahn an der FH St.Pölten unterstützt
haben.
Ein besonderer Dank gilt meinem Betreuer Martin Pirker, welcher mir mit seiner Erfahrung, vor allem
hinsichtlich der Formulierung und Strukturierung von wissenschaftlichen Arbeiten, oft weiterhelfen und
mich jederzeit mit wertvollen Tipps unterstützen konnte. Sein konstruktives Feedback erhöhte nicht
nur die Qualität dieser Arbeit, sondern wird auch einen Mehrwert für meine weiteren Karriereweg
liefern.
Weiters will ich mich bei meinen Kollegen David und Bernhard bedanken, welche mir in spontan
einberufenen „Brainstorming-Sessions“ Gedankenanstöße zu inhaltlichen Themen lieferten. Die
Ergebnisse davon waren einige guten Ideen, welche maßgeblichen Anteil am positiven Verlauf der
Durchführung der Arbeit hatten.
Ebenfalls ein großer Dank gebührt jenem Teil meiner FH Klassenkollegen, mit welchen ich den
Großteil aller Übungen und Projekte in den fünf Jahren meiner FH Laufbahn durchführen durfte. Ein
perfektes Teamwork und die effiziente Kompetenzverteilung ermöglichten es, auch abseits der FH
Geschehnisse genug Zeit aufzufinden, um den beruflichen Grundstein für einen positiven Verlauf
meines zukünftigen Karriereweges zu legen.
Zu guter Letzt will ich mich noch bei meiner Familie und meiner Freundin bedanken. Vor allem in
anstrengenderen Zeiten war es mir nicht immer möglich, allen meiner privaten Verpflichtungen
nachzukommen. Ihre Unterstützung, in mentaler, sowie auch in finanzieller Form, machten es mir
möglich, sowohl meine Ausbildung an der FH als auch meinen beruflichen Werdegang bis dato optimal
zu absolvieren.
3
Zusammenfassung
Die Verwendung von Cloud Computing Ressourcen steigt besonders in den letzten Jahren rasant an.
Die steigende Popularität der Cloud Services bringt gleichzeitig eine hohe Anziehungskraft für
potenzielle Angreifer und infolgedessen auch einen erhöhten Sicherheitsbedarf mit sich. Diese Arbeit
befasst sich mit der Integration von Deception Technologie in ein Microsoft Azure Cloud System,
welches Office 365 zum Einsatz bringt. Ziel dabei ist es, die Sicherheit des Systems durch den Einsatz
von Deception Techniken zu erhöhen. Um dieses Ziel zu erreichen ist ein tiefgehendes Verständnis
der Integration des Office 365 Services in eine praxisnahe Unternehmensumgebung notwendig.
Sowohl die organisatorischen als auch technischen Möglichkeiten, welche Microsoft zur Verfügung
stellt, werden im Rahmen dieser Arbeit beschrieben. Zur Integration von Deception Techniken in eine
Office 365 Umgebung werden Szenarien definiert, welche Office 365 einsetzen. Der Einsatz von
Deception Technologie erfolgt dabei unter Berücksichtigung von bekannten Angriffstechniken. Im
Zuge der Implementierungsphase werden drei verschiedene Deception Techniken in die Office 365
Umgebung integriert. Die anschließende Evaluierung unter Berücksichtigung diverser Kriterien gibt
Aufschluss darauf, ob der Einsatz von Deception Technologie den Sicherheitsstandard des Systems
erhöhen kann.
4
Abstract
The use of cloud computing resources is increasing rapidly, especially in recent years. At the same
time, the growing popularity of cloud services is attracting a high degree of attention from potential
attackers. The security needs of the cloud users are therefore enormous. This thesis deals with the
integration of deception technology into a Microsoft Azure Cloud System, which uses Office 365. The
goal is to increase the security of the system by using deception techniques. To achieve this goal a
deep understanding of the integration of the Office 365 service into a real-world business environment
is necessary. Both the organizational and technical possibilities that Microsoft provides are described
in this thesis. For the integration of deception techniques into an Office 365 environment, scenarios
are defined that use Office 365. In order to integrate these techniques into the Office 365 environment,
the evaluation of attack techniques is necessary. In the course of the implementation phase three
different deception techniques are integrated into the Office 365 environment. The subsequent
evaluation, considering various criteria, provides information on whether the use of deception
technology can increase the security standards of the system.
5
Inhalt
Danksagung ................................................................................................................................ 3
Zusammenfassung ..................................................................................................................... 4
Abstract ....................................................................................................................................... 5
Abbildungsverzeichnis ................................................................................................................ 8
Tabellenverzeichnis .................................................................................................................... 9
1 Einleitung.................................................................................................................10
1.1 Steigende Popularität und Sicherheitsbedarf von Cloud Systemen ................................. 10
1.2 Beschränkter Schutz durch traditionelle Abwehrmaßnahmen .......................................... 11
1.3 Forschungsfrage ............................................................................................................... 11
1.4 Wissenschaftlicher Beitrag ................................................................................................ 12
2 Related Work ...........................................................................................................13
2.1 Evaluierung Cloud Provider .............................................................................................. 13
2.1.1 Marktanteile ........................................................................................................ 14
2.1.2 Dokumentenmanagement in der Cloud .............................................................. 16
2.2 Sicherheit in Cloud Systemen ........................................................................................... 17
2.2.1 Angriffe auf Cloud Systeme ................................................................................ 17
2.2.2 Klassifizierung von Angriffen auf ein Cloud System ........................................... 19
2.2.3 Statistische Entwicklung von Angriffen auf die Cloud ........................................ 20
2.2.4 Deception Technologie in Cloud Systemen ........................................................ 22
2.3 Fazit ................................................................................................................................... 22
3 Background .............................................................................................................23
3.1 Überblick und Kategorisierung der Microsoft Azure Cloud Services ................................ 23
3.1.1 Microsoft Azure IaaS .......................................................................................... 23
3.1.2 Microsoft Azure PaaS ......................................................................................... 24
3.1.3 Microsoft Azure SaaS ......................................................................................... 24
3.2 Microsoft Office 365 .......................................................................................................... 25
3.2.1 Steigende Popularität von Office 365 ................................................................. 25
3.2.2 Abonnements und Leistungspakete ................................................................... 26
3.2.3 Identitätsmodelle Office 365 ............................................................................... 27
3.3 Deception Technologie...................................................................................................... 33
3.3.1 Bedeutung und historische Entwicklung von Deception Techniken ................... 33
3.3.2 Einsatzgebiet von Deception Techniken ............................................................ 34
3.3.3 Deception Köder ................................................................................................. 38
3.3.4 Abgrenzung von Deception Technologie zu Honeypots .................................... 39
3.3.5 Fazit und Vorteile gegenüber herkömmlichen Sicherheitsmechanismen .......... 40
4 Angriffsvektoren Office 365....................................................................................41
4.1 Bedrohungsmodell ............................................................................................................ 41
4.2 MITRE ATT&CK ................................................................................................................ 43
4.2.1 Ziel und Einsatzzweck ........................................................................................ 43
6
4.2.2 Aufbau und Kategorisierung der MITRE ATT&CK Matrizen .............................. 43
4.2.3 Office 365 ATT&CK Matrix ................................................................................. 46
4.2.4 Einsatz von Deception Techniken bei Office 365 ............................................... 47
5 Deception in Azure Cloud Systemen .....................................................................49
5.1 Szenario 1: Office 365 mittels Cloudauthentifizierung ...................................................... 49
5.1.1 Fiktives Unternehmen als Ausgangssituation ..................................................... 49
5.1.2 Annahme einer Office 365 Kompromittierung .................................................... 51
5.1.3 Deception Techniken als mitigierende Maßnahme ............................................ 52
5.2 Szenario 2: Office 365 mittels hybridem Identitätsmodell ................................................. 60
5.2.1 Fiktives Unternehmen als Ausgangssituation ..................................................... 60
5.2.2 Annahme einer Office 365 Kompromittierung .................................................... 61
5.2.3 Deception als mitigierende Maßnahme .............................................................. 61
6 Evaluierung der integrierten Deception Techniken ..............................................63
6.1 Integration eines Deception Users .................................................................................... 63
6.1.1 Vorgehensweise eines Angreifers ...................................................................... 63
6.1.2 Durchführung von Discovery Techniken aus Sicht eines Angreifers ................. 64
6.1.3 Detektieren der durchgeführten Discovery Techniken ....................................... 66
6.1.4 Detektieren von Login Versuchen des Deception Users .................................... 68
6.2 Integration des Deception SharePoint .............................................................................. 73
6.2.1 Vorgehensweise eines Angreifers ...................................................................... 73
6.2.2 Detektieren der implementierten Deception Technik ......................................... 74
6.3 Integration eines versteckten Deception OneDrive Speichers ......................................... 76
6.3.1 Vorgehensweise eines Angreifers ...................................................................... 76
6.3.2 Detektieren der implementierten Deception Technik ......................................... 77
6.4 Ergebnisübersicht .............................................................................................................. 79
7 Schlussfolgerung und Ausblick .............................................................................81
8 Literaturverzeichnis ................................................................................................84
7
Abbildungsverzeichnis
Abbildung 1 - Weltweiter Public Cloud Service Umsatz (Zahlen in Milliarden U.S. Dollar) [4] ........................... 14
Abbildung 2 - Prozentueller Anteil eines Unternehmens hinsichtlich Auslagerung in die Cloud [5] ................... 15
Abbildung 3 - Marktanteile der Cloud Anbieter aus Q3 2018/19 [6] ................................................................... 15
Abbildung 4 - Prozentueller Marktanteil der Top 10 Cloud Anbieter [7] ............................................................. 16
Abbildung 5 - Hauptkomponenten bei Verwendung eines Cloud Systems [13] ................................................. 19
Abbildung 6 - Die fünf Säulen zur Risikobewertung von Angriffen auf Cloud Systeme [14] .............................. 20
Abbildung 7 - Angegriffene Microsoft Konten innerhalb der ersten drei Monate in den Jahren 2016/17 [16] ... 21
Abbildung 8 - Geschätzte Umsatzzahlen der einzelnen Cloud Sparten in Milliarden US-Dollar [20] ................ 23
Abbildung 9 - Infrastructure as a Service und dessen Funktionalitäten [21] ...................................................... 24
Abbildung 10 - Platform as a Service und dessen Funktionalitäten [22] ............................................................ 24
Abbildung 11 - Software as a Service und dessen Funktionalitäten [23] ........................................................... 25
Abbildung 12 - Überblick der drei Identitätsmodelle bei Office 365 [26] ............................................................ 28
Abbildung 13 - Vereinfachte Darstellung der Komponenten der Office 365 Cloudauthentifizierung [26] .......... 28
Abbildung 14 - Administrationsaufwand der Cloudauthentifizierung bei Office 365 [27] ................................... 29
Abbildung 15 - Zusammenspiel der Komponenten bei einem hybriden Identitätsmodell [26] ........................... 30
Abbildung 16 - Zusammenspiel der Komponenten bei einer Passwort Hash Synchronisation [28] .................. 30
Abbildung 17 - Zusammenspiel der Komponenten bei einer Pass-Through Authentifizierung [28]................... 31
Abbildung 18 - Ablauf einer Verbundauthentifizierung [27] ................................................................................ 32
Abbildung 19 - Panzerattrape als Deception Technik in Kriegszeiten [29] ........................................................ 33
Abbildung 20 - Deception Zitat Sun Tzu [30] ...................................................................................................... 33
Abbildung 21 - Lebenszyklus eines zielgerichteten Angriffes [35] ..................................................................... 36
Abbildung 22 - Deception Techniken werden üblicherweise im rot gekennzeichneten Bereich eingesetzt [35] 37
Abbildung 23 - Konstruktion einer überwachten Scheinwelt (Decoys) ............................................................... 37
Abbildung 24 - Angriffsszenario mit eingesetzter Deception Technologie ......................................................... 39
Abbildung 25 - Use-Case Szenario einer hybriden Authentifizierung bei Office 365 ......................................... 41
Abbildung 26 - Bedrohungsmodellierung des obigen Use Case Szenarios für Office 365 ................................ 42
Abbildung 27 - Einsatz der ATT&CK Matrizen [39] ............................................................................................ 44
Abbildung 28 - PRE-ATT&CK Matrix [40] ........................................................................................................... 44
Abbildung 29 - MITRE ATT&CK Enterprise Matrix [41] ...................................................................................... 45
Abbildung 30 - MITRE ATT&CK Mobilgeräte bei direktem Gerätezugriff [42] ................................................... 45
Abbildung 31 - MITRE ATT&CK Mobilgeräte Netzwerk-basierte Effekte [42] .................................................... 46
Abbildung 32 - Office 365 MITRE ATT&CK Matrix [43] ...................................................................................... 46
Abbildung 33 - Einsatz von Deception Techniken innerhalb des rot markierten Bereiches [35] ........................ 48
Abbildung 34 - Office 365 Integration mittels Cloudauthentifizierung ................................................................ 49
Abbildung 35 - Administrativer Benutzer im ersten Szenario (Cloudauthentifizierung) ..................................... 50
Abbildung 36 - Benutzerkonten im Azure Active Directory ................................................................................. 50
Abbildung 37 - Regulärer Office 365 Benutzer (Szenario 1) .............................................................................. 51
Abbildung 38 - Kompromittierung eines Office 365 Benutzers........................................................................... 52
Abbildung 39 - Hinzufügen des Deception Users in die Office 365 Umgebung ................................................. 53
Abbildung 40 - Administratorzuweisung des Deception Users, um ihn für Angreifer attraktiv zu machen ........ 54
Abbildung 41 - Der rot umrahmte Bereich zeigt die Einstellung zur Blockierung der erfolgreichen Anmeldung 54
Abbildung 42 - Erstellung des Deception Users mit Zuweisung der Office 365 Business Premium Lizenz ...... 55
Abbildung 43 - Der rot umrahmte Bereich zeigt die Konfiguration zur möglichen Anmeldung des Benutzers .. 55
Abbildung 44 - Deception SharePoint des Users CISO ..................................................................................... 56
Abbildung 45 - Hinterlegen des Deception Users in der Anmeldeinformationsverwaltung ................................ 56
Abbildung 46 - Login Informationen in der Anmeldeinformationsverwaltung hinterlegen .................................. 57
8
Abbildung 47 - Integration des OneDrive Netzlaufwerkes .................................................................................. 58
Abbildung 48 - Z: Laufwerk im Registrierungs-Editor als „nicht sichtbar“ konfigurieren .................................... 58
Abbildung 49 - OneDrive Laufwerk über Windows Explorer nicht mehr ersichtlich ........................................... 59
Abbildung 50 - Ausgabe des OneDrive Laufwerkes ........................................................................................... 59
Abbildung 51 - Office 365 Integration mittels hybridem Identitätsmodell ........................................................... 60
Abbildung 52 - Kompromittierung eines Office 365 Kontos in Szenario 2 ......................................................... 61
Abbildung 53 - Anmeldevorgang über kompromittiertes Office 365 Konto ........................................................ 64
Abbildung 54 - Auflistung der gesamten Office 365 Konten ............................................................................... 64
Abbildung 55 - Von Microsoft definierte Rollen einer Office 365 Umgebung ..................................................... 65
Abbildung 56 - Die rote Umrahmung markiert den Deception User in der Administratoren Gruppe ................. 65
Abbildung 57 - Überblick der Überwachungsprotokollsuche der Office 365 Umgebung ................................... 67
Abbildung 58 - Visualisierung der Log-Events in einer Excel Datei ................................................................... 67
Abbildung 59 - Azure Directory Log Einträge ..................................................................................................... 68
Abbildung 60 - Internal Spearphishing Szenario ................................................................................................ 69
Abbildung 61 - Hinterlegung des Deception Users in der Anmeldeinformationsverwaltung .............................. 69
Abbildung 62 - Extrahieren der Office 365 Zugangsdaten aus der Anmeldeinformationsverwaltung................ 70
Abbildung 63 - Extrahieren der Office 365 Zugangsdaten aus den Browsern ................................................... 70
Abbildung 64 - Log Events von Anmeldevorgängen des Deception Benutzers ................................................. 71
Abbildung 65 - Erstellen einer Benachrichtigungsrichtlinie zur Alarmierung bei Login eines Deception Users . 71
Abbildung 66 - Fehlende technische Möglichkeit zur Alarmierung bei fehlerhaftem Login Versuch ................. 72
Abbildung 67 - Übersicht der Anmeldungen bei Office 365 ............................................................................... 72
Abbildung 68 - Kompromittierung und Download von Sharepoint-Daten ........................................................... 73
Abbildung 69 - Konfiguration der Benachrichtigungsrichtlinie zum Erkennen eines Angriffes ........................... 74
Abbildung 70 - Zusammenfassung der Einstellungen der Benachrichtigungsrichtlinie ..................................... 75
Abbildung 71 - E-Mail-Benachrichtigung über Kompromittierung ...................................................................... 75
Abbildung 72 - Log Events der Aktivitäten des Angreifers ................................................................................. 76
Abbildung 73 - Platzieren von Malware in einem kompromittieren OneDrive Speicherbereich ......................... 77
Abbildung 74 - OneDrive Überwachungsrichtlinie bei Hochladen von Dateien ................................................. 78
Abbildung 75 - Alarmierung bei Hochladen auf den Deception OneDrive Speicher .......................................... 78
Abbildung 76 - Aktivitätenliste zur Analyse des Angriffes .................................................................................. 79
Tabellenverzeichnis
Tabelle 1 - Dokumentenmanagement Service der Cloud Anbieter .................................................................... 16
Tabelle 2 - Lizenzmodelle für Privatanwender bei Office 365 ............................................................................ 26
Tabelle 3 - Lizenzmodelle für Business Kunden bei Office 365 ......................................................................... 27
Tabelle 4 - Eigenschaften eines opportunistischen Angriffes ............................................................................ 34
Tabelle 5 - Eigenschaften eines zielgerichteten Angriffes .................................................................................. 35
Tabelle 6 - Unterschiede zwischen Honeypots und Deception Techniken ........................................................ 39
Tabelle 7 - MITRE ATT&CK Angriffsphasen ...................................................................................................... 47
Tabelle 8 - Zweckmäßiger Einsatz von Deception in der jeweiligen Angriffsphase ........................................... 48
Tabelle 9 - Kompromittierung eines Clients und anschließender Download von SharePoint-Daten ................. 74
Tabelle 10 - Ergebnisübersicht der Deception Techniken.................................................................................. 80
9
1 Einleitung
1.1 Steigende Popularität und Sicherheitsbedarf von Cloud Systemen
Bereits seit Beginn der 90er Jahre befinden wir uns in einem Zeitalter, in welchem die Digitalisierung
immer weiter und schneller voranschreitet. Wir leben in einer Zeit, in der es in weiten Teilen der Welt
praktisch unmöglich ist, nur für kurze Zeit der IT-Welt aus dem Weg zu gehen. Autos, Haushaltsgeräte,
Uhren und viele weitere Dinge sind mit kleinen Computern ausgestattet. Computer, welche Daten
empfangen, verarbeiten, archivieren und versenden. Die Erwartungen, welche dabei von
Unternehmen oder auch der breiten Masse an Privatanwendern an diese Geräte gestellt werden, sind
dabei sehr hoch – sie sollen effizient, sicherheitstechnisch unantastbar und bestenfalls auch noch
kostengünstig sein. Um die Erwartungen eines Benutzers von diesen IT-Geräten zu erfüllen, bedarf
es der Hilfe von technologischen Hilfsmitteln. Hilfsmittel, welche das Erreichen dieser hohen
Erwartungen unterstützen.
Erst Mitte der 2000er Jahre begann hierfür die Ära des Cloud Computing. Ein großes Ziel dieser Cloud
Computing Systeme ist es, den zentralen Zugriff auf Daten und das schnelle, sowie hochverfügbare
Verarbeiten von diesen Daten zu ermöglichen. Den Grundgedanken hinter dem Begriff „Cloud
Computing“ gibt es jedoch bereits seit vielen Jahrzehnten. Schon in den 60er Jahren entstand die
Idee, IT-Ressourcen, wie zum Beispiel Rechenleistung und diverse Applikationen parallel für mehrere
Anwender zur Verfügung zu stellen. [1] Trotz noch immer anhaltender Sicherheitsbedenken steigt die
Verwendung von diesen Cloud Systemen rasant an. [2] Immer mehr Unternehmen verzichten dabei
auf die lokale Anschaffung und Wartung von Geräten, sogenannten „On-Premises“ Lösungen und
lagern weite Teile ihrer Infrastruktur in Cloud Systeme aus (Abbildung 2). Einer der großen Vorteile,
welche Cloud Systeme bieten, ist die Verwendung von Anwendungen, welche direkt über die Cloud-
Dienste bereitgestellt werden („Software as a Service“). Diese Dienstleistung ermöglicht es, dass
sämtliche Wartungs- und Betriebsverantwortungen beim Anbieter des Cloud Systems liegen. Für den
Endanwender ist es lediglich notwendig, die Konfiguration der Software optimal an die jeweiligen
Vorlieben anzupassen.
Werden wesentliche Firmen-Assets1 in eine Cloud-Infrastruktur ausgelagert, so gilt es auch als
oberstes Gebot für ein Unternehmen, diese zu schützen. Im Unternehmensbereich werden oft
Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) verwendet, um Angreifer
im System zu erkennen und Gegenmaßnahmen zu ergreifen. Dies Schutzmechanismen reichen
jedoch oftmals nicht aus, um einen Angreifer vom System fernzuhalten und den Angriff abzuwehren.
Vor allem in den letzten Jahren erlangt hierfür die Deception Technologie (Kapitel 3.3) einen immer
höheren Stellenwert in der Welt der IT Security. [3] Mithilfe dieser Technologie wird versucht, den
Angreifer über ausgelegte Köder zu täuschen und damit seine Vorgehensweise zu beeinflussen und
diese anschließend zu analysieren.
1 Ressourcen, welche einen Mehrwert für das Unternehmen bieten (z.B.: Infrastruktur, Personal, usw.)
101.2 Beschränkter Schutz durch traditionelle Abwehrmaßnahmen
Der Erfolg eines Unternehmens hängt vom optimalen Zusammenspiel mehrerer Faktoren ab. Dazu
zählen neben der Strategie des Unternehmens, sowie den Finanzen, auch sämtliche IT-Assets. Ein
Ausfall von kritischen IT-Assets (IT-Ressourcen, welche bei Ausfall die Weiterführung des
Tagesgeschäftes gefährden) kann dem Unternehmen großen Schaden zufügen und möglicherweise
auch zur Existenzgefährdung führen. Umso wichtiger ist es, diese Assets zu schützen und damit den
Weg zum Erfolg des Unternehmens zu ebnen bzw. diesen sicher zu stellen.
Wie in Kapitel 1.1 bereits erwähnt spielt der Einsatz von Cloud Systemen in der IT-Welt eine immer
größere Rolle. Immer mehr Unternehmen setzen dabei auf den Einsatz von Cloud Computing
Ressourcen und lagern dabei auch große Teile ihrer internen Infrastruktur in die Cloud aus. Aufgrund
der immer höheren Popularität von Cloud Systemen bringt dies automatisch einen negativen Aspekt
mit sich – auch Hackerangriffe auf diese Systeme werden häufiger (Kapitel 2.2). Aktuelle
Sicherheitsmaßnahmen reichen oftmals nicht mehr aus, um vor immer wiederkehrenden Angriffen aus
aller Welt zu schützen. Vor allem Angriffe, welche in der IT-Security Community noch nicht bekannt
sind und somit von IDS und IPS Systemen nicht erkannt werden, können mit aktuellen Technologien
schwer abgewehrt werden (Kapitel 2.2).
Seit Jahren erlangen die von Microsoft, Amazon und auch Google zur Verfügung gestellten Cloud
Services immer mehr an Popularität und Beliebtheit (Kapitel 2.1). Aufgrund der Masse und Vielfalt an
Services, welche diese zur Verfügung stellen, steigt jedoch auch die Gefahr von möglichen
Sicherheitslücken massiv an. Hacker nützen immer wieder Services, welche in Unternehmenskreisen
als weit verbreitet gelten, als Eintrittspunkt in das Zielnetzwerk, um dieses anschließend vollständig
zu kompromittieren. Ein sehr bekanntes „Cloud-Computing“ Service innerhalb der Microsoft Welt ist
vor allem das bereits populäre Service Office 365. Hier bietet Microsoft seinen Kunden unter anderem
verschiedenste Office Webanwendungen an, wo mittels Online-Versionen von Word oder PowerPoint
Dokumente innerhalb des Cloud Systems erstellt, bearbeitet und archiviert werden können. Aufgrund
des damit verbundenen Identitätsmanagement von Microsoft über das Active Directory in der Azure
Cloud gibt es hier einige kritische Angriffspunkte, welche ein potenzieller Angreifer zum Eintritt in das
Zielnetzwerk und einer anschließenden Kompromittierung nutzen kann. Diese Angriffspunkte werden
in Kapitel 4 detailliert identifiziert und erläutert.
1.3 Forschungsfrage
Da Microsoft mit dessen Azure Cloud zu einem der populärsten Anbieter dieser Branche zählt (Kapitel
2.1), beschäftigt sich diese Arbeit mit der Integration von Deception Techniken innerhalb einer
Microsoft Azure Cloud Umgebung. Ziel dabei ist es, durch diese Integration den Sicherheitslevel der
Umgebung zu erhöhen. Da durch langjährige Entwicklung von Microsoft das Angebot an
verschiedensten Services gewaltig anstieg, schränkt diese Arbeit den Fokus etwas ein. Immer
häufiger wird in Unternehmen das Cloud-basierte Service Office 365 und dessen
11Identitätsmanagement eingesetzt (Kapitel 2.1). Aufgrund der zunehmenden Popularität von Office 365
steigt auch das Interesse von Hackern, dieses als Eintrittstor in das Zielnetzwerk zu verwenden, um
infolgedessen die gesamte Umgebung kompromittieren zu können. Daher ist es wichtig,
Gegenmaßnahmen zu finden und Deception Möglichkeiten aufzuzeigen, welche den Schutz bei
Verwendung von Office 365 erhöhen. Konkret beantwortet diese Arbeit folgende Frage:
Ist es möglich, durch den Einsatz von Deception Technologie innerhalb einer Microsoft Azure Cloud
Umgebung und der Verwendung von Office 365 den Sicherheitsstandard dieses Systems zu erhöhen?
Nach der Evaluierung von Angriffspfaden bei Umgebungen mit integriertem Office 365 Service
platziert diese Arbeit Deception Techniken innerhalb eines, zur Veranschaulichung konzipierten und
simulierten, Netzwerkes (Kapitel 5). Die darauffolgende Überprüfung der sicherheitstechnischen
Wirksamkeit der eingesetzten Deception Techniken erfolgt anhand diverser Kriterien und gibt
Aufschluss darauf, ob diese den Sicherheitsstandard des Systems erhöhen können.
1.4 Wissenschaftlicher Beitrag
Die Innovation an dieser Arbeit stellt nun der Einsatz von Deception Technologien innerhalb einer
Microsoft Azure Cloud dar. Im Zuge dieser Arbeit werden keine traditionellen Sicherheitsmaßnahmen
wie die Konfiguration von Firewalls oder der Einsatz von IDS bzw. IPS Systemen verwendet.
Stattdessen wird Deception Technologie, welche bereits in diversen Unternehmensumgebungen zum
Einsatz kommt (Kapitel 2.2.4), auch im Umfeld einer Microsoft Azure Umgebung eingesetzt.
Potenzielle Angreifer sollen dabei durch die Integration von Deception Techniken getäuscht werden,
um so diese Angriffe aus Unternehmenssicht schneller detektieren und analysieren zu können.
Zusätzlich kann ihr Verhalten in Form von Threat Intelligence (Informationen über Bedrohungen durch
bereits bekannte Angriffe) der Community zum Schutz von zukünftigen Angriffen weitergegeben
werden.
Hinsichtlich Deception Techniken innerhalb eines Cloud Systems wurde nach ausgiebiger Recherche
keine wissenschaftliche Arbeit gefunden, welche sich mit der Erforschung dieser Themenstellung
beschäftigt.
122 Related Work
Folgendes Kapitel evaluiert die populärsten Cloud Anbieter und gibt einen Überblick über Arbeiten,
welche sich mit Angriffen und der allgemeinen Sicherheit von Cloud Systemen beschäftigen.
Zusätzlich gibt eine Recherche über die Integration von Deception Techniken in einem Cloud System
Aufschluss darauf, ob bereits Forschung hinsichtlich dieser Thematik betrieben wurde.
2.1 Evaluierung Cloud Provider
Aufgrund der steigenden Bedeutung von Cloud Computing Systemen gibt es bereits eine Vielzahl von
Anbietern, welche verschiedenste Cloud Services zur Verfügung stellen. Angefangen von den Big
Playern der Branche bis hin zu diversen Exoten gibt es für Unternehmen einige Möglichkeiten, ihre
Unternehmensziele durch die Unterstützung von Cloud Services zu erreichen. Um den
Sicherheitsbedarf der Unternehmen weitestgehend zu decken ist es hierfür zuerst wichtig zu
recherchieren, welche Cloud Systeme im Laufe der Jahre die höchste Popularität erlangt haben.
Bewertet wird diese vor allem anhand folgenden Gesichtspunktes:
1. Wie häufig wird die Cloud Infrastruktur des jeweiligen Cloud Providers eingesetzt?
Zusätzlich betrachtet dieses Kapitel, welche Möglichkeiten die Cloud Provider zur Online-Bearbeitung
von Office Dokumenten bieten. Folgende Fragestellung wird daher ebenfalls behandelt:
2. Bietet der Cloud Provider ein Service an, welches das Dokumenten Management mithilfe von
Online Applikation (Word, Excel, usw.) oder auch die tägliche Arbeit wie das Versenden und
Empfangen von E-Mails unterstützt?
132.1.1 Marktanteile
Dieses Kapitel beschäftigt sich mit dem aktuellen Umsatz- und Marktanteilswachstum der gesamten
Cloud-Service Branche. Es betrachtet einerseits die einzelnen Sparten der Cloud Dienstleistungen
(z.B. Cloud Application Infrastructure Service, Cloud Application Service, usw.) und andererseits den
enormen Marktanteil der Big Player in dieser Branche.
Aus mehreren Statistiken heraus kann entnommen werden, dass die Cloud-Service Branche
momentan enorm im Vormarsch ist. Gartner gibt dabei eine Schätzung der Umsatzzahlen der
gesamten Cloud-Service Branche bis 2022 an und erwartet weiter eine markante Steigerung. [4]
Abbildung 1 zeigt den geschätzten Umsatzwachstum der gesamten Public-Cloud Services bis ins Jahr
2022. Dieser wird laut dieser Schätzung im Vergleich zum Jahr 2018 nahezu verdoppelt. Betrachtet
man in Abbildung 1 die einzelnen Kategorien der Cloud Services, so ist zu erkennen, dass es
durchwegs eine konstante Umsatzsteigerung gibt. Schon allein diese Zahlen lassen darauf schließen,
dass immer mehr Unternehmen mit IT-Bedürfnissen Services aus Cloud Infrastrukturen benutzen.
Abbildung 1 - Weltweiter Public Cloud Service Umsatz (Zahlen in Milliarden U.S. Dollar) [4]
Eine weitere Studie von Gartner [5] belegt, dass die Ausgaben für Cloud-basierte Services in
Unternehmen schneller steigen werden als jene für traditionelle (nicht Cloud-basierte) IT Services.
Auch dies bestätigt die Annahme, dass immer mehr Unternehmen in Zukunft ihre On-Premises
Lösungen minimieren und auf Services in der Cloud setzen. Abbildung 2 zeigt dabei die Verlagerung
der IT-Themen in Cloud-basierte Alternativen. Diese Verlagerung steigt laut dieser Studie in den
nächsten Jahren immer mehr an. Betrachtet man dabei vor allem die Kategorie „Application software“,
so ist ersichtlich, dass diese im Jahr 2022 bereits bei 40% angelangt ist.
14Abbildung 2 - Prozentueller Anteil eines Unternehmens hinsichtlich Auslagerung in die Cloud [5]
Zu den absoluten Big Playern (Top 3) der Cloud Branche zählen Amazon (AWS Cloud), Microsoft
(Microsoft Azure) und Google (Google Cloud). Dies geht aus der Studie von „canalys“ [6] hervor,
welche das Wachstum der einzelnen Cloud Anbieter, gemessen an Umsatzzahlen in U.S. Dollar,
analysiert haben.
Abbildung 3 - Marktanteile der Cloud Anbieter aus Q3 2018/19 [6]
Abbildung 3 lässt zusätzlich erkennen, dass es auch einen hohen Prozentanteil neben den Top 3 der
Cloud Branche gibt. Folgende Statistik (Abbildung 4) gibt hierfür einen etwas genaueren Einblick in
den Anteil jener Unternehmen, welche sich, in Anbetracht an den prozentuellen Marktanteil, hinter
Google befinden.
15Abbildung 4 - Prozentueller Marktanteil der Top 10 Cloud Anbieter [7]
Die Studien dieses Kapitels zeigen, dass die Cloud Branche zurzeit einen großen Aufschwung erlebt.
Wie aus den Statistiken hervorgeht, vertrauen immer mehr Unternehmen auf Services in der Cloud
und lösen damit ihre traditionellen Lösungen ab. Vormachstellungen in der Welt der Cloud Systeme
haben dabei die Unternehmen Amazon, Microsoft und Google, welche sie durch die kontinuierliche
Umsatzsteigerung von Quartal zu Quartal bestätigen.
2.1.2 Dokumentenmanagement in der Cloud
Wie in Abbildung 2 anhand der Entwicklung in der Kategorie „Application Software“ ersichtlich
verwenden immer mehr Unternehmen Applikationen, welche von Cloud Anbietern zur Verfügung
gestellt werden. Ein großes Thema dabei ist das Dokumentenmanagement innerhalb eines Cloud
Systems. Dieses Kapitel beschäftigt sich mit der Evaluierung eines Cloud-basierten Dokumenten-
Management-Systems (DMS). In Betracht gezogen werden dabei jene Cloud Anbieter, welche in
Kapitel 2.1.1 als die drei marktführenden Unternehmen innerhalb dieser Branche klassifiziert wurden.
Tabelle 1 zeigt einen Überblick über die Services, welche von den Anbietern Amazon, Microsoft und
Google für das Dokumentenmanagement zur Verfügung gestellt werden:
Amazon (AWS Cloud) Microsoft (Azure Cloud) Google (Google Cloud)
Amazon WorkMail und
Office 365 Google G-Suite
WorkDocs
Tabelle 1 - Dokumentenmanagement Service der Cloud Anbieter
16Angaben bzw. Arbeiten über die Marktverteilung dieser Dokumentenmanagement Services sind im
Zuge einer Recherche nur schwer identifizierbar. Oftmals werden Office 365 und Google G-Suite in
ihrer Funktionsweise verglichen, jedoch nicht auf Basis ihres Marktanteiles.
Der Artikel von Thomas Maier [8] beschäftigt sich mit dem Vergleich zwischen der G Suite von Google
und Office 365 von Microsoft. Er gibt dabei Einblick in den Funktionsumfang des jeweiligen Cloud
Service und legt sowohl die Unterschiede als auch die Gemeinsamkeiten beider Anbieter dar. Über
einen Marktanteil der Produkte werden keine genauen Angaben gemacht. Die Größe des jeweiligen
Unternehmens gilt als wichtiger Entscheidungsgrund für die Auswahl eines Dokumentenmanagement
Service. Vor allem Google bietet für kleinere und mittlere Unternehmen ein gutes Service Paket an,
welches sich auch von Mitarbeitern einrichten lässt, welche nicht als Administratoren tätig sind. Office
365 dagegen bietet ein umfangreicheres Modell an, welches vor allem für Enterprise-Kunden sehr
sinnvoll ist.
Martin Geuß schreibt in seinem Artikel [9] über den geplanten Angriff von Amazon auf die
Cloudlösungen Google G Suite und Office 365. Auch er sieht jedoch vor allem Office 365 im
Unternehmensumfeld um Jahre voraus. Es wird auch noch Jahre dauern, bis Amazon eine
konkurrenzfähige Lösung zu Microsoft und Google präsentieren kann.
Diese zwei erwähnten Autoren (Maier und Geuß) berichten über die Verwendung von G-Suite und
Office 365 und stehen sinnbildlich für eine Vielzahl von weiteren Berichten, welche sich mit dem
Vergleich dieser zwei Services beschäftigen. Dies kann dahingehend interpretiert werden, dass
Google und Microsoft hinsichtlich dem Dokumentenmanagement in der Cloud auch die
Vormachstellung einnehmen. Weiters wird oftmals von diesen Autoren erwähnt, dass Amazon
momentan in einer Entwicklungsphase in diesem Bereich steckt und somit noch einige Zeit brauchen
wird, um gegenüber Microsoft und Google konkurrenzfähig zu werden.
2.2 Sicherheit in Cloud Systemen
Dieses Kapitel beschäftigt sich mit Arbeiten zum Thema Sicherheit in Cloud Systemen. Einerseits gibt
dieses Kapitel einen Überblick über die Klassifizierung der Angriffsvektoren, andererseits werden
Arbeiten betrachtet, welche sich mit Angriffen auf diese Systeme beschäftigen.
2.2.1 Angriffe auf Cloud Systeme
Asma A. Shaikh berichtet in ihrer Arbeit [10] über die steigende Popularität von Cloud Systemen. Die
immer höhere Anzahl an angebotenen Services bedeutet jedoch gleichzeitig, dass diese Systeme
auch für potenzielle Angreifer immer beliebter werden. Die Autorin beschreibt in ihrer Arbeit das
Vertriebsmodell von Cloud Anbietern genauer (Software As Service, Platform As Service und
17Infrastructure As Service). Folgende vier Angriffsarten inklusive möglicher Gegenmaßnahmen werden
anschließend beschrieben:
• XML Signature Attack
• Browser Security Attack
• Cloud Malware Injection Attack
• Flodding Attack
Nach der Veranschaulichung der Attacken und dem Vorschlag von geeigneten Gegenmaßnahmen
wird jedoch festgehalten, dass der Angreifer immer wieder auf der Suche nach neuen Angriffswegen
sein wird und diese auch oftmals erfolgreich sein werden, da der Angreifer oftmals einen Schritt voraus
sein wird.
Die Autoren Ajey Singh et al. [11] schreiben in ihrer Arbeit ebenfalls über den aktuellen Trend in der
IT-Welt, der steigenden Popularität des Cloud-Computings. Sie bestätigen, dass einige Unternehmen
den Einsatz von Cloud Services planen oder diese bereits im Einsatz haben. Diese steigende
Popularität bringt jedoch auch ein steigendes Sicherheitsrisiko mit sich. Immer mehr Angreifer sind
somit darauf aus, Cloud Systeme zu attackieren. Im Zuge ihrer Arbeit wird die, in Kapitel 2.2.2
erwähnte, Taxonomie beschreiben. Folgende Angriffsszenarien werden dabei detaillierter betrachtet:
• Denial of Service Attacken
• Cloud Malware Injection Attacken
• Side Channel Attacken
• Authentication Attacken
• Man-in-the-Middle Attacken
Auch diese Autoren kommen jedoch zur Erkenntnis, dass Hackerangriffe auf Cloud-Systeme am
Vormarsch sind und diese Angriffe mit aktuellen Technologien nur schwer zu verteidigen sind.
Frank Siemons schreibt in seinem Artikel [12] über verschiedenste Angriffe in der Cloud. Er erwähnt,
dass die höhere Nutzung von Cloud-Diensten auch eine hohe Anziehungskraft auf potenzielle
Angreifer ausübt. Speziell direkte Angriffe auf den Cloud Service Provider (CSP) werden im Zuge
dieses Artikels betrachtet. Diese sind zwar schwerer erfolgreich durchzuführen – die Auswirkungen
eines solchen Angriffes können jedoch enorm sein. Verschafft sich ein Angreifer Zugriff in das System
des CSP, so kann es sein, Zugriff auf etwaige Kundendaten zu erhalten. Frank Siemons erwähnt in
seinem Artikel zusätzlich die noch relativ junge Angriffsmethode namens „Man-in-the-Cloud Attacke“.
Ziel dieses Angriffes ist das Stehlen des Synchronisations-Tokens. Dieser Token wird dafür
verwendet, um sich als Benutzer eines Cloud Systems zu authentifizieren und Daten in die Cloud zu
synchronisieren. Wird der Token (meist im Zuge eines Social Engineering Angriffes) gestohlen, so ist
es dem Angreifer möglich, sich als diese Person auszugeben und dessen Daten abzugreifen bzw. zu
manipulieren. Am Ende des Artikels wird nochmals auf die Risiken von Cloud Attacken und vor allem
über die Gefahren eines erfolgreich durchgeführten Angriffes auf einen Cloud Service Provider
eingegangen.
182.2.2 Klassifizierung von Angriffen auf ein Cloud System
In der Arbeit von Nils Gruschka et al. [13] beschreiben die Autoren die wachsende Popularität von
Cloud Systemen. Sie erwarten dabei eine hohe Anzahl an neuen und durchaus relevanten
Sicherheitslücken. Um diese Sicherheitsrisiken klassifizieren zu können, entwerfen sie in ihrer Arbeit
eine sogenannte Taxonomie. Abbildung 5 veranschaulicht diese Klassifizierung. Hinsichtlich der
Verwendung eines Cloud Systems werden drei Hauptkomponenten definiert:
1. User (Der Benutzer, welcher das Cloud System aktiv benutzt und verwaltet)
2. Service (Die Dienstleistung, welche vom Cloud Anbieter zur Verfügung gestellt wird)
3. Cloud (Der Anbieter, welcher das Cloud System zur Verfügung stellt)
Als prominenteste Angriffsfläche bezeichnen die Autoren die Interaktion „service-to-user“ (Abbildung
5), da es eine gewöhnliche Server-to-Client Schnittstelle ist und gegen praktisch alle Angriffsklassen
verwundbar ist.
Abbildung 5 - Hauptkomponenten bei Verwendung eines Cloud Systems [13]
Zusammenfassend erwarten die Autoren im Zuge des Wachstums der Cloud Systeme einerseits
einige neuartige Sicherheitsschwachstellen und andererseits auch eine Vielzahl an erfolgreich
durchgeführten Angriffen.
Auch die Autoren Nina Viktoria Juliadotter et al. [14] klassifizieren Angriffe auf Cloud Systeme mithilfe
einer Taxonomie. Auch sie sehen neue sicherheitstechnische Gefahren im Zuge der Evolution von
Cloud Systemen und versuchen daher, auf Basis eines selbst definierten Modells (Abbildung 6), eine
Risikobewertung zu erstellen.
19Diese basiert auf folgenden fünf Säulen:
• Source
• Vector
• Target
• Impact
• Defense
Das Risiko eines Angriffes wird nun anhand der Wahrscheinlichkeit eines erfolgreich durchgeführten
Angriffes, sowie des daraus entstehenden Einflusses berechnet. Die Wahrscheinlichkeit wird dabei
durch die Kombination aller fünf Säulen berechnet.
Abbildung 6 - Die fünf Säulen zur Risikobewertung von Angriffen auf Cloud Systeme [14]
2.2.3 Statistische Entwicklung von Angriffen auf die Cloud
Im März 2019 veröffentlichte it-daily eine, von Proofpoint durchgeführte, Studie [15] zum Thema
Angriffe auf Cloud Anwendungen. Dabei wurden Angriffe untersucht, welche zwischen September
2018 und Februar 2019 auf weltweit operierende Unternehmen durchgeführt wurden. Die Anzahl
dieser Angriffsversuche stieg dabei innerhalb dieses Zeitraumes um 65 Prozent. Dies belegt, wie
anziehend die steigende Popularität von Cloud Anwendungen auch für Hacker ist. Die häufigste
Angriffsmethode war die Brute-Force Attacke, um auf diese Art und Weise einfache Passwörter zu
knacken. Ein weiterer sehr beliebter Angriff, welcher in diesem Zeitraum auf Cloud Anwendungen
beobachtet werden konnte, ist die Durchführung von Phishing Attacken. Ziel hierbei ist es, Zugänge
zu Cloud Anwendungen wie Office 365 zu erlangen. Im Erfolgsfall werden über diesen Zugang
anschließend weitere Phishing Mails ausgesendet, um so noch mehr sensible Informationen des
20jeweiligen Unternehmens zu erhalten. Proofpoint fand in ihrer Studie weiters heraus, dass vor allem
der Bildungssektor von solchen Angriffen betroffen sei. Grund dafür ist vor allem der häufige
Ortswechsel (z.B. bei Studenten) und der dadurch entstehende Bedarf eines zentralen Cloud
Zugriffes.
Heise veröffentlichte im August 2017 einen Artikel [16] über die Entwicklung der Statistiken über
Angriffe auf Cloud-basierte Microsoft Konten. Dabei konnte über den Zeitraum eines Jahres eine
enorme Steigerung von versuchten Angriffen festgestellt werden. Abbildung 7 veranschaulicht dies.
Als Hauptgründe nennt Microsoft die Verwendung von schwachen Passwörtern und deren schlechte
Verwaltung.
Abbildung 7 - Angegriffene Microsoft Konten innerhalb der ersten drei Monate in den Jahren 2016/17 [16]
Sophos veröffentlichte im April 2019 einen Artikel [17], in welchem sie über die enorm hohe Anzahl
an Angriffen auf Cloud Systeme berichten. Zum Gewinn dieser Erkenntnis wurde eine 30-tägige Studie
durchgeführt, in welcher 10 Honeypots in den 10 beliebtesten Amazon Web Services (AWS)
Datenzentren platziert wurden. Anschließend wurde analysiert, wie häufige diese Honeypots von
Angreifern attackiert werden. Innerhalb dieser 30 Tage kam es zu über fünf Millionen versuchten
Angriffen. Das Erstaunliche dabei war, dass die Angriffe sehr schnell starteten. Der erste Honeypot,
welcher im Datenzentrum in Sao Paulo platziert wurde, wurde bereits 52 Sekunden nach der
Freischaltung im Netz attackiert. Weiters wurde analysiert, dass die Hacker mit hoher
Wahrscheinlichkeit automatisiert vorgingen. Als größtes Problem sieht auch Sophos die
Fehlkonfiguration von Systemen an. Standardisierte Passwörter ermöglichen dabei Hackern bei
Durchführung von automatisierten Angriffen oftmals den Zugriff zum System.
212.2.4 Deception Technologie in Cloud Systemen
Da sich diese Arbeit mit der Integration von Deception Technologie innerhalb eines Cloud Systems
beschäftigt, berichtet dieses Kapitel über Arbeiten, welche sich bereits mit dieser Thematik
auseinandergesetzt haben. Im Zuge der Recherche konnten jedoch keine vergleichbaren Arbeiten
gefunden werden.
Der Einsatz dieser Technologie zum Schutz von Cloud Umgebungen wird laut Online-Informationen
von folgenden zwei Unternehmen angeboten:
• TrapX [18]
• Attivo Networks [19]
Genauere Informationen über den Einsatz der Technologie innerhalb einer Cloud Infrastruktur sind
auch hier nur sehr spärlich verfügbar. Die Informationen beschränken sich hauptsächlich auf
Werbezwecke und sind somit als zusätzliche Wissensgrundlage für die Durchführung dieser Arbeit
irrelevant.
2.3 Fazit
Zusammenfassend gilt es zu sagen, dass sämtliche Arbeiten, Artikel und sonstige Inhalte einerseits
über den enormen Anstieg der Verwendung von Cloud Services in Unternehmen berichten und
andererseits über die dadurch entstehende Anziehungskraft von potenziellen Angreifern. Die Angriffe
laufen dabei meist automatisiert ab und zielen oftmals auf die Fehlkonfiguration eines Systems ab.
Viele Arbeiten berichten darüber, dass die Angreifer zumeist einen Schritt voraus sind und dies somit
die Abwehr einer Attacke erschwert. Die Big-Player der Cloud Branche sind dabei Amazon, Microsoft
und Google, was darauf schließen lässt, das vor allem Umgebungen dieser Anbieter als populäres
Angriffsziel gelten, da sie für Angreifer die größte Zielgruppe bilden. Arbeiten, welche sich mit
Deception Technologie zum Schutz von Cloud Umgebungen beschäftigen, wurden im Zuge der
Recherche nicht gefunden.
223 Background
3.1 Überblick und Kategorisierung der Microsoft Azure Cloud Services
Dieses Kapitel verschafft einen Überblick über die Microsoft Azure Cloud und ihre populärsten
Services. Durch die bereits langjährige Entwicklung der Cloud entstand bis dato ein breit gefächertes
Angebot an Services. Laut Gartner [20] bildet dabei der Bereich Software as a Service (SaaS) das mit
Abstand größte Marktsegment, Infrastructure as a Service (IaaS) wächst dabei am stärksten.
Abbildung 8 veranschaulicht die Umsatzzahlen der einzelnen Sparten:
Abbildung 8 - Geschätzte Umsatzzahlen der einzelnen Cloud Sparten in Milliarden US-Dollar [20]
Microsoft im speziellen teilt seine Angebote an verschiedensten Cloud Services in drei
Hauptkategorien ein. Um die drei Kategorien der Microsoft Azure Cloud und dessen Spannweite an
Einsatzmöglichkeiten verständlich zu machen, beleuchtet dieses Kapitel die Unterscheidung dieser
Bereiche und dessen Vielseitigkeit.
3.1.1 Microsoft Azure IaaS
Der einfachste und grundlegendste Bereich der Cloud Services ist der Bereich Infrastructure as a
Service. Verwendet man als Unternehmen Services dieser Kategorie, so ist es möglich, die
Infrastruktur eines externen Cloud Anbieters zu verwenden. Dazu zählen Ressourcen wie
Rechenkapazität, Serverleistung, sowie Speicher oder Netzwerkdienste. Unternehmen sehen diesen
Bereich oftmals als privates Rechenzentrum an. Dabei wird vom Anbieter die physikalische Hardware
zur Verfügung gestellt, um welche man sich infolgedessen als Anwender nicht kümmern muss.
Verantwortlich ist der Anwender für sämtliche Funktionalitäten vom Betriebssystem aufwärts bis hin
zur Applikation.
23Abbildung 9 zeigt den Bereich IaaS und dessen Kernfunktionen:
Abbildung 9 - Infrastructure as a Service und dessen Funktionalitäten [21]
3.1.2 Microsoft Azure PaaS
Die nächste Kategorie der Cloud Services wird als Platform as a Service bezeichnet. Dieses Service
Level stellt zusätzlich zur grundlegenden Infrastruktur auch das Betriebssystem, eine Datenbank oder
auch einen Webserver zur Verfügung. Zur Ausführung eines entwickelten Codes stellt PaaS auch
noch eine dafür geeignete Umgebung zur Verfügung. Ziel dieser Service Kategorie ist es, dem
Anwender zu ermöglichen, sich voll und ganz auf die Entwicklung der eigentlichen Applikation zu
konzentrieren und die dafür notwendige Infrastruktur bzw. Umgebung zur Verfügung zu stellen.
Abbildung 10 gibt einen Überblick über die Funktionalitäten der Kategorie Platform as a Service.
Abbildung 10 - Platform as a Service und dessen Funktionalitäten [22]
3.1.3 Microsoft Azure SaaS
Bei der dritten und auch umsatzstärksten Kategorie der Cloud Services handelt es sich um den
Bereich Software as a Service. Hierbei stellt der Anbieter Cloud-basierte Anwendungen zur
Verfügung. Das wohl bekannteste Beispiel bei Microsoft ist hierfür Office 365. Der Vorteil aus Sicht
des Benutzers besteht darin, dass für eine Vielzahl an Anwendungen lediglich ein Browser notwendig
ist, um mittels Online Login die Services zu verwenden. Auch die Weiterentwicklung der Anwendung,
24Sie können auch lesen
