So erstellen Sie benutzerdefinierte Cloud-Sicherheitsrichtlinien
7. April 2022
Falcon Horizon, die Cloud Security Posture Management-Lösung von CrowdStrike, nutzt Konfigurations- und Verhaltensrichtlinien, um öffentliche Cloud-Bereitstellungen zu überwachen, Probleme proaktiv zu identifizieren und potenzielle Sicherheitsprobleme zu lösen. Kunden sind jedoch nicht auf vordefinierte Richtlinien beschränkt. In diesem Artikel werden die verschiedenen Optionen zum Erstellen benutzerdefinierter Richtlinien zur Verwaltung des Cloud-Sicherheitsstatus in Falcon Horizon erläutert.
Das Haupt-Dashboard von Falcon Horizon bietet einen Überblick über die neuesten Erkenntnisse aller registrierten Cloud-Konten und Anbieter.
Diese Erkenntnisse basieren auf der Richtlinienkonfiguration. Auf der Registerkarte „Richtlinien“ werden umfassende, nach Anbieter und Dienst kategorisierte Optionen zur Überwachung auf Cloud-Fehlkonfigurationen und böswilliges Verhalten angezeigt. In diesem Beispiel für den S3-Dienst von Amazon gibt es eine Reihe von Richtlinienoptionen für beide Kategorien. Falcon Horizon bietet außerdem die Möglichkeit, benutzerdefinierte Richtlinien zu erstellen, die optimal auf die Anforderungen einer Organisation zugeschnitten sind.
Auf der Registerkarte „Richtlinien“ unter „Cloud-Sicherheitsstatus“ gibt es die Möglichkeit, eine „Neue benutzerdefinierte Richtlinie“ zu erstellen.
Ein Assistent führt Sie durch die Erstellung der neuen Richtlinie. Der erste Schritt besteht darin, den geeigneten Cloud-Anbieter auszuwählen.
Als Nächstes werden ein neuer Richtlinienname, eine neue Beschreibung und ein neuer Schweregrad zugewiesen. Im folgenden Beispiel weist diese benutzerdefinierte Azure-Identitätsrichtlinie einen mittleren Schweregrad auf.
Um eine neue Richtlinie von Grund auf zu erstellen, besteht der nächste Schritt darin, einen Asset-Typ auszuwählen, der dem Cloud-Dienst entspricht. Das folgende Beispiel zeigt den Asset-Typ „AD-Benutzer“. (Die Option zur Auswahl einer Basisrichtlinie wird unter „Vorhandene Richtlinien ändern“ behandelt.)
Sobald der Asset-Typ ausgewählt ist, können Filter und Bedingungen hinzugefügt werden. Durch das Hinzufügen von Regeln, die auf einer beliebigen Anzahl zusätzlicher Kriterien basieren, einschließlich bestimmter Konten, Gruppen oder Mandanten, wird die neue Richtlinie spezifischer. Unten ist eine Richtlinie dargestellt, die nach aktivierten Konten sucht, bei denen die Anmeldeinformationen nicht für MFA registriert sind, die Anmeldeinformationen selbst jedoch aktiviert sind.
In vielen Situationen kann es sinnvoll sein, mit einer bestehenden Regel zu beginnen und Änderungen oder Ergänzungen vorzunehmen. Es gibt zwei verschiedene Möglichkeiten, dies in der Benutzeroberfläche zu erreichen. Einige Richtlinien in der Richtlinienliste enthalten einen Link „Klonen“. Durch das Klonen einer Richtlinie werden alle Richtlinien- und Compliance-Details übernommen, während Änderungen an den Regelkriterien möglich sind.
Alternativ werden durch Auswahl der Option „Neue benutzerdefinierte Richtlinie“ Optionen für den jeweiligen Cloud-Anbieter angezeigt.
Als Nächstes werden Sie aufgefordert, einen benutzerdefinierten Richtliniennamen und einen Schweregrad einzugeben, bevor Sie den entsprechenden Cloud-Dienst auswählen. Der folgende Bildschirm enthält zwei Hauptoptionen. Wie oben gezeigt, ist die Auswahl eines Asset-Typs der erste Schritt zum Erstellen einer leeren Richtlinie. Wenn Sie sich dagegen dafür entscheiden, mit einer vorhandenen Basisrichtlinie zu beginnen, werden diese Richtlinie und die zugehörige Abfragelogik repliziert (siehe unten für AWS EC2).
Sobald die geklonte oder Basisrichtlinie ausgewählt wurde, gibt es eine Reihe von Optionen zum Vornehmen von Änderungen. Die vorhandenen Felder und Operationen können bearbeitet werden. Während das Papierkorbsymbol die Möglichkeit bietet, Kriterien zu löschen, können neue Kriterien auch über eine beliebige Anzahl von Feldern hinzugefügt werden. Im folgenden Beispiel können Ports, die als risikoreich gelten, hinzugefügt oder gelöscht werden. Es wurde eine Regel für den Tag-Namen hinzugefügt, um sicherzustellen, dass diese Regel jedes Mal ausgelöst wird, wenn öffentlicher Eingang an Ports mit hohem Risiko zu Systemen mit einem Tag zugelassen wird, der NICHT gleich „test“ ist.
Die oben hervorgehobene Option „Benutzerdefinierte Regel testen“ bietet eine Vorschau der Leistung dieser Regel in der Umgebung.
Nach dem Speichern der benutzerdefinierten Richtlinienfilter gibt es Optionen zum Zuordnen dieser Richtlinie zu Compliance-Kontrollen. Während geklonte Richtlinien bereits alle Compliance-Zuordnungen enthalten, können diese bei Bedarf auch geändert werden.
Wenn Sie eine Richtlinienbasis verwenden oder ganz von vorne beginnen, werden im nächsten Schritt Menüoptionen für die Compliance angezeigt. Zur Auswahl stehen die in CrowdStrike integrierten Compliance-Frameworks, es gibt aber auch die Option „Neue Compliance hinzufügen“.
Durch das Ausfüllen nur weniger Felder können Richtlinien einem benutzerdefinierten Benchmark oder Compliance-Frameworks zugeordnet werden, die derzeit nicht in die Plattform integriert sind.
Sobald die Anforderung gespeichert wurde, wird sie im Dropdown-Menü angezeigt, sodass Version, Abschnitt und Anforderung vor dem Speichern der benutzerdefinierten Richtlinie zugeordnet werden können.
Nach der Zuordnung der Compliance besteht der nächste Schritt darin, die Richtlinie zu speichern.
Neue Richtlinien werden auf der Registerkarte „Richtlinien“ als benutzerdefinierte Richtlinien aufgeführt. Die Schaltflächen oben schalten die Anzeige zwischen Standard- und benutzerdefinierten Richtlinien für jeden Dienst um.
Wenn die Standard- und benutzerdefinierten Richtlinien vorhanden sind, werden Bewertungen in regelmäßigen, konfigurierbaren Intervallen durchgeführt. Die Bewertungsergebnisse können gefiltert werden, um sich schnell auf einen bestimmten Schweregrad, ein bestimmtes Konto, eine bestimmte Region, einen bestimmten Dienst oder einen bestimmten Typ zu konzentrieren. Außerdem wird neben dem Richtliniennamen ein „Benutzerdefiniert“-Flag verwendet, um die Identifizierung dieser maßgeschneiderten Richtlinien zu erleichtern.
Da Unternehmen weiterhin geschäftskritische Daten und Anwendungen in der Cloud bereitstellen, ist es von entscheidender Bedeutung, dass diese Ressourcen ordnungsgemäß konfiguriert und geschützt sind. Neben der Überwachung von Multi-Cloud-Bereitstellungen auf Fehlkonfigurationen und Verhaltensweisen ermöglicht Falcon Horizon Kunden die Erstellung benutzerdefinierter Richtlinien, die ihren Organisations- und Compliance-Anforderungen am besten entsprechen.