Bundesamt für Sicherheit in der Informationstechnik

G 5.178 Missbrauch von Administratorrechten im Cloud-Management

Das Cloud-Management, das über den Cloud-Verwaltungsserver gesteuert wird, muss Funktionen und Mittel für die Verwaltung der Cloud-Ressourcen bereitstellen. Dies umfasst die Ansteuerung von physischen und virtuellen Cloud-Ressourcen, um Konfigurationen manuell oder automatisiert vorzunehmen. Der Verwaltungsserver steuert die Provisionierung und De-Provisionierung von Cloud-Diensten, registriert die Cloud-Dienste für Cloud-Mandanten und dient als zentrales Verzeichnis der Cloud-Dienste.

Die Einflussmöglichkeiten des Cloud-Verwaltungsservers auf die Cloud-Dienste sind weitreichend und können zum Missbrauch der Funktionen des Cloud-Managements führen.

Eine missbräuchliche Administration liegt vor, wenn vorsätzlich Administrator-Privilegien ausgenutzt (ob rechtmäßig oder unrechtmäßig erworben) werden, um der Cloud-Infrastruktur oder deren Benutzern zu schaden.

Beispiele:

  • Die Funktionen des Cloud-Verwaltungsservers ermöglichen die Zuordnung von Speicherbereichen oder virtuellen Maschinen. Hiervon können unautorisiert Kopien erstellt und aus den gesicherten Cloud-Umgebungen unerlaubt entfernt werden.
  • Die Cloud-Verwaltungssoftware kann über die Virtualisierungsfunktionen Prozessor-Zwischenstände und Inhalte des Arbeitsspeichers auf das Speichersystem oder in das Speichernetz des Verwaltungsservers schreiben.
  • Die virtuellen Maschinen für Cloud-Dienste können unautorisiert unterbrochen werden.
  • Die Funktion zum Einfrieren (Erstellen sogenannter Snapshots) von virtuellen Maschinen und Cloud-Diensten kann dazu zweckentfremdet werden, um Sicherheitsmaßnahmen zu umgehen.

Stand: 14. EL Stand 2014