In Ihrem Haus gibt es wahrscheinlich ein unsicheres Gerät mit einer ausnutzbaren Sicherheitslücke. Und in Ihrem Büro. Wahrscheinlich sogar in der Schule, die Ihr Kind besucht. Kameras, Drucker, Lautsprecher, Zutrittskontrollleser, Thermostate, sogar Herzmonitore... all diese Geräte sind oder können Internet of Things (IoT)-Geräte sein. Diese IoT-Geräte sind nahtlos in unser modernes Leben integriert, um die Effizienz und die Kontrolle über unsere Umgebung zu verbessern. Sie sind jedoch notorisch unsicher. Das liegt an der eingeschränkten Hardware der Geräte und ihrer begrenzten Rechenkapazität. Diese führt oft zu minimalen Zugriffskontrollen, fest kodierten Passwörtern und der Unmöglichkeit, Patches aus der Ferne zu installieren.
Die Realität dieser Bedrohung kann dramatische Ausmaße annehmen. Nehmen Sie zum Beispiel den Angriff des Mirai-Botnetzes 2016. Damals nutzten Hacker Millionen von IoT-Geräten aus, um ein groß angelegtes Botnetz aufzubauen, das DDoS-Angriffe starten konnte, die große Teile des Internets lahmlegten, darunter Twitter, The Guardian und CNN. Diese Art von Angriffen sind keine Seltenheit. Cloudflare erlebte diese Realität im März 2021 am eigenen Leib, als einer unserer potenziellen Anbieter für physische Sicherheitskameras, Verkada, kompromittiert wurde. Der Vorfall ermöglichte es einem Hacker, auf die internen Support-Tools von Verkada zuzugreifen, um die Kameras aus der Ferne zu verwalten, so dass er versuchen konnte, lateral auf andere Geräte im Netzwerk zuzugreifen. Glücklicherweise sorgte das Zero Trust-Modell bei Cloudflare dafür, dass sich Hacker nicht lateral bewegen konnten; der Vorfall betraf nur die Kameras und sonst nichts.
Aber selbst wenn wir nicht betroffen sind: Wir betrachten Sicherheitsvorfälle als Grund zum Anlass, unsere Sicherheitsprodukte einen Schritt weiterzuentwickeln. Wir haben uns gefragt: Können wir unsere eigenen Produkte nutzen, um IoT-Geräte selbst zu sichern – sogar im selben Netzwerk wie die Produktionssysteme – und so sicherstellen, dass jede Kompromittierung dieser notorisch unsicheren Geräte isoliert wird? Die Antwort lautet: Ja, mit Cloudflare One.
Moderne Lösungen: Sicherheit mit Komplexität
Zero Trust-Modell
Wie bereits erwähnt, war Cloudflare nicht von einer IoT-Kompromittierung betroffen, da wir ein Zero-Trust-Modell verwenden. Wenn die Umgebungsbedingungen es zulassen, wie z.B. in den Unternehmensniederlassungen von Cloudflare, kann das Unternehmensnetzwerk mit einem Zero-Trust-Modell umzäunt werden. Laterale Bewegungen werden verhindert, da für den Zugriff auf jeden anderen Teil des Netzwerks eine Authentifizierung erforderlich ist. Da das IoT-Gerät selbst nicht isoliert ist, muss sorgfältig darauf geachtet werden, dass alle anderen Zugangspunkte zum Netzwerk hinter dem Zero-Trust-Zugang liegen.
Allerdings können nicht alle Umgebungen so sorgfältig kontrolliert werden. Nehmen Sie zum Beispiel die Rechenzentren. Das Vorhandensein anderer Anbieter, die Komplexität alter Produktionsnetzwerke und die Verbreitung von Maschine-zu-Maschine-Verbindungen bedeutet, dass wir bei der Installation eines IoT-Geräts (z. B. eines Zutrittslesers oder einer Kamera) nicht die gleichen Zero-Trust-Garantien geben können wie in unseren Firmenbüros. Die Komplexität der Umgebung nimmt immer weiter zu. Dadurch wird es immer schwieriger, ein Zero-Trust-Modell zur Verhinderung lateraler Bewegungen von IoT-Geräten erfolgreich einzusetzen.
VLAN
Viele Unternehmen setzen ihre IoT-Geräte in einem vollständig von der Produktion getrennten Netzwerk ein, indem sie ein Out-of-Band-Netzwerk oder VLAN verwenden. VLANs schaffen zwar eine Isolierung auf Layer 2, benötigen jedoch Zugriffslisten an ihrer vorgelagerten gerouteten Schnittstelle, um den Traffic auf Layer-3 einzuschränken. Zahlreiche Netzwerkadministratoren wünschen zusätzliche Konfigurationen für strengere Garantien, wie z.B. Zugriffslisten für eingehenden und ausgehenden Datenverkehr und Protokollierung sowohl für erfolgreiche als auch für abgelehnte Verbindungen. Die Verwaltung dieser Zugriffslisten kann schnell an Komplexität zunehmen: Jedes neue Netzwerk ist eine weitere Landschaft, die geschützt, gepatcht und überprüft werden muss.
Wenn sie nicht richtig konfiguriert sind, können die Sicherheitsgarantien von VLANs leicht untergraben werden. Nehmen wir ein Netzwerk mit zwei separaten VLANs. Wenn die Zugriffslisten nicht konsistent auf die beiden entsprechenden Switches angewendet werden, kann ein gehacktes Gerät aus einem VLAN leicht auf ein Gerät im anderen VLAN wechseln. Ein Netzwerkadministrator könnte private VLANs pro Switch verwenden, aber auch dies führt zu zusätzlicher Komplexität.
Einheitliche Konfigurationen und architektonische Entscheidungen sind erforderlich: Dies reicht von den Zugriffslistenregeln bis hin zur Art der an jedem Standort verwendeten Geräte. Nur so kann man VLANs erfolgreich implementieren und laterale Bewegungen verhindern. Je größer die Anzahl der Standorte und der Fußabdruck einer Umgebung ist, desto schwieriger wird dies.
Die Cloudflare-Lösung
Wir verwenden unsere eigenen Produkte, um Geräte zu isolieren, ohne sie in einem separaten Netzwerk einzusetzen. Dies bietet Sicherheitsgarantien, ohne dass zusätzliche Hardware erforderlich ist. Es ist eine serverlose, infrastrukturlose Lösung zur Isolierung eines Netzwerks.
Wie gehen wir dabei vor? Das Hardware-Gerät (für unseren Proof of Concept eine Verkada-Kamera) ist an einen Power-over-Ethernet-Switch angeschlossen. Dieser ist so konfiguriert, dass er seinen Datenverkehr über Anycast GRE an das Cloudflare Global-Netzwerk tunnelt. Dort können wir Regeln aus dem Cloudflare Dash konfigurieren, um Egress-Regeln zu schreiben, die sicherstellen, dass ausgehender Traffic nur dorthin geht, wo er hin soll. Auf diese Weise wird laterale Bewegung verhindert.
Diese Architektur ermöglicht es einem Netzwerkadministrator, den Traffic ab Layer 3 von einem einzigen Dashboard aus zu kontrollieren, indem er Richtlinien sofort auf den eingehenden und ausgehenden Datenverkehr anwendet. Diese Architektur bietet eine einfache Lösung, die sich an eine sich verändernde Umgebung anpassen lässt: Der Schutz ist herstellerunabhängig, verwendet gemeinsame Standards und die Protokollerfassung erfolgt automatisch. Im Vergleich zu anderen Methoden, die vor lateraler Bewegung schützen, bietet Cloudflare eine überragende Benutzerfreundlichkeit, Anpassungsfähigkeit und Sicherheitsgarantien, die notwendig sind, um jede Umgebung mit IoT-Geräten sicher zu verwalten.
| Zero Trust | VLAN | Cloudflare One | |
|---|---|---|---|
| Bei richtiger Konfiguration wird laterale Bewegung verhindert | ✅ | ✅ | ✅ |
| Keine Hardware erforderlich | ✅ | ❌ | ✅ |
| Automatische Protokollierung | ✅ | ❌ | ✅ |
| Isolierung des IoT-Geräts selbst | ❌ | ✅ | ✅ |
| Einziger Konfigurationspunkt | ❌ | ❌ | ✅ |
| Die Komplexität steigt nicht mit der Anzahl der Geräte | ❌ | ❌ | ✅ |
| Geräteunabhängig | ❌ | ❌ | ✅ |
| Geschwindigkeits- und Performance-Vorteile durch das CF-Netzwerk | ❌ | ❌ | ✅ |
Was kommt als Nächstes?
Im 4. Quartal 2021 beauftragten wir einen vertrauenswürdigen Pen-Test-Partner, um diese Einrichtung zu testen. Dabei wurde ein abtrünniges Gerät repliziert, das versuchte, von der Cloudflare One-Architektur aus auf Produktionsnetzwerke zuzugreifen. Sie waren nicht in der Lage, sich lateral zu bewegen. Die Architektur funktioniert also.
Nachdem wir diese Architektur getestet haben, werden wir damit beginnen, Cloudflare One intern an den Standorten unserer Rechenzentren als Teil einer Initiative für physische Sicherheit auszurollen, um unsere vertrauenswürdigsten Assets zu schützen.
Sie wünschen weitere Informationen über die Nutzung von Cloudflare One in Ihrem Unternehmen? Wenden Sie sich bitte an unser Vertriebsteam.