Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

IoT-Geräte mit Cloudflare One schützen

2022-03-18

Lesezeit: 3 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Español, und 简体中文 verfügbar.

In Ihrem Haus gibt es wahrscheinlich ein unsicheres Gerät mit einer ausnutzbaren Sicherheitslücke. Und in Ihrem Büro. Wahrscheinlich sogar in der Schule, die Ihr Kind besucht. Kameras, Drucker, Lautsprecher, Zutrittskontrollleser, Thermostate, sogar Herzmonitore... all diese Geräte sind oder können Internet of Things (IoT)-Geräte sein. Diese IoT-Geräte sind nahtlos in unser modernes Leben integriert, um die Effizienz und die Kontrolle über unsere Umgebung zu verbessern. Sie sind jedoch notorisch unsicher. Das liegt an der eingeschränkten Hardware der Geräte und ihrer begrenzten Rechenkapazität. Diese führt oft zu minimalen Zugriffskontrollen, fest kodierten Passwörtern und der Unmöglichkeit, Patches aus der Ferne zu installieren.

Die Realität dieser Bedrohung kann dramatische Ausmaße annehmen. Nehmen Sie zum Beispiel den Angriff des Mirai-Botnetzes 2016. Damals nutzten Hacker Millionen von IoT-Geräten aus, um ein groß angelegtes Botnetz aufzubauen, das DDoS-Angriffe starten konnte, die große Teile des Internets lahmlegten, darunter Twitter, The Guardian und CNN. Diese Art von Angriffen sind keine Seltenheit. Cloudflare erlebte diese Realität im März 2021 am eigenen Leib, als einer unserer potenziellen Anbieter für physische Sicherheitskameras, Verkada, kompromittiert wurde. Der Vorfall ermöglichte es einem Hacker, auf die internen Support-Tools von Verkada zuzugreifen, um die Kameras aus der Ferne zu verwalten, so dass er versuchen konnte, lateral auf andere Geräte im Netzwerk zuzugreifen. Glücklicherweise sorgte das Zero Trust-Modell bei Cloudflare dafür, dass sich Hacker nicht lateral bewegen konnten; der Vorfall betraf nur die Kameras und sonst nichts.

Aber selbst wenn wir nicht betroffen sind: Wir betrachten Sicherheitsvorfälle als Grund zum Anlass, unsere Sicherheitsprodukte einen Schritt weiterzuentwickeln. Wir haben uns gefragt: Können wir unsere eigenen Produkte nutzen, um IoT-Geräte selbst zu sichern – sogar im selben Netzwerk wie die Produktionssysteme – und so sicherstellen, dass jede Kompromittierung dieser notorisch unsicheren Geräte isoliert wird? Die Antwort lautet: Ja, mit Cloudflare One.

Moderne Lösungen: Sicherheit mit Komplexität

Zero Trust-Modell

Wie bereits erwähnt, war Cloudflare nicht von einer IoT-Kompromittierung betroffen, da wir ein Zero-Trust-Modell verwenden. Wenn die Umgebungsbedingungen es zulassen, wie z.B. in den Unternehmensniederlassungen von Cloudflare, kann das Unternehmensnetzwerk mit einem Zero-Trust-Modell umzäunt werden. Laterale Bewegungen werden verhindert, da für den Zugriff auf jeden anderen Teil des Netzwerks eine Authentifizierung erforderlich ist. Da das IoT-Gerät selbst nicht isoliert ist, muss sorgfältig darauf geachtet werden, dass alle anderen Zugangspunkte zum Netzwerk hinter dem Zero-Trust-Zugang liegen.

Allerdings können nicht alle Umgebungen so sorgfältig kontrolliert werden. Nehmen Sie zum Beispiel die Rechenzentren. Das Vorhandensein anderer Anbieter, die Komplexität alter Produktionsnetzwerke und die Verbreitung von Maschine-zu-Maschine-Verbindungen bedeutet, dass wir bei der Installation eines IoT-Geräts (z. B. eines Zutrittslesers oder einer Kamera) nicht die gleichen Zero-Trust-Garantien geben können wie in unseren Firmenbüros. Die Komplexität der Umgebung nimmt immer weiter zu. Dadurch wird es immer schwieriger, ein Zero-Trust-Modell zur Verhinderung lateraler Bewegungen von IoT-Geräten erfolgreich einzusetzen.

VLAN

Viele Unternehmen setzen ihre IoT-Geräte in einem vollständig von der Produktion getrennten Netzwerk ein, indem sie ein Out-of-Band-Netzwerk oder VLAN verwenden. VLANs schaffen zwar eine Isolierung auf Layer 2, benötigen jedoch Zugriffslisten an ihrer vorgelagerten gerouteten Schnittstelle, um den Traffic auf Layer-3 einzuschränken. Zahlreiche Netzwerkadministratoren wünschen zusätzliche Konfigurationen für strengere Garantien, wie z.B. Zugriffslisten für eingehenden und ausgehenden Datenverkehr und Protokollierung sowohl für erfolgreiche als auch für abgelehnte Verbindungen. Die Verwaltung dieser Zugriffslisten kann schnell an Komplexität zunehmen: Jedes neue Netzwerk ist eine weitere Landschaft, die geschützt, gepatcht und überprüft werden muss.

Wenn sie nicht richtig konfiguriert sind, können die Sicherheitsgarantien von VLANs leicht untergraben werden. Nehmen wir ein Netzwerk mit zwei separaten VLANs. Wenn die Zugriffslisten nicht konsistent auf die beiden entsprechenden Switches angewendet werden, kann ein gehacktes Gerät aus einem VLAN leicht auf ein Gerät im anderen VLAN wechseln. Ein Netzwerkadministrator könnte private VLANs pro Switch verwenden, aber auch dies führt zu zusätzlicher Komplexität.

Einheitliche Konfigurationen und architektonische Entscheidungen sind erforderlich: Dies reicht von den Zugriffslistenregeln bis hin zur Art der an jedem Standort verwendeten Geräte. Nur so kann man VLANs erfolgreich implementieren und laterale Bewegungen verhindern. Je größer die Anzahl der Standorte und der Fußabdruck einer Umgebung ist, desto schwieriger wird dies.

Die Cloudflare-Lösung

Wir verwenden unsere eigenen Produkte, um Geräte zu isolieren, ohne sie in einem separaten Netzwerk einzusetzen. Dies bietet Sicherheitsgarantien, ohne dass zusätzliche Hardware erforderlich ist. Es ist eine serverlose, infrastrukturlose Lösung zur Isolierung eines Netzwerks.

Wie gehen wir dabei vor? Das Hardware-Gerät (für unseren Proof of Concept eine Verkada-Kamera) ist an einen Power-over-Ethernet-Switch angeschlossen. Dieser ist so konfiguriert, dass er seinen Datenverkehr über Anycast GRE an das Cloudflare Global-Netzwerk tunnelt. Dort können wir Regeln aus dem Cloudflare Dash konfigurieren, um Egress-Regeln zu schreiben, die sicherstellen, dass ausgehender Traffic nur dorthin geht, wo er hin soll. Auf diese Weise wird laterale Bewegung verhindert.

Diese Architektur ermöglicht es einem Netzwerkadministrator, den Traffic ab Layer 3 von einem einzigen Dashboard aus zu kontrollieren, indem er Richtlinien sofort auf den eingehenden und ausgehenden Datenverkehr anwendet. Diese Architektur bietet eine einfache Lösung, die sich an eine sich verändernde Umgebung anpassen lässt: Der Schutz ist herstellerunabhängig, verwendet gemeinsame Standards und die Protokollerfassung erfolgt automatisch. Im Vergleich zu anderen Methoden, die vor lateraler Bewegung schützen, bietet Cloudflare eine überragende Benutzerfreundlichkeit, Anpassungsfähigkeit und Sicherheitsgarantien, die notwendig sind, um jede Umgebung mit IoT-Geräten sicher zu verwalten.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-ycr8{background-color:#ffffff;text-align:left;vertical-align:top} .tg .tg-v0hj{background-color:#efefef;border-color:inherit;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-dvid{background-color:#efefef;border-color:inherit;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-c6of{background-color:#ffffff;border-color:inherit;text-align:left;vertical-align:top} .tg .tg-3xi5{background-color:#ffffff;border-color:inherit;text-align:center;vertical-align:top} .tg .tg-i81m{background-color:#ffffff;text-align:center;vertical-align:top}

Zero Trust VLAN Cloudflare One
Prevents lateral movement with proper configuration
Hardware not required
Automatic logging
Isolation of IoT Device itself
Single point of configuration
Complexity does not increase with number of devices
Device agnostic
Speed and performance benefits from CF's network

Zero Trust

VLAN

Cloudflare One

Bei richtiger Konfiguration wird laterale Bewegung verhindert

Keine Hardware erforderlich

Automatische Protokollierung

Isolierung des IoT-Geräts selbst

Einziger Konfigurationspunkt

Die Komplexität steigt nicht mit der Anzahl der Geräte

Geräteunabhängig

Geschwindigkeits- und Performance-Vorteile durch das CF-Netzwerk

Was kommt als Nächstes?

Im 4. Quartal 2021 beauftragten wir einen vertrauenswürdigen Pen-Test-Partner, um diese Einrichtung zu testen. Dabei wurde ein abtrünniges Gerät repliziert, das versuchte, von der Cloudflare One-Architektur aus auf Produktionsnetzwerke zuzugreifen. Sie waren nicht in der Lage, sich lateral zu bewegen. Die Architektur funktioniert also.

Nachdem wir diese Architektur getestet haben, werden wir damit beginnen, Cloudflare One intern an den Standorten unserer Rechenzentren als Teil einer Initiative für physische Sicherheit auszurollen, um unsere vertrauenswürdigsten Assets zu schützen.

Sie wünschen weitere Informationen über die Nutzung von Cloudflare One in Ihrem Unternehmen? Wenden Sie sich bitte an unser Vertriebsteam.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare OneCloudflare Zero TrustZero TrustProdukt-NewsIoTSicherheit

Folgen auf X

Cloudflare|@cloudflare

Verwandte Beiträge

02. Oktober 2024 um 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

27. September 2024 um 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

27. September 2024 um 13:00

Advancing cybersecurity: Cloudflare implements a new bug bounty VIP program as part of CISA Pledge commitment

Cloudflare strengthens its commitment to cybersecurity by joining CISA's "Secure by Design" pledge. In line with this commitment, we're enhancing our vulnerability disclosure policy by launching a VIP bug bounty program, giving top researchers early access to our products. Keep an eye out for future updates regarding Cloudflare's CISA pledge as we work together to shape a safer digital future....