Cloud Security
SEC Consult hilft Ihnen bei der Aufdeckung von Angriffsvektoren in Ihrer Cloud- und Container-Infrastruktur. Mit unseren ausgefeilten Exploits und unserer Erfahrung decken wir Schwachstellen, Fehlkonfigurationen, Wege zur Privilegienerweiterung, seitliche Bewegungen zwischen Umgebungen und sogar Einbrüche in die Infrastruktur vor Ort auf.
Cloud Security von Experten
Beste Industrie-Zertifikate
Die Sicherheitsberater von SEC Consult werden von den besten Experten der Branche und direkt von den Providern ausgebildet und zertifiziert. Wir kombinieren offensive und defensive Zertifizierungen, damit unsere Mitarbeiter Schwachstellen aufspüren und die IT-Architektur auf Basis modernster Lösungen verbessern können.
Unser Team verfügt unter anderem über die folgenden Zertifizierungen:
- AWS Zertifizierte Sicherheit - Spezialität
- Microsoft Zertifiziert: Azure Sicherheitsingenieur Associate (AZ-500)
- GIAC Cloud Durchdringungstester (GCPN)
- Zertifizierter Kubernetes-Sicherheitsspezialist (CKS)
Full Stack Wissen
Unsere Sicherheitsberater sind mit allen führenden Technologien vertraut und können Ihr gesamtes Line-up unterstützen: Von der Cloud über Container, Ihr internes Netzwerk bis hin zu Ihren Web- und mobilen Anwendungen - unsere Berater können Sie unabhängig unterstützen und die beste Lösung bieten.
Passende Erfahrung und Full Process Service
Um Ihnen einen umfassenden 360°-Service zu bieten, begleiten unsere Spezialisten Sie auf jedem Schritt des Weges. SEC Consult wird Ihnen den perfekten Experten für Ihr Projekt zuweisen, egal ob Sie AWS, Azure oder GCP nutzen - wir haben jemanden für alle Ihre Bedürfnisse. Darüber hinaus wird jedes Projekt von erfahrenen Projektmanagern überwacht.
Maßgeschneiderte Sicherheitslösungen für die Cloud
- Erfahrene und zertifizierte Experten für AWS, Azure und GCP
- Vollständiges Stack-Wissen
- Lösungen auf dem neuesten Stand der Technik
- 360° Dienstleistung
- Unabhängig von Software-Herstellern: Wir finden immer die beste Lösung für Sie
SEC Consult sorgt für Sicherheit in der Cloud
Unsere Experten prüfen die Public-Cloud-Plattform auf Herz und Nieren. In unserem Cloud-Pentest achten wir besonders auf diese Punkte:
- Least-Privilege-Prinzip für alle Nutzer
- Trennung verschiedener Umgebungen: z.B. Produktions- & Entwicklungsumgebung oder Projekt A & Projekt B
- Einhaltung der Empfehlungen des Cloud-Anbieters
Unsere Cloud-Sicherheitsbewertungen umfassen sowohl die Kontrollschicht als auch die Datenschicht:
- Die Kontrollschicht definiert die Berechtigungen, den Zugriff auf und die Ausführung von Ressourcen und Programmen und setzt diese miteinander in Beziehung. Sie enthält auch viele Sicherheitsfunktionen des Cloud-Anbieters.
- Die Datenschicht führt den Anwendungscode aus, speichert und bearbeitet Endkundendaten und sorgt dafür, dass die Kommunikation zwischen den verschiedenen Ressourcen nach den festgelegten Regeln erfolgt.
Worauf Sie bei der Durchführung von Cloud Security Assessments achten müssen
Unser Cloud-Pentest ist eine wichtige und effiziente Methode zur Verbesserung Ihres Sicherheitsniveaus in der Cloud. Dennoch handelt es sich nur um eine Momentaufnahme des Sicherheitsstatus Ihrer Systeme, und Änderungen in den Einstellungen, Uploads usw. können die Situation verändern. Daher sollten Sie wachsam bleiben und sich nicht auf die Annahme verlassen, dass Ihre Sicherheit in der Cloud von nun an in der alleinigen Verantwortung des Providers liegt.
Nein, alle Cloud-Anbieter folgen vielmehr einer Form des "Modells der geteilten Verantwortung". Das bedeutet, dass sich die Cloud-Anbieter je nach Kategorie des Dienstes um einen Teil der Sicherheit kümmern. Generell gilt jedoch: "If you can touch it, you own it" - oder anders ausgedrückt: Wenn Sie die Einstellungen für eine Ressource ändern oder entscheiden können, was Sie ausführen möchten, liegt die Sicherheit im Allgemeinen in Ihrer Verantwortung. Es ist wichtig, daran zu denken: Auch wenn es sich um einen vollständig verwalteten Dienst handelt, sind Sie für die von ihnen hochgeladenen Daten und die Zugriffsrechte verantwortlich.
AWS, Azure und GCP haben inzwischen die Anforderung abgeschafft, sie über Pentests von Ressourcen in ihrer Infrastruktur zu informieren. Jeder Anbieter hat eine Reihe von Regeln dafür aufgestellt, welche Dienste und welche Aktionen erlaubt sind, ohne dass sie darüber informiert werden müssen. Generell kann man sagen, dass es dem "Modell der geteilten Verantwortung" ähnlich ist. Das bedeutet, dass Pentests auf Ressourcen, die Sie selbst verwalten, erlaubt sind. Auf der anderen Seite erlaubt kein Provider das Testen von Distributed Denial of Service (DDoS) Angriffen oder das Angreifen anderer Kunden. SEC Consult kann Sie dabei unterstützen, die spezifischen Bedingungen zu verstehen, um festzustellen, ob es in Ihrem speziellen Fall notwendig ist, den Cloud-Anbieter zu informieren.