>_AYSOLI SECURITY HUB
THREAT AREA

Public Cloud Landing Zone

Der Aufbau einer Landing Zone ist der wichtigste Schritt bei der Cloud-Adoption. Hier werden die Sicherheits-Leitplanken definiert, die für alle zukünftigen Workloads gelten.

Deine Strategie

Nutze konsequent Infrastructure as Code (IaC) und erzwinge Richtlinien (Guardrails) auf Organisationsebene. Eine Landing Zone ohne automatisierte Sicherheitsprüfung ist ein hohes Risiko.

Best Practices

  • Isolation: Nutze separate Subscriptions/Accounts für unterschiedliche Environments (Dev, Test, Prod).
  • Härtung: Implementiere Cloud Resource Locks für Core-Infrastruktur.
  • Identität: Erzwinge MFA Delete für kritische Ressourcen.

STRIDE-LM Design-Risiken

SpoofingS-CLD-01

Cloud Identity Spoofing

Übernahme von Cloud-Identitäten durch geleakte IAM-Keys.

TamperingT-CLD-01

Cloud Misconfiguration

Unbeabsichtigte Freigabe von Ressourcen durch Fehlkonfiguration.

RepudiationR-CLD-01

Cloud Logging Bypass

Deaktivierung oder Umgehung von Cloud-Audit-Diensten.

Information DisclosureI-CLD-01

Metadata Service Abuse

Auslesen von Instanz-Metadaten zur Erlangung von Cloud-Credentials.

Denial of ServiceD-CLD-01

Denial of Wallet

Erzeugung massiver Kosten durch Ressourcen-Exploitation.

Elevation of PrivilegeE-CLD-01

IAM Role Escalation

Ausnutzung von übermässigen IAM-Rechten zur Rechteausweitung.

Lateral MovementL-CLD-01

Cross-Tenant Lateral Movement

Springen zwischen verschiedenen Cloud-Tenants oder Subscriptions.

Monitoring GapsM-CLD-01

Shadow Cloud Assets

Entstehung von unkontrollierten Ressourcen durch "Wildwuchs".

MITRE ATT&CK® Techniken

Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
IAM Permissions BoundariesErweiterter SchutzMittel
CIS: 6.2NIST: PR.AC-1
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Zero Trust Network Access (ZTNA)Erweiterter SchutzHoch
CIS: 12.2NIST: PR.AC-3
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
Persistence
T1484

Domain Policy Modification

ATT&CK

Ändern von Domänen-Richtlinien zur Rechteausweitung.

Mitigiert durch
IAM Permissions BoundariesErweiterter SchutzMittel
CIS: 6.2NIST: PR.AC-1
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
IAM Permissions BoundariesErweiterter SchutzMittel
CIS: 6.2NIST: PR.AC-1
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Defense Evasion
T1535

Unused/Unsupported Cloud Regions

ATT&CK

Nutzung von nicht überwachten Cloud-Regionen.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Discovery
T1526

Cloud Service Discovery

ATT&CK

Identifizierung von Cloud-Ressourcen und Berechtigungen.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
T1580

Shadow IT Asset Discovery

ATT&CK

Finden von unmanaged Ressourcen im Netzwerk.

Mitigiert durch
IAM Permissions BoundariesErweiterter SchutzMittel
CIS: 6.2NIST: PR.AC-1
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Immutable Audit LogsErweiterter SchutzMittel
CIS: 8.2NIST: PR.PT-1
Impact
T1531

Account Access Removal

ATT&CK

Entfernen des Zugriffs für legitime Benutzer.

Mitigiert durch
Cloud Resource LockingGrundschutzNiedrig
CIS: 5.1NIST: PR.IP-1
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
MFA for Deletion OperationsErweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Public Cloud Landing Zone | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub