Drucksache: windows.developer Magazin 4.2015 - Azures Sicherheit - ein Update
Im windows.developer 4.15 ist ein Artikel über die Sicherheit von Azure erschienen. Es handelt sich um ein Update für den Artikel im windows.developer 2.2014 zum gleichen Thema.
Das ist jetzt etwas mehr als ein Jahr her, und in der Zeit hat sich einiges getan. Erfreulicherweise ziemlich wenig auf Seiten der Cyberkriminellen Angreifer, dafür sehr viel mehr auf Seiten der "Verteidigung". Microsoft hat an etlichen Stellschrauben gedreht, um die Gesamtsicherheit von Azure zu erhöhen. Trotzdem gibt es weiter Verbesserungsbedarf. So muss zum Beispiel der Hypervisor noch sehr viel gründlicher untersucht werden, bis man zumindest halbwegs sicher sein kann, dass keine kritischen Schwachstellen mehr darin verborgen sind.
Völlig ausgeklammert habe ich die Frage, ob man angesichts der Enthüllungen Edward Snowdens einem US-amerikanischen Cloud-Anbieter überhaupt in irgend einer Form sensitive Daten anvertrauen darf. Die Verbesserungen im Bereich der Kryptographie dürften zumindest teilweise eine direkte Reaktion auf diese Veröffentlichungen sein. Ob das reicht, das Vertrauen wieder her zu stellen, wage ich zu bezweifeln. Zumindest so lange, wie US-Gerichte der Ansicht sind, dass alles, was ein US-amerikanisches Unternehmen irgendwo auf der Welt speichert, auf Zuruf an die US-Strafverfolger und -Geheimdienste herausgegeben werden muss. Denn das ist ein soziales und kein technisches Problem. Man kann es zwar teilweise mit technischen Mitteln lösen, aber nicht vollständig.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Azure und die Sicherheit", windows.developer 2.2014
- [2] Bodo Möller; Google Online Security Blog: "This POODLE bites: exploiting the SSL 3.0 fallback"
- [3] Bodo Möller, Thai Duong, Krzysztof Kotowicz: "This POODLE Bites: Exploiting The SSL 3.0 Fallback" (PDF)
- [4] RFC 6101: The Secure Sockets Layer (SSL) Protocol Version 3.0
- [5] Carsten Eilers: "BEAST - Ein neuer Angriff auf SSL und TLS 1.0"
- [6] Carsten Eilers: "About Security #117: Mobile Security — WLAN-Hotspots" (via archive.org)
- [7] Bode Möller, Adam Langley; IETF Draft: "TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks"
- [8] Qualys SSL Labs: SSL Server Test
- [9] ISC: SSLv3 Poodle Attack Check
- [10] André N. Klingsheim; The .NET n00b: "Hardening Windows Server 2008/2012 and Azure SSL/TLS configuration"
- [11] Microsoft Security Advisory 3009008: "Vulnerability in SSL 3.0 Could Allow Information Disclosure"
- [12] OpenSSL Security Advisory [15 Oct 2014]
- [13] Nazim Lala; Azure Blog: "How to Disable SSL 3.0 in Azure Websites, Roles, and Virtual Machines"
- [14] Felix Wilhelm, Matthias Luft, Enno Rey; Hack in the Box Amsterdam 2014: "Compromise-as-a-Service: Our PleAZURE"
- [15] Matthias Luft, Felix Wilhelm; Troopers 14: "Compromise-as-a-Service: Our PleAZURE"
- [16] ERNW Newsletter 43 (Juni 2014): "Security Assessment of Microsoft Hyper-V"
- [17] Microsoft Security Bulletin MS13-092: "Vulnerability in Hyper-V Could Allow Elevation of Privilege (2893986)"
- [18] CVE-2013-3898
- [19] Jérôme Segura; Malwarebytes Unpacked Blog: "Cyber-criminals interested in Microsoft Azure too"
- [20] Troy Hunt: "The complete guide to loading a free SSL certificate into an Azure website"
- [21] Caroline Donnelly; Cloud Pro: "Microsoft Azure to get security & disaster recovery boost"
- [22] Simon Bisson; CITEWorld: "Azure security update addresses fears of a post-Snowden world"
- [22] Paul Ferrill; eSecurity Planet: "Microsoft Amps up Azure's Security Features"
- [23] Bryon Surace; Azure Blog: "Azure Virtual Machine Disk Encryption using CloudLink"
- [24] Microsoft Azure Marketplace - Active Directory applications
- [25] Matthew Henderson; Azure Blog: "Roles-Based Access Control in Mobile Services and Azure Active Directory"
- [26] Microsoft Rights Management Services
- [27] Ganesh Srinivasan; Azure Blog: "ExpressRoute: An overview"
- [28] Ganesh Srinivasan; Azure Blog: "ExpressRoute or Virtual Network VPN – What’s right for me?"
- [29] ExpressRoute Technical Overview - Connection Types, Locations, and Service Providers
- [30] Ganesh Srinivasan; Azure Blog: "New ExpressRoute locations and partners"
- [31] Differences between Azure Guest OS and Default Windows Server
- [32] Mike Reavey; Cyber Trust Blog: "Strengthening encryption for Microsoft Azure customers"
- [33] Scott Field; Azure Blog: "TLS/SSL Cipher Suite Enhancements and Perfect Forward Secrecy"
- [34] Carsten Eilers: "Heute aufgezeichnet – morgen entschlüsselt?"; PHP Magazin 5.2014
- [35] Erez Benari; Azure Blog: "Next Generation Cryptography now available with Azure Web Sites"
- [36] Tony Petrossian; Azure Blog: "A Boost in Security for Azure SQL Database: Auditing"
- [37] Ashwin Palekar; Azure Blog: "New Windows Azure Network Security Whitepaper"
- [38] Scott Field; Azure Blog: "Everything You Ever Wanted to Know About Data Protection and More"
Trackbacks