● 55 entries

Cloud-Sicherheit

AWS-IMDSv1-AngriffDiebstahl von EC2-Instance-Role-Credentials durch unauthentifizierte GET-Requests an den Legacy-Endpunkt IMDSv1, meist ueber SSRF.
Bring Your Own Key (BYOK)Schlüsselverwaltungsmodell, bei dem der Kunde eigene Verschlüsselungsschlüssel erzeugt oder importiert und in das KMS des Cloud-Anbieters einbringt, statt anbietergenerierte zu nutzen.
CASB (Cloud Access Security Broker)Ein Policy-Durchsetzungspunkt zwischen Anwendern und Cloud-/SaaS-Anwendungen, der für Sichtbarkeit, Datenschutz und Bedrohungsschutz sorgt.
CIEM (Cloud Infrastructure Entitlement Management)Disziplin und Werkzeugkategorie zur Erkennung, Analyse und Verkleinerung von Identitäten und Berechtigungen in Cloud-Umgebungen.
CiliumeBPF-basiertes Container Network Interface, das Networking, Observability und Security fuer Kubernetes-Workloads in Kernel-Geschwindigkeit liefert.
Cloud-CryptojackingUnbefugte Nutzung der Cloud-Compute-Ressourcen eines Opfers zum Mining von Kryptowaehrung, was hohe Rechnungen verursacht waehrend der Angreifer die Belohnungen einstreicht.
Cloud-DatenexfiltrationUnbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten.
Cloud-FehlkonfigurationSicherheitslücke durch falsche oder unsichere Einstellungen von Cloud-Diensten, etwa offene Speicher, schwache IAM-Richtlinien oder freigegebene Management-Ports.
Cloud-Key-LeakVersehentliches Veroeffentlichen langlebiger Cloud-Zugangsschluessel in oeffentlichen Repositories, Container-Images, Logs oder Client-Code, oft binnen Minuten ausgenutzt.
Cloud-Metadata-SSRFServer-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
Cloud-SicherheitDie Gesamtheit aus Richtlinien, Kontrollen und Technologien, die Daten, Anwendungen und Infrastrukturen in Public-, Private- oder Hybrid-Cloud-Umgebungen schützen.
Cloud-Token-DiebstahlDiebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
Cloud-VerschlüsselungVerschlüsselung von Daten, die in Cloud-Diensten gespeichert, verarbeitet oder übertragen werden, damit nur autorisierte Parteien mit den richtigen Schlüsseln sie lesen können.
CNAPP (Cloud-Native Application Protection)Eine integrierte Sicherheitsplattform, die CSPM, CWPP, CIEM, IaC-Scanning und Laufzeitdetektion vereint, um Cloud-Native-Anwendungen vom Build bis zur Laufzeit zu schützen.
Confidential ComputingSchutz von Daten während ihrer Verarbeitung, indem Workloads in hardwarebasierten Trusted Execution Environments laufen, die sie von Host und Cloud-Betreiber isolieren.
Container EscapeEin Exploit, der die Isolation zwischen einem Container und seinem Host durchbricht und dem Angreifer Codeausfuehrung auf dem darunterliegenden Knoten oder Kernel ermoeglicht.
Container-SicherheitDie Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
CSPM (Cloud Security Posture Management)Kategorie von Werkzeugen, die Cloud-Konten kontinuierlich gegen Best-Practice- und Compliance-Baselines prüfen, um Fehlkonfigurationen zu erkennen und zu beheben.
CSPM-FindingAlarm eines Cloud-Security-Posture-Management-Tools, wenn eine Cloud-Ressource gegen einen Security-Benchmark, eine Policy oder eine Compliance-Regel verstoesst.
CWPP (Cloud Workload Protection Platform)Eine Plattform, die Cloud-Workloads – virtuelle Maschinen, Container und Serverless-Funktionen – über ihren gesamten Lebenszyklus vom Build bis zur Laufzeit schützt.
Function as a Service (FaaS)Serverless-Cloud-Modell, in dem kurzlebige Funktionen ereignisgesteuert bedarfsweise ausgeführt werden, während der Anbieter Server, Skalierung und Laufzeit verwaltet.
gVisorgVisor ist ein Open-Source-Application-Kernel von Google, der Container-Syscalls im User-Space abfaengt und damit die Host-Kernel-Angriffsflaeche fuer untrusted Workloads drastisch verkleinert.
Hold Your Own Key (HYOK)Schlüsselmodell, bei dem Verschlüsselungsschlüssel das HSM oder den Keystore des Kunden nie verlassen; der Cloud-Anbieter muss zur Nutzung dorthin zurückrufen.
IAM-Fehlkonfiguration (Cloud)Unsichere oder zu großzügige Cloud-IAM-Einstellungen, die Nutzern, Rollen oder Diensten Aktionen über das tatsächliche Bedarfsmaß hinaus erlauben.
IAM-Privilege-EscalationMissbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
Infrastructure as a Service (IaaS)Cloud-Service-Modell, bei dem der Anbieter virtualisierte Compute-, Storage- und Netzressourcen liefert, während der Kunde Betriebssystem, Middleware und Anwendungen darüber verwaltet.
Istio-SicherheitSicherheits-Feature-Set des Istio-Service-Mesh: Workload-Identität via SPIFFE, automatisches mTLS und AuthorizationPolicy/RequestAuthentication für feingranulare Zugriffskontrolle.
Kata ContainersKata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
kube-benchOpen-Source-Tool von Aqua Security, das die Konfiguration eines Kubernetes-Clusters automatisiert gegen das CIS Kubernetes Benchmark prueft.
Kubernetes Admission ControllerEin Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
Kubernetes NetworkPolicyEine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.
Kubernetes-Cluster-AngriffEingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen.
Kubernetes-SicherheitSchutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
KubescapeOpen-Source-Kubernetes-Security-Plattform von ARMO, die Cluster, Manifeste und Images auf Fehlkonfigurationen, Schwachstellen und Policy-Drift prueft.
KyvernoKyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
MandantentrennungBündel an Kontrollen, das in einer geteilten Cloud- oder SaaS-Plattform sicherstellt, dass Daten, Identitäten und Workloads eines Kunden nicht von einem anderen erreicht oder beeinflusst werden.
Modell der geteilten VerantwortungEin Cloud-Sicherheitsrahmen, der die Sicherheitsaufgaben zwischen dem Cloud-Anbieter (Sicherheit der Cloud) und dem Kunden (Sicherheit in der Cloud) aufteilt.
OPA (Open Policy Agent)CNCF-graduierte, universelle Policy-Engine, die mit der Rego-Sprache Autorisierungsentscheidungen von Anwendungen und Kubernetes-Admission entkoppelt.
OPA GatekeeperOPA Gatekeeper ist ein CNCF-Policy-Controller, der Open Policy Agent und die Sprache Rego nutzt, um Admission- und Audit-Policies fuer Kubernetes-Ressourcen durchzusetzen.
Platform as a Service (PaaS)Ein Cloud-Modell, bei dem der Anbieter Runtime, Middleware, Betriebssystem und Infrastruktur verwaltet, während sich der Kunde auf Anwendungscode und Daten konzentriert.
Pod Security StandardsPod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
Policy as CodePraxis, Sicherheits-, Compliance- und Governance-Regeln in maschinenlesbarem Code zu definieren, sodass sie versioniert, getestet, reviewt und automatisch durchgesetzt werden.
S3-Bucket-FehlkonfigurationFehlkonfiguration eines Amazon-S3-Buckets (oder vergleichbaren Objektspeichers), die Objekte freigibt, unerwünschte Schreibzugriffe erlaubt oder zu breiten Cross-Account-Zugriff gewährt.
Secure EnclaveHardware-isolierter, integritätsgeschützter Bereich eines Prozessors oder SoC, der sensiblen Code ausführt und Schlüssel außer Reichweite des Hauptbetriebssystems speichert.
Security as CodePraxis, Sicherheitskontrollen, Tests und Infrastruktur als Quellcode auszudrücken, sodass sie versioniert, peer-reviewt, automatisiert und kontinuierlich mit Apps ausgeliefert werden.
Serverless-SicherheitDie Absicherung ereignisgesteuerter, funktionsbasierter Workloads wie AWS Lambda, Azure Functions oder Google Cloud Functions, bei denen der Anbieter die zugrundeliegenden Server verwaltet.
Service-Mesh-SicherheitSammlung von Identitäts-, Verschlüsselungs- und Autorisierungskontrollen, die ein Service Mesh bereitstellt, um Service-zu-Service-Traffic in Cloud-Native-Umgebungen abzusichern.
ServiceAccount-Token (Kubernetes)JWT-Credential, das in einen Kubernetes-Pod gemountet wird und den Workload gegenueber dem API-Server sowie Services authentifiziert, die dem Cluster-Identity-Provider vertrauen.
Software as a Service (SaaS)Cloud-Bereitstellungsmodell, bei dem ein Anbieter eine Anwendung betreibt, die Kunden im Abonnement über das Internet nutzen.
SPIFFEOffener Standard zur Vergabe kryptografischer, portabler Identitäten an Workloads über URI-basierte SPIFFE-IDs und kurzlebige X.509- oder JWT-SVIDs.
SPIRE-RuntimeOpen-Source-Referenzimplementierung von SPIFFE: ein Server-Agent-System, das Workloads attestiert und kurzlebige X.509- oder JWT-SVIDs ausstellt.
SSPM (SaaS Security Posture Management)Werkzeugkategorie, die SaaS-Konfigurationen, Identitäten und Integrationen kontinuierlich überwacht, um Fehlkonfigurationen und riskantes Verhalten zu erkennen.
TetragoneBPF-basiertes Kubernetes-Runtime-Sicherheitstool aus dem Cilium-Projekt, das Prozesse, Dateien und Netzwerkaktivitaet beobachtet und synchron Richtlinien durchsetzt.
Trusted Execution Environment (TEE)Sicherer, isolierter Ausführungskontext im Prozessor, in dem Code und Daten in Vertraulichkeit und Integrität geschützt sind — auch vor Host-OS und Hypervisor.
Workload-IdentitätKryptografische Identität für einen Service, Container oder eine Funktion, mit der dieser sich gegenüber anderen Systemen ohne langlebige geteilte Secrets authentifiziert.