Cloud Ver­schlüs­selung leicht gemacht

Mit der steigen­den Anzahl an reinen Cloud Anwen­dun­gen (SaaS) wer­den ver­mehrt auch sen­si­bel Dat­en in Cloud-Anwen­dun­gen ver­ar­beit­et und gespe­ichert. Anwen­dun­gen die in Europa gehostet sind und aus­re­ichende Garantien, z.B. Sicher­heit­sz­er­ti­fizierun­gen, bieten eignen sich für die Ver­ar­beitung von sen­si­blen als auch per­so­n­en­be­zo­ge­nen Dat­en, da die Cloud-Anbi­eter für die Sicher­heit sor­gen.

Sobald Unternehmen aber selb­st Cloud Dien­ste etablieren (mit PaaS) , oder Serv­er in die Cloud ver­schieben (IaaS) müssen diese Dien­ste und Serv­er zuver­läs­sig abgesichert wer­den. Diese Auf­gabe kann ein Key-Man­age­ment-Serv­er in Kom­bi­na­tion mit einem Ver­schlüs­selungs­di­enst am Serv­er selb­st übernehmen. Das Konzept der File&Folder-Verschlüsselung sowie der Ein­satz des Key Man­age­ment Inter­op­er­abil­i­ty Pro­to­col (KMIP) schützen Ihre Dat­en zuver­läs­sig. Wir erk­lären wie es funk­tion­iert!

Cloud Ver­schlüs­selung für PaaS und IaaS

Je nach Ange­bot des Cloud-Anbi­eters bieten Plat­form-as-a-Ser­vice (PaaS) oder Infra­struc­ture-as-a-Ser­vice (IaaS) direk­te oder eingeschränk­te Möglichkeit selb­st Soft­ware zu instal­lieren. Diesen Vorteil aus­nutzend kön­nen auch Ver­schlüs­selungslö­sun­gen direkt auf den Cloud-Servern instal­liert wer­den.

Die Cloud Ver­schlüs­selungslö­sun­gen kön­nen in die fol­gen­den Kat­e­gorien grup­piert wer­den:

Bring-You-Own-Key (BYOK): Eine Meth­ode bei der ein Schlüs­sel auf sicherem Weg an den Cloud-Anbi­eter geliefert wird um die Cloud-Serv­er mit dieses, oder einem daraufs abgeleit­eten Schlüs­sel, zu ver­schlüs­seln. Bei allen BYOK Konzepten ist man darauf angewiesen, dass der an den Cloud-Anbi­eter übergebene Schlüs­sel sich­er vom Cloud-Betreiber gespe­ichert wird und nur berechtigten Serv­er-Instanzen bere­it­gestellt wird. In der Regel haben die Kun­den nach der Über­gabe des Schlüs­sels keine direk­te Kon­trolle des Schlüs­sels mehr. Die meis­ten BYOK Konzepte erfordern ein Hard­ware-Secu­ri­ty-Mod­ul (HSM) bei Cloud-Anbi­eter.

Unsere Experten helfen Ihnen bei der sicheren Erstel­lung eines BYOK Schlüs­sels und dem Wrap­ping des Schlüs­sels für den Cloud-Anbi­eter. Hier­für benöti­gen unsere Kun­den ein eigenes HSM, zumeist reicht hier ein USB-HSM.

Hold-Your-Own-Key (HYOK): Im HYOK wer­den durch den Kun­den über ein Key-Man­age­ment-Sys­tem (KMS) Schlüs­sel erzeugt und über eine automa­tis­che Schnittstelle dem Cloud-Anbi­eter bere­it­gestellt, sobald eine Disk oder ein Cloud-Serv­er des Kun­den ges­tartet wer­den soll. Die häu­fig­ste Schnittstelle für den Aus­tausch von Schlüs­seln mit einem KSM ist die stan­dar­d­isierte KMIP Schnittstelle.

Speziell durch die KMIP Schnittstelle von VMware, NetApp und viel­er weit­er­er Her­steller kön­nen mit einem KMS eine Vielzahl an Sys­te­men mit Schlüs­seln ver­sorgt wer­den. Der große Vorteil dieses Konzeptes ist, dass die Schlüs­sel beim Kun­den verbleiben und somit die Berech­ti­gung für die Nutzung von Ver­schlüs­selungss­chlüs­seln in der Cloud jed­erzeit vom Kun­den ent­zo­gen wer­den kön­nen. Der Berech­ti­gungsentzug gilt in der Regel aber erst für den näch­sten Start eines Servers oder eines Stor­age-Vol­u­mens.

In Koop­er­a­tion mit unserem Part­ner Thales eSe­cu­ri­ty bietet CPSD leis­tungsstarke Key-Man­age­ment-Sys­teme für Stan­dar­d­an­wen­dun­gen an. Die KMS Sys­teme von Thales unter­stützen zusät­zlich auch die File&Folder Encryp­tion Lösung von Thales.

File & Fold­er Encryp­tion: Mit dieser Tech­nolo­gie wird über einen Treiber im Betrieb­sys­tem (Unix, Lin­ux, Win­dows) die Ver­schlüs­selung für ver­schiedene Verze­ich­nis­bäume ermöglicht. Der Betrieb­ssys­tem-Treiber erhält seine Schlüs­sel von einem zen­tralen Key-Man­age­ment-Sys­tem und erlaubt autorisierten Anwen­dun­gen die Ver- und Entschlüs­selung von Dat­en. Die File&Folder-Verschlüsselungstreiber bieten eine gran­u­lare Kon­trolle der autorisierten Benutzer und Anwen­dun­gen. Eben­falls kön­nen ver­schiedene Schlüs­sel für die unter­schiedlichen Verze­ich­nis­bäume ver­wen­det wer­den.

Im Gegen­satz zu BYOK und HYOK erlaubt die File&Folder Ver­schlüs­selung einen peri­odis­chen Schlüs­sel­wech­sel, da die Datei­in­halte zur Laufzeit vom Treiber umgeschlüs­selt wer­den kön­nen. Dieser Schlüs­sel­wech­sel ist für einige Com­pli­ance-Anforderun­gen wie die PCI-DSS exis­ten­ziell.

Auch bei der Pro­tokol­lierung bieten File&Folder Ver­schlüs­selungslö­sun­gen große Vorteile zu Block-Ver­schlüs­selun­gen wir BYOK oder HYOK. Alle Daten­zu­griffe kön­nen detail­liert über den Benutzer­ac­count, die zugreifende Anwen­dung und die Aktion (lesen, schreiben, ändern, löschen, etc.) auf die Dat­en revi­sion­ssich­er pro­tokol­liert wer­den.

Mit dem Part­ner Vor­met­ric (Teil von Thales eSe­cu­ri­ty) bietet CPSD eine zuver­läs­sige File&Folder Ver­schlüs­selung für alle gängi­gen Betrieb­ssys­teme an. Instal­lier­bar sind die Vor­met­ric Trans­par­ent Encryp­tion Agents unter anderem für Microsoft Azure, Ama­zon Web Ser­vices (AWS) und Google Cloud Plat­form (GCP) Com­pute Instances.

Serv­er-Ver­schlüs­selung im eige­nen Rechen­zen­trum

Selb­stver­ständlich lassen sich alle Ver­schlüs­selungslö­sun­gen, bis auf die BYOK Meth­ode, die nur im Cloud-Umfeld Sinn macht, auch im eige­nen Rechen­zen­trum anwen­den. Durch Daten­ver­schlüs­selung erre­ichen Sie einen hohen Secu­ri­ty-Lev­el bei der Ver­ar­beitung von Dat­en, speziell auch als Ver­ant­wortlich­er oder Ver­ar­beit­er von per­so­n­en­be­zo­ge­nen Dat­en im Sinne der Daten­schutz-Grund­verord­nung — DSGVO.



2018-10-15T13:45:02+00:00 17.04.2018|

Über den Autor:

Andreas Schuster ist 45 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Hinterlassen Sie einen Kommentar