Mit der steigen­den Anzahl an reinen Cloud Anwen­dun­gen (SaaS) wer­den ver­mehrt auch sen­si­bel Dat­en in Cloud-Anwen­dun­gen ver­ar­beit­et und gespe­ichert. Anwen­dun­gen die in Europa gehostet sind und aus­re­ichende Garantien, z.B. Sicher­heit­sz­er­ti­fizierun­gen, bieten eignen sich für die Ver­ar­beitung von sen­si­blen als auch per­so­n­en­be­zo­ge­nen Dat­en, da die Cloud-Anbi­eter für die Sicher­heit sor­gen.

Sobald Unternehmen aber selb­st Cloud Dien­ste etablieren (mit PaaS) , oder Serv­er in die Cloud ver­schieben (IaaS) müssen diese Dien­ste und Serv­er zuver­läs­sig abgesichert wer­den. Diese Auf­gabe kann ein Key-Man­age­ment-Serv­er in Kom­bi­na­tion mit einem Ver­schlüs­selungs­di­enst am Serv­er selb­st übernehmen. Das Konzept der File&Folder-Verschlüsselung sowie der Ein­satz des Key Man­age­ment Inter­op­er­abil­i­ty Pro­to­col (KMIP) schützen Ihre Dat­en zuver­läs­sig. Wir erk­lären wie es funk­tion­iert!

Cloud Ver­schlüs­selung für PaaS und IaaS

Je nach Ange­bot des Cloud-Anbi­eters bieten Plat­form-as-a-Ser­vice (PaaS) oder Infra­struc­ture-as-a-Ser­vice (IaaS) direk­te oder eingeschränk­te Möglichkeit selb­st Soft­ware zu instal­lieren. Diesen Vorteil aus­nutzend kön­nen auch Ver­schlüs­selungslö­sun­gen direkt auf den Cloud-Servern instal­liert wer­den.

Die Cloud Ver­schlüs­selungslö­sun­gen kön­nen in die fol­gen­den Kat­e­gorien grup­piert wer­den:

Bring-You-Own-Key (BYOK): Eine Meth­ode bei der ein Schlüs­sel auf sicherem Weg an den Cloud-Anbi­eter geliefert wird um die Cloud-Serv­er mit dieses, oder einem daraufs abgeleit­eten Schlüs­sel, zu ver­schlüs­seln. Bei allen BYOK Konzepten ist man darauf angewiesen, dass der an den Cloud-Anbi­eter übergebene Schlüs­sel sich­er vom Cloud-Betreiber gespe­ichert wird und nur berechtigten Serv­er-Instanzen bere­it­gestellt wird. In der Regel haben die Kun­den nach der Über­gabe des Schlüs­sels keine direk­te Kon­trolle des Schlüs­sels mehr. Die meis­ten BYOK Konzepte erfordern ein Hard­ware-Secu­ri­ty-Mod­ul (HSM) bei Cloud-Anbi­eter.

Unsere Experten helfen Ihnen bei der sicheren Erstel­lung eines BYOK Schlüs­sels und dem Wrap­ping des Schlüs­sels für den Cloud-Anbi­eter. Hier­für benöti­gen unsere Kun­den ein eigenes HSM, zumeist reicht hier ein USB-HSM.

Hold-Your-Own-Key (HYOK): Im HYOK wer­den durch den Kun­den über ein Key-Man­age­ment-Sys­tem (KMS) Schlüs­sel erzeugt und über eine automa­tis­che Schnittstelle dem Cloud-Anbi­eter bere­it­gestellt, sobald eine Disk oder ein Cloud-Serv­er des Kun­den ges­tartet wer­den soll. Die häu­fig­ste Schnittstelle für den Aus­tausch von Schlüs­seln mit einem KSM ist die stan­dar­d­isierte KMIP Schnittstelle.

Speziell durch die KMIP Schnittstelle von VMware, NetApp und viel­er weit­er­er Her­steller kön­nen mit einem KMS eine Vielzahl an Sys­te­men mit Schlüs­seln ver­sorgt wer­den. Der große Vorteil dieses Konzeptes ist, dass die Schlüs­sel beim Kun­den verbleiben und somit die Berech­ti­gung für die Nutzung von Ver­schlüs­selungss­chlüs­seln in der Cloud jed­erzeit vom Kun­den ent­zo­gen wer­den kön­nen. Der Berech­ti­gungsentzug gilt in der Regel aber erst für den näch­sten Start eines Servers oder eines Stor­age-Vol­u­mens.

In Koop­er­a­tion mit unserem Part­ner Thales eSe­cu­ri­ty bietet CPSD leis­tungsstarke Key-Man­age­ment-Sys­teme für Stan­dar­d­an­wen­dun­gen an. Die KMS Sys­teme von Thales unter­stützen zusät­zlich auch die File&Folder Encryp­tion Lösung von Thales.

File & Fold­er Encryp­tion: Mit dieser Tech­nolo­gie wird über einen Treiber im Betrieb­sys­tem (Unix, Lin­ux, Win­dows) die Ver­schlüs­selung für ver­schiedene Verze­ich­nis­bäume ermöglicht. Der Betrieb­ssys­tem-Treiber erhält seine Schlüs­sel von einem zen­tralen Key-Man­age­ment-Sys­tem und erlaubt autorisierten Anwen­dun­gen die Ver- und Entschlüs­selung von Dat­en. Die File&Folder-Verschlüsselungstreiber bieten eine gran­u­lare Kon­trolle der autorisierten Benutzer und Anwen­dun­gen. Eben­falls kön­nen ver­schiedene Schlüs­sel für die unter­schiedlichen Verze­ich­nis­bäume ver­wen­det wer­den.

Im Gegen­satz zu BYOK und HYOK erlaubt die File&Folder Ver­schlüs­selung einen peri­odis­chen Schlüs­sel­wech­sel, da die Datei­in­halte zur Laufzeit vom Treiber umgeschlüs­selt wer­den kön­nen. Dieser Schlüs­sel­wech­sel ist für einige Com­pli­ance-Anforderun­gen wie die PCI-DSS exis­ten­ziell.

Auch bei der Pro­tokol­lierung bieten File&Folder Ver­schlüs­selungslö­sun­gen große Vorteile zu Block-Ver­schlüs­selun­gen wir BYOK oder HYOK. Alle Daten­zu­griffe kön­nen detail­liert über den Benutzer­ac­count, die zugreifende Anwen­dung und die Aktion (lesen, schreiben, ändern, löschen, etc.) auf die Dat­en revi­sion­ssich­er pro­tokol­liert wer­den.

Mit dem Part­ner Vor­met­ric (Teil von Thales eSe­cu­ri­ty) bietet CPSD eine zuver­läs­sige File&Folder Ver­schlüs­selung für alle gängi­gen Betrieb­ssys­teme an. Instal­lier­bar sind die Vor­met­ric Trans­par­ent Encryp­tion Agents unter anderem für Microsoft Azure, Ama­zon Web Ser­vices (AWS) und Google Cloud Plat­form (GCP) Com­pute Instances.

Serv­er-Ver­schlüs­selung im eige­nen Rechen­zen­trum

Selb­stver­ständlich lassen sich alle Ver­schlüs­selungslö­sun­gen, bis auf die BYOK Meth­ode, die nur im Cloud-Umfeld Sinn macht, auch im eige­nen Rechen­zen­trum anwen­den. Durch Daten­ver­schlüs­selung erre­ichen Sie einen hohen Secu­ri­ty-Lev­el bei der Ver­ar­beitung von Dat­en, speziell auch als Ver­ant­wortlich­er oder Ver­ar­beit­er von per­so­n­en­be­zo­ge­nen Dat­en im Sinne der Daten­schutz-Grund­verord­nung — DSGVO.