Suchen

Kryptografie schafft Vertrauen und Integrität Trends bei der Absicherung von Multi-Cloud-Umgebungen

| Autor / Redakteur: Bernd Stamp* / Florian Karlstetter

Bedenkt man die Vorteile von Cloud Computing in Bezug auf Agilität, Skalierbarkeit und Kostenersparnis, ist es keine Überraschung, dass der Markt für Cloud Services in diesem Jahr mit 18 Prozent Wachstum von 175,7 Milliarden Euro weltweit auf 207,4 Milliarden Euro prognostiziert wurde.

Firma zum Thema

Integrität und Compliance: Kryptografie zur Absicherung von Multi-Cloud-Umgebungen.
Integrität und Compliance: Kryptografie zur Absicherung von Multi-Cloud-Umgebungen.
(Bild: sdecoret-adobe.stock.com)

Doch mit vermehrtem Cloud-Einsatz gehen ebenfalls hohe Erwartungen an die Ergebnisse einher. Insbesondere der Faktor Sicherheit nimmt einen immer höheren Stellenwert ein. Die Anbieter von Cloud-Diensten (CSPs) werben mit Sicherheitsangeboten als Teil ihrer Services – dabei handelt es sich jedoch in der Regel um grundlegende Basisfunktionen wie Firewalls und Netzwerkschutz, die für alle Benutzer gleich konfiguriert sind.

Die am häufigsten gemeldeten Probleme in Cloud-Umgebungen gehen jedoch eher auf komplexere Sicherheitsbereiche zurück, die für jeden Kunden spezifisch sind – wie z.B. Compromised Credentials, Insider-Bedrohungen oder Fehlkonfigurationen auf Unternehmensebene.

Von Compromised Credentials spricht man, wenn ein Datenzugriff durch Authentifizierung erfolgt, d.h. der Angreifer hat sich beispielsweise durch Phishing, Erraten schwacher Passwörter, Ausspähen, etc. die Zugangsrechte des autorisierten Benutzers verschafft. Abhilfe schafft in diesem Fall eine zertifikatsbasierende starke Zwei-Faktor-Autorisierung mit einem Hardware Sicherheitsmodul (HSM) als Root of Trust. Als Root of Trust (RoT) bezeichnet man mehrere Funktionen im Trusted-Computing-Modell, denen das Betriebssystem des Computers immer vertraut. RoT ist vergleichbar mit einer eigenständigen Engine, die den kryptografischen Prozessor kontrolliert, der den Kern des Trusted Platform Modules (TPM) darstellt. Dieser Prozessor ist ein fester Bestandteil eines Computers oder eines Mobilgeräts, das nach dem TPM-Modell entwickelt wurde.

Bei Insider-Bedrohungen werden legitime Anmeldeinformationen und zuvor erteilte Zugriffsrechte für den Datendiebstahl benutzt. Sie sind eine der häufigsten Ursachen für Cyber-Attacken und schwer zu erkennen. Datenklassifikation und Digital Rights Management (DRM) können Abhilfe schaffen. Mithilfe des DRM wird die Nutzung digitaler Medien kontrolliert.

Unternehmensdaten können aber auch durch Fehlkonfigurationen Schaden nehmen, zum Beispiel wenn aufgrund von Programmierfehlern sensible Daten sichtbar in der Cloud veröffentlicht werden.

Um die Situation weiter zu verkomplizieren, debattieren viele Unternehmen, ob sie mit einem einzigen Cloud Solution Provider (CSP) arbeiten oder ihre Arbeitslasten auf mehrere Clouds verteilen sollen. Es ist zum Beispiel nicht ungewöhnlich, dass mittlere und große Unternehmen Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) bei verschiedenen Anbietern parallel zu ihren eigenen Systemen vor Ort betreiben. Folglich schätzt IDC, dass fast 93,2 Prozent der IT-Organisationen derzeit Multi-Cloud-Umgebungen einsetzen oder planen diese zu implementieren.

Probleme mit Cloud-Umgebungen

Sobald die Arbeitslasten einer Organisation sich auf mehrere Cloud-Anbieter verteilen, können eine Reihe von Managementproblemen auftreten, insbesondere wenn es um den Schutz sensibler Daten in heterogenen Cloud-Umgebungen geht. Unternehmen haben zwar einen gewissen Reifegrad bei der Entwicklung von unternehmensweiten Verschlüsselungsstrategien zum Schutz von ruhenden Daten entwickelt. Wenn jedoch die Arbeitslasten in die Cloud verlagert werden, müssen die Unternehmen Datensicherheit, Kontrolle und Vertrauen über standortinterne Systeme (wie Private und Public Clouds) hinweg gewährleisten.

Die Bewältigung dieser Sicherheitsherausforderungen mit nativen Cloud-Diensten wird ziemlich schwierig, da Unternehmen unterschiedliche und proprietäre Sicherheitssysteme der einzelnen Cloud-Anbieter einsetzen. Um sich verpflichtend auf verschiedene Datenschutzprogramme mehrerer Public-Cloud-Anbieter festzulegen, bedarf es für jede Lösung eine eigene, anbieterspezifische Schulung. Während die Verwaltung des Datenschutzes über verschiedene Anbieter hinweg mehrere Verwaltungs- und Administrationsschnittstellen erfordert. Und da Cloud-Anbieter Verschlüsselung als Mittel zum Schutz der Daten ihrer Kunden einsetzen, bedeutet dies, dass Daten mit dem Verschlüsselungsschlüssel eines Anbieters verschlüsselt werden. Bei Verschiebung dieser Daten in die Cloud-Umgebung eines anderen Anbieters erfordert dies die Entschlüsselung, das Verschieben im Klartext und dann die erneute Verschlüsselung; ein echtes Kopfzerbrechen für jedes Unternehmen.

Darüber hinaus kann die Sicherung von Daten, die zwischen Multi-Cloud-Diensten besteht, besonders für Unternehmen problematisch sein, die die Datenschutzbestimmungen, wie die bevorstehende EU GDPR, einhalten wollen. Für sie ist der Nachweis der Datenkontrolle wichtig, indem sie bewährte Methoden befolgen, und neue, strengere Compliance-Vorschriften einhalten. Das gesamte System eines Unternehmens hängt also vom Vertrauen in die Sicherheit des Schutzniveaus der kryptografischen Schlüssel der Cloud-Dienste ab, die zum Schutz sensibler Daten verwendet werden. Wenn die Schlüssel verloren gehen, gehen mit ihnen auch die Daten der Organisation verloren. Wenn die Schlüssel gestohlen werden, bleiben die Betriebsgeheimnisse möglicherweise nicht lange geheim, und wenn die Schlüssel kompromittiert werden, gelten die Annahmen zur Zugangskontrolle möglicherweise nicht mehr.

Bring-your-own-Strategien

Organisationen, die in einer Multi-Cloud-Umgebung arbeiten, werden den größten Nutzen aus einer konsistenten, integrierten Lösung ziehen, die umfassende Datensicherheit zusammen mit der Fähigkeit zur effektiven Verwaltung von Verschlüsselungsschlüssel in einer Reihe von unterschiedlichen Umgebungen bietet. Organisationen mit Multi-Cloud-Workloads greifen zunehmend auf Lösungen wie Bring Your Own Key (BYOK), Bring Your Own Encryption (BYOE), Hold Your Own Key (HOYK) oder File & Folder zurück, um ihre Sicherheitsumgebung in diesen unterschiedlichen Umgebungen vollständig zu kontrollieren und zu verwalten.

Der Vorteil in Bring Your Own Key (BYOK) liegt darin, dass der Encryption Key mit speziellen Zugriffsrechten versehen, gesichert in die HSM des Cloud-Providers übermittelt wird, nur der Kunde bzw. Mandant kann die Schüssel benutzen. Die Krypto-Operationen an sich werden aber in der Cloud ausgeführt. Mit dem Ansatz Bring Your Own Encryption (BYOE) ist es Unternehmen möglich die Vorzüge von Cloud-Diensten zu nutzen, und dennoch die Einhaltung von gesetzlichen Vorschriften und Datenschutzbelangen in einer mandanten-fähigen Umgebung von Drittanbietern zu gewährleisten.

Zudem erlaubt es dieses Modell dem Anwenderunternehmen, die Verschlüsselungstechnologie einzusetzen, die am besten zu den Anforderungen des Unternehmens passen. Und dies ganz unabhängig von der zugrunden liegenden IT-Infrastruktur des Cloud-Anbieters. Bei Hold Your Own Key (HYOK) wird die On-Premise HSM des Kunden für jegliche Krypto-Operation in der Cloud benutzt, d.h. die HSM muss immer aus der Cloud verfügbar sein. File & Folder Verschlüsselungen bringen ihre eigene Verschlüsselungsinfrastruktur mit. In der Regel muss hierzu auf die Server in der Cloud ein Encryption Agent installiert werden. Das Key Management hierzu kann On-Premise oder in der Cloud erfolgen.

Essentiell für Unternehmen ist also, dass die Erstellung und Verwaltung der Schlüssel in der eigenen Verantwortung bleiben und nicht dem Cloud-Anbieter überlassen werden. Zudem ist nach einem Cloud-Provider-Wechsel und dem Entfernen des Schlüssels sicherzustellen, dass keine auslesbaren Daten hinterlassen werden.

Unternehmen die auf der Suche nach etablierten HSM-Anbietern sind, werden feststellen, dass, nCipher Security beispielsweise durch eine dezidierte BYOK- oder BYOE-Lösung eine vollständige Integration in Cloud-Computing-Plattformen mit eigener Kryptoinfrastruktur gewährleisten, unabhängig davon ob diese Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure nutzen. Immer mehr Cloud-Services nutzen die Restschnittstelle für Kryptooperationen, diese wird durch nCipher mit Hilfe von nShields-Lösungen standardmäßig angeboten und gilt als Alleinstellungsmerkmal im Vergleich zu Wettbewerbern.

Compliance und Kontrolle

Damit Unternehmen von den Vorteilen der verschiedenen Multi-Cloud-Umgebungen profitieren, sollten sie sich bewusst machen, wie sie sowohl die Einhaltung von Compliance-Vorschriften als auch die Kontrolle der Schlüssel erreichen können. Da Sicherheitsbedrohungen als eines der größten Hemmnisse für den Einsatz von Multi-Cloud-Umgebungen angesehen werden, muss ihre Bewältigung zu jedem Zeitpunkt oberste Priorität haben.

Bernd Stamp, nCipher.
Bernd Stamp, nCipher.
(Bild: Julia Winkler Photography)

Unabhängig davon, ob eine Organisation einen oder mehrere Cloud-Provider nutzt, ist es zweifellos eines der wichtigsten Anliegen, zu wissen, wie die Umgebung gesichert werden kann. Bei der Entscheidung, welche ihrer Daten und Anwendungen in die Cloud verlagert werden sollen, muss die Organisation die Gewissheit haben, dass ihre Informationen nicht nur sicher, sondern für autorisierte Nutzer auch leicht zugänglich sind.

Kein Unternehmen möchte seine wertvollen Vermögenswerte aufs Spiel setzen. Unabhängig davon, ob sich die Bedürfnisse eines Unternehmens am besten für eine Einzel- oder eine Multi-Cloud-Strategie eignen, ist es daher entscheidend, dass Unternehmen die Kontrolle und Verantwortung für ihre Datensicherheit übernehmen.

* Der Autor Bernd Stamp ist Technical Lead DACH bei nCipher Security.

(ID:46808156)