Mit der stei­gen­den Anzahl an rei­nen Cloud Anwen­dun­gen (SaaS) wer­den ver­mehrt auch sen­si­bel Daten in Cloud-Anwen­dun­gen ver­ar­bei­tet und gespei­chert. Anwen­dun­gen die in Euro­pa gehos­tet sind und aus­rei­chen­de Garan­tien, z.B. Sicher­heits­zer­ti­fi­zie­run­gen, bie­ten eig­nen sich für die Ver­ar­bei­tung von sen­si­blen als auch per­so­nen­be­zo­ge­nen Daten, da die Cloud-Anbie­ter für die Sicher­heit sorgen.

Sobald Unter­neh­men aber selbst Cloud Diens­te eta­blie­ren (mit PaaS) , oder Ser­ver in die Cloud ver­schie­ben (IaaS) müs­sen die­se Diens­te und Ser­ver zuver­läs­sig abge­si­chert wer­den. Die­se Auf­ga­be kann ein Key-Manage­ment-Ser­ver in Kom­bi­na­ti­on mit einem Ver­schlüs­se­lungs­dienst am Ser­ver selbst über­neh­men. Das Kon­zept der File&Folder-Verschlüsselung sowie der Ein­satz des Key Manage­ment Inter­ope­ra­bi­li­ty Pro­to­col (KMIP) schüt­zen Ihre Daten zuver­läs­sig. Wir erklä­ren wie es funktioniert!

Cloud Ver­schlüs­se­lung für PaaS und IaaS

Je nach Ange­bot des Cloud-Anbie­ters bie­ten Plat­form-as-a-Ser­vice (PaaS) oder Infra­struc­tu­re-as-a-Ser­vice (IaaS) direk­te oder ein­ge­schränk­te Mög­lich­keit selbst Soft­ware zu instal­lie­ren. Die­sen Vor­teil aus­nut­zend kön­nen auch Ver­schlüs­se­lungs­lö­sun­gen direkt auf den Cloud-Ser­vern instal­liert werden.

Die Cloud Ver­schlüs­se­lungs­lö­sun­gen kön­nen in die fol­gen­den Kate­go­rien grup­piert werden:

Bring-You-Own-Key (BYOK): Eine Metho­de bei der ein Schlüs­sel auf siche­rem Weg an den Cloud-Anbie­ter gelie­fert wird um die Cloud-Ser­ver mit die­ses, oder einem dar­aufs abge­lei­te­ten Schlüs­sel, zu ver­schlüs­seln. Bei allen BYOK Kon­zep­ten ist man dar­auf ange­wie­sen, dass der an den Cloud-Anbie­ter über­ge­be­ne Schlüs­sel sicher vom Cloud-Betrei­ber gespei­chert wird und nur berech­tig­ten Ser­ver-Instan­zen bereit­ge­stellt wird. In der Regel haben die Kun­den nach der Über­ga­be des Schlüs­sels kei­ne direk­te Kon­trol­le des Schlüs­sels mehr. Die meis­ten BYOK Kon­zep­te erfor­dern ein Hard­ware-Secu­ri­ty-Modul (HSM) bei Cloud-Anbieter.

Unse­re Exper­ten hel­fen Ihnen bei der siche­ren Erstel­lung eines BYOK Schlüs­sels und dem Wrap­ping des Schlüs­sels für den Cloud-Anbie­ter. Hier­für benö­ti­gen unse­re Kun­den ein eige­nes HSM, zumeist reicht hier ein USB-HSM.

Hold-Your-Own-Key (HYOK): Im HYOK wer­den durch den Kun­den über ein Key-Manage­ment-Sys­tem (KMS) Schlüs­sel erzeugt und über eine auto­ma­ti­sche Schnitt­stel­le dem Cloud-Anbie­ter bereit­ge­stellt, sobald eine Disk oder ein Cloud-Ser­ver des Kun­den gestar­tet wer­den soll. Die häu­figs­te Schnitt­stel­le für den Aus­tausch von Schlüs­seln mit einem KSM ist die stan­dar­di­sier­te KMIP Schnittstelle.

Spe­zi­ell durch die KMIP Schnitt­stel­le von VMware, Net­App und vie­ler wei­te­rer Her­stel­ler kön­nen mit einem KMS eine Viel­zahl an Sys­te­men mit Schlüs­seln ver­sorgt wer­den. Der gro­ße Vor­teil die­ses Kon­zep­tes ist, dass die Schlüs­sel beim Kun­den ver­blei­ben und somit die Berech­ti­gung für die Nut­zung von Ver­schlüs­se­lungs­schlüs­seln in der Cloud jeder­zeit vom Kun­den ent­zo­gen wer­den kön­nen. Der Berech­ti­gungs­ent­zug gilt in der Regel aber erst für den nächs­ten Start eines Ser­vers oder eines Storage-Volumens.

In Koope­ra­ti­on mit unse­rem Part­ner Tha­les eSecu­ri­ty bie­tet CPSD leis­tungs­star­ke Key-Manage­ment-Sys­te­me für Stan­dard­an­wen­dun­gen an. Die KMS Sys­te­me von Tha­les unter­stüt­zen zusätz­lich auch die File&Folder Encryp­ti­on Lösung von Thales.

File & Fol­der Encryp­ti­on: Mit die­ser Tech­no­lo­gie wird über einen Trei­ber im Betrieb­sys­tem (Unix, Linux, Win­dows) die Ver­schlüs­se­lung für ver­schie­de­ne Ver­zeich­nis­bäu­me ermög­licht. Der Betriebs­sys­tem-Trei­ber erhält sei­ne Schlüs­sel von einem zen­tra­len Key-Manage­ment-Sys­tem und erlaubt auto­ri­sier­ten Anwen­dun­gen die Ver- und Ent­schlüs­se­lung von Daten. Die File&Folder-Verschlüsselungstreiber bie­ten eine gra­nu­la­re Kon­trol­le der auto­ri­sier­ten Benut­zer und Anwen­dun­gen. Eben­falls kön­nen ver­schie­de­ne Schlüs­sel für die unter­schied­li­chen Ver­zeich­nis­bäu­me ver­wen­det werden.

Im Gegen­satz zu BYOK und HYOK erlaubt die File&Folder Ver­schlüs­se­lung einen peri­odi­schen Schlüs­sel­wech­sel, da die Datei­in­hal­te zur Lauf­zeit vom Trei­ber umge­schlüs­selt wer­den kön­nen. Die­ser Schlüs­sel­wech­sel ist für eini­ge Com­pli­ance-Anfor­de­run­gen wie die PCI-DSS existenziell.

Auch bei der Pro­to­kol­lie­rung bie­ten File&Folder Ver­schlüs­se­lungs­lö­sun­gen gro­ße Vor­tei­le zu Block-Ver­schlüs­se­lun­gen wir BYOK oder HYOK. Alle Daten­zu­grif­fe kön­nen detail­liert über den Benut­zer­ac­count, die zugrei­fen­de Anwen­dung und die Akti­on (lesen, schrei­ben, ändern, löschen, etc.) auf die Daten revi­si­ons­si­cher pro­to­kol­liert werden.

Mit dem Part­ner Vor­me­tric (Teil von Tha­les eSecu­ri­ty) bie­tet CPSD eine zuver­läs­si­ge File&Folder Ver­schlüs­se­lung für alle gän­gi­gen Betriebs­sys­te­me an. Instal­lier­bar sind die Vor­me­tric Trans­pa­rent Encryp­ti­on Agents unter ande­rem für Micro­soft Azu­re, Ama­zon Web Ser­vices (AWS) und Goog­le Cloud Plat­form (GCP) Com­pu­te Instances.

Ser­ver-Ver­schlüs­se­lung im eige­nen Rechenzentrum

Selbst­ver­ständ­lich las­sen sich alle Ver­schlüs­se­lungs­lö­sun­gen, bis auf die BYOK Metho­de, die nur im Cloud-Umfeld Sinn macht, auch im eige­nen Rechen­zen­trum anwen­den. Durch Daten­ver­schlüs­se­lung errei­chen Sie einen hohen Secu­ri­ty-Level bei der Ver­ar­bei­tung von Daten, spe­zi­ell auch als Ver­ant­wort­li­cher oder Ver­ar­bei­ter von per­so­nen­be­zo­ge­nen Daten im Sin­ne der Daten­schutz-Grund­ver­ord­nung — DSGVO.