Data Security und Cloud Computing: Kontrollen für die Daten-Verschlüsselung

Verschlüsselung für die in der Cloud abgelegten Daten ist wünschenswert. Allerdings ist eine Implementierung nicht einfach und Planung ist notwendig.

Sprechen wir über Data Security und die Cloud, gibt es zwei Binsenweisheiten: Zunächst einmal landen mehr und mehr sensible Informationen in der Cloud. Zweitens setzt man herkömmliche Datensicherheitskontrollen wie zum Beispiel Verschlüsselung der Daten nicht ein, sobald diese sich in der Cloud befinden.

Diese Aussage lässt sich mithilfe der Studie 2013 Global Trends in Cloud Encryption des Ponemon Institutes belegen, die im April 2014 veröffentlicht wurde. Laut dieser Umfrage haben 53 Prozent aller Unternehmen sensible oder vertrauliche Daten in der Cloud abgelegt.

Lediglich 39 Prozent der Daten in SaaS-Applikationen (Software as a Service) sind verschlüsselt. Sehen wir uns PaaS (Platform as a Service) und IaaS (Infrastructure as a Service) an, geht diese Zahl sogar auf 26 Prozent zurück.

Laut der Umfrage haben 53 Prozent aller Unternehmen sensible oder vertrauliche Daten in der Cloud abgelegt.

Warum das so ist, kann man mehr oder weniger auch nachvollziehen. Das Implementieren von Kontrollmechanismen für die Datensicherheit in einem Cloud-Umfeld kann herausfordernd sein. In der Cloud ist es meist so, dass der Kunde einen darunterliegenden Stack benutzt, über den die Provider absichtlich keine Auskünfte erteilen. 

Der Kunde tritt die direkte Kontrolle über diese Hard- und Software-Ebenen bzw. das Management dieser an den CSP (Cloud Service Provider) ab. Stellt der CSP nicht explizit Schutzfunktionen für die Daten zur Verfügung, kann der Kunde technische Kontroll-Mechanismen für die Datensicherheit wahrscheinlich nicht ohne zusätzliche Hilfe implementieren. Beachten Sie an dieser Stelle, dass einige Cloud Service Provider solche Security-Funktionen anbieten.

Aus der Sicht der Verarbeitung bringen diese Kontrollen zusätzliche Schwierigkeiten mit sich. Möglicherweise gibt es eine plausible Erklärung, warum der CSP Zugriff auf die Enterprise-Daten braucht. Vielleicht muss der Service Provider Applikations-Funktionalität debuggen oder er stellt für Ihr Unternehmen Monitoring-Funktionen zur Verfügung. 

Somit ist es ein logistisches Problem, wer im Besitz der Kryptografie-Schlüssel ist oder wie der CSP überhaupt Zugriff darauf erhält. Dieses Thema müssen Sie zusammen an einem Tisch diskutieren. Im Vorfeld sind sorgfältige Planung und durchdachte Prozeduren notwendig.

Verschlüsselungs-Kontrollen für Daten implementieren 

Die Fachleute stehen somit vor einem Dilemma. Auf der einen Seite ist es schwierig, Kontroll-Mechanismen für die Datensicherheit in der Cloud zu implementieren. Auf der anderen Seite sind sie natürlich vorteilhaft oder sogar gesetzlich vorgeschrieben. Das ist zum Beispiel bei Kreditkarten-Informationen in Bezug auf PCI DCC oder PHI unter HIPAA notwendig. 

Verwendet eine Firma die Cloud, möchte man im Falle eines Einbruchs natürlich auf der sicheren Seite sein. Möglicherweise setzen die Security-Richtlinien des Unternehmens voraus, diese Kontroll-Mechanismen zu implementieren.

Möchte man das Dilemma lösen, muss man clever an das Thema der Kontrollen herangehen. Nicht jeder ist in der Position, die Verschlüsselungs-Kontrollen für Daten sofort implementieren zu können. Man kann allerdings anfangen, die Security-Vorteile zu analysieren und nachzuprüfen, an welcher Stelle man diese am dringendsten benötigt. 

Außerdem hilft diese Maßnahme den Unternehmen zu verstehen, wie schwierig der Bereich ist und wann man implementieren kann. Gehen Sie strategisch an die Geschichte heran, erleichtert das mit Sicherheit den Implementierungs-Prozess, sobald man sich für diesen Schritt entscheidet.

Den Grundstein legen

Die ersten Schritte sind Klassifizierung der Daten und Inventarisierung der Services. Das klingt ein bisschen wie ein Befehl, ist allerdings wichtig. Auch eine überschaubare Firma muss sich mit der unglaublichen Masse an Cloud-Services auseinandersetzen. Viele Unternehmen verwenden Dutzende an Cloud-Services. 

Betrachten Sie dann noch SaaS-Applikationen in diesem Zusammenhang, dann verwenden Mitarbeiter wohl abgesegnete und auch verbraucherorientierte Services, ob Sie dem zugestimmt haben oder nicht. Somit könnte die Zahl der relevanten Cloud-Services plötzlich in die Hunderte oder sogar Tausende gehen.

Nicht all diese Anwendungen verarbeiten sensible oder vertrauliche Daten und somit braucht nicht jede zwingend Verschlüsselung. Die Schwierigkeit im ersten Schritt liegt darin, zu unterscheiden, welche Anwendungen und Applikationen mit Verschlüsselungs-Technologie versehen werden sollten. 

Der springende Punkt ist, dass Unternehmen wissen müssen, welche Daten sich in welcher Umgebung befinden.

Die Identifikation und das sorgfältige Erfassen, welche in der Cloud befindlichen Unternehmensdaten verschlüsselt werden sollen, ist das Ziel. In einigen Fällen, wie zum Beispiel bei SaaS, ist das „so genau es eben geht“ und man sollte herausfinden, bei welchem CSP die Daten eigentlich liegen. 

Bei anderen, wie IaaS, ist es möglich, dass Sie sich bis auf die Ebenen der virtuellen Geräte oder Storage-Container begeben. Im Endeffekt sollte Ihr Unternehmen wissen, welche Applikationen und Umgebungen für die Verarbeitung Ihrer wichtigen Daten verantwortlich sind. Weiterhin sollten Sie einen guten Überblick haben, an welcher Stelle zusätzliche Kontroll-Mechanismen notwendig sind.

Das klingt nach einer Mammut-Aufgabe und genau das könnte es auch sein. Fangen Sie am besten mit einer überschaubaren Teilmenge an und bauen darauf auf. Es gibt auch Tools, die Sie bei diesem Vorhaben unterstützen können. Bei einer privaten Cloud oder wenn Ihr Unternehmen eine engere Beziehung zu einem IaaS-Provider genießt, können Tools wie zum Beispiel Catbird oder TrendMicros Deep Security Platform, die sich der Virtualisierung bewusst sind (Virtualization-aware), bei der Inventarisierung der Hypervisoren helfen. 

Somit finden Sie schnell heraus, was wo läuft. Es gibt auch SaaS-Auffindungs-Tools. Einige Service-Informationen können Sie auch aufdecken, wenn Sie den Anwender-Traffic unter die Lupe nehmen. An dieser Stelle können Sie unter anderem Logs, NetFLow und so weiter zu Rate ziehen. 

Wollen Sie spezifische Systeme und Applikationen automatisch im Auge behalten, sehen Sie sich kostenlose Tools wie zum Beispiel SpiceWorks oder OCS Inventory NG an. Diese helfen, die Services und deren Nutzen nach einer Identifikation zu erfassen. Der springende Punkt ist, dass Unternehmen wissen müssen, welche Daten sich in welcher Umgebung befinden. Nur dann kann man die Anstrengungen entsprechend priorisieren.

Spezielle Nutzung und Anwendungsfälle evaluieren

Nachdem Sie die Daten klassifiziert und die Services inventarisiert haben, geht es an „das Eingemachte“. Nun muss Ihr Unternehmen die speziellen Anwendungsfälle evaluieren und danach eine Entscheidung treffen, ob Verschlüsselung notwendig ist oder nicht. Ebenfalls geht es darum, wie man die Verschlüsselung implementiert.

Weiterhin ist der Faktor entscheidend, welches Cloud-Computing-Modell oder welchen Service Ihr Unternehmen verwendet. Möglicherweise müssen Sie unterschiedliche Tools einsetzen, um Ihr Vorhaben zu realisieren. 

Sie könnten zum Beispiel eine sehr sensible SaaS-Anwendung im Einsatz haben und möchten darin Daten verschlüsseln. Natürlich müssen Sie komplett anders an die Sache herangehen, als wenn Sie eine Datenbank in PaaS oder ein Storage-Laufwerk in IaaS verschlüsseln würden.

Bei IaaS haben Sie zum Beispiel Zugriff auf das darunterliegende Betriebssystem hinsichtlich der virtuellen Abbilder in Ihrer Umgebung. In diesem Fall setzen Sie möglicherweise auf ein Tool, das auf Dateisystem-Ebene operiert. In der Realität sieht es so aus, dass Microsoft und die meisten Linux-Distributionen verschlüsselte Dateisysteme nativ unterstützen. 

Das ist natürlich eine praktikable Option. Es gibt Dutzende an kommerziellen Produkten, die solche Szenarien ebenfalls unterstützen. Bei PaaS sind Ihre Möglichkeiten wahrscheinlich etwas eingeschränkter. Unter Umständen brauchen Sie Hilfe von den Entwicklern, die aktiv mit dem Code in der PaaS-Umgebung arbeiten. 

Dann können Sie vielleicht APIs des CSP oder andere spezifische APIs in der entsprechenden Applikations-Umgebung zu Rate ziehen. Bei SaaS ist der komplette Applikations-Stack unter dem Management des CSP. An dieser Stelle sehen Sie sich wahrscheinlich bei Reverse-Proxy-Tools wie zum Beispiel CipherCloud um. Möglich sind auch spezielle Produkte mit SaaS-Integration. CloudLock wäre ein Beispiel.

Allerdings variieren diese Tools. Diese Unterschiede sollten Sie im Hinterkopf behalten und in die Planung einbeziehen. Vielleicht muss Ihr Unternehmen mehrere Tools einkaufen, dann müssen Sie das Budget entsprechend planen. Beziehen Sie die Inventar-Evaluierung und die Klassifizierung der Daten mit ein, können Sie mithilfe dieser Informationen priorisieren, wo der Schuh am meisten drückt.

Vielleicht kann Ihre Firma derzeit die Daten in der Cloud nicht verschlüsseln. Mögliche Gründe sind unter anderem Zeit, Budget oder ein Mangel an Mitarbeitern. Das bedeutet aber nicht, dass das Thema damit vom Tisch ist. Sie können bereits jetzt schon Vorbereitungen treffen, um künftige Prioritäten festzulegen. Weiterhin lassen sich Entscheidungen fällen, welche Einkäufe am relevantesten für das Business sind. Der Einsatz der Cloud wird voraussichtlich zunehmen und darauf sollten Sie sich optimal einstellen.

Über den Autor:
Ed Moyle ist derzeit Leiter von „Emerging Business and Technology“ bei ISACA. Er hat vorher als Senior-Security-Stratege bei Savvis Inc. und als Senior-Manager bei CTG gearbeitet. Davor war er als Vize-Präsident und Information Security Officer bei Merrill Lynch Investment Managers tätig.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close