nobeastsofierce - Fotolia
Datenschutz und Datensicherheit in Multi-Cloud-Umgebungen
In Multi-Cloud-Umgebungen wandern sensible Daten naturgemäß zwischen unterschiedlichen Systemen und Welten. Aber das sollten sie möglichst geschützt und abgesichert tun.
Im Vergleich zu herkömmlichen lokalen Umgebungen oder auch des Einsatzes eines einzelnen IaaS-Anbieters, bringen Multi-Cloud-Umgebungen neue Herausforderungen mit sich. Insbesondere auch im Hinblick auf den Schutz der Daten. Die folgenden Tipps können Unternehmen dabei unterstützten, ihre Multi-Cloud-Sicherheitsstrategie zu optimieren.
Verschlüsselung
Für die Multi-Cloud-Sicherheit ist Verschlüsselung zwingend erforderlich. Und natürlich ist dies offensichtlich und sollte eigentlich keiner Erwähnung bedürfen. Und dennoch verschlüsseln viele Unternehmen ihre Daten nicht richtig.
Richten Sie für jede verwendete Cloud-Plattform gesonderte Schlüssel ein. Dies verringert die Angriffsfläche, insbesondere auch falls einer der Schlüssel einer Plattform versehentlich offengelegt wird. Es gilt dabei jedoch zu berücksichtigen, dass hierdurch das Verschieben von Daten zwischen Cloud-Plattformen komplexer werden kann und wahrscheinlich wird.
Das sichere Ablegen und Aufbewahren der verwendeten Schlüssel ist bei Cloud-Umgebungen von entscheidender Bedeutung. Überprüfen Sie daher die entsprechenden Optionen der genutzten Cloud-Provider sehr sorgfältig. Verwenden Sie solide Verschlüsselungslösungen mit AES-256 oder besser. Beschränken Sie den Zugriff auf Schlüssel und Master-Passwörter auf möglichst wenige Senior-Admins, um die Angriffsfläche zu verringern.
Erasure Coding
Beim Erasure Coding (EC) teilen Administratoren in diesem Zusammenhang Daten auf mehrere Standorte auf. Oder eben im Falle von Multi Cloud, auf mehrere IaaS-Plattformen. Selbst wenn einem Angreifer es gelingt, eine oder gar zwei Plattformen zu hacken, ist er nicht in der Lage, an genügend Informationen zu gelangen, um den eigentlichen Datensatz wiederherzustellen.
Erasure Coding soll Daten absichern. Es werden Daten in Fragmente aufgeteilt, die wiederum um redundanten Datenstücken erweitert und kodiert werden. So würde man beispielsweise in einer Konfiguration EC 10/16 den zehn Grundzeichen sechs zusätzliche Zeichen anfügen. Die 16 Fragmente werden im Anschluss auf die verschiedenen Plattformen verteilt. Das Original ließe sich mit zehn verifizierten Fragmenten wiederherstellen.
Nutzt ein Unternehmen beispielsweise vier Cloud-Plattformen, könnten vier Blöcke auf jeder Plattform platziert werden. Um zehn Blöcke lesen zu können, müsste der Angreifer dann an die Daten von drei der insgesamt vier Cloud-Plattformen gelangen, um zehn Blöcke lesen zu können. Dazu wäre es notwendig, dass der Angreifer zudem Zugriff auf die Dateiübersicht und den Anwendungsbereich hat.
Je nach Rahmenbedingungen kann das Verfahren rechenintensiv und zeitaufwendig sein. In der Regel wird dies jedoch durch das Potenzial für hochparallele Schreib-/Leseoperationen ausgeglichen. Zudem entwickelt sich die Hardware im Hinblick auf eine bessere Unterstützung immer weiter.
Datenkompression und Zugriffskontrolle
Datenkompression kann bei der Multi-Cloud-Sicherheit ebenfalls eine Rolle spielen. Nach der Komprimierung ist eine Datei im Wesentlichen unkenntlich, wenn die entsprechende Datenbibliothek nicht zur Verfügung steht.
Von großer Bedeutung ist in entsprechenden Umgebungen die Zugriffskontrolle. Zwar ist das Verwalten von Benutzerberechtigungen in Multi-Cloud-Umgebungen zweifelsohne eine große Herausforderung, lohnt sich aber aus Sicherheitsaspekten in jedem Fall. Wenn sauber geregelt und begrenzt ist, wer auf welchen Datensatz zugreifen kann, erhöht dies die Sicherheit immens. Stellen Sie sicher, dass nur weniger Personen auf mehr als eine Teilmenge der virtuellen LAN-Konfigurationen zugreifen können. Verwenden Sie eine Intrusion-Detection-Lösung, um Echtzeit-Warnungen zu erhalten, wenn ein unbefugter Benutzer versucht, auf Daten zuzugreifen. Setzen Sie idealerweise auf Produkte, die bereits durch KI-Funktionen Angreifer intelligent erkennen können.
So richtig ausschließen lässt sich Schatten-IT so gut wie nie, und in Multi-Cloud-Umgebungen meist gar nicht. Wenn Anwender irgendwelche Dateien auf ein Schattensystem kopieren, dass dann nicht genügend Schutzmaßnahmen aufweist, wird es schwierig. Zwar lässt sich auch dieses Kopieren technisch beschränken und eingrenzen – und nicht nur über Richtlinien. Kompletter Schutz vor Schatten-IT in Cloud-Umgebungen ist und bleibt aber eine Herausforderung, das Thema sollte im Fokus bleiben.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
