Sie sind hier: Startseite » Markt » Tipps und Hinweise

Umsetzung einer Cloud first-Strategie


Augen auf bei der Verschlüsselung von Cloud Computing-Daten
Warum bei "Cloud Access Security Brokern" nicht nur der Verschlüsselungsstandard zählt


Von Eduard Meelhuysen, Vice President Sales EMEA, Bitglass

So bequem Public-Cloud-Anwendungen wie Office 365 für Nutzer sind, soviel Kopfzerbrechen bereiten diese IT-Verantwortlichen. Der angenehmen Benutzererfahrung und vereinfachten Workflows stehen Bedenken zu Datensicherheit und Compliance-Anforderungen gegenüber. Neben den allgemeinen datenspezifischen Anforderungen gelten je nach Branche und Standort für viele Unternehmen noch weitere Auflagen wie zum Beispiel die Kontrolle über die Speicherorte und die Dateizugriffe. Um ihre Sicherheitsrichtlinien auch auf Software-as-a-Service (SaaS)-Anwendungen wie Salesforce, Dropbox oder Office 365 und Infrastructure-as-a-Service (IaaS) wie AWS oder Azure anwenden zu können, entschließen sich viele Unternehmen für eine Verschlüsselung mit Hilfe von Cloud Access Security Broker (CASB)-Software.

Ein CASB fungiert als Gatekeeper zwischen einem Unternehmensdaten-/Geräte-Netzwerkperimeter und den genutzten Cloud-Services. Mithilfe von CASBs können Unternehmen sichere End-to-End-Verschlüsselung ihrer Daten von der Cloud zu den Geräten und umgekehrt, sicherstellen.

In beiden Fällen bietet ein CASB Möglichkeiten zur Chiffrierung der Daten mithilfe von Schlüsseln, die der Kontrolle durch die Unternehmen unterliegen. Zudem verfügen CASBs über vielfältige Kontrollfunktionen, wie die kontextbezogene Zugriffskontrolle, der Schutz von Datenlecks und der Verschlüsselung von gespeicherten Daten. Mittels einer Kombination von Proxys und API-Konnektoren koordiniert ein CASB die Verbindungen zwischen Cloud-Apps und der Außenwelt.

Anwendungskomfort vs. Sicherheit
Mit der Fähigkeit, Daten auf dem Weg in die Cloud zu verschlüsseln, bieten CASBs Nutzern die Vorteile der Cloud-Apps bei gleichzeitiger Herstellung von Datensicherheit und sind damit ein geeignetes Werkzeug für die Umsetzung einer Cloud first-Strategie. Doch insbesondere auf die wichtigste Funktion von CASBs – die Verschlüsselung in Zusammenhang mit der Anwenderfreundlichkeit – sollten Unternehmen bei der Auswahl einer CASB-Lösung achten. Bezeichnenderweise gingen ausgerechnet die ersten Versuche, CASBs zur Verschlüsselung von Daten einzusetzen, mit einer herabgesetzten Sicherheit einher, um den Benutzerkomfort einer Anwendung nicht zu beeinträchtigen. So hatten beispielsweise Early Adopters der CASB-Technologie tatsächlich nicht den Sicherheitsstandard erhalten, der für das Produkt ausgewiesen war.

Ein Verschlüsselungsalgorithmus gründet sich im Wesentlichen auf zwei Komponenten: Dem Verschlüsselungsverfahren, mit dem der für Nutzer sichtbare Klartext in einen Chiffretext verwandelt wird. Der meist von CASBs genutzte Verschlüsselungsstandard ist der Advanced Encryption Standard (AES) mit 256 Bit-Schlüsseln (AES-256). Die zweite Komponente ist der Initialisierungsvektor, mit dem die Zufälligkeit des erzeugten Chiffretextes gewährleistet wird. Bei einer wiederholten Verschlüsselung desselben Klartexts würde dieser dafür sorgen, dass jedes Mal ein neuer Chiffretext generiert wird. Um eine ausreichende Zufälligkeit herzustellen, sollte die Länge des Initialisierungsvektors genau der Länge des Schlüssels entsprechen.

Die stabile Verschlüsselung geht meist jedoch zu Lasten der Anwendungsperformance und des Benutzerkomforts. Bei CASBs ist es meist die Suchfunktion innerhalb der einzelnen Apps, die eingeschränkt wird – was beispielsweise eine Anwendung wie Salesforce nahezu unbrauchbar machen würde. Vor allem wenn Daten vor dem Speichern in der Cloud verschlüsselt werden, haben die entsprechenden Anwendungen anschließend nur Zugriff auf den Chiffretext. Macht ein Nutzer sich nun auf die Suche nach Elementen aus dem Klartext, schlägt die Suche fehl.

Bei CASBs der ersten Generation wurde dieses Problem zu Lasten der Sicherheit gelöst – nämlich, indem die Anzahl der Initialisierungsvektoren des Verschlüsselungsalgorithmus reduziert wurde. Dies bedeutet: Die Zahl der möglichen verschlüsselten Versionen einer Zeichenfolge begrenzt, um sicherzustellen, dass der CASB sämtliche möglichen Chiffretexte durchsuchen und genaue Suchergebnisse zurückgeben kann. Dieses Vorgehen hat zur Folge, dass bei der AES-256-Verschlüsselung effektiv nur 20 Bit oder weniger bleiben und zieht eine erhöhte Anfälligkeit für Chosen Plaintext-Attacken nach sich.

CASB-Funktionen auf Anwendungskompatibilität überprüfen
Der Standard AES-256 mag dazu verleiten, bei der Auswahl einer CASB-Lösung nicht mehr genauer hinzuschauen – doch genau dies sollten Unternehmen beherzigen, bevor sie sich für die Implementierung entscheiden. Beispielsweise gibt es CASB-Lösungen, die eine freie Auswahl der Verschlüsselungsalgorithmen erlauben und zusätzlich den vollen Erhalt der Suchfunktion in der Anwendung gewährleisten: Während der Datenverschlüsselung wird ein lokaler Suchindex am Kundenstandort generiert, der Verweise auf die verschlüsselten Daten enthält, die mit den relevanten Stichwörtern im Index verknüpft sind. Die Verweise werden dabei zunächst an den CASB zurückgegeben. Dieser durchsucht die Anwendung nach den angefragten Verweisen und ruft die verschlüsselten Dateien oder Datensätze für den Benutzer ad hoc ab.

Tatsächlich ist es nicht möglich, die Daten bei direktem Zugriff auf die App anzuzeigen. Wenn ein Benutzer die App nicht sicher über den CASB-Service aufruft, werden ihm lediglich bedeutungslose verschlüsselte Zeiger (Verweise) auf Daten angezeigt, die geschützt am Kundenstandort gespeichert sind. Ab diesem Punkt werden vertrauliche Daten nur nach dem Need-To-Know Prinzip preisgegeben – also nur gerade die Menge an Informationen, die benötigt wird. Die verschlüsselten Daten in der App können damit nicht von Unbefugten gelesen werden und sind so beispielsweise vor dem Zugriff durch nicht autorisierte Mitarbeiter oder den Cloud-Anbieter geschützt. Selbst für den unternehmensinternen Zugriff können eigene Richtlinien festgelegt werden. Beispielsweise kann unterbunden werden, dass Mitarbeiter nach Geschäftsschluss über private Geräte auf bestimmte Daten zugreifen können.

CASBs sind überaus vielseitig und erlauben granulare Regulierungsmöglichkeiten im Zuge der Cloud-Nutzung. Um auch auf lange Sicht von den Vorteilen der CASBs zu profitieren, sollten Unternehmen deshalb sicherstellen, dass die Software Funktionen bietet, die sowohl Datensicherheit als auch Benutzerkomfort miteinander in Einklang bringen. (Bitglass: ra)

eingetragen: 30.03.17
Home & Newsletterlauf: 11.04.17

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Tipps und Hinweise

  • Optimale Wissensspeicher

    Graphdatenbanken sind leistungsstarke Werkzeuge, um komplexe Daten-Beziehungen darzustellen und vernetzte Informationen schnell zu analysieren. Doch jeder Datenbanktyp hat spezifische Eigenschaften und eignet sich für andere Anwendungsfälle. Welche Graphdatenbank ist also wann die richtige? Aerospike empfiehlt Unternehmen, ihre Anforderungen unter vier Gesichtspunkten zu prüfen.

  • Zugang zu anfälligen Cloud-Hosts

    Zwischen 2023 und 2024 haben laut einer aktuellen Studie 79 Prozent der Finanzeinrichtungen weltweit mindestens einen Cyberangriff identifiziert (2023: 68 Prozent). Hierzulande berichtet die BaFin, dass 2023 235 Meldungen über schwerwiegende IT-Probleme eingegangen sind. Fünf Prozent davon gehen auf die Kappe von Cyberangreifern.

  • Wachsende SaaS-Bedrohungen

    Die jüngsten Enthüllungen über den massiven Cyberangriff von Salt Typhoon auf globale Telekommunikationsnetzwerke sind eine deutliche Erinnerung an die sich entwickelnde und ausgeklügelte Natur von Cyberbedrohungen. Während die Angreifer sich darauf konzentrierten, Kommunikation abzufangen und sensible Daten zu entwenden, werfen ihre Handlungen ein Schlaglicht auf ein umfassenderes, dringenderes Problem: die Unzulänglichkeit traditioneller Datensicherungsmethoden beim Schutz kritischer Infrastrukturen.

  • Einführung des Zero-Trust-Frameworks

    Die Cyber-Sicherheit entwickelt sich mit rasanter Geschwindigkeit, weshalb eine traditionelle Verteidigung den Anforderungen nicht mehr gerecht wird. Moderne Cyber-Bedrohungen bewegen sich inzwischen mühelos seitlich innerhalb von Netzwerken und nutzen Schwachstellen aus, die mit traditionellen Perimeter-Schutzmaßnahmen nicht vollständig behoben werden können.

  • Leitfaden für eine erfolgreiche DRaaS-Auswahl

    Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines Datenverlusts schnell wiederherzustellen. Allerdings sollte man im Vorfeld eine gründliche Marktanalyse durchführen und sich über die Funktionsweise und Kosten der verschiedenen Lösungen informieren.

  • ERP-Software muss ein Teamplayer sein

    So wichtig ERP-Systeme auch sind, bei der Auswahl der richtigen Lösung und Anbieter gibt es für Unternehmen eine Reihe von Aspekten zu beachten - schließlich bringen nur passgenaue und ausgereifte Systeme auch die erwünschten Vorteile. IFS erklärt, worauf es bei der Suche ankommt.

  • Grundlage für zukunftssichere Rechenzentren

    Rechenzentren sind das Rückgrat unserer digitalen Welt. Betreiber dieser Infrastrukturen stehen dabei vor immensen Herausforderungen: Sie müssen nicht nur den ununterbrochenen Betrieb und höchste Sicherheitsstandards sicherstellen, sondern auch strengere Umwelt- und Effizienzkriterien einhalten.

  • Cloud-basierte Tests

    Mit der Digitalisierung steigt das Datenvolumen und der Energieverbrauch. Daher stehen Unternehmen jetzt vor der Herausforderung, ihre IT nachhaltiger zu gestalten. Auch das Qualitätsmanagement kann dazu einen wertvollen Beitrag leisten, indem es den CO2-Fußabdruck von Software verringert.

  • Was ist der richtige Cloud-Speicher für KMU?

    Verschiedene Arten von Unternehmen haben unterschiedliche IT-Anforderungen. So haben kleine und mittelständische Unternehmen natürlich nicht die gleichen Anforderungen wie große internationale Unternehmen.

  • ITAM on-premises versus Software-as-a-Service

    IT Asset Management (ITAM) schafft die Basis für Cybersecurity, Kostenkontrolle und effizientes IT-Management. Doch vor allem im Mittelstand fehlen häufig Manpower und Expertise, eine ITAM-Lösung inhouse zu betreiben. Software-as-a-Service-Angebote versprechen Abhilfe.

Praxis-Tipps: Storage unter OpenStack Kosten für eine Cloud nicht immer geringer

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen