Sie sind hier: Startseite » Markt » Tipps und Hinweise

Umsetzung einer Cloud first-Strategie


Augen auf bei der Verschlüsselung von Cloud Computing-Daten
Warum bei "Cloud Access Security Brokern" nicht nur der Verschlüsselungsstandard zählt


Von Eduard Meelhuysen, Vice President Sales EMEA, Bitglass

So bequem Public-Cloud-Anwendungen wie Office 365 für Nutzer sind, soviel Kopfzerbrechen bereiten diese IT-Verantwortlichen. Der angenehmen Benutzererfahrung und vereinfachten Workflows stehen Bedenken zu Datensicherheit und Compliance-Anforderungen gegenüber. Neben den allgemeinen datenspezifischen Anforderungen gelten je nach Branche und Standort für viele Unternehmen noch weitere Auflagen wie zum Beispiel die Kontrolle über die Speicherorte und die Dateizugriffe. Um ihre Sicherheitsrichtlinien auch auf Software-as-a-Service (SaaS)-Anwendungen wie Salesforce, Dropbox oder Office 365 und Infrastructure-as-a-Service (IaaS) wie AWS oder Azure anwenden zu können, entschließen sich viele Unternehmen für eine Verschlüsselung mit Hilfe von Cloud Access Security Broker (CASB)-Software.

Ein CASB fungiert als Gatekeeper zwischen einem Unternehmensdaten-/Geräte-Netzwerkperimeter und den genutzten Cloud-Services. Mithilfe von CASBs können Unternehmen sichere End-to-End-Verschlüsselung ihrer Daten von der Cloud zu den Geräten und umgekehrt, sicherstellen.

Lesen Sie zum Thema "Kryptographie" auch: IT SecCity.de (www.itseccity.de)

In beiden Fällen bietet ein CASB Möglichkeiten zur Chiffrierung der Daten mithilfe von Schlüsseln, die der Kontrolle durch die Unternehmen unterliegen. Zudem verfügen CASBs über vielfältige Kontrollfunktionen, wie die kontextbezogene Zugriffskontrolle, der Schutz von Datenlecks und der Verschlüsselung von gespeicherten Daten. Mittels einer Kombination von Proxys und API-Konnektoren koordiniert ein CASB die Verbindungen zwischen Cloud-Apps und der Außenwelt.

Anwendungskomfort vs. Sicherheit
Mit der Fähigkeit, Daten auf dem Weg in die Cloud zu verschlüsseln, bieten CASBs Nutzern die Vorteile der Cloud-Apps bei gleichzeitiger Herstellung von Datensicherheit und sind damit ein geeignetes Werkzeug für die Umsetzung einer Cloud first-Strategie. Doch insbesondere auf die wichtigste Funktion von CASBs – die Verschlüsselung in Zusammenhang mit der Anwenderfreundlichkeit – sollten Unternehmen bei der Auswahl einer CASB-Lösung achten. Bezeichnenderweise gingen ausgerechnet die ersten Versuche, CASBs zur Verschlüsselung von Daten einzusetzen, mit einer herabgesetzten Sicherheit einher, um den Benutzerkomfort einer Anwendung nicht zu beeinträchtigen. So hatten beispielsweise Early Adopters der CASB-Technologie tatsächlich nicht den Sicherheitsstandard erhalten, der für das Produkt ausgewiesen war.

Ein Verschlüsselungsalgorithmus gründet sich im Wesentlichen auf zwei Komponenten: Dem Verschlüsselungsverfahren, mit dem der für Nutzer sichtbare Klartext in einen Chiffretext verwandelt wird. Der meist von CASBs genutzte Verschlüsselungsstandard ist der Advanced Encryption Standard (AES) mit 256 Bit-Schlüsseln (AES-256). Die zweite Komponente ist der Initialisierungsvektor, mit dem die Zufälligkeit des erzeugten Chiffretextes gewährleistet wird. Bei einer wiederholten Verschlüsselung desselben Klartexts würde dieser dafür sorgen, dass jedes Mal ein neuer Chiffretext generiert wird. Um eine ausreichende Zufälligkeit herzustellen, sollte die Länge des Initialisierungsvektors genau der Länge des Schlüssels entsprechen.

Die stabile Verschlüsselung geht meist jedoch zu Lasten der Anwendungsperformance und des Benutzerkomforts. Bei CASBs ist es meist die Suchfunktion innerhalb der einzelnen Apps, die eingeschränkt wird – was beispielsweise eine Anwendung wie Salesforce nahezu unbrauchbar machen würde. Vor allem wenn Daten vor dem Speichern in der Cloud verschlüsselt werden, haben die entsprechenden Anwendungen anschließend nur Zugriff auf den Chiffretext. Macht ein Nutzer sich nun auf die Suche nach Elementen aus dem Klartext, schlägt die Suche fehl.

Bei CASBs der ersten Generation wurde dieses Problem zu Lasten der Sicherheit gelöst – nämlich, indem die Anzahl der Initialisierungsvektoren des Verschlüsselungsalgorithmus reduziert wurde. Dies bedeutet: Die Zahl der möglichen verschlüsselten Versionen einer Zeichenfolge begrenzt, um sicherzustellen, dass der CASB sämtliche möglichen Chiffretexte durchsuchen und genaue Suchergebnisse zurückgeben kann. Dieses Vorgehen hat zur Folge, dass bei der AES-256-Verschlüsselung effektiv nur 20 Bit oder weniger bleiben und zieht eine erhöhte Anfälligkeit für Chosen Plaintext-Attacken nach sich.

CASB-Funktionen auf Anwendungskompatibilität überprüfen
Der Standard AES-256 mag dazu verleiten, bei der Auswahl einer CASB-Lösung nicht mehr genauer hinzuschauen – doch genau dies sollten Unternehmen beherzigen, bevor sie sich für die Implementierung entscheiden. Beispielsweise gibt es CASB-Lösungen, die eine freie Auswahl der Verschlüsselungsalgorithmen erlauben und zusätzlich den vollen Erhalt der Suchfunktion in der Anwendung gewährleisten: Während der Datenverschlüsselung wird ein lokaler Suchindex am Kundenstandort generiert, der Verweise auf die verschlüsselten Daten enthält, die mit den relevanten Stichwörtern im Index verknüpft sind. Die Verweise werden dabei zunächst an den CASB zurückgegeben. Dieser durchsucht die Anwendung nach den angefragten Verweisen und ruft die verschlüsselten Dateien oder Datensätze für den Benutzer ad hoc ab.

Tatsächlich ist es nicht möglich, die Daten bei direktem Zugriff auf die App anzuzeigen. Wenn ein Benutzer die App nicht sicher über den CASB-Service aufruft, werden ihm lediglich bedeutungslose verschlüsselte Zeiger (Verweise) auf Daten angezeigt, die geschützt am Kundenstandort gespeichert sind. Ab diesem Punkt werden vertrauliche Daten nur nach dem Need-To-Know Prinzip preisgegeben – also nur gerade die Menge an Informationen, die benötigt wird. Die verschlüsselten Daten in der App können damit nicht von Unbefugten gelesen werden und sind so beispielsweise vor dem Zugriff durch nicht autorisierte Mitarbeiter oder den Cloud-Anbieter geschützt. Selbst für den unternehmensinternen Zugriff können eigene Richtlinien festgelegt werden. Beispielsweise kann unterbunden werden, dass Mitarbeiter nach Geschäftsschluss über private Geräte auf bestimmte Daten zugreifen können.

CASBs sind überaus vielseitig und erlauben granulare Regulierungsmöglichkeiten im Zuge der Cloud-Nutzung. Um auch auf lange Sicht von den Vorteilen der CASBs zu profitieren, sollten Unternehmen deshalb sicherstellen, dass die Software Funktionen bietet, die sowohl Datensicherheit als auch Benutzerkomfort miteinander in Einklang bringen. (Bitglass: ra)

eingetragen: 30.03.17
Home & Newsletterlauf: 11.04.17

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Private AI verfolgt einen Plattform-Ansatz

    Der Einzug der generativen KI (GenAI) in die breite Öffentlichkeit hat das KI-Wachstum in Unternehmen vergangenes Jahr beschleunigt. Motiviert durch Wettbewerbsdruck und potenzielle Vorteile forcieren Unternehmen und Regierungen ihre KI-Strategie.

  • Mangelnde Vorbereitung auf SaaS-Ausfälle

    Der Hycu State of SaaS Resilience 2024 Report deckte zuletzt kritische Datensicherungslücken auf, da 70 Prozent der Unternehmen Datenverluste erleiden. Trotzdem verlassen sich 60 Prozent immer noch auf ihre Software-as-a-Service (SaaS)-Anbieter, um sich zu schützen, und setzen sich damit weiteren Risiken aus.

  • KI gewinnbringend einsetzen

    Das KI-Potenzial ist praktisch unerschöpflich. Doch um es richtig zu nutzen und daraus echte Wettbewerbsvorteile zu generieren, muss vorab die Bereitschaft des Unternehmens dafür geklärt werden. Der IT-Dienstleister CGI erklärt, warum der Readiness-Check so wichtig ist, was er genau analysiert und was mit den daraus gewonnenen Erkenntnissen passiert.

  • Herausforderungen von Edge AI

    Künstliche Intelligenz hat längst den Netzwerkrand erreicht. Um zeitkritischen Daten den Umweg über die Cloud und das Rechenzentrum zu ersparen, bringen Edge-AI-Lösungen Modelle direkt in die Anwendungen vor Ort. Dieser Weg bietet immense Vorteile - er ist aber auch mit einigen Stolpersteinen gepflastert, wie Couchbase, Anbieter einer Cloud-Datenbankplattform, zeigt.

  • Cloud-Datenschutz im Gesundheitswesen

    Daten im Gesundheitswesen gehören zu den kritischsten Vermögenswerten. Sie umfassen hochsensible Informationen wie Krankengeschichten, Behandlungsunterlagen und persönliche Daten. Der Schutz dieser Daten ist von größter Bedeutung, da sie durch nationale und globale Vorschriften als besondere Kategorien personenbezogener Daten eingestuft werden.

  • Generative KI mit Serverless optimieren

    Der Einsatz von generativer KI kann komplex und teuer sein. Serverlose Cloud-Dienste und Vektordatenbanken bieten eine Lösung, um diese Hürden zu überwinden und KI-Anwendungen effizient und skalierbar zu gestalten.

  • Sensible Daten in der Cloud schützen

    Wenn Unternehmen in der Cloud geistiges Eigentum oder persönliche Informationen verlieren, drohen ihnen erhebliche Konsequenzen. Mit den richtigen Maßnahmen für Datensicherheit in der Cloud können sie zuverlässig Vorsorge treffen. Forcepoint erläutert die fünf wichtigsten davon. Datensicherheit in der Cloud wird für Unternehmen zunehmend zu einem kritischen Bestandteil ihrer IT-Infrastruktur.

  • Dank der Cloud: Flexibilität und Skalierbarkeit

    Cloud-Marktplätze sind heute zu einem unverzichtbaren Dreh- und Angelpunkt für unabhängige Softwareanbieter (ISVs) geworden, um ihre Reichweite zu vergrößern, den Verkaufsprozess zu rationalisieren und Wachstum zu fördern. Erfolg ist jedoch nicht allein dadurch garantiert, dass ein Produkt auf einem Marktplatz gelistet ist.

  • Beste Rendite für Serverinvestitionen?

    Laut Statista schätzen IT-Experten weltweit im Jahr 2024 eine Aufteilung von fast 50/50 zwischen Onsite- und Cloud-gehosteten Servern in ihren Unternehmen. Aufgrund der riesigen Datenmengen und der zunehmenden Nutzung von KI, werden künftig immer mehr Server benötigt.

  • Digitale Transformation kommt nicht ins Rollen?

    Dass die Digitalisierung unaufhaltsam voranschreitet, ist keine Neuigkeit mehr, trotzdem haben bislang viele deutsche Unternehmen den entscheidenden Schritt zur digitalen Transformation noch nicht gewagt. Die Corona-Pandemie hat als Katalysator für einen Digitalisierungsschub gesorgt und viele Prozesse auf den Prüfstand gestellt.

Praxis-Tipps: Storage unter OpenStack Kosten für eine Cloud nicht immer geringer

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen