Sie sind hier: Startseite » Markt » Tipps und Hinweise

Umsetzung einer Cloud first-Strategie


Augen auf bei der Verschlüsselung von Cloud Computing-Daten
Warum bei "Cloud Access Security Brokern" nicht nur der Verschlüsselungsstandard zählt


Von Eduard Meelhuysen, Vice President Sales EMEA, Bitglass

So bequem Public-Cloud-Anwendungen wie Office 365 für Nutzer sind, soviel Kopfzerbrechen bereiten diese IT-Verantwortlichen. Der angenehmen Benutzererfahrung und vereinfachten Workflows stehen Bedenken zu Datensicherheit und Compliance-Anforderungen gegenüber. Neben den allgemeinen datenspezifischen Anforderungen gelten je nach Branche und Standort für viele Unternehmen noch weitere Auflagen wie zum Beispiel die Kontrolle über die Speicherorte und die Dateizugriffe. Um ihre Sicherheitsrichtlinien auch auf Software-as-a-Service (SaaS)-Anwendungen wie Salesforce, Dropbox oder Office 365 und Infrastructure-as-a-Service (IaaS) wie AWS oder Azure anwenden zu können, entschließen sich viele Unternehmen für eine Verschlüsselung mit Hilfe von Cloud Access Security Broker (CASB)-Software.

Ein CASB fungiert als Gatekeeper zwischen einem Unternehmensdaten-/Geräte-Netzwerkperimeter und den genutzten Cloud-Services. Mithilfe von CASBs können Unternehmen sichere End-to-End-Verschlüsselung ihrer Daten von der Cloud zu den Geräten und umgekehrt, sicherstellen.

In beiden Fällen bietet ein CASB Möglichkeiten zur Chiffrierung der Daten mithilfe von Schlüsseln, die der Kontrolle durch die Unternehmen unterliegen. Zudem verfügen CASBs über vielfältige Kontrollfunktionen, wie die kontextbezogene Zugriffskontrolle, der Schutz von Datenlecks und der Verschlüsselung von gespeicherten Daten. Mittels einer Kombination von Proxys und API-Konnektoren koordiniert ein CASB die Verbindungen zwischen Cloud-Apps und der Außenwelt.

Anwendungskomfort vs. Sicherheit
Mit der Fähigkeit, Daten auf dem Weg in die Cloud zu verschlüsseln, bieten CASBs Nutzern die Vorteile der Cloud-Apps bei gleichzeitiger Herstellung von Datensicherheit und sind damit ein geeignetes Werkzeug für die Umsetzung einer Cloud first-Strategie. Doch insbesondere auf die wichtigste Funktion von CASBs – die Verschlüsselung in Zusammenhang mit der Anwenderfreundlichkeit – sollten Unternehmen bei der Auswahl einer CASB-Lösung achten. Bezeichnenderweise gingen ausgerechnet die ersten Versuche, CASBs zur Verschlüsselung von Daten einzusetzen, mit einer herabgesetzten Sicherheit einher, um den Benutzerkomfort einer Anwendung nicht zu beeinträchtigen. So hatten beispielsweise Early Adopters der CASB-Technologie tatsächlich nicht den Sicherheitsstandard erhalten, der für das Produkt ausgewiesen war.

Ein Verschlüsselungsalgorithmus gründet sich im Wesentlichen auf zwei Komponenten: Dem Verschlüsselungsverfahren, mit dem der für Nutzer sichtbare Klartext in einen Chiffretext verwandelt wird. Der meist von CASBs genutzte Verschlüsselungsstandard ist der Advanced Encryption Standard (AES) mit 256 Bit-Schlüsseln (AES-256). Die zweite Komponente ist der Initialisierungsvektor, mit dem die Zufälligkeit des erzeugten Chiffretextes gewährleistet wird. Bei einer wiederholten Verschlüsselung desselben Klartexts würde dieser dafür sorgen, dass jedes Mal ein neuer Chiffretext generiert wird. Um eine ausreichende Zufälligkeit herzustellen, sollte die Länge des Initialisierungsvektors genau der Länge des Schlüssels entsprechen.

Die stabile Verschlüsselung geht meist jedoch zu Lasten der Anwendungsperformance und des Benutzerkomforts. Bei CASBs ist es meist die Suchfunktion innerhalb der einzelnen Apps, die eingeschränkt wird – was beispielsweise eine Anwendung wie Salesforce nahezu unbrauchbar machen würde. Vor allem wenn Daten vor dem Speichern in der Cloud verschlüsselt werden, haben die entsprechenden Anwendungen anschließend nur Zugriff auf den Chiffretext. Macht ein Nutzer sich nun auf die Suche nach Elementen aus dem Klartext, schlägt die Suche fehl.

Bei CASBs der ersten Generation wurde dieses Problem zu Lasten der Sicherheit gelöst – nämlich, indem die Anzahl der Initialisierungsvektoren des Verschlüsselungsalgorithmus reduziert wurde. Dies bedeutet: Die Zahl der möglichen verschlüsselten Versionen einer Zeichenfolge begrenzt, um sicherzustellen, dass der CASB sämtliche möglichen Chiffretexte durchsuchen und genaue Suchergebnisse zurückgeben kann. Dieses Vorgehen hat zur Folge, dass bei der AES-256-Verschlüsselung effektiv nur 20 Bit oder weniger bleiben und zieht eine erhöhte Anfälligkeit für Chosen Plaintext-Attacken nach sich.

CASB-Funktionen auf Anwendungskompatibilität überprüfen
Der Standard AES-256 mag dazu verleiten, bei der Auswahl einer CASB-Lösung nicht mehr genauer hinzuschauen – doch genau dies sollten Unternehmen beherzigen, bevor sie sich für die Implementierung entscheiden. Beispielsweise gibt es CASB-Lösungen, die eine freie Auswahl der Verschlüsselungsalgorithmen erlauben und zusätzlich den vollen Erhalt der Suchfunktion in der Anwendung gewährleisten: Während der Datenverschlüsselung wird ein lokaler Suchindex am Kundenstandort generiert, der Verweise auf die verschlüsselten Daten enthält, die mit den relevanten Stichwörtern im Index verknüpft sind. Die Verweise werden dabei zunächst an den CASB zurückgegeben. Dieser durchsucht die Anwendung nach den angefragten Verweisen und ruft die verschlüsselten Dateien oder Datensätze für den Benutzer ad hoc ab.

Tatsächlich ist es nicht möglich, die Daten bei direktem Zugriff auf die App anzuzeigen. Wenn ein Benutzer die App nicht sicher über den CASB-Service aufruft, werden ihm lediglich bedeutungslose verschlüsselte Zeiger (Verweise) auf Daten angezeigt, die geschützt am Kundenstandort gespeichert sind. Ab diesem Punkt werden vertrauliche Daten nur nach dem Need-To-Know Prinzip preisgegeben – also nur gerade die Menge an Informationen, die benötigt wird. Die verschlüsselten Daten in der App können damit nicht von Unbefugten gelesen werden und sind so beispielsweise vor dem Zugriff durch nicht autorisierte Mitarbeiter oder den Cloud-Anbieter geschützt. Selbst für den unternehmensinternen Zugriff können eigene Richtlinien festgelegt werden. Beispielsweise kann unterbunden werden, dass Mitarbeiter nach Geschäftsschluss über private Geräte auf bestimmte Daten zugreifen können.

CASBs sind überaus vielseitig und erlauben granulare Regulierungsmöglichkeiten im Zuge der Cloud-Nutzung. Um auch auf lange Sicht von den Vorteilen der CASBs zu profitieren, sollten Unternehmen deshalb sicherstellen, dass die Software Funktionen bietet, die sowohl Datensicherheit als auch Benutzerkomfort miteinander in Einklang bringen. (Bitglass: ra)

eingetragen: 30.03.17
Home & Newsletterlauf: 11.04.17

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Tipps und Hinweise

  • NIS2 trifft auf SaaS-Infrastruktur

    Die NIS2 (Network Information Security Directive)-Richtlinie zur Sicherheit von Netzwerken setzt neue Maßstäbe für die Cybersicherheit. Sie ist bekanntlich für öffentliche und private Einrichtungen in 18 Sektoren bindend, die entweder mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanz von mindestens 10 Millionen Euro.

  • Sicher modernisieren & Daten schützen

    Viele Unternehmen haben die Cloud-Migration ihrer SAP-Landschaften lange Zeit aufgeschoben. ERP-Anwendungslandschaften, sind über viele Jahre hinweg gewachsen, die Verflechtungen vielfältig, die Datenmengen enorm und die Abhängigkeit der Business Continuity von diesen Systemen gigantisch. Dennoch: Der Druck zur ERP-Modernisierung steigt und viele Unternehmen werden 2025 das Projekt Cloud-Migration mit RISE with SAP angehen.

  • Was tun mit ausgedienten Rechenzentren?

    Rund um die Jahrtausendwende begann in Deutschland ein wahrer Bauboom für Datacenter und Colocation-Flächen. Viele dieser Anlagen befinden sich auch heute noch in Betrieb. Doch die rasante Entwicklung der Informationstechnologie führt dazu, dass Rechenzentren in immer kürzeren Abständen modernisiert oder ersetzt werden müssen. Denn wann immer ein Betreiber den Spatenstich für ein neues Datacenter feiert, dürfen die Begriffe "Nachhaltigkeit" und "Umweltschutz" nicht fehlen.

  • DevOps-Modell in der Cloud

    Software-Entwickler arbeiten heute meist nach dem DevOps-Modell in der Cloud - sehen sich dort aber einer steigenden Zahl von Cyberattacken ausgesetzt. Mit der Umstellung auf ein zeitgemäßes DevSecOps-Framework und der Implementierung robuster Cloud-Security lässt sich die Code-Sicherheit über den gesamten Entwicklungsprozess nachhaltig stärken. Controlware steht Unternehmen bei der Umsetzung ganzheitlicher Security-Modelle zur Seite.

  • Auf die SaaS-Backup-Lösung kommt es an

    Die NIS2 (Network Information Security Directive)-Richtlinie zur Sicherheit von Netzwerken setzt neue Maßstäbe für die Cybersicherheit. Sie ist bekanntlich für öffentliche und private Einrichtungen in 18 Sektoren bindend, die entweder mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanz von mindestens 10 Millionen Euro. Nach Schätzungen sind bis zu 40.000 deutsche Unternehmen von der NIS2-Richtlinie betroffen.

  • SaaS: Umfassendes Datenmanagement hilft

    Ransomware ist und bleibt eines der höchsten Risiken für Unternehmen. Laut Aussagen von Security-Experten sind knapp 60 Prozent der Unternehmen Opfer eines Ransomware-Angriffs - Tendenz steigend. Nach Angaben von Microsoft haben Cyber-Bedrohungen, die es auf Software-as-a-Service (SaaS)-Umgebungen abgesehen haben, stark zugenommen. Demnach wurden 7.000 Passwort-Angriffe pro Sekunde blockiert (allein in Entra ID) und Phishing-Attacken sind um 58 Prozent gestiegen. Anders gesagt: SaaS-Daten sind durch Ransomware und andere Bedrohungen überproportional gefährdet.

  • Risiken der Workload-Migration

    Die Mobilität von Workloads, insbesondere die Verlagerung virtueller Maschinen (VMs) in verschiedene Umgebungen, ist eine wesentliche Fähigkeit für moderne IT-Prozesse. Ob es um die Migration von VMs zur Optimierung der Ressourcennutzung, die Gewährleistung der Geschäftskontinuität oder die Verlagerung von Workloads in die Cloud zur Skalierbarkeit geht - der Prozess ist mit Herausforderungen behaftet.

  • Sicher modernisieren & Daten schützen

    Viele Unternehmen haben die Cloud-Migration ihrer SAP-Landschaften lange Zeit aufgeschoben. ERP-Anwendungslandschaften, sind über viele Jahre hinweg gewachsen, die Verflechtungen vielfältig, die Datenmengen enorm und die Abhängigkeit der Business Continuity von diesen Systemen gigantisch. Dennoch: Der Druck zur ERP-Modernisierung steigt und viele Unternehmen werden 2025 das Projekt Cloud-Migration mit RISE with SAP angehen.

  • Was tun mit ausgedienten Rechenzentren?

    Rund um die Jahrtausendwende begann in Deutschland ein wahrer Bauboom für Datacenter und Colocation-Flächen. Viele dieser Anlagen befinden sich auch heute noch in Betrieb. Doch die rasante Entwicklung der Informationstechnologie führt dazu, dass Rechenzentren in immer kürzeren Abständen modernisiert oder ersetzt werden müssen. Denn wann immer ein Betreiber den Spatenstich für ein neues Datacenter feiert, dürfen die Begriffe "Nachhaltigkeit" und "Umweltschutz" nicht fehlen.

  • Tipps für MSPs im Jahr 2025

    Ob durch technologische Innovationen, geschicktes Marketing oder eine starke Unternehmenskultur - mit den richtigen Maßnahmen können MSPs im Jahr 2025 nicht nur ihre Wettbewerbsfähigkeit steigern, sondern auch langfristig wachsen. Hier sind acht Tipps, die ihnen dabei helfen, das Jahr erfolgreich zu gestalten.

Praxis-Tipps: Storage unter OpenStack Kosten für eine Cloud nicht immer geringer

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen