NSA-Affäre und die Konsequenzen
Sealed Cloud - wie der Mittelstand sich schützen kann
Sealed Cloud versiegelt das Rechenzentrum
Mit der Sealed-Cloud-Technologie erreichen Betreiber eines Rechenzentrums ein höheres Sicherheitsniveau. Das liegt daran, dass die Daten nicht nur beim Transport zum und vom Data Center und im Storage-System in der Datenbank auf technische Weise geschützt werden, sondern auch bei der Verarbeitung. Andere Systeme mit einem hohen Grad an Sicherheit versuchen, die Verarbeitung mit organisatorischen Maßnahmen zu sichern. Für Mitarbeiter der Dienstanbieter sind diese aber häufig einfach zu umgehen, wie die vielen Datenskandale zeigen.
Um den Missbrauch von Daten zu vermeiden, wird mit Sealed Cloud der Zugang zu den Servern auf technische Art gesichert: Die Rechner sind in einem Rack verschlossen. Die Tore zum betroffenen Server kann man nur mit einem remote übermittelten Token öffnen, nachdem der IT-Verantwortliche zuvor in einer getrennten Nachricht einen Arbeitsauftrag für einen bestimmten Server bekommen hat. Bevor sich der Schrank tatsächlich öffnet, wird der Server heruntergefahren. Alle Daten aus dem Daten- und Arbeitsspeicher werden zudem auf andere, sichere Server verschoben; anschließend werden sie gelöscht. Das System ist also, wenn der Admin daran arbeitet, frei von allen Anwendungsdaten. Nach Beendigung der Wartungsarbeiten wird es von zentraler Stelle wieder hochgefahren. Eine automatisch gestartete Routine prüft, ob alle eingespielten Daten und Programme den freigegebenen, zertifizierten Versionen entsprechen. Damit soll gewährleistet werden, dass keine manipulierten Routinen auf das System gelangen.
Die Daten in der Datenbank oder im Storage-System sind verschlüsselt. So arbeiten heute alle Cloud-Dienste, die einen hohen Sicherheitsanspruch haben. Bei den gängigen technischen Lösungen verschlüsseln die Betreiber die Daten in der Datenbank beziehungsweise im Storage-System auf Block-Ebene - mit einem oder wenigen systemweit gültigen Schlüssel. Ein Schlüssel gilt dann für viele Datensätze. Aufbewahrt wird dieser im Schlüsselspeicher innerhalb des Systems.
Das Sealed-Cloud-Konzept geht an diesem Punkt etwas weiter: Meldet sich ein Anwender bei einer Sealed Cloud an, generiert das System während des Anmeldevorgangs einen individuellen Schlüssel pro Nutzer aus den Login-Informationen. Der Schlüssel dient dazu, die Anwendungsdaten zu finden, sie zu entschlüsseln und für die Bearbeitung in den Hauptspeicher zu laden. Am Ende jeder Session meldet sich der Anwender ab. Nach Abmeldung werden die Daten neu verschlüsselt und gespeichert. Dann zerstört das System den individuellen Schlüssel. In der Datenbank gibt es daher für jeden einzelnen Nutzer einen eigenen Datensatz, der jeweils individuell nach dem Advanced Encryption Standard (AES256) verschlüsselt ist. Da die Schlüssel im System nicht existieren, legen die Entwickler die Zugangshürde für interne und externe Angreifer deutlich höher als in anderen Systemen: Ein Angreifer müsste dann schon den AES256 knacken, und dies separat für jeden einzelnen Nutzerdatensatz.
- OpenStack
Die auf Linux und Python basierende Lösung "OpenStack" ist eine Art Betriebssystem für die Cloud. Das quelloffene System gilt als ein wichtiger Meilenstein in Sachen Cloud Computing und hat, nicht zuletzt aufgrund der breiten Unterstützung seitens namhafter IT-Riesen, großes Zukunftspotenzial. - Otixo
"Otixo" stellt ein innovatives Datei-Management-Tool für das Cloud-Zeitalter dar, das in erster Linie für Anwender in Frage kommt, die mehrere Online-Dienste nutzen und diese besser miteinander integrieren möchten. Dank speziellen Sicherheits- und Sharing-Funktionen können davon nicht nur Privatanwender, sondern auch Unternehmen profitieren. - Cloudability
Bei "Cloudability" handelt es sich um einen vielversprechenden Dienst, der noch in den Kinderschuhen steckt, aber bis jetzt einen rundum guten Eindruck macht. Wer viel Geld in Cloud Computing investiert und die Ausgaben im Blick behalten möchten, für den könnte die Software genau das Richtige sein. - Scalr
IT-Administratoren, die auf der Suche nach einer professionellen Lösung sind, um ihre Cloud-Anwendungsplattformen besser entwerfen, entwickeln und betreiben zu können, sind bei "Scalr" genau an der richtigen Adresse. - RightScale
RightScale bietet eine umfangreiche und anspruchsvolle Lösung an, mit der sich beliebig komplexe Cloud-Infrastrukturen effizient verwalten lassen und die in direkter Konkurrenz zu Scalr steht. - Newvem
"Newvem" bietet sich als eine zentrale, ganzheitliche Cloud-Management-Lösung an, die speziell für Firmen konzipiert ist, die Windows Azure oder Amazon Web Services nutzen.
Verschlüsselte Datenübertragung mit SSL und TSL
Die Daten werden durch Verschlüsselung, zum Beispiel SSL mit 2048-Bit-Schlüssellänge, übertragen. Realisiert wird diese über TLS-Protokolle. Seit der Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS (Transport Layer Security) weiterentwickelt und standardisiert. Medienberichten zufolge wurde indes die TLS-Verschlüsselung von der NSA dekodiert. Das löste eine Welle der Empörung aus. In einer "ABC-Analyse" der Sicherheitsketten liegen zurzeit die größten Sicherheitslöcher aber weiterhin beim Betreiber und bei den Endgeräten, erst dann folgt die Übertragung via SSL oder TLS. Da eine Sicherheitskette nur so stark ist wie ihr schwächstes Glied, müssen zunächst die ersten beiden Risiken minimiert werden, um ein sicheres System zu erhalten.
Bei SSL/TLS ist der "Janusangriff" (Man-in-the-middle) die einfachste Methode mitzuhören. Dabei steht ein Angreifer zwischen den beiden Kommunikationspartnern. Auf diese Weise hat er mit seinem System vollständige Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und sogar manipulieren. Eine solche Attacke erkennt der normale Nutzer in gewöhnlichen Browsern nicht - Experten aber schon. Sie sehen die Zertifikatsdetails. Geheimdienste nutzen wahrscheinlich diese Schleuse, um mit dieser Methode ins System zu gelangen. Sie erhalten bei manchen Zertifikatserstellern sogenannte Root-Zertifikate oder haben in manchen Browsern eigene Root-Zertifikate deponiert. Verwendet man ein entsprechendes Browser Add-on oder nutzt auf den Mobilgeräten passende Apps, so ist bei der Sealed Cloud aber eine automatisierte Angriffserkennung integriert.
Neben der "Statischen Attestierung", deren Aufgabe es ist, die Zuverlässigkeit der Komponenten zu prüfen, wird zusammen mit einer neutralen Zertifizierungsstelle an einer "Dynamischen Attestierung" gearbeitet. Bei ihr soll im laufenden Betrieb geprüft werden, ob weiterhin alle Voraussetzungen für den zertifizierten Ablauf erfüllt sind. Treten Abweichungen auf, werden die betroffenen Server oder Serverteile außer Betrieb genommen. Außerdem meldet das System den Fehler an die zertifizierende Stelle.
Unterm Strich sichert die Sealed-Cloud-Technik Cloud Computing in einem Maße ab, das den Vergleich noch sucht. Dies hat sich beim Trusted-Cloud-Wettbewerb des BMWi gezeigt, bei dem das Sealed Cloud Konsortium zu einem der Gewinner in der Kategorie Basistechnologie gehörte. (wh)