Fachartikel

Seite 2 - Geschützte Cloud durch betreibersichere Infrastrukturen

Technische Umsetzung einer betreibersicheren Cloudumgebung
Um den privilegierten Datenzugriff in einer Cloud wirkungsvoll auszuschließen, müssen vier Voraussetzungen erfüllt sein, denen die folgenden technischen Maßnahmenpakete entsprechen:
  1. Data Clean-up Areas: Im Kern einer betreibersicheren Cloud befinden sich die sogenannten "Data Clean-up Areas" (DCUA). Das sind gekapselte Zonen beziehungsweise Segmente eines Rechenzentrums, die jeweils mit vielen Anwendungsservern in hoher Dichte bestückt sind. Jede DCUA ist mit elektromechanischen Käfigen und einem Netz an Sensoren so gesichert, dass kein Zugriff – weder physisch vor Ort, noch logisch über eine der elektronischen Schnittstellen – möglich ist, ohne einen Alarm auszulösen. Sobald das Eindringen eines Angreifers durch die Sensoren erfasst und ein Alarm ausgelöst wird, beginnt unverzüglich der Data-Clean-up-Prozess. Dieser lässt sich alternativ auch durch die Anmeldung eines Wartungsganges auslösen. In beiden Fällen werden die zwischen den Nutzern und der Cloud bestehenden Sitzungen auf andere, nicht betroffene DCUA verschoben und die Daten in der vom Clean-up betroffenen DCUA gelöscht. Angreifer, Admins oder Wartungspersonal haben so keinen Zugriff mehr auf die verarbeiteten Daten.

  2. Schlüsselverteilung: Damit die Administratoren oder Rechenzentrumsbetreiber auch die verschlüsselt gespeicherten Daten nicht lesen können, werden die Schlüssel aus Geheimnissen der Cloudnutzer, wie zum Beispiel deren Zugangsdaten, oder ganz automatisch innerhalb der Data Clean-Up Areas erzeugt. So sind diese zu keinem Zeitpunkt einer natürlichen Person zugänglich und verlassen nie den Verbund der DCUAs. Eine solche sichere Aufbewahrung ist für eine kleine Zahl an Schlüsseln beispielsweise mithilfe von Trusted-Platform-Module möglich. Im größeren Stil eignen sich flüchtige Speicher der Server eines Clusters von DCUAs, also die Zusammenschaltung mehrerer DCUAs zu einem Netz, das auch "Sealed Trust Anchor Network" (STAN) genannt wird.

  3. Filtered Interfaces: Die existierenden Serverschnittstellen müssen so als Filter gestaltet sein, dass nur eine positiv definierte Liste von Befehlen angenommen wird. Für diese Befehle ist sichergestellt, dass ihre Ausführung zu keinem Export von Daten führen kann, die die Cloudnutzer auf den Servern verarbeiten. Auch dürfen die Statusmeldungen und Logdateien keinerlei Daten der Nutzer enthalten, die irgendwelche Rückschlüsse auf die verarbeiteten Daten erlauben. Dazu sind die herkömmlichen Admin- und Wartungszugänge wie etwa die Secure Shell (SSH) abgeschaltet. Die notwendigen Funktionen stehen stattdessen über eine "Operations and Maintenance Access" (OMA) genannte Filterkomponente zur Verfügung.

  4. Integrity Assurance: Abschließend stellt ein Attestierungsprozess, die sogenannte Versiegelung, den sicheren Betriebszustand der Infrastruktur her. Dieser besteht aus einer fachgerechten Prüfung und Schließung der Data-Clean-up-Areas sowie durch die abschließende Eingabe von Geheimnissen, die nur den Versiegelungsstellen bekannt sind. Die Versiegelung wird von mehreren, voneinander unabhängig handelnden Stellen, den Sealing Trustees, vorgenommen. Je mehr Stellen beteiligt sind und je unabhängiger diese voneinander agieren können, desto höher ist die Vertrauenswürdigkeit der Versiegelung.


Versiegelungsmaßnahmen einer betreibersicheren Cloudumgebung, deren organisatorische Schutzmaßnahmen vollständig durch technische ersetzt wurden. Dadurch sind die Daten während der Verarbeitung vor Zugriff geschützt.

Zusätzliche Voraussetzungen auf der Anwendungsebene
Neben diesen vier eng miteinander verzahnten Maßnahmen sind einige zusätzliche Eigenschaften notwendig, um privilegierten Zugriff in einer Cloudinfrastruktur zuverlässig auszuschließen:

  • Um die Schutzfunktion der Versiegelung nicht zu unterlaufen, darf keine in der Cloud betriebene Software Lecks in den Logdateien enthalten. Das bedeutet, dass die Konfiguration der Logfunktion so einzustellen ist, dass keine Daten, die von den Nutzern in der Cloud verarbeitet werden, und keine Daten, die Rückschlüsse darauf ermöglichen, enthalten sind.
  • Außerdem darf kein fahrlässig oder vorsätzlich in der Anwendungslogik verankerter Code existieren, der solche Daten aus der Cloud exportiert.
  • Dasselbe gilt für bekannte Sicherheitslücken und Angriffsmöglichkeiten in der Anwendungslogik. Daher ist der Stand der Technik in Bezug auf die Anwendungssicherheit und gegen Angriffe von externen Angreifern einzuhalten, regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren.
Fazit
Betreibersichere Clouds sind keine Zukunftsmusik, sondern bereits seit einigen Jahren in deutschen Unternehmen im Einsatz. Exemplarisch seien hier die Clouddienste "ucloud" des Aachener Providers regio iT und die "Versiegelte Cloud" der Deutschen Telekom genannt. Mit der "Sealed Platform" der Münchner TÜV SÜD-Tochter Uniscon GmbH existiert außerdem eine Cloudplattform, die explizit für den Betrieb sicherheitskritischer Business-Applikationen ausgelegt ist. Typische Anwendungsgebiete für versiegelte Infrastrukturen sind der Datenaustausch über Organisationsgrenzen hinweg, die Verwaltung von Data Lakes, die Überwachung von Maschinen und Menschen, Big-Data-Analysen oder das Betreiben von generell jeder Software.
11.09.2019/ln/Dr. Hubert Jäger, CTO der Uniscon GmbH

Nachrichten

Kritische Citrix-Schwachstellen werden ausgenutzt [17.01.2020]

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. [mehr]

Einfallstor VPN [15.01.2020]

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des jüngsten Sodinokibi-Ransomware-Angriffs auf Travelex, der das Remote Access VPN-System als Einfallstor verwendete. Aufgrund eines ungepatchten VPN-Servers gelang es den Angreifern beispielsweise, das IT-System der englischen Devisengesellschaft bereits am Neujahrsabend stillzulegen. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen