Seite 2 - Geschützte Cloud durch betreibersichere Infrastrukturen

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Geschützte Cloud durch betreibersichere Infrastrukturen

11.09.2019 - 14:00
Veröffentlicht in:
Technische Umsetzung einer betreibersicheren Cloudumgebung
Um den privilegierten Datenzugriff in einer Cloud wirkungsvoll auszuschließen, müssen vier Voraussetzungen erfüllt sein, denen die folgenden technischen Maßnahmenpakete entsprechen:
  1. Data Clean-up Areas: Im Kern einer betreibersicheren Cloud befinden sich die sogenannten "Data Clean-up Areas" (DCUA). Das sind gekapselte Zonen beziehungsweise Segmente eines Rechenzentrums, die jeweils mit vielen Anwendungsservern in hoher Dichte bestückt sind. Jede DCUA ist mit elektromechanischen Käfigen und einem Netz an Sensoren so gesichert, dass kein Zugriff – weder physisch vor Ort, noch logisch über eine der elektronischen Schnittstellen – möglich ist, ohne einen Alarm auszulösen. Sobald das Eindringen eines Angreifers durch die Sensoren erfasst und ein Alarm ausgelöst wird, beginnt unverzüglich der Data-Clean-up-Prozess. Dieser lässt sich alternativ auch durch die Anmeldung eines Wartungsganges auslösen. In beiden Fällen werden die zwischen den Nutzern und der Cloud bestehenden Sitzungen auf andere, nicht betroffene DCUA verschoben und die Daten in der vom Clean-up betroffenen DCUA gelöscht. Angreifer, Admins oder Wartungspersonal haben so keinen Zugriff mehr auf die verarbeiteten Daten.

  2. Schlüsselverteilung: Damit die Administratoren oder Rechenzentrumsbetreiber auch die verschlüsselt gespeicherten Daten nicht lesen können, werden die Schlüssel aus Geheimnissen der Cloudnutzer, wie zum Beispiel deren Zugangsdaten, oder ganz automatisch innerhalb der Data Clean-Up Areas erzeugt. So sind diese zu keinem Zeitpunkt einer natürlichen Person zugänglich und verlassen nie den Verbund der DCUAs. Eine solche sichere Aufbewahrung ist für eine kleine Zahl an Schlüsseln beispielsweise mithilfe von Trusted-Platform-Module möglich. Im größeren Stil eignen sich flüchtige Speicher der Server eines Clusters von DCUAs, also die Zusammenschaltung mehrerer DCUAs zu einem Netz, das auch "Sealed Trust Anchor Network" (STAN) genannt wird.

  3. Filtered Interfaces: Die existierenden Serverschnittstellen müssen so als Filter gestaltet sein, dass nur eine positiv definierte Liste von Befehlen angenommen wird. Für diese Befehle ist sichergestellt, dass ihre Ausführung zu keinem Export von Daten führen kann, die die Cloudnutzer auf den Servern verarbeiten. Auch dürfen die Statusmeldungen und Logdateien keinerlei Daten der Nutzer enthalten, die irgendwelche Rückschlüsse auf die verarbeiteten Daten erlauben. Dazu sind die herkömmlichen Admin- und Wartungszugänge wie etwa die Secure Shell (SSH) abgeschaltet. Die notwendigen Funktionen stehen stattdessen über eine "Operations and Maintenance Access" (OMA) genannte Filterkomponente zur Verfügung.

  4. Integrity Assurance: Abschließend stellt ein Attestierungsprozess, die sogenannte Versiegelung, den sicheren Betriebszustand der Infrastruktur her. Dieser besteht aus einer fachgerechten Prüfung und Schließung der Data-Clean-up-Areas sowie durch die abschließende Eingabe von Geheimnissen, die nur den Versiegelungsstellen bekannt sind. Die Versiegelung wird von mehreren, voneinander unabhängig handelnden Stellen, den Sealing Trustees, vorgenommen. Je mehr Stellen beteiligt sind und je unabhängiger diese voneinander agieren können, desto höher ist die Vertrauenswürdigkeit der Versiegelung.


Versiegelungsmaßnahmen einer betreibersicheren Cloudumgebung, deren organisatorische Schutzmaßnahmen vollständig durch technische ersetzt wurden. Dadurch sind die Daten während der Verarbeitung vor Zugriff geschützt.

Zusätzliche Voraussetzungen auf der Anwendungsebene
Neben diesen vier eng miteinander verzahnten Maßnahmen sind einige zusätzliche Eigenschaften notwendig, um privilegierten Zugriff in einer Cloudinfrastruktur zuverlässig auszuschließen:

  • Um die Schutzfunktion der Versiegelung nicht zu unterlaufen, darf keine in der Cloud betriebene Software Lecks in den Logdateien enthalten. Das bedeutet, dass die Konfiguration der Logfunktion so einzustellen ist, dass keine Daten, die von den Nutzern in der Cloud verarbeitet werden, und keine Daten, die Rückschlüsse darauf ermöglichen, enthalten sind.
  • Außerdem darf kein fahrlässig oder vorsätzlich in der Anwendungslogik verankerter Code existieren, der solche Daten aus der Cloud exportiert.
  • Dasselbe gilt für bekannte Sicherheitslücken und Angriffsmöglichkeiten in der Anwendungslogik. Daher ist der Stand der Technik in Bezug auf die Anwendungssicherheit und gegen Angriffe von externen Angreifern einzuhalten, regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren.
Fazit
Betreibersichere Clouds sind keine Zukunftsmusik, sondern bereits seit einigen Jahren in deutschen Unternehmen im Einsatz. Exemplarisch seien hier die Clouddienste "ucloud" des Aachener Providers regio iT und die "Versiegelte Cloud" der Deutschen Telekom genannt. Mit der "Sealed Platform" der Münchner TÜV SÜD-Tochter Uniscon GmbH existiert außerdem eine Cloudplattform, die explizit für den Betrieb sicherheitskritischer Business-Applikationen ausgelegt ist. Typische Anwendungsgebiete für versiegelte Infrastrukturen sind der Datenaustausch über Organisationsgrenzen hinweg, die Verwaltung von Data Lakes, die Überwachung von Maschinen und Menschen, Big-Data-Analysen oder das Betreiben von generell jeder Software.




ln/Dr. Hubert Jäger, CTO der Uniscon GmbH

Ähnliche Beiträge

IT-Tage 2023 – Konferenz für Entwicklung, Datenbanken, DevOps, Security und KI

„Alles unter einem Dach!“ ist das Motto der IT-Tage, der Jahreskonferenz des Fachmagazins Informatik Aktuell. Unter anderem werden Subkonferenzen zu den Themen Software-Entwicklung und -Architektur, Datenbanken, DevOps, Cloud & Serverless, IT-Security, Künstliche Intelligenz, Java, Python oder .NET angeboten.

Security mit Shielded-VMs und Host Guardian Service (3)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.