Fachartikel

Seite 2 - Geschützte Cloud durch betreibersichere Infrastrukturen

Technische Umsetzung einer betreibersicheren Cloudumgebung
Um den privilegierten Datenzugriff in einer Cloud wirkungsvoll auszuschließen, müssen vier Voraussetzungen erfüllt sein, denen die folgenden technischen Maßnahmenpakete entsprechen:
  1. Data Clean-up Areas: Im Kern einer betreibersicheren Cloud befinden sich die sogenannten "Data Clean-up Areas" (DCUA). Das sind gekapselte Zonen beziehungsweise Segmente eines Rechenzentrums, die jeweils mit vielen Anwendungsservern in hoher Dichte bestückt sind. Jede DCUA ist mit elektromechanischen Käfigen und einem Netz an Sensoren so gesichert, dass kein Zugriff – weder physisch vor Ort, noch logisch über eine der elektronischen Schnittstellen – möglich ist, ohne einen Alarm auszulösen. Sobald das Eindringen eines Angreifers durch die Sensoren erfasst und ein Alarm ausgelöst wird, beginnt unverzüglich der Data-Clean-up-Prozess. Dieser lässt sich alternativ auch durch die Anmeldung eines Wartungsganges auslösen. In beiden Fällen werden die zwischen den Nutzern und der Cloud bestehenden Sitzungen auf andere, nicht betroffene DCUA verschoben und die Daten in der vom Clean-up betroffenen DCUA gelöscht. Angreifer, Admins oder Wartungspersonal haben so keinen Zugriff mehr auf die verarbeiteten Daten.

  2. Schlüsselverteilung: Damit die Administratoren oder Rechenzentrumsbetreiber auch die verschlüsselt gespeicherten Daten nicht lesen können, werden die Schlüssel aus Geheimnissen der Cloudnutzer, wie zum Beispiel deren Zugangsdaten, oder ganz automatisch innerhalb der Data Clean-Up Areas erzeugt. So sind diese zu keinem Zeitpunkt einer natürlichen Person zugänglich und verlassen nie den Verbund der DCUAs. Eine solche sichere Aufbewahrung ist für eine kleine Zahl an Schlüsseln beispielsweise mithilfe von Trusted-Platform-Module möglich. Im größeren Stil eignen sich flüchtige Speicher der Server eines Clusters von DCUAs, also die Zusammenschaltung mehrerer DCUAs zu einem Netz, das auch "Sealed Trust Anchor Network" (STAN) genannt wird.

  3. Filtered Interfaces: Die existierenden Serverschnittstellen müssen so als Filter gestaltet sein, dass nur eine positiv definierte Liste von Befehlen angenommen wird. Für diese Befehle ist sichergestellt, dass ihre Ausführung zu keinem Export von Daten führen kann, die die Cloudnutzer auf den Servern verarbeiten. Auch dürfen die Statusmeldungen und Logdateien keinerlei Daten der Nutzer enthalten, die irgendwelche Rückschlüsse auf die verarbeiteten Daten erlauben. Dazu sind die herkömmlichen Admin- und Wartungszugänge wie etwa die Secure Shell (SSH) abgeschaltet. Die notwendigen Funktionen stehen stattdessen über eine "Operations and Maintenance Access" (OMA) genannte Filterkomponente zur Verfügung.

  4. Integrity Assurance: Abschließend stellt ein Attestierungsprozess, die sogenannte Versiegelung, den sicheren Betriebszustand der Infrastruktur her. Dieser besteht aus einer fachgerechten Prüfung und Schließung der Data-Clean-up-Areas sowie durch die abschließende Eingabe von Geheimnissen, die nur den Versiegelungsstellen bekannt sind. Die Versiegelung wird von mehreren, voneinander unabhängig handelnden Stellen, den Sealing Trustees, vorgenommen. Je mehr Stellen beteiligt sind und je unabhängiger diese voneinander agieren können, desto höher ist die Vertrauenswürdigkeit der Versiegelung.


Versiegelungsmaßnahmen einer betreibersicheren Cloudumgebung, deren organisatorische Schutzmaßnahmen vollständig durch technische ersetzt wurden. Dadurch sind die Daten während der Verarbeitung vor Zugriff geschützt.

Zusätzliche Voraussetzungen auf der Anwendungsebene
Neben diesen vier eng miteinander verzahnten Maßnahmen sind einige zusätzliche Eigenschaften notwendig, um privilegierten Zugriff in einer Cloudinfrastruktur zuverlässig auszuschließen:

  • Um die Schutzfunktion der Versiegelung nicht zu unterlaufen, darf keine in der Cloud betriebene Software Lecks in den Logdateien enthalten. Das bedeutet, dass die Konfiguration der Logfunktion so einzustellen ist, dass keine Daten, die von den Nutzern in der Cloud verarbeitet werden, und keine Daten, die Rückschlüsse darauf ermöglichen, enthalten sind.
  • Außerdem darf kein fahrlässig oder vorsätzlich in der Anwendungslogik verankerter Code existieren, der solche Daten aus der Cloud exportiert.
  • Dasselbe gilt für bekannte Sicherheitslücken und Angriffsmöglichkeiten in der Anwendungslogik. Daher ist der Stand der Technik in Bezug auf die Anwendungssicherheit und gegen Angriffe von externen Angreifern einzuhalten, regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren.
Fazit
Betreibersichere Clouds sind keine Zukunftsmusik, sondern bereits seit einigen Jahren in deutschen Unternehmen im Einsatz. Exemplarisch seien hier die Clouddienste "ucloud" des Aachener Providers regio iT und die "Versiegelte Cloud" der Deutschen Telekom genannt. Mit der "Sealed Platform" der Münchner TÜV SÜD-Tochter Uniscon GmbH existiert außerdem eine Cloudplattform, die explizit für den Betrieb sicherheitskritischer Business-Applikationen ausgelegt ist. Typische Anwendungsgebiete für versiegelte Infrastrukturen sind der Datenaustausch über Organisationsgrenzen hinweg, die Verwaltung von Data Lakes, die Überwachung von Maschinen und Menschen, Big-Data-Analysen oder das Betreiben von generell jeder Software.
11.09.2019/ln/Dr. Hubert Jäger, CTO der Uniscon GmbH

Nachrichten

Cloud: Viel genutzt, wenig gesichert [11.09.2019]

Unternehmen haben mit der rasanten Expansion der Cloud zu kämpfen. Dies geht aus dem neuen Cloud Security Threat Report (CSTR) von Symantec hervor. Dabei geben 53 Prozent der Organisationen in Deutschland an, dass ihre Cloudsicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloudanwendungen Schritt zu halten. [mehr]

Erfolgreiche Betrugsmasche: Deepfakes [6.09.2019]

Bereits seit Längerem sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum mehr zu unterscheiden sind. Jetzt hat erstmals in größerem Ausmaß ein Voice-Deepfake zugeschlagen. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO ist es Angreifern gelungen, in den Besitz von 243.000 US-Dollar zu gelangen. [mehr]

Ungleicher Kampf [6.09.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen