Daten in der Cloud optimal verschlüsseln

Bildlegende: Die «Key Protection Platform» von NTT Ltd. schützt private Schlüssel von PKI-Systemen und ermöglicht auch eine Absicherung der Master Keys für File- und Folder-Verschlüsslung sowie für Datenbanksysteme. (Quelle: NTT Ltd.)

An der Datenverschlüsselung in der Cloud führt kein Weg vorbei. In komplexen Umgebungen und bei der Nutzung von Cloud-Services mehrerer Anbieter benötigen Unternehmen umfassende Schlüsselmanagement-Lösungen.

Wenn Flexibilität und kurzfristige Skalierbarkeit gefragt sind, lagern viele Unternehmen Geschäftsprozesse in die Cloud aus. Der Schutz firmeninterner Informationen – und vor allem personenbezogener Daten – ist bei Cloud-Applikationen allerdings immer eine besondere Herausforderung. Die überwiegende Mehrheit aller Cloud Provider bietet dafür eine Möglichkeit, Daten während der Übertragung (Data in Motion) und bei der Speicherung in der Cloud (Data at Rest) zu verschlüsseln.

Die Verschlüsselung gilt als eine der wirkungsvollsten Massnahmen zum Schutz personenbezogener Daten über deren gesamten Lebenszyklus hinweg, angefangen von der Erfassung und Bearbeitung bis hin zur Weiterleitung und Archivierung. Das gilt für alle Applikationen, egal ob lokal oder in der Cloud. Allerdings zeichnet sich die interne Verschlüsselung der Cloud Provider durch eine starke Integration in deren jeweiligen Services aus. In einigen Fällen mag das ausreichen, etwa dann, wenn Unternehmen alle Cloud-Services von nur einem Anbieter nutzen.

Trennung der Verantwortlichkeiten verbessert IT-Security

Aber für besonders kritische Daten gehen Unternehmen dazu über, die Verschlüsselung und alle damit verbundenen Verwaltungs- und Update-Aufgaben an einen anderen Provider zu übertragen. Die Verschlüsselung übernimmt ein Cloud-Security-Spezialist. Damit ist dann auch eine klare Trennung der Verantwortlichkeiten (Funktionstrennung, Segregation of Duty) und ein Schutz der Daten gegenüber dem Cloud-Anbieter sichergestellt. Ist das gesamte Schlüsselmanagement von Anfang an bei einem anderen Provider implementiert, ist es für Unternehmen auch einfacher, ihre Applikationen und Daten von einem zu einem
anderen Cloud Provider zu migrieren. In einigen Fällen können Unternehmen nicht die Standard-Verschlüsselung ihres Cloud-Anbieters in Anspruch nehmen, weil ihre Kunden, Geschäftspartner oder Lieferanten in Verträgen ein getrenntes Schlüsselmanagement, das heisst eine Segregation of Duty, fordern.

Breites Spektrum von Verschlüsselungsservices

Eine Verschlüsselungslösung, inklusive Key Management, sollte zwei Voraussetzungen erfüllen:

  • Sie sollte so flexibel sein, dass sie an jede Cloud- oder Web-Anwendung, Datenbank und jedes Filesystem angepasst werden kann;
  • Sie darf die Funktionalität der Applikationen trotz sicherer Verschlüsselung und Pseudonymisierung (Namen werden durch mehrstellige Zahlen- oder Buchstabenkombinationen ersetzt) nicht beeinträchtigen.

Auf dem Markt sind eine Reihe von Verschlüsselungsservices verfügbar: File Folder Protection as a Service, Database Encryption as a Service, Virtual Machine Protection as a Service, Salesforce Protection as a Service und Key Protection as a Service. NTT Ltd. beispielsweise hat in seiner «Key Protection Platform» alle zentralen Funktionen für den sicheren Schutz von Daten und Schlüsseln im Unternehmen und in der Cloud zusammengefasst. Eine gute Ergänzung der Services bilden Beratungsangebote zu Themen wie Enterprise Key Management und PKI (Public Key Infrastructure) und in einigen Anwendungsszenarien auch die Anbindung an Trustcenter-Lösungen sowie die Berücksichtigung von Anforderungen aus dem Bereich Governance, Risk & Compliance (GRC).
Eine wichtige Komponente bildet ein Hardware-Sicherheitsmodul (HSM, Hardware Security Module). Dieser HSM as a Service wird nicht bei einem Cloud-Anbieter, sondern von einem Cloud-Security-Spezialisten in dessen eigenem Rechenzentrum gehostet. Eines der Anwendungsszenarien ist die Absicherung einer Privileged-Identity-Management-Lösung wie CyberArk PAS (Privileged Account Security). Die Applikation und die Daten befinden sich beim Cloud Provider A, die Lösung von CyberArk beim Cloud Provider B. Die Schlüssel werden jedoch weder beim Provider A oder B, sondern beim Betreiber des HSM as a Service vorgehalten. Dadurch gelingt die angestrebte Trennung der Verantwortlichkeiten und dies wiederum schafft eine gute Voraussetzung zur Einhaltung von Compliance- und anderen gesetzlichen Anforderungen. Die verstärkte Nutzung von Cloud-Angeboten bei gleichzeitig weiter verschärften Compliance-Vorgaben führen dazu, dass an den Themen Verschlüsselung, Schlüsselsicherheit und Governance kaum ein Unternehmen vorbeikommt.

Weitere Einsatzgebiete von HSM as a Service sind die Anbindung an eine Microsoft PKI auf Basis eines Active Directory Certificate Services (AD CS) sowie der Schutz privater Schlüssel in PKI-Umgebungen und die Absicherung von Master Keys für Datei- und Ordnerverschlüsselung oder von Datenbanksystemen.

Höheres Schutzniveau realisieren

Mit der «Key Protection Platform» als Service sind Unternehmen in der Lage, kosteneffizient und ohne umfangreiche eigene Investitionen sensitive kryptografische Schlüssel zu schützen. Vor allem aber erreichen sie gesamtheitlich ein höheres Schutz- und IT-Sicherheitsniveau. Bei der Nutzung eines Service benötigen Unternehmen darüber
hinaus kein spezielles Wissen mehr, um Hardware-Sicherheitsmodule in die eigene IT-Landschaft oder die genutzten Private- und Public-Cloud-Umgebungen zu integrieren.

Autor: Frank Balow ist Director Identity & Key Management, CISSP bei NTT Ltd.