Bereich 11 Datensicherheit und Verschlüsselung

vPierre Cloud, Cloud Computing, Sicherheit / Security Leave a Comment

  • Einleitung
  • Datensicherheit ist die Durchsetzung der Daten-Governance.
    • muss einen risikobasierten Ansatz nehmen, denn es ist nicht angebracht, alles gleichermaßen zu sichern.
    • muss die Sicherheitskontrollen des Cloud-Providers berücksichtigen und vertrauen.
      • Cloud-Sicherheit ist eine geteilte Verantwortlichkeit. Sie verlieren die wirtschaftlichen Vorteile, wenn Sie den Cloud-Provider nicht verstehen oder ihm nicht vertrauen. Der Schwerpunkt liegt auf der Einführung von Kontrollen, die entweder außerhalb vom Bereich des Cloud-Providers liegen oder wenn Sie nach einer Risikobewertung zusätzliche Sicherheit für den Umgang mit einem Provider-Risiko benötigen.
      • Beispielsweise würde die Verschlüsselung aller Dingen in SaaS, weil Sie diesem Provider nicht trauen, wahrscheinlich bedeuten, Sie sollten ihn nicht an erster Stelle nutzen.
    • Zentrale Bereiche der Datensicherheit für Cloud-Computing:
      • Steuerung der Datenmigration in die Cloud.
      • Schutz der Daten in der Cloud
        • Verschlüsselung ist häufig zentrales Mittel der Kontrolle.
      • Überwachung und Revisionen
      • Durchsetzung der Lebenszyklus-Governance
  • Überblick
  • Kontrollen der Datensicherheit fallen tendenziell in drei Gruppen:
    • Kontrolle, welche Daten in die Cloud gelangen (und wo).
    • Schutz und Verwaltung der Daten in der Cloud.
      • Zugangskontrollen
      • Verschlüsselung
      • Architektur
      • Überwachung/Warnungen
      • Zusätzliche Kontrollen
        • Spezifische Kontrollen des Cloud-Providers
        • Vorbeugung vor Datenverlust
        • Unternehmens-Rechtemanagement
    • Durchsetzung der Lebenyzyklus-Managementsicherheit
      • Verwaltung der Datenspeicherorte
      • Gewährleistung der Compliance
        • einschließlich Audit-Artefakte
      • Backups und Geschäftskontinuität (siehe Bereich 6)
  • Arten der Cloud-Datenspeicherung
    • Nutzung der Datenverteilung/Fragmentierung
    • Objekt
      • Dateisystem
    • Laufwerk
    • Datenbank
      • relational
      • nicht relational
        • Dateisystem (z.B. HDFS)
    • Anwendung/Plattform
      • z.B. ein CDN, in SaaS gespeicherte Dateien , Caching und andere neuartige Möglichkeiten.
  • Verwaltung der Datenmigration in die Cloud.
    • Definition von Richtlinien für erlaubte Datentypen
      • Verbindung zu grundlegenden Sicherheitsanforderungen. Z.B.. „PII ist erlaubt auf x Diensten mit der Annahme,  das erfüllt die Anforderungen für Verschlüsselung y sowie die Zugangskontrolle“.
    • Identifikation wichtiger Datenbehälter
      • Überwachung auf große Migrationen/Aktivitäten hin
    • Überwachung der Cloud-Nutzung und Daten-Migrationen
      • CASB
      • URL-Filterung
      • DLP
    • Schutz der Daten beim Verschieben in die Cloud.
      • Mechanismen des Providers für Datenmigration verstehen
        • Die Ausnutzung von Mechanismen des Providers ist häufig sicherer und preiswerter als „manuelle“ Datenübertragungen wie SFTP.
      • Verschlüsselungsoptionen beim Transit
        • Vor dem Senden in die Cloud verschlüsseln (clientseitige Verschlüsselung)
        • Netzwerkverschlüsselung (TLS/SFTP/etc.)
        • Proxy-basierte Verschlüsselung
      • Akzeptanz öffentlicher/nicht vertrauenswürdiger Daten
        • Isolieren und scannen
    • Zugangskontrollen
      • Mindestens drei Schichten
        • Managementebene
        • öffentliche und interne Weitergabekontrollen
        • Kontrollen auf Anwendungsebene
      • Optionen variieren basierend auf dem Cloud-Servicemodell und providerspezifischen Merkmalen
      • Anlegen einer Berechtigungsmatrix basierend auf plattformspezifischen Fähigkeiten
      • Häufige (idealerweise kontinuierliche) Bestätigung, dass Kontrollen die Anforderungen erfüllen
        • Achten Sie besonders auf alle öffentlichen Weitergaben
        • Erwägen sie Benachrichtigungen für alle neuen öffentlichen Weitergaben / Änderungen an Genehmigungen, die einen öffentlichen Zugriff gestatten
      • Fein abgestimmte Zugangskontrollen und Zuordnungen von Berechtigungen
        • Gilt nicht nur für Dateizugriff, auch … z.B. für Datenbanken.
    • Speicherung (Data-At-Rest) Verschlüsselung und Tokenisierung * Optionen variieren enorm je nach Servicemodell, Provider und Spezifika der Anwendung/Aufstellung. * Schlüssel-Management ist ebenso unerlässlich wie die Verschlüsselungs-Option und wird im nächsten Abschnitt behandelt. * Verschlüsselung versus Tokenisierung * Formaterhaltende Verschlüsselung * Die drei Komponenten eines Verschlüsselungssystems * Daten, Verschlüssungsmodul, Schlüssel-Management * Bedrohungsmodell * IaaS * Laufwerksverschlüsslung * Instanz verwaltet * Extern verwaltet * Objekt- und Dateispeicherung * clientseitige Verschlüsselung * serverseitige Verschlüsselung * Proxy-Verschlüsselung * PaaS * Variiert enorm wegen all der unterschiedlichen PaaS-Plattformen * Anwendungsschicht (Verschlüsselung in der Anwendung vor dem Speichern) * Datenbank * Transparente Datenbankverschlüsselung (TDE) * auf Feldebene * Sonstige (z.B. Meldungswarteschlange) * vom Provider gemanagt * Anwendungsschicht * IaaS-Optionen, wenn das für die zugrundeliegende Speicherung verwendet wird * SaaS * vom Provider gemanagt * Proxy
      • Schlüssel-Management für Cloud-Computing
        • Überlegungen
          • Leistung, Zugänglichkeit, Latenz, Sicherheit
        • Optionen
          • HSM/Gerät
          • Virtuelles Gerät/Software
          • Dienst des Cloud-Providers:
          • Hybrid
        • Vom Kunden verwaltete Schlüssel für Dienste des Cloud-Providers
          • Verwaltung Provider versus Kunde
          • Interner versus externer Service
  • Datensicherheitsarchitekturen * Anwendungsarchitektur beeinflusst Datensicherheit * Merkmale des Cloud-Providers können die Angriffsfläche verringern, aber auch eine starke Metastruktur-Sicherheit fordern * z.B. Gap-Netzwerke durch Nutzung von Cloud-Speicher- oder Queue-Diensten * Einige Beispiele * Objektspeicherung für Datentransfers und Batch-Verarbeitung versus SFTP zu statischen Instanzen * Message Queue Gapping
  • Überwachung, Auditierung und Alarmierung * Sollte in die allgemeine Cloud-Überwachung eingebunden werden * Siehe Bereiche 3, 6 und 7. * Identifizieren (und alarmieren bei) öffentlichem Zugriff oder Berechtigungsänderungen auf sensible Daten * Nutzung von Tagging zur Unterstützung der Alarmierung, wenn verfügbar * Überwachung von API- und Speicherzugriff, weil Daten über beide gefährdet sein können * z.B. Zugriff auf Objektspeicher über einen API-Aufruf versus eine öffentlich teilende URL. * Aktivitätsüberwachung einschließlich Überwachung von Datenbankaktivitäten kann eine Option sein. * Speicherung der Protokolle an einem sicheren Ort (z.B. einem dedizierten Protokollier-Konto)
  • Zusätzliche Kontrollen
    • Spezifische Kontrollen des Cloud-Providers
    • Vorbeugung vor Datenverlust
      • CASB
        • Dedizierte DLP-Integration
      • Merkmal des Cloud-Providers
      • Dedizierte DLP wird typisch nicht in IaaS/PaaS aufgestellt.
    • Unternehmens-Rechtemanagement
      • Volles DRM
      • Provider-basierte Kontrolle
        • Z.B. Benutzer/Gerät/Ansicht versus Bearbeitung
    • Datenmaskierung und Erzeugung von Testdaten
      • Erzeugung von Testdaten
      • Dynamische Maskierung
  • Durchsetzung der Lebenyzyklus-Managementsicherheit
    • Verwaltung der Datenspeicherorte
      • Deaktivierung nicht benötigter Orte
      • Erzwungene Verschlüsselung
    • Gewährleistung der Compliance
      • einschließlich Audit-Artefakte
    • Backups und Geschäftskontinuität (siehe Bereich 6)
  • Empfehlungen
  • Verstehen Sie die spezifischen Fähigkeiten ihrer genutzten Cloud-Plattform.
  • Verwerfen Sie nicht die Datensicherheit des Cloud-Providers. In vielen Fällen ist das sicherer und preisgünstiger als der Aufbau einer eigenen Sicherung.
  • Legen Sie eine Berechtigungsmatrix an, um Zugangskontrollen zu bestimmen.
    • Die Durchsetzung wird abhängig von den Fähigkeiten des Cloud-Providers variieren.
  • Erwägen Sie CASB zur Überwachung des Datenstroms zu SaaS
    • Kann noch für manche PaaS und IaaS hilfreich sein, aber verlassen Sie sich mehr auf bestehende Richtlinien und die Sicherheit der Datenhaltung für derartige große Migrationen.
  • Verwenden Sie die entsprechende Option der Verschlüsselung basierend auf dem Bedrohungsmodell für Ihre Daten, das Geschäft und die technischen Anforderungen.
  • Überlegen Sie den Einsatz vom Provider verwalteter Verschlüsselung sowie von Speicheroptionen.
    • Verwenden Sie wo möglich einen vom Kunden verwalteten Schlüssel.
  • Nutzen Sie die Architektur zur Verbesserung der Datensicherheit aus. Verlassen Sie sich nicht unbedingt vollständig auf Zugangskontrollen und Verschlüsselung.
  • Achten Sie darauf, dass Überwachung auf API- und Daten-Ebene erfolgt.
    • Die Protokolle sollen die Richtlinienanforderungen für Compliance und Lebenszyklus erfüllen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.