Lassen Sie uns gemeinsam die Welt der Cloud-Kryptografie erkunden, ihre verschiedenen Formen und die spezifische Implementierung in der Google Cloud.
Cloud Computing, weit mehr als nur ein Modebegriff, hat sich als eine Schlüsselkomponente der IaaS-Landschaft etabliert. Es ist eine treibende Kraft für Einzelpersonen, Unternehmen und Regierungen, die Cloud-Dienste nutzen, um die Herausforderungen herkömmlicher On-Premise-Technologien zu bewältigen.
Die Cloud steht für Bequemlichkeit, Wirtschaftlichkeit und Skalierbarkeit in Reinform.
Vereinfacht gesagt, Cloud Computing bedeutet, dass Sie Computerressourcen wie Speicherplatz, RAM und CPU über das Internet nutzen, ohne eigene physische Hardware betreiben zu müssen.
Ein alltägliches Beispiel hierfür sind Dienste wie Google Drive oder Yahoo Mail. Wir vertrauen diesen Unternehmen persönliche und geschäftliche Daten an, die oft sensibel sind.
In der Regel schenkt ein durchschnittlicher Nutzer dem Datenschutz und der Sicherheit in der Cloud wenig Beachtung. Wer jedoch um Überwachungstendenzen und aktuelle Cyberangriffe weiß, sollte wachsam sein und sich der aktuellen Lage bewusst sein.
Was genau ist Cloud-Kryptografie?
Cloud-Kryptografie adressiert diese Bedenken, indem sie in der Cloud gespeicherte Daten verschlüsselt und so unbefugten Zugriff verhindert.
Verschlüsselung ist eine Methode, bei der Standardinformationen mithilfe eines Algorithmus in eine unleserliche Form umgewandelt werden. Selbst bei einem Datenleck sind die Inhalte für unbefugte Personen nicht verständlich.
Es gibt verschiedene Verschlüsselungsarten, die je nach Anwendungsfall geeignet sind. Die Wahl einer starken Chiffre für die Verschlüsselung von Cloud-Daten ist von entscheidender Bedeutung.
Würden Sie beispielsweise den folgenden Text verstehen?
Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.
Wahrscheinlich nicht!
Für das menschliche Gehirn mag es rätselhaft sein, aber mit einem einfachen Caesar-Decoder lässt es sich in Sekundenschnelle entziffern:
Selbst wer mit der Caesar-Chiffre vertraut ist, erkennt schnell, dass jeder Buchstabe im verschlüsselten Text im Alphabet um zwei Positionen gegenüber dem Klartext verschoben ist.
Daher ist es wichtig, auf robuste Verschlüsselungsstandards wie AES-256 zu setzen.
Wie funktioniert die Cloud-Kryptografie?
Die vorherigen Abschnitte könnten den Eindruck erweckt haben, dass Sie selbst eine Chiffre zur Datenverschlüsselung auswählen.
Technisch ist dies möglich. In der Praxis nutzen Sie jedoch entweder die native Verschlüsselung des Cloud-Anbieters oder eine Verschlüsselung als Service von einem Drittanbieter.
Lassen Sie uns die beiden Ansätze und ihre jeweilige Umsetzung genauer betrachten:
#1. Verschlüsselung durch die Cloud-Plattform
Dies ist der einfachste Ansatz: Der Cloud-Dienstanbieter übernimmt die Verschlüsselung.
Idealerweise findet diese Verschlüsselung Anwendung bei:
Daten im Ruhezustand
Hier werden die Daten in verschlüsselter Form gespeichert, bevor sie in die Speichercontainer gelangen oder nachdem sie dort abgelegt wurden.
Da Cloud-Kryptografie ein relativ neues Konzept ist, gibt es keine universelle Methode. Es existiert zwar viel Forschung, aber die Praxis ist entscheidend.
Wie schützt also ein führendes Cloud-Infrastrukturunternehmen wie Google Cloud ruhende Daten?
Laut Google-Dokumentation werden Daten in kleine Einheiten von wenigen Gigabyte aufgeteilt und über verschiedene Maschinen in deren Speichercontainern verteilt. Ein einzelner Container kann Daten von verschiedenen Benutzern enthalten.
Zusätzlich wird jedes Paket individuell verschlüsselt, auch wenn sie sich im gleichen Container befinden und zum selben Nutzer gehören. Dies bedeutet, dass andere Dateien geschützt bleiben, selbst wenn der Verschlüsselungsschlüssel für ein Paket kompromittiert wird.
Quelle: Google Cloud
Der Verschlüsselungsschlüssel wird zudem bei jeder Datenaktualisierung erneuert.
Daten auf dieser Speicherebene werden mit AES-256 verschlüsselt, mit Ausnahme einiger älterer Festplatten, die vor 2015 mit 128-Bit-AES-Verschlüsselung eingerichtet wurden.
Dies ist die erste Verschlüsselungsebene – auf der Ebene der einzelnen Pakete.
Im nächsten Schritt werden die Festplatten (HDD) oder Solid-State-Drives (SSD), die diese Datenblöcke hosten, mit einer weiteren Schicht 256-Bit-AES-Verschlüsselung versehen. Einige ältere HDDs verwenden weiterhin 128-Bit-AES. Die Verschlüsselungsschlüssel auf Geräteebene unterscheiden sich von denen auf Speicherebene.
Alle diese Datenverschlüsselungsschlüssel (DEKs) werden wiederum mit Schlüsselverschlüsselungsschlüsseln (KEKs) verschlüsselt, die zentral vom Google Key Management Service (KMS) verwaltet werden. Alle KEKs nutzen AES-256/AES-128 und jedem Google Cloud Dienst ist mindestens ein KEK zugeordnet.
Diese KEKs werden mindestens alle 90 Tage mit der gemeinsamen kryptografischen Bibliothek von Google rotiert.
Jeder KEK wird gesichert, seine Verwendung protokolliert, und nur autorisiertes Personal hat Zugriff darauf.
Anschließend werden alle KEKs erneut mit 256-Bit-AES-Verschlüsselung verschlüsselt und erzeugen den KMS-Hauptschlüssel, der in einer separaten Schlüsselverwaltungseinrichtung, dem Root KMS, gespeichert wird. Root KMS speichert eine Handvoll solcher Schlüssel.
Das Root-KMS wird auf dedizierten Rechnern in jedem Google Cloud Rechenzentrum betrieben.
Dieser Root-KMS wird mit 256-Bit-AES verschlüsselt und generiert einen einzigen Root-KMS-Hauptschlüssel, der in der Peer-to-Peer-Infrastruktur gespeichert wird.
Eine Root-KMS-Instanz läuft auf jedem Root-KMS-Hauptschlüsselverteiler, der den Schlüssel im Arbeitsspeicher hält.
Jede neue Instanz des Root-KMS-Hauptschlüsselverteilers wird von bereits aktiven Instanzen authentifiziert, um Manipulationen zu vermeiden.
Um den Fall zu bewältigen, dass alle Verteilerinstanzen gleichzeitig starten müssen, ist der Root-KMS-Hauptschlüssel nur an zwei physischen Standorten gesichert.
Letztlich haben weniger als 20 Google-Mitarbeiter Zugang zu diesen streng geschützten Orten.
So setzt Google Cloud Kryptografie für ruhende Daten um.
Wer die Schlüssel selbst verwalten möchte, kann dies ebenfalls tun oder eine zusätzliche Verschlüsselungsebene hinzufügen. Allerdings muss man sich bewusst sein, dass der Verlust dieser Schlüssel den Ausschluss aus dem eigenen Webprojekt bedeuten kann.
Nicht alle Cloud-Anbieter bieten dieses Maß an Detaillierung. Google ist bekannt für seinen Premium-Service. Möglicherweise ist ein kostengünstigerer Anbieter ausreichend, der zu Ihrem individuellen Bedrohungsmodell passt.
Daten in Bewegung
Dies betrifft die Übertragung von Daten innerhalb oder außerhalb des Rechenzentrums des Cloud-Anbieters, z. B. beim Hochladen von Ihrem Computer.
Auch hier gibt es keinen einheitlichen Ansatz zum Schutz von Daten während der Übertragung, daher betrachten wir die Implementierung bei Google Cloud.
Das entsprechende Whitepaper Verschlüsselung bei der Übertragung identifiziert drei Maßnahmen zum Schutz von Daten im Transit: Authentifizierung, Verschlüsselung und Integritätsprüfung.
Innerhalb des Rechenzentrums sichert Google Daten während der Übertragung durch Endpunktauthentifizierung und Integritätsbestätigung mit optionaler Verschlüsselung.
Obwohl der Nutzer zusätzliche Maßnahmen ergreifen kann, ist die Sicherheit innerhalb des Geländes, das nur wenigen Mitarbeitern zugänglich ist, auf höchstem Niveau.
Außerhalb seiner physischen Grenzen verfolgt Google eine differenzierte Strategie für seine eigenen Cloud-Dienste (wie Google Drive) und Anwendungen seiner Kunden (wie eine Website auf der Compute Engine).
Im ersten Fall wird der gesamte Datenverkehr zunächst über Transport Layer Security (TLS) zu einem Kontrollpunkt, dem Google Front End (GFE), geleitet. Anschließend durchläuft der Datenverkehr DDoS-Schutz, Lastausgleich zwischen den Servern und wird schließlich an den entsprechenden Google Cloud Dienst weitergeleitet.
Im zweiten Fall liegt die Verantwortung für die Sicherheit der Datenübertragung primär beim Infrastrukturbetreiber, sofern keine anderen Google Dienste (wie ein Cloud VPN) verwendet werden.
Im Allgemeinen wird TLS verwendet, um sicherzustellen, dass Daten während der Übertragung nicht manipuliert werden. Dies ist dasselbe Protokoll, das verwendet wird, wenn Sie über HTTPS auf eine Webseite zugreifen, symbolisiert durch das Schloss-Symbol in der URL-Leiste.
TLS wird standardmäßig in Webbrowsern eingesetzt, kann jedoch auch für andere Anwendungen wie E-Mail, Audio-/Videoanrufe und Instant Messaging angewendet werden.
Für höchste Verschlüsselungsstandards gibt es virtuelle private Netzwerke, die eine weitere Sicherheitsebene mit fortschrittlichen Verschlüsselungsverfahren wie AES-256 bieten.
Die Implementierung von Cloud-Kryptografie in Eigenregie ist jedoch herausfordernd, was uns zu…
#2. Encryption-as-a-Service
In diesem Szenario sind die Standardsicherheitsprotokolle Ihrer Cloud-Plattform für bestimmte Anwendungsfälle unzureichend.
Die beste Lösung wäre, alles selbst zu überwachen, was jedoch den unkomplizierten Ansatz, der für Cloud Computing gewählt wurde, untergräbt.
Die Nutzung von Encryption-as-a-Service (EAAS) wie CloudHesive ist eine praktikable Alternative. Anstatt CPU, RAM oder Speicherplatz „leihen“ Sie Verschlüsselung.
Je nach EAAS-Anbieter können Sie Verschlüsselung für ruhende und übertragene Daten nutzen.
Vor- und Nachteile der Cloud-Kryptografie
Der wichtigste Vorteil ist die erhöhte Sicherheit. Durch Cloud-Kryptografie sind die Daten Ihrer Nutzer besser vor Cyberkriminellen geschützt.
Cloud-Kryptografie verhindert nicht jeden Angriff, ist jedoch ein wichtiger Schritt, um im Ernstfall entsprechend vorbereitet zu sein.
Zu den Nachteilen zählen die Kosten und der Aufwand für die Aktualisierung bestehender Sicherheitsstrukturen. Bei eigenständiger Verwaltung der Schlüssel kann der Verlust des Zugangs zum Schlüssel verheerende Folgen haben.
Da es sich um eine aufstrebende Technologie handelt, ist es nicht einfach, einen bewährten EAAS-Anbieter zu finden.
Es empfiehlt sich, einen etablierten Cloud-Dienstanbieter zu wählen und auf deren eigene kryptografische Mechanismen zu setzen.
Zusammenfassung
Wir hoffen, dieser Artikel hat Ihnen Einblick in die Cloud-Kryptografie gegeben. Es geht um Datensicherheit im Kontext der Cloud, auch wenn Daten außerhalb ihrer Grenzen übertragen werden.
Die meisten führenden Cloud-Infrastrukturunternehmen, wie Google Cloud oder Amazon Web Services, bieten angemessene Sicherheitsmaßnahmen für die gängigsten Anwendungsfälle. Es schadet jedoch nicht, sich mit dem Fachjargon vertraut zu machen, bevor Sie geschäftskritische Anwendungen hosten.
P.S.: Informieren Sie sich über Cloud-Kostenoptimierungslösungen für AWS, Google Cloud, Azure etc.