Sensible Daten lassen sich innerhalb einer Cloud schützen, indem man sie verschlüsselt und pseudonymisiert. Hierfür gibt es verschiedene Ansätze: Cloud Access Security Broker (CASB), Bring Your Own Key-Dienste oder andere vergleichbare Dienste. Doch worin unterschieden sich deren Arbeitsweisen und schützen sie Cloud-Daten vollumfänglich?
Nun, CASB-Services bzw. -Anwendungen befinden sich zwischen Anwender und Cloud-Plattform und steuern, überwachen und protokollieren den gesamten Datenstrom. Im Gegensatz dazu verschlüsseln BYOK-Anbieter die Daten mithilfe von kryptografischen Schlüsseln, die sie ihren Cloud-Kunden zur Verfügung stellen.
Die Zuverlässigkeit und Machbarkeit dieser Ansätze lassen sich mithilfe dreier Aspekte und ihrer wesentlichen Fragen bewerten: Datenkontrolle, Benutzbarkeit (Usability) und Datenschutz.
Datenkontrolle: Wer kann auf die für die Verschlüsselung erforderlichen Schlüssel zugreifen und hat damit Zugriff auf die verschlüsselten Daten?
Benutzbarkeit: Können die Cloud-Anwendungen trotz der Verschlüsselung wie gewohnt genutzt werden?
Datenschutz: Sind Datensicherheit und -schutz eingeschränkt, um somit die Benutzbarkeit der Cloud-Anwendung oder einzelner Funktionen weiterhin gewährleisten zu können?
Nun muss man sich als Datenschutz-Verantwortlicher gut überlegen, welche dieser drei Merkmale von besonderer Bedeutung sind. Denn leider decken die am Markt existierenden Ansätze und Lösungen nicht alle Anforderungen gleichermaßen gut ab.
CASB-Services ermöglichen grundsätzlich einen hohen Datenschutz und die volle Datenkontrolle, dafür ist die Usability meist nicht optimal, da der Service an die verschiedenen Cloud-Applikationen angepasst werden muss. Im schlimmsten Fall wird die Nutzung von Cloud-Services komplett verhindert, wenn sensible Daten im Spiel sind.
BYOK-Dienste: Hier stehen die Themen „Benutzbarkeit“ und „Datenschutz“ im Vordergrund, allerdings rückt die Datenkontrolle ein wenig in den Hintergrund, da die erforderlichen kryptografischen Schlüssel zwar vom Anwender zur Verfügung gestellt werden, der Cloud-Anbieter kann allerdings auf die Schlüssel zugreifen.
eperi hilft aus dem CASB-/BYOK-Dilemma!
Jetzt kommen wir zu der Stelle, an der Sie sich vielleicht fragen: Gibt es denn eine Cloud-Verschlüsselungslösung, die alle drei Disziplinen gleichermaßen gut beherrscht? Ja, doch, die gibt es, und sie nennt sich eperi Cloud Data Protection (CDP). Damit können Sie sicher sein, bei allen drei Aspekten keine Abstriche machen zu müssen.
So erlangt keiner der Cloud-Anbieter und Datenverarbeiter Zugriff auf die Schlüssel, die Cloud-Anwendung wird durch die Verschlüsselung nicht wesentlich beeinträchtigt, und beim Datenschutz werden ebenfalls keine Kompromisse eingegangen.
Die Funktionsweise des eperi-Gateway
Die wesentliche Eigenschaft des eperi-Gateway ist seine „Vermittlerrolle“. Hierzu befindet es sich außerhalb der Cloud-Umgebung, deren Daten verschlüsselt werden sollen, entkoppelt also Cloud-Anwendungen von den Cloud-Daten. Zum anderen fungiert es als Reverse-, Forward- und API-Proxy, je nach Anwendung und Zugriffsszenario.
Außerdem ist das eperi-Gateway „Hüter“ sämtlicher Schlüssel, die für das Pseudonymisieren und Verschlüsseln der Daten erforderlich sind. Das erlaubt allen Anwendern einen transparenten, sicheren Zugriff auf die Cloud-Daten. Transparent heißt, dass die Verschlüsselung im Hintergrund für die Anwender keine spürbaren Auswirkungen hat und dass keine Installationen an Benutzer- oder Zielsystemen notwendig sind.
So fungiert das eperi-Gateway als Proxy
Ein Proxy-Server ist ganz allgemein gesprochen ein Vermittler, der die Netzwerkkommunikation zwischen zwei Endpunkten übernimmt und dabei unterschiedliche Aufgaben übernimmt. Im Falle des eperi-Gateway ist dies beispielsweise das Verschlüsseln und Entschlüsseln der Daten, die zwischen den Endpunkten ausgetauscht werden sollen.
Das eperi-Gateway fungiert im Wesentlichen als Forward- und Reverse-Proxy. Im Foward-Fall nimmt der Anwender aus seinem Netzwerk zuerst Kontakt mit dem eperi-Gateway auf, übergibt diesem seine Daten, die es verschlüsselt, und anschließend an die zugehörige Cloud-Anwendung übergibt.
In entgegengesetzter, also Reverse-Richtung, nimmt das eperi-Gateway als Proxy stellvertretend den Datenstrom entgegen, der von einer Cloud-Anwendung zurückkommt und entschlüsselt die darin verschlüsselten Daten, bevor diese an die Anwender in Klartext weitergeleitet werden.
Darüber hinaus kann das eperi-Gateway über verschiedene API-Schnittstellen in bestehende Anwendungen eingebunden werden. Das ist beispielsweise dann erforderlich, wenn die Ver- und Entschlüsselung lediglich vor- oder nachgeschaltet zum Einsatz kommt oder proprietäre Protokolle unterstützt werden müssen.
Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.