Amazons Verschlüsselungsfunktion greift zu kurz: Verwaltung muss in die Hände des Benutzers

Originalartikel Udo Schneider, Solution Architect

Quelle: flickr

Viele Medien bekundeten ihre Zustimmung für die Ankündigung von AWS‘ (Amazon Webservices) Verschlüsselungsfunktion für S3 (Simple Storage Services). Dabei werden Daten in den S3 Buckets optional verschlüsselt abgelegt. Die Daten werden mittels SSE (Server Side Encryption) auf Seiten des Servers verschlüsselt. Hierbei übernimmt Amazon die gesamte Schlüsselverwaltung automatisch. Der Nutzer braucht nur noch beim Hochladen der Daten zu entscheiden, ob sie verschlüsselt abgelegt werden sollen.

Verschlüsselung ist sicherlich sinnvoll, denn bei einem unberechtigten Zugriff auf die (physikalischen) Platten, auf denen die S3 Daten liegen, kann niemand die Daten verwenden. Doch schützt diese Funktion nicht vor dem Entwenden der Daten, sofern sie über dafür gedachte Kanäle passieren (e.g. Zugriff via https). Da die Ver-/Entschlüsselung transparent auf dem Server passiert, kann jeder, der die Rechte oder Zugangsdaten (berechtigter- oder unberechtigterweise) besitzt, diese Daten von S3 /ent/schlüsselt herunterladen.

Deshalb geht Trend Micro mit Secure Cloud einen anderen Weg und fügt weitere Security-Mechanismen für Kontrolle des Benutzers hinzu.

  • Trennung von Schlüsselverwaltung und Ressourcen: Die Schlüsselverwaltung ist getrennt von den verschlüsselten Ressourcen. Ein potenzieller Angreifer kann also mit den Daten allein nichts anfangen — Er benötigt (unberechtigen) Zugriff auf zwei disjunkte Systeme.
  • Schlüsselverwaltung/-generierung befindet sich unter Kontrolle des Nutzers: Gibt dieser die Keys nicht frei, so können die Daten nicht entschlüsselt werden.
  •  Richtlinienbasierte Identitäts- und Integritätsüberprüfung: S3 ist ein reiner Storage Dienst. SecureCloud geht weiter und adressiert (u.a.) auch Amazon EC2/EBS (Elastic Block Store). In diesem Kontext gilt es, nicht nur Daten zu schützen, sondern auch Instanzen/VMs, die auf diese zugreifen. SecureCloud kann also auch die Identität (etwa Lokation/Rechenzentrum) und Integrität (Welche Netzwerkdienste sind konfiguriert?) mit in die Entscheidung, ob Schlüssel bereitgestellt werden, einbeziehen.

Im Gegensatz zu S3 SSE geht das Trend Micro-Produkt viel weiter und bezieht deutlich mehr Risiken ein. Dies soll aber nicht heißen, dass S3 SSE nichts taugt. Jedes Feature, dass die Sicherheit erhöht, verbessert die Gesamtsicherheit des Systems. Zumal in diesem Fall die zusätzliche Verschlüsselung „nichts kostet“ – weder preislich noch in Form von User Ressourcen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*