eperi

Wenn Cloud-Anwendungsdaten zentral verschlüsselt werden sollen

Die DSGVO und anderen gesetzlichen Regularien bringen Anwender von Salesforce, Office 365 und anderen SaaS-Cloud-Anwendungen immer öfter dazu, sich diverse Fragens stellen:

„Wie kann ich mir sicher sein, dass meine Daten ohne Einfluss auf meine Cloud-Anwendung verschlüsselt werden?“
„Wie stelle ich sicher, dass meine Daten nicht in die falschen Hände geraten, weil zum Beispiel der Cloud-Anbieter darauf zugreifen kann?“.
„Gibt es eine probate Verschlüsselungslösung für meine Multi-Cloud-Strategie?

Unumgänglich: datenschutzkonforme Verschlüsselung

Die DSGVO und andere gesetzliche Bestimmungen führen immer öfter dazu, dass Anwender so vorsichtig wie möglich mit sensiblen und personenbezogenen Daten umgehen müssen. Dies bezieht sich auch auf Cloud-Datenspeicher und ihre Applikationen à la Salesforce, Office 365 und Co.

Denn auch hier müssen Firmen sicherstellen und nachweisen können, dass sie vor allem personenbezogene und unternehmenskritische Daten permanent und nachweisbar kontrollieren können. Ein wichtiger Aspekt hierbei ist eine Verschlüsselungstechnik, bei der ausschließlich der Cloud-Anwender auf sämtliche Schlüssel zugreifen kann, also nicht einmal der Cloud-Anbieter selbst.

Darüber hinaus sollte die Verschlüsselung der Daten keinerlei Einfluss auf die Arbeitsweise der Benutzer mit der Cloud-Anwendung haben. Doch genau das ist in einigen Fällen ein Hindernis, das viele Unternehmen und Cloud-Anbieter nur schwer überwinden können.

Zusätzliche Aufgabe: Multi-Cloud-Umgebungen

Daneben sehen sich Anbieter wie SAP, Salesforce, Microsoft und andere Cloud-Service-Provider in letzter Zeit immer häufiger mit einer großen Herausforderung konfrontiert: die Zentralisierung von IT-Sicherheitslösungen in Hybrid- und Multi-Cloud-Umgebungen. Denn mehr und mehr Firmen wollen bestehende IT-Security-Silos abbauen und eine zentrale Plattform schaffen, um auf diesem Weg den aktuellen Cyber-Risiken besser Herr werden zu können.

Dabei entpuppen sich die unterschiedlichen Verschlüsselungstechniken der Cloud-Anbieter zu einem echten Dilemma, denn wenn jeder seine Daten mithilfe seiner eigenen Technik unleserlich macht, wie soll dann ein zentraler Cloud-Datenschutz für eine Multi-Cloud-Umgebung zuverlässig funktionieren?

An dieser Stelle kommt die eperi Gateway-Plattform ins Spiel, die genau das besonders gut kann: Daten verschlüsseln und pseudonymisieren, und das über mehrere Cloud-Anwendungen hinweg, auf Basis einer zentralen Verschlüsselungsplattform.

Stopp: Verschlüsseln Salesforce & Co. ihre Daten nicht selbst?

Ja, das stimmt natürlich. Einerseits. Andererseits weisen die Verschlüsselungslösungen der jeweiligen Cloud-Anbieter oft eine kleine, aber feine Schwachstelle auf, zumindest dann, wenn man Datenschutzbeauftragter ist. Denn die Verschlüsselungslösung selbst und die notwendigen Schlüssel befinden sich nicht exklusiv unter der Kontrolle des Cloud-Anwenders. Und das ist unter dem Aspekt bestimmter Compliance-Anforderungen ein absolutes No-Go!

Der Ausweg: Daten plattformübergreifend mit eperi verschlüsseln

Fakt ist also, dass die Verschlüsselungslösungen von Salesforce oder Microsoft in einigen Fällen den Datenschutz ernst nehmen und die Usability der Cloud-Anwendung(en) nicht beeinträchtigen. Und doch hält die Verschlüsselungslösung der Cloud-Anbieter den zahlreichen internen und externen Compliance-Anforderungen nicht stand.

Das ist zum Beispiel dann der Fall, wenn global operierende Unternehmen die Datenschutzprozesse vollständig autark kontrollieren müssen und der Cloud-Anbieter unter keinen Umständen auf unverschlüsselte Daten zugreifen darf. Aber auch das Thema Data Residency stellt eine mögliche Herausforderung dar, wenn sensible Daten ein bestimmtes Hoheitsgebiet nicht verlassen dürfen.

Darüber hinaus spricht auch das Etablieren einer zentralen IT-Sicherheitsarchitektur für eine zentrale Verschlüsselungslösung wie das eperi Gateway. Denn auch hier können sämtliche Datenschutzprozesse über einen zentralen Kontrollpunkt gesteuert werden.

Umgesetzt: Cloud-Anwendungen mittels Templates eperi Gateway-tauglich machen

Wie man anhand des Beitrags eperi Gateway: So geht wirksamer Cloud-Datenschutz gut erkennen kann, weisen die eperi Cloud-Verschlüsselungslösungen ein Template-Konzept auf, das die komfortable Anbindung des eperi Gateways an nahezu beliebige Cloud-Anwendungen erlaubt. Dank dieses Konstrukts lässt sich beispielsweise festlegen, welche Verschlüsselungsmethode zum Einsatz kommt, ob bestimmte Datentypen bei der Eingabe erwartet werden, und so fort.

Bei den Templates handelt es sich herkömmliche XML-Dateien, die ausführbaren Java-Code enthalten können. Für die häufig zum Einsatz kommenden Cloud- und SaaS-Anwendungen wie Salesforce, Office 365, etc. existieren vorgefertigte Templates von eperi. Diese lassen sich mühelos anpassen bzw. neu erstellen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Cloud-Daten mit eperi Gateway vollumfänglich und wirksam schützen

Sensible Daten lassen sich innerhalb einer Cloud schützen, indem man sie verschlüsselt und pseudonymisiert. Hierfür gibt es verschiedene Ansätze: Cloud Access Security Broker (CASB), Bring Your Own Key-Dienste oder andere vergleichbare Dienste. Doch worin unterschieden sich deren Arbeitsweisen und schützen sie Cloud-Daten vollumfänglich?

Nun, CASB-Services bzw. -Anwendungen befinden sich zwischen Anwender und Cloud-Plattform und steuern, überwachen und protokollieren den gesamten Datenstrom. Im Gegensatz dazu verschlüsseln BYOK-Anbieter die Daten mithilfe von kryptografischen Schlüsseln, die sie ihren Cloud-Kunden zur Verfügung stellen.

Die Zuverlässigkeit und Machbarkeit dieser Ansätze lassen sich mithilfe dreier Aspekte und ihrer wesentlichen Fragen bewerten: Datenkontrolle, Benutzbarkeit (Usability) und Datenschutz.

Datenkontrolle: Wer kann auf die für die Verschlüsselung erforderlichen Schlüssel zugreifen und hat damit Zugriff auf die verschlüsselten Daten?

Benutzbarkeit: Können die Cloud-Anwendungen trotz der Verschlüsselung wie gewohnt genutzt werden?

Datenschutz: Sind Datensicherheit und -schutz eingeschränkt, um somit die Benutzbarkeit der Cloud-Anwendung oder einzelner Funktionen weiterhin gewährleisten zu können?

Nun muss man sich als Datenschutz-Verantwortlicher gut überlegen, welche dieser drei Merkmale von besonderer Bedeutung sind. Denn leider decken die am Markt existierenden Ansätze und Lösungen nicht alle Anforderungen gleichermaßen gut ab.

CASB-Services ermöglichen grundsätzlich einen hohen Datenschutz und die volle Datenkontrolle, dafür ist die Usability meist nicht optimal, da der Service an die verschiedenen Cloud-Applikationen angepasst werden muss. Im schlimmsten Fall wird die Nutzung von Cloud-Services komplett verhindert, wenn sensible Daten im Spiel sind.

BYOK-Dienste: Hier stehen die Themen „Benutzbarkeit“ und „Datenschutz“ im Vordergrund, allerdings rückt die Datenkontrolle ein wenig in den Hintergrund, da die erforderlichen kryptografischen Schlüssel zwar vom Anwender zur Verfügung gestellt werden, der Cloud-Anbieter kann allerdings auf die Schlüssel zugreifen.

eperi hilft aus dem CASB-/BYOK-Dilemma!

Jetzt kommen wir zu der Stelle, an der Sie sich vielleicht fragen: Gibt es denn eine Cloud-Verschlüsselungslösung, die alle drei Disziplinen gleichermaßen gut beherrscht? Ja, doch, die gibt es, und sie nennt sich eperi Cloud Data Protection (CDP). Damit können Sie sicher sein, bei allen drei Aspekten keine Abstriche machen zu müssen.

So erlangt keiner der Cloud-Anbieter und Datenverarbeiter Zugriff auf die Schlüssel, die Cloud-Anwendung wird durch die Verschlüsselung nicht wesentlich beeinträchtigt, und beim Datenschutz werden ebenfalls keine Kompromisse eingegangen.

Die Funktionsweise des eperi-Gateway

Die wesentliche Eigenschaft des eperi-Gateway ist seine „Vermittlerrolle“. Hierzu befindet es sich außerhalb der Cloud-Umgebung, deren Daten verschlüsselt werden sollen, entkoppelt also Cloud-Anwendungen von den Cloud-Daten. Zum anderen fungiert es als Reverse-, Forward- und API-Proxy, je nach Anwendung und Zugriffsszenario.

Außerdem ist das eperi-Gateway „Hüter“ sämtlicher Schlüssel, die für das Pseudonymisieren und Verschlüsseln der Daten erforderlich sind. Das erlaubt allen Anwendern einen transparenten, sicheren Zugriff auf die Cloud-Daten. Transparent heißt, dass die Verschlüsselung im Hintergrund für die Anwender keine spürbaren Auswirkungen hat und dass keine Installationen an Benutzer- oder Zielsystemen notwendig sind.

So fungiert das eperi-Gateway als Proxy

Ein Proxy-Server ist ganz allgemein gesprochen ein Vermittler, der die Netzwerkkommunikation zwischen zwei Endpunkten übernimmt und dabei unterschiedliche Aufgaben übernimmt. Im Falle des eperi-Gateway ist dies beispielsweise das Verschlüsseln und Entschlüsseln der Daten, die zwischen den Endpunkten ausgetauscht werden sollen.

Das eperi-Gateway fungiert im Wesentlichen als Forward- und Reverse-Proxy. Im Foward-Fall nimmt der Anwender aus seinem Netzwerk zuerst Kontakt mit dem eperi-Gateway auf, übergibt diesem seine Daten, die es verschlüsselt, und anschließend an die zugehörige Cloud-Anwendung übergibt.

In entgegengesetzter, also Reverse-Richtung, nimmt das eperi-Gateway als Proxy stellvertretend den Datenstrom entgegen, der von einer Cloud-Anwendung zurückkommt und entschlüsselt die darin verschlüsselten Daten, bevor diese an die Anwender in Klartext weitergeleitet werden.

Darüber hinaus kann das eperi-Gateway über verschiedene API-Schnittstellen in bestehende Anwendungen eingebunden werden. Das ist beispielsweise dann erforderlich, wenn die Ver- und Entschlüsselung lediglich vor- oder nachgeschaltet zum Einsatz kommt oder proprietäre Protokolle unterstützt werden müssen.