{"id":10954,"date":"2017-04-18T12:05:55","date_gmt":"2017-04-18T10:05:55","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=10954"},"modified":"2017-04-10T11:09:07","modified_gmt":"2017-04-10T09:09:07","slug":"warum-bei-cloud-access-security-brokern-nicht-nur-der-verschluesselungsstandard-zaehlt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=10954","title":{"rendered":"Warum bei Cloud Access Security Brokern nicht nur der Verschl\u00fcsselungsstandard z\u00e4hlt"},"content":{"rendered":"

Autor\/Redakteur: Eduard Meelhuysen, Vice President Sales EMEA bei Bitglass<\/a>\/gg<\/p>\n

So bequem Public-Cloudanwendungen wie Office 365 f\u00fcr Nutzer sind, soviel Kopfzerbrechen bereiten diese IT-Verantwortlichen. Der angenehmen Benutzererfahrung und vereinfachten Workflows stehen Bedenken zu Datensicherheit und Compliance-Anforderungen gegen\u00fcber.<\/p>\n

<\/p>\n

Neben den allgemeinen datenspezifischen Anforderungen gelten je nach Branche und Standort f\u00fcr viele Unternehmen noch weitere Auflagen wie zum Beispiel die Kontrolle \u00fcber die Speicherorte und die Dateizugriffe. Um ihre Sicherheitsrichtlinien auch auf SaaS-Anwendungen wie Salesforce, Dropbox oder Office 365 und Infrastructure as a Service (IaaS) wie AWS oder Azure anwenden zu k\u00f6nnen, entschlie\u00dfen sich viele Unternehmen f\u00fcr eine Verschl\u00fcsselung mit Hilfe von Cloud Access Security Broker-Software (CASB). Ein CASB fungiert als Gatekeeper zwischen einem Unternehmensdaten-\/Ger\u00e4te-Netzwerkperimeter und den genutzten Cloud-Services. Mithilfe von CASBs k\u00f6nnen Unternehmen sichere End-to-End-Verschl\u00fcsselung ihrer Daten von der Cloud zu den Ger\u00e4ten und umgekehrt, sicherstellen.<\/p>\n

In beiden F\u00e4llen bietet ein CASB M\u00f6glichkeiten zur Chiffrierung der Daten mithilfe von Schl\u00fcsseln, die der Kontrolle durch die Unternehmen unterliegen. Zudem verf\u00fcgen CASBs \u00fcber vielf\u00e4ltige Kontrollfunktionen, wie die kontextbezogene Zugriffskontrolle, den Schutz von Datenlecks und die Verschl\u00fcsselung von gespeicherten Daten. Mittels einer Kombination von Proxys und API-Konnektoren koordiniert ein CASB die Verbindungen zwischen Cloud-Apps und der Au\u00dfenwelt.<\/p>\n

Anwendungskomfort gegen Sicherheit<\/strong><\/p>\n

Mit der F\u00e4higkeit, Daten auf dem Weg in die Cloud zu verschl\u00fcsseln, bieten CASBs Nutzern die Vorteile der Cloud-Apps bei gleichzeitiger Herstellung von Datensicherheit und sind damit ein geeignetes Werkzeug f\u00fcr die Umsetzung einer Cloud first-Strategie. Doch insbesondere auf die wichtigste Funktion von CASBs \u2013 die Verschl\u00fcsselung in Zusammenhang mit der Anwenderfreundlichkeit \u2013 sollten Unternehmen bei der Auswahl einer CASB-L\u00f6sung achten. Bezeichnenderweise gingen ausgerechnet die ersten Versuche, CASBs zur Verschl\u00fcsselung von Daten einzusetzen, mit einer herabgesetzten Sicherheit einher, um den Benutzerkomfort einer Anwendung nicht zu beeintr\u00e4chtigen. So hatten beispielsweise Early Adopters der CASB-Technologie tats\u00e4chlich nicht den Sicherheitsstandard erhalten, der f\u00fcr das Produkt ausgewiesen war.<\/p>\n

Ein Verschl\u00fcsselungsalgorithmus gr\u00fcndet sich im Wesentlichen auf zwei Komponenten: Dem Verschl\u00fcsselungsverfahren, mit dem der f\u00fcr Nutzer sichtbare Klartext in einen Chiffretext verwandelt wird. Der meist von CASBs genutzte Verschl\u00fcsselungsstandard ist der Advanced Encryption Standard (AES) mit 256 Bit-Schl\u00fcsseln (AES-256). Die zweite Komponente ist der Initialisierungsvektor, mit dem die Zuf\u00e4lligkeit des erzeugten Chiffretextes gew\u00e4hrleistet wird. Bei einer wiederholten Verschl\u00fcsselung desselben Klartexts w\u00fcrde dieser daf\u00fcr sorgen, dass jedes Mal ein neuer Chiffretext generiert wird. Um eine ausreichende Zuf\u00e4lligkeit herzustellen, sollte die L\u00e4nge des Initialisierungsvektors genau der L\u00e4nge des Schl\u00fcssels entsprechen.<\/p>\n

Die stabile Verschl\u00fcsselung geht meist jedoch zu Lasten der Anwendungsperformance und des Benutzerkomforts. Bei CASBs ist es meist die Suchfunktion innerhalb der einzelnen Apps, die eingeschr\u00e4nkt wird \u2013 was beispielsweise eine Anwendung wie Salesforce nahezu unbrauchbar machen w\u00fcrde. Vor allem, wenn Daten vor dem Speichern in der Cloud verschl\u00fcsselt werden, haben die entsprechenden Anwendungen anschlie\u00dfend nur Zugriff auf den Chiffretext. Macht ein Nutzer sich nun auf die Suche nach Elementen aus dem Klartext, schl\u00e4gt die Suche fehl. Bei CASBs der ersten Generation wurde dieses Problem zu Lasten der Sicherheit gel\u00f6st \u2013 n\u00e4mlich, indem die Anzahl der Initialisierungsvektoren des Verschl\u00fcsselungsalgorithmus reduziert wurde. Dies bedeutet: Die Zahl der m\u00f6glichen verschl\u00fcsselten Versionen einer Zeichenfolge begrenzt, um sicherzustellen, dass der CASB s\u00e4mtliche m\u00f6glichen Chiffretexte durchsuchen und genaue Suchergebnisse zur\u00fcckgeben kann. Dieses Vorgehen hat zur Folge, dass bei der AES-256-Verschl\u00fcsselung effektiv nur 20 Bit oder weniger bleiben und zieht eine erh\u00f6hte Anf\u00e4lligkeit f\u00fcr Chosen Plaintext-Attacken nach sich.<\/p>\n

<\/p>\n

CASB-Funktionen auf Anwendungskompatibilit\u00e4t \u00fcberpr\u00fcfen<\/strong><\/p>\n

Der Standard AES-256 mag dazu verleiten, bei der Auswahl einer CASB-L\u00f6sung nicht mehr genauer hinzuschauen \u2013 doch genau dies sollten Unternehmen beherzigen, bevor sie sich f\u00fcr die Implementierung entscheiden. Beispielsweise gibt es CASB-L\u00f6sungen, die eine freie Auswahl der Verschl\u00fcsselungsalgorithmen erlauben und zus\u00e4tzlich den vollen Erhalt der Suchfunktion in der Anwendung gew\u00e4hrleisten: W\u00e4hrend der Datenverschl\u00fcsselung wird ein lokaler Suchindex am Kundenstandort generiert, der Verweise auf die verschl\u00fcsselten Daten enth\u00e4lt, die mit den relevanten Stichw\u00f6rtern im Index verkn\u00fcpft sind. Die Verweise werden dabei zun\u00e4chst an den CASB zur\u00fcckgegeben. Dieser durchsucht die Anwendung nach den angefragten Verweisen und ruft die verschl\u00fcsselten Dateien oder Datens\u00e4tze f\u00fcr den Benutzer ad hoc ab. Tats\u00e4chlich ist es nicht m\u00f6glich, die Daten bei direktem Zugriff auf die App anzuzeigen. Wenn ein Benutzer die App nicht sicher \u00fcber den CASB-Service aufruft, werden ihm lediglich bedeutungslose verschl\u00fcsselte Zeiger (Verweise) auf Daten angezeigt, die gesch\u00fctzt am Kundenstandort gespeichert sind. Ab diesem Punkt werden vertrauliche Daten nur nach dem Need-To-Know Prinzip preisgegeben \u2013 also nur gerade die Menge an Informationen, die ben\u00f6tigt wird. Die verschl\u00fcsselten Daten in der App k\u00f6nnen damit nicht von Unbefugten gelesen werden und sind so beispielsweise vor dem Zugriff durch nicht autorisierte Mitarbeiter oder den Cloud-Anbieter gesch\u00fctzt. Tats\u00e4chlich ist es nicht m\u00f6glich, die Daten bei direktem Zugriff auf die App anzuzeigen. Wenn ein Benutzer die App nicht sicher \u00fcber den CASB-Service aufruft, werden ihm lediglich bedeutungslose verschl\u00fcsselte Zeiger auf Daten angezeigt, die gesch\u00fctzt am Kundenstandort gespeichert sind. Selbst f\u00fcr den unternehmensinternen Zugriff k\u00f6nnen eigene Richtlinien festgelegt werden. Beispielsweise kann unterbunden werden, dass Mitarbeiter nach Gesch\u00e4ftsschluss \u00fcber private Ger\u00e4te auf bestimmte Daten zugreifen k\u00f6nnen.<\/p>\n

CASBs sind \u00fcberaus vielseitig und erlauben granulare Regulierungsm\u00f6glichkeiten im Zuge der Cloud-Nutzung. Um auch auf lange Sicht von den Vorteilen der CASBs zu profitieren, sollten Unternehmen deshalb sicherstellen, dass die Software Funktionen bietet, die sowohl Datensicherheit als auch Benutzerkomfort miteinander in Einklang bringen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Eduard Meelhuysen, Vice President Sales EMEA bei Bitglass\/gg So bequem Public-Cloudanwendungen wie Office 365 f\u00fcr Nutzer sind, soviel Kopfzerbrechen<\/p>\n","protected":false},"author":1,"featured_media":10936,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8],"tags":[2311,4135,176,9407,6730,9423,6257,6729,1016,418,3084,36],"class_list":["post-10954","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-aes","tag-aws","tag-azure","tag-bitglass","tag-casb","tag-chosen-plaintext-attacke","tag-cloud","tag-cloud-access-security-broker","tag-compliance","tag-iaas","tag-office-365","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/10954","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=10954"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/10954\/revisions"}],"predecessor-version":[{"id":10955,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/10954\/revisions\/10955"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/10936"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=10954"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=10954"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=10954"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}