Sicherheit im Rechenzentrum - Informationsdienst IT-Grundschutz
Sicherheit im Rechenzentrum - Informationsdienst IT-Grundschutz
Sicherheit im Rechenzentrum - Informationsdienst IT-Grundschutz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Management und Wissen<br />
schlüsselungsplattform fähig sein,<br />
für einzelne Nutzer oder Ordner unterschiedliche<br />
Schlüssel und Richtlinien<br />
festzulegen. Auf diese Weise<br />
werden die verschlüsselten Daten<br />
der einzelnen Nutzer oder Gruppen<br />
getrennt und es ist sichergestellt, dass<br />
selbst Administratoren keinen unberechtigten<br />
Zugriff erhalten.<br />
Bei der Planung einer Verschlüsselungslösung<br />
sollte sich<br />
das Unternehmen nicht darauf<br />
verlassen, dass sich die Mitarbeiter<br />
an die Verhaltensregeln für einen<br />
sicheren Umgang mit den Daten<br />
halten. Diese Regeln sind oft sehr<br />
aufwändig, sodass es auch versehentlich<br />
zu Datenverlusten kommen<br />
kann. Oberstes Gebot ist eine für<br />
den Nutzer möglichst transparente<br />
Verschlüsselungslösung. Dabei muss<br />
sich die Architektur der Verschlüsselung<br />
nach den Geschäftsprozessen<br />
richten und darf diese nicht behindern.<br />
Darüber hinaus sollte die Verschlüsselung<br />
Teil eines mehrstufigen,<br />
integrierten <strong>Sicherheit</strong>ssystems sein<br />
und mit den <strong>Sicherheit</strong>srichtlinien<br />
und dem Zugangsmanagement des<br />
Unternehmens koordiniert werden.<br />
Nach der Einführung ist es empfehlenswert,<br />
entsprechende Testläufe<br />
durchzuführen, um mögliche <strong>Sicherheit</strong>slücken<br />
vorab zu entdecken und<br />
zu schließen.<br />
Die Schlüssel müssen<br />
sicher verwahrt werden<br />
Ein wichtiger Faktor bei der<br />
Verschlüsselung ist die Art der Aufbewahrung<br />
der Encryption-Keys. In<br />
vielen Unternehmen werden die Server<br />
als zentraler Ort dafür genutzt. In<br />
diesem Fall kann ein Diebstahl Schaden<br />
an der gesamten Infrastruktur<br />
zur Folge haben, denn oft speichern<br />
diese Allzweckserver die Keys in der<br />
Software und belassen den Speicher<br />
dabei völlig ungeschützt und unverschlüsselt.<br />
Keys, die auf verschiedene<br />
Allzwecksysteme verteilt sind – oft<br />
sogar auf denen, die die vertraulichen<br />
Daten enthalten – sind von Diebstahl<br />
am ehesten bedroht. Ein potenzieller<br />
Angreifer braucht nur eine Kopie der<br />
Überblick über den Einsatz der Verschlüsselungslösung SafeNet StorageSecure in Verbindung mit<br />
SafeNet KeySecure für die Datensicherheit über den kompletten Information-Lifecycle hinweg mit<br />
den unterstützten Protokollen CIFS und NFS.<br />
Backup-Dateien, um die Daten einsehen<br />
zu können. Abhilfe schaffen hier<br />
Hardware-Security-Module (HSM),<br />
welche die Schlüssel in Hardware<br />
speichern und über physikalische<br />
<strong>Sicherheit</strong>smaßnahmen verfügen.<br />
Die Anwendungen kommunizieren<br />
mit dem HSM, wodurch die Schlüssel<br />
das Gerät zu keinem Zeitpunkt<br />
verlassen. Für viele Unternehmen<br />
stellt das Key-Management eine<br />
Herausforderung bei der Planung<br />
von NAS-Verschlüsselungen dar.<br />
Insbesondere Transparenz, Übersicht<br />
und Kontrolle sind bisweilen schwer<br />
umzusetzen.<br />
Zentrales Management<br />
verschafft Überblick<br />
Die Lösung dafür ist ein<br />
unternehmensweites zentralisiertes<br />
Key-Management für heterogene<br />
NAS-Plattformen, Applikationen<br />
und Endgeräte bis hin zur Cloud. Dieser<br />
Ansatz gewährleistet eine höhere<br />
<strong>Sicherheit</strong>, da die Keys auf wenige<br />
Speicherorte verteilt werden und so<br />
die Gefahr eines Diebstahls reduziert<br />
wird. Darüber hinaus ermöglicht dies<br />
dem Administrator eine effizientere<br />
Erstellung von Richtlinien oder Unternehmensstandards.<br />
Eine einmal<br />
eingegebene Nutzerberechtigung<br />
oder Richtlinie für einen best<strong>im</strong>mten<br />
Bereich wird umgesetzt, unabhängig<br />
davon, ob sich die Daten auf dem<br />
Datenserver, in der NAS-Umgebung<br />
oder auf dem Laptop befinden.<br />
Eine best<strong>im</strong>mte Anwendung wird<br />
einmal verschlüsselt und kann auf<br />
verschiedene Systeme verteilt werden,<br />
sodass eine Entschlüsselung<br />
nur dann erforderlich ist, wenn der<br />
Nutzer auf die Daten zugreifen will.<br />
Selbst be<strong>im</strong> Ausfall einer Verschlüsselungsplattform<br />
sollten die Daten<br />
weiter verfügbar sein. Dazu eignen<br />
sich Plattformen, die mehrere Appliances<br />
in Clustern vereinen. Alle<br />
Keys, Richtlinien und weitere Konfigurationsinformationen<br />
können innerhalb<br />
des Clusters verteilt werden,<br />
sodass be<strong>im</strong> Ausfall einer Appliance<br />
auf eine andere gewechselt wird.<br />
Zusammenfassung<br />
Korrekt geplant und umgesetzt<br />
können Unternehmen mit<br />
NAS-Umgebungen den Schutz<br />
ihrer Daten deutlich erhöhen und<br />
Compliance-Anforderungen leichter<br />
erfüllen. Unzureichend umgesetzt<br />
können diese jedoch eine kostspielige<br />
Angelegenheit sein und die<br />
<strong>Sicherheit</strong> und Produktivität gefährden.<br />
Unternehmen sollten auf<br />
Verschlüsselungslösungen bauen,<br />
welche die Encryption-Keys zentralisieren,<br />
hohe Verfügbarkeit garantieren<br />
und granulare Verschlüsselung<br />
und Zugriffskontrolle ermöglichen.<br />
Auf diese Weise können Organisationen<br />
eine NAS-Initiative zu ihrem<br />
Wettbewerbsvorteil nutzen. n<br />
10<br />
© SecuMedia Verlags-GmbH · 55205 Ingelhe<strong>im</strong> · Special RZ · Oktober 2012