Virtual-Private-Networks
Drei Wege in die Cloud
Fortsetzung des Artikels von Teil 2
SSL: Aktualität erhöht Sicherheit
Eine Schwäche von SSL liegt in der Tatsache, dass Hacker in den letzten Jahren immer wieder gefälschte Zertifikat-Autoritäten ausgegeben haben. SSL-Zertifikate erfüllen zweierlei Aufgaben: Auf Webservern installiert, liefern sie einerseits das nötige Schlüsselmaterial, damit überhaupt verschlüsselte Verbindungen aufbaubar sind. Zum anderen bieten sie den Nutzern einer Webseite die Möglichkeit, zu überprüfen, ob es sich bei der besuchten Seite tatsächlich um den entsprechenden Anbieter handelt. Die in den Browsern hinterlegten Certificate-Authorities (CAs) stellen solche Zertifikate nur dann aus, wenn die Identität des Anbieters überprüft wurde. Bei einem Aufruf einer Webseite über HTTPS verifizieren die Browser im Hintergrund automatisch das Zertifikat und warnen bei ungültigen oder nicht passenden Zertifikaten.
Diese Vorgehensweise hat jedoch einen grundlegenden Nachteil: Zertifikate einer CA, die der Browser als vertrauenswürdig einstuft, werden bedingungslos akzeptiert. Somit reicht ein einziger „Bürge“ aus, damit ein Browser diese Zertifikate als unbedenklich bestätigt. Ein weiteres Problem ist, dass die Integrität einer CA nicht überprüfbar ist. Hat jemand Zugriff auf eine der weltweit zirka 600 öffentlichen CAs und hat dort außerdem gefälschte Zertifikate ausgestellt, werden diese ohne Warnung akzeptiert. Nach einem bekannt gewordenen Einbruch in einer CA aktualisieren die Hersteller die Liste der Zertifizierungsstellen und stellen sie als Update bereit. Die aktuelle Sicherheitslücke „Heartbleed“ bei Open-SSL lässt sich durch die Verwendung der jeweils neuesten Open-SSL-Version ausschließen, wenn in diesem Fall auch die Zertifikate erneuert wurden. Ein weiterer wichtiger Grund für Administratoren, immer die aktuellsten Patches und Updates zu nutzen.
Nach Einsatzgebiet entscheiden
Alle genannten Technologien lassen sich klaren Anwendungsgebieten zuordnen: Bei IP-Sec liegt der Funktionsschwerpunkt auf der Standortvernetzung mit Fokus auf etablierte und anerkannte hohe Sicherheitsstandards. Die Lösungen auf Basis von SSL bieten Nutzern eine höhere Flexibilität mit deutlich geringerem Wartungsaufwand durch den Wegfall umfangreicher Konfigurationen. Citrix hingegen bietet eine gut umzusetzende Policy auf Anwendungsebene und kann sicherstellen, wer welche Applikation sehen kann und bereitgestellt bekommt. Letztlich entscheidet also das Einsatzgebiet darüber, welche VPN-Variante gerade die geeignetste ist.
Geht es nicht allein um einen Remote-Access einzelner User, sondern beispielsweise um die Einbindung von Filialen oder kleineren Standorten, ist auch eine direkte Anbindung an die Cloud per MPLS-VPN möglich. In diesem Fall kommen die Daten mit gar keinem anderen Netz zwischen Cloud und den eigenen Standorten in Berührung. Die Cloud-Ressourcen stehen dem Kunden wie ein weiterer Standort in seinem VPN zur Verfügung – ohne weitere Protokolle oder CAs.
Gerade in Zeiten von Spionageskandalen und Abhöraffären zählt nicht nur Funktionalität und Zuverlässigkeit. Jeder IT-Verantwortliche sollte vor allem die Sicherheit seines Datenaustausches im Blick haben und auch in der Lage sein, sie individuell zu steuern. Das gilt im Übrigen nicht nur für den Zugang sondern für das gesamte Cloud-Konstrukt eines Unternehmens. Deshalb prüfen Provider wie etwa die BCC Business Communication Company mögliche Szenarien immer im Vorfeld gemeinsam mit dem Kunden, um eine individuell passende Lösung zu finden.
- Drei Wege in die Cloud
- Gesicherter Zugang über den Browser
- SSL: Aktualität erhöht Sicherheit
- Expertenkommentar: Ein VPN ist nicht genug
- Expertenkommentar: Mit maßgeschneiderten VPNs in die Cloud
Lesen Sie mehr zum Thema
