Datensicherheit
Mut zur Cloud
Cloud-Services sind besser als ihr Ruf. Dank neuester Technologie und höchster Sicherheitsvorkehrungen sind sie meist sicherer als unternehmenseigene IT-Lösungen. Ein großes Sicherheitsproblem liegt jedoch im Datenverkehr zwischen dem Cloud-Server und dem Unternehmens-Netzwerk. Dabei ist ein optimaler Datenschutz für diese Strecke gar nicht so kompliziert.
Jedes fünfte deutsche Unternehmen sieht den Einsatz von Cloud-Lösungen als Bedrohung für das eigene Know-how, berichtet die aktuelle Studie von Corporate Trust zur Industriespionage 2014. Aus Angst vor Datendiebstahl durch Hacker-Angriffe verzichten daher viele Firmen noch auf die Nutzung solcher Dienste. Dabei ist beispielsweise der Zugriff auf schnell und günstig skalierbare, hochperformante Rechen- und Speicherkapazität ein wichtiger Wettbewerbsfaktor für Unternehmen. Mit den richtigen Sicherheitsvorkehrungen ist die Nutzung der Cloud mit minimalem Risiko möglich.
Behörden und sicherheitsbetreute Unternehmen setzen seit Jahren auf Hochsicherheitslösungen zur Absicherung von Daten, die als „Verschlusssache“ gekennzeichnet sind und verhindern so den unbefugten Zugriff auf vertrauliche Informationen. Diese IT-Lösungen stehen inzwischen auch Unternehmen zum Schutz ihrer Daten in der Cloud zur Verfügung. Auf diese Weise kann mit wenig Aufwand auch in Unternehmen dieses anspruchsvolle Sicherheitsniveau erreicht werden.
Grundsätzlich ist zwischen zwei Varianten zu unterscheiden: einer „Public Cloud“ und einer „Private Cloud“. Erstere ist eine öffentlich zugängliche und kommerziell betriebene Infrastruktur, die sich besonders für junge, stark wachsende Unternehmen eignet. Der Grund: Public-Cloud-Dienste sind hochgradig skalierbar und können kurzfristig an den aktuellen Nutzerbedarf angepasst werden. Gemietet – und gezahlt – wird einzig die gerade benötigte Leistung. Der Nachteil: Die Unternehmensdaten sind gemeinsam mit denen anderer Cloud-Nutzer auf den Provider-Servern gespeichert. Die Qualität der Mandantentrennung ist deshalb ein wichtiger Faktor für die Sicherheit der Daten. Ist diese nicht hundertprozentig gewährleistet, können selbst kleine Sicherheitslücken in der Provider-Software sensible Daten für andere Nutzer sichtbar – und damit unberechtigt nutzbar – machen.
Sicherheit in der Public- und der Private-Cloud
In einer „Private Cloud“ wird die Cloud-Infrastruktur und ihre Services exklusiv für eine Institution betrieben. Auf diesem Wege wird ein deutlich höheres Sicherheitsniveau erreicht. Das bedeutet allerdings nicht, dass ein Cloud-Anbieter nur ein einziges Rechenzentrum nutzt. Tatsächlich verwendet er weitere Standorte als Ausweichmöglichkeiten. Der Grund: Nur bei einem verteilten System können – je nach dem „Service-Level-Agreement“ – bei einem Ausfall die Dienste unterbrechungsfrei weitergefahren werden. Ein Private-Cloud-Dienst bietet sich besonders für Großunternehmen mit vielen RZ-Standorten an, die durch deren Konsolidierung und Anwendung von Cloud-Technologien enorme Synergien nutzen können.
Egal ob „private“ oder „public“: Auf dem Transport der Daten hin zur Cloud sind die Daten besonders gefährdet. Um diese vor einem unberechtigten Zugriff zu schützen, ergibt sich bislang die Wahl zwischen einer IP-Sec-basierten Verschlüsselung auf OSI-Layer 3 oder der Ethernet-basierten Layer 2-Verschlüsselung.
Weniger ist oft mehr
Grundsätzlich ist eine Verschlüsselung auf beiden Layern möglich. Allerdings kann eine Verschlüsselung auf Layer 3 nur den IP-Verkehr codieren, der Rest – beispielsweise die darunter liegenden Layer 2-Protokolle – bleibt unverschlüsselt. Hinzu kommt, dass die IP-Sec-basierte Verschlüsselung mit einer teils enormen Overhead-Belastung einhergeht. Der kryptografische Protokoll-Overhead, der für die Verschlüsselung den übertragenen Paketen hinzugefügt wird, verbraucht abhängig von der IP-Paketgröße bis zu 60 Prozent der Bandbreite. Mehr als die Hälfte der übertragenen Daten steht dann nicht für Nutzdaten zur Verfügung. Die Folge können unkalkulierbare Bandbreiteneinbußen sein, je nach den aktuell laufenden Anwendungen. Außerdem kostet die Auswertung und Verarbeitung der
Paket-Header gemäß IP-Sec-Protokoll wertvolle Zeit. Dadurch kommt es zu einer erhöhten Latenz und einer eingeschränkten Performance gegenüber unverschlüsselter Übertragung. Das Problem: Oft müssen Daten und virtuelle Maschinen von einem Rechenzentrum des Cloud-Anbieters zu einem anderen Standort schnell „umziehen“. Ein IP-Verschlüsseler ist dann der Flaschenhals. Hier bringen Echtzeit-Verschlüsseler deutliche Performance-Verbesserungen.
Die Alternative ist daher eine Layer-2-Verschlüsselung, die auf Ethernet-Frames angewendet wird. Der Vorteil: Der Datenfluss wird deutlich weniger ausgebremst. Die verfügbaren Payload-Durchsatzraten von 10 und 40 GBit/s stehen hier den in der Praxis auf etwa 3 GBit/s beschränkten Layer- 3-Lösungen gegenüber. Eine Verschlüsselung auf Layer-2-Schicht ist aber nicht nur schneller, sondern schützt auch besser: Neben der Payload werden auch die IP-Adressen verschlüsselt und damit für Unbefugte unlesbar. Eine derart hochwertig gesicherte Datenkommunikation ermöglicht etwa der Netzwerk-Verschlüsseler „R&S SITLine ETH40G“ mit 40 GBit/s Datendurchsatz.
- Mut zur Cloud
- Regelwerk und Kontrolle per Firewall
Lesen Sie mehr zum Thema
