EMC World 2010: Kritik von RSA-Chef Art Coviello
RSA will der Sicherheit von Cloud-Anbietern auf den Zahn fühlen
RSA, die auf Sicherheit und Kryptographie spezialisierte Tochter des Speicherriesen EMC hat sich im Rahmen der EMC World 2010 zur Sicherheit von Cloud-Diensten geäußert: RSA-Boss Art Coviello sagte, dass Kunden nur dann Vertrauen in die Cloud fassen, wenn Sicherheitsmechanismen ab Werk Teil der Infrastruktur sind. Nachträglich installierte Security-Optionen vermögen laut Coviello die Zweifel der CIOs nicht zu zerstreuen.
Das von Coviello geführte Unternehmen hat vor Kurzem einen Proof of Concept demonstriert, der
auf Basis von Intels TXT (Trusted Execution Technology) eine sichere Virtualisierungsplattform
darstellt. Zum Einsatz kamen dabei unter anderem RSAs DLP-Lösung (Data Leakage Prevention) und RSA
Archer, eine Lösung zum Sammeln von Log-Dateien. Technikkombinationen wie diese sollen laut Art
Coviello für mehr Vertrauen in virtualisierte Cloud-Infrastrukturen sorgen.
Erheblich praxisnäher sind drei Test-Tools, die Ari Juels, der Leiter des RSA-Forschungslabors,
beschrieb: Juels will Kunden von öffentlichen Cloud-Angeboten wie den Amazon Web Services Werkzeuge
an die Hand geben, um aus der Ferne die Zuverlässigkeit der Cloud-Dienste zu bewerten. Juels sprach
von einem "Guckloch", das die Software öffnet, ohne dass der Kunde vor Ort beim Dienstleister sein
muss.
Laut Juels hat RSA eine Software entwickelt, um die Existenz und Integrität von durch den Kunden
hochgeladener Daten regelmäßig zu checken ("Proof of Retrievability", siehe
www.rsa.com/rsalabs/hail/POR.pdf), ohne
die Daten dabei herunterzuladen. Juels zufolge werden pro Test lediglich wenige Bytes
übertragen.
Ein weiteres Tool soll aus der Ferne prüfen, ob die Daten einen eventuellen Disk-Crash
überstehen würden (Remote Assessment of Fault Tolerance, siehe
eprint.iacr.org/2010/214.pdf).
Zu guter Letzt will RSA auch nachweisen können, wie viele andere virtuelle Maschinen (VMs) auf
der gleichen Server-Hardware betrieben werden, die auch von der VM des betreffenden Kunden genutzt
wird. Letzteres Tool befindet sich noch in der Entwicklung und wird bislang auch noch nicht in
einem Forschungspapier beschrieben.
Im Gespräch mit LANline erklärte Juels, wie die Forscher dem Cloud-Dienstleister beispielsweise
hinsichtlich der Anzahl der verwendeten Festplatten auf den Zahn fühlen: Die Forscher rufen in
unregelmäßigen Abständen verschieden große, zuvor zu diesem Zweck hochgeladene Datenmengen aus der
Cloud ab. Überschreitet die Transferdauer einen zuvor festgelegten und durch lokale Tests mit
Festplatten ermittelten Wert, geht das Tool davon aus, dass zu wenige Festplatten zum Einsatz
kommen. Einflüsse durch unterschiedlich schnelle Internet-Anbindungen sollen sich durch eine
ausreichend hohe Stichprobenzahl ausschließen lassen.
Ob, wann und, wenn ja, in welchem Rahmen – als Freeware oder kommerzielles Produkt – die
beschriebenen Werkzeuge bereitgestellt werden, hat RSA noch nicht bekanntgegeben.
Uli Ries/wg
Lesen Sie mehr zum Thema
