Cloud und VPN
Security-Traumpaar
Wer heute Dienste und Infrastruktur in der Cloud betreibt, kann bei der Art der VPN-Verbindung aus einem breiten Angebot wählen. VPN-Gateways sind bei vielen Cloud-Providern Bestandteil des Portfolios oder als VPN-Dienst separat verfügbar. Wer im Vorfeld seine Anforderungen und die seiner Nutzer analysiert, findet einfacher und schneller die beste Lösung.
Die Netzverbindungen in die Cloud müssen geschützt sein. Je nach Anforderungsprofil des Kunden läuft dies entweder über die bereitgestellten Gateways des Cloud-Anbieters oder über ein separates VPN-Gateway, betrieben vom Anwenderunternehmen selbst oder durch einen Dritten. Welche Variante zum Einsatz kommt, hängt von zahlreichen Faktoren ab. Wer viel Flexibilität benötigt oder auch skalieren muss, greift meist zu einem separaten VPN-Gateway. Die standardmäßig angebotenen VPN-Gateways von Microsoft, Amazon oder Google bieten dagegen den Vorteil perfekter Integration und schneller Inbetriebnahme.
Basis für immer mehr Anwendungen
Wichtig ist bei der Auswahl in jedem Fall, dass das VPN die Cloud-Dienste transparent an das hauseigene Netz anbindet, sodass die Mitarbeiter nahtlos zwischen hauseigenen und Cloud-Diensten navigieren. Dies erfordert eine möglichst umfassende und automatisierte Verwaltungssoftware, die nicht nur die Cloud-Verbindungen sichert, sondern auch externe Zugänge ins LAN einschließt.
In Umgebungen, die mit Industrie 4.0 experimentieren und per TCP/IP vernetzte Komponenten in der Produktionsumgebung einsetzen, ist eine Erweiterung des VPNs in Richtung IIoT (Industrial Internet of Things) eine Überlegung wert. Auch wenn es keine dedizierten Zahlen zu IIoT gibt, zeigt Ponemons "Global Encryption Trends Study" vom April 2018, dass etwa 50 Prozent bereits Verschlüsselung im IoT-Umfeld im Einsatz haben. Rund 81 Prozent verwenden bei der Verbindung zur Cloud ausschließlich oder zumindest teilweise VPNs. Zudem gaben 71 Prozent der Befragten an, dass Cloud-Unterstützung für sie zu den wichtigsten Features der Verschlüsselungstechnik gehört. Gegenüber dem Vorjahresbericht wuchs diese Zahl der "intensiven Verschlüsselungsnutzer" um elf Prozent.
Alle großen Cloud-Anbieter wie Google, Amazon und Microsoft bieten VPN-Gateways als - kostenpflichtigen - Teil der eigenen Cloud-Infrastruktur. Umfangreiche Konfigurationsrichtlinien und eine ideale Integration in die jeweiligen Dienste machen die Nutzung zumindest in technischer Hinsicht einfach. Aber neben technischer Hilfestellung spielen auch organisatorische Voraussetzungen eine große Rolle.
VPN-Betreiber raten übereinstimmend dazu, sich zunächst Gedanken über die Dimensionierung zu machen. Abgerechnet wird nach Anzahl der benötigten Lizenzen oder Nutzungsdauer. Auch die notwendige Bandbreite, die die remote angebundenen Nutzer und Standorte voraussichtlich in Anspruch nehmen werden, sollte man in die Überlegungen einbeziehen.
Vielfältige Angebote
Wer im Unternehmen ein VPN einsetzt, hat Client- und Server-Komponenten unter eigener Kontrolle. Bei der Absicherung eines Zugriffs auf die Cloud sieht die Situation anders aus. Am ähnlichsten hierzu ist die Implementierung einer lokal installierten Variante, indem das Anwenderunternehmen die Cloud zum Aufbau kompletter Infrastrukturen nutzt. Zwar ist dann auch das VPN-Gateway in der Infrastruktur des Anbieters realisiert, aber Betrieb und Verantwortung bleiben Kundensache. Anders beim VPN as a Service: Hier sind Betrieb und Hosting der kompletten Plattform die Sache des Managed-Security-Dienstleisters. Der VPN-Dienst ist hier ein reiner Service. Wichtig ist in diesem Fall, dass die verwendete Lösung und ihre Gateways mandantenfähig sind. So lassen sich unterschiedliche Kunden getrennt voneinander über physische oder virtuelle Systeme bedienen.
Aufgrund der hohen Lastanforderungen, die beim Hosting Tausender VPN-Tunnel entstehen können, sollten die Gateways Load-Sharing unterstützen und skalierbar sein. Eine gemeinsame Management-Konsole, die sowohl mehrere Gateways pro Kunde als auch getrennte Mandanten handhaben kann, unterstützt die Abläufe der Provider und die Sicherheitsbedürfnisse der Anwender gleichermaßen. Ob diese ein gemeinsames VPN-Gateway akzeptieren oder eine getrennte Lösung fordern, bestimmt das jeweilige Sicherheitskonzept. VPN-Cloud-Anbieter können in der Regel beide Konzepte umsetzen. Ob redundante Gateways und Netzzugänge notwendig sind, liegt letztendlich ebenfalls am Anforderungsprofil des Kunden.
Wer über eine Auslagerung der VPN-Dienste in die Cloud nachdenkt, muss im Vorfeld den Schutzbedarf festlegen und die angebotenen Lösungen dahingehend abklopfen. Unter Umständen kommt je nach Risikoprofil nur ein zertifiziertes Rechenzentrum mit Kameraüberwachung, Vereinzelungsschleusen, Vier-Augen-Prinzip und Disaster-Recovery-Spiegelung in Frage. Solche Maßnahmen treiben jedoch den Preis in die Höhe.
Keine Risiken sollte ein Unternehmen bei der Authentisierung eingehen: Benutzername und Passwort reichen heute nicht mehr aus, ein zweiter Faktor ist für externe Zugänge ins Netz unumgänglich. Zwei-Faktor-Authentisierung (2FA) ist bereits Bestandteil einiger VPN-Lösungen. Viele Zusatzangebote decken jeden Anwendungsfall ab. So lässt sich ein auf einer Smartcard abgelegtes Zertifikat komfortabel als zweiter Faktor nutzen. Wichtig ist in diesem Fall, dass der Hosting-Provider auch die Zertifikatsverwaltung als Komplettangebot übernimmt. Dies stellt sicher, dass die Zertifikate pünktlich erneuert oder zum Stichtag eingezogen werden.
In vielen Fällen ist es sogar notwendig, noch weitere Authentisierungsmethoden einsetzen und kombinieren zu können. Dies ist zum Beispiel der Fall, wenn der Remote-Zugang zur Verarbeitung als geheimhaltungspflichtig eingestuften Materials Verwendung findet. Schon bei VS-NfD (Verschlusssache - Nur für den Dienstgebrauch) fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz einer zugelassenen Lösung, die zusätzliche Anforderungen an die Authentisierung und die Unumgehbarkeit des Tunnels stellt.
Ähnlich sind die Anforderungen hinsichtlich des Datenschutzes: Cloud-Anbieter mit Sitz außerhalb Deutschlands oder der EU sind anderen Datenschutzregeln verpflichtet, als sie deutsches beziehungsweise EU-Recht fordern. Sensible und persönliche Informationen dürfen nur in die Cloud gelangen, wenn die Einhaltung der Datenschutzbestimmungen garantiert ist. Selbst bei großen Anbietern können Unternehmen hier Überraschungen erleben.
Datenschutz-Dilemma
Die größten Cloud-Anbieter sind US-amerikanische Unternehmen. Das verträgt sich in einigen Bereichen nicht sehr gut mit dem Datenschutz. Denn wenn ein Unternehmen personenbezogene Daten im Inland erhebt, darf es diese ohne Zustimmung der betroffenen Personen oder eine gesetzliche Erlaubnis nur dann ins Ausland abführen, wenn es sich um Mitgliedstaaten der EU oder des Europäischen Wirtschaftsraums handelt. Die Auftragsdatenverarbeitung in Drittstaaten wie in den USA ist nur zulässig, falls und soweit die EU-DSGVO oder eine spezielle gesetzliche Regelung dies erlaubt (was nicht der Fall ist). Alternativ können die Betroffenen freiwillig, bewusst und eindeutig in die Datenverarbeitung einwilligen.
Die dafür eigentlich vorgesehen "Safe Harbor"-Regelung hat der Europäische Gerichtshof im Oktober 2015 aufgrund einer Klage für ungültig erklärt. Seit dem August 2016 kann eine Nachfolgeregelung namens "EU-US Privacy Shield" Anwendung finden. Doch auch diese enthält zahlreiche Mängel. So ist das Abkommen rechtlich nicht verbindlich, weil es sich dabei um keinen Vertrag handelt.
Massenüberwachungsmaßnahmen durch die US-Regierung sind ebenfalls weiterhin zulässig. Die Betroffenen können ihre Rechte nicht wirksam verfolgen, weil sie von der Überwachung gar nicht erfahren. Sich auf Safe Harbor zu berufen, ist zwar ein möglicher Weg, um die Cloud rechtssicher zu nutzen. Ob er die eigenen Daten praktisch schützt, ist jedoch zweifelhaft.
Cloud-Betreiber wie Microsoft bieten Hilfen an, um den Umgang mit personenbezogenen Daten zu erleichtern. So unterstützt Microsoft Unternehmen mit verschiedenen Diensten bei der Umsetzung der DSGVO. Beispielsweise helfen Azure Data Factory und Azure HDInsight dabei, personenbezogene Daten in Azure zu finden und entsprechend innerhalb der EU zu lagern. Damit sollten die Informationen auf Servern und Speichersystemen in Deutschland oder der EU sicher sein. Soweit die Theorie. Doch der neue, von Trumps Regierung durchgedrückte Cloud Act verlangt die Herausgabe von Daten eines US-Unternehmens unabhängig davon, ob sich die Daten in den USA oder andernorts befinden, auch ohne Rechtshilfeabkommen.
Darum war die Lösung über die Deutschland Cloud der Telekom so elegant: Die Cloud-Dienste wurde physisch durch die Telekom in Treuhänderschaft erbracht. Microsoft selbst hatte keinen Zugriff auf die Daten, selbst wenn das Unternehmen einer Anfrage der US-Regierung hätte nachkommen wollen. Leider honorierten die Kunden den Aufpreis von etwa 25 Prozent gegenüber den Standard-Azure-Angeboten nicht. Deshalb hat der US-Konzern das Angebot kürzlich wieder aufgegeben (siehe "Microsoft stellt deutsche Cloud-Services auf neue Basis", LANline 10/2018, Seite 11).
VPN-Dienstleister benötigen Angaben über die Art der Einbindung in die Directory- und Metadirectory-Strukturen der Anwenderunternehmen. Bei einer Integration in das Active Directory geht es um Informationen über die Vergabe der RAS-Berechtigungen (Remote-Access-Service). Erhalten alle Nutzer Zugang per RAS, oder gibt es Gruppen mit RAS-Rechten, denen die entsprechenden Nutzer zugeordnet sind?
Normalerweise existieren zwei automatisierte Wege, um die Daten der Anwender zu erhalten. Der Provider kann sich mit dem Active Directory des Kunden synchronisieren und die entsprechenden Informationen auslesen oder eine täglich aus LDAP exportierte CSV-Liste mit den entsprechenden Daten verwenden. Viele Provider bieten auch Sonderlösungen an und können beispielsweise Daten aus der Software für das Personalwesen entnehmen.
Eine Sicherheitslösung wie ein VPN im Unternehmen einzuführen ist in der Regel mit beträchtlichem Zeitaufwand verbunden. Mit gehosteten VPNs in der Cloud steht eine bereits voll funktionsfähige und optimal eingerichtete Lösung zur Verfügung. Weil die technische Realisierung und Administration der laufenden Lösung komplett in den Händen des Providers liegen, kommen Unternehmen sehr schnell zu einer funktionierenden Sicherheitslösung, die höchsten Ansprüchen genügt.
Oft bestimmen eher administrative als technische Prozesse den zeitlichen Ablauf. Die meisten Anbieter rechnen mit einem Zeitaufwand von zwei bis drei Monaten zwischen Erstgespräch und Realisierung. Dabei hängt es sehr stark davon ab, ob Clients zum Einsatz kommen und, wenn ja, welche: Ein Site-to-Site-Netz zwischen einer Handvoll Gateways ist natürlich schneller betriebsbereit als eine VPN-Umgebung mit einigen Tausend Clients.
Will man hauptsächlich Clients anbinden und nicht nur Site-to-Site-VPNs aufbauen, ist es wichtig, sich die Einsatzumgebungen der Clients anzusehen und das Nutzungsszenario zu verstehen. Es geht nicht nur um die Anzahl der Anwender, sondern auch um die Szenarien, in denen sie ihre Endgeräte nutzen. Ebenfalls spielt eine Rolle, welche Medien zum Einsatz kommen, ob Hotspots eines gewerblichen Anbieters zu integrieren sind und ob die Mitarbeiter den Netzzugang auch international benötigen.
Hilfreich sind Fragebogen-Vordrucke aus dem Internet, mit denen man Daten über die dezentrale Infrastruktur sammelt, beispielsweise die Anzahl der Anwender sowie die Art der Endgeräte und die verwendeten Betriebssysteme. Je nach eingesetzter VPN-Lösung sind nicht alle verwendeten Betriebssysteme und Versionen mit den VPN-Clients kompatibel. Unterstützt das VPN die verwendete Betriebssystemversion nicht offiziell, sollte man sie nicht nutzen, selbst wenn sie bislang funktioniert.
Lesen Sie mehr zum Thema
