In einer Welt, in der Virtualisierung sowie Cloud- und Edge-Computing zum Standard werden, müssen sich auch Verschlüsselungsmethoden wandeln. Zeitgemäße Ansätze verschlüsseln Daten in der virtuellen Maschine und nicht mehr auf Hardwareebene. Unternehmen behalten so die Kontrolle über die Schlüssel und die Authentifizierung. Deshalb ist ein VM-zentrierter Verschlüsselungsansatz essenziell für die Datensicherheit im Unternehmen.

Virtualisierte IT-Infrastrukturen sind seit Jahren auf dem Vormarsch. Ein ortsunabhängiger Zugang zu Daten und Arbeitsressourcen ist unerlässlich geworden, um in einer immer stärker vernetzten Welt wettbewerbsfähig zu bleiben. Um die Wettbewerbsfähigkeit geht es auch, wenn Unternehmen Funktionen des Rechenzentrums mit Hilfe von Edge-Computing an den Rand des Netzwerks auslagern. Diese Ansätze haben gemein, dass Rechenleistung, Netzwerkressourcen und Speicherplatz vielfach nur noch virtuell und damit losgelöst von physisch vorhanden Infrastrukturen bereitstehen. Die Vorteile: mehr Flexibilität und Skalierbarkeit der IT und damit des gesamten Unternehmens. Hyperkonvergente Systeme treiben das Virtualisierungsprinzip auf die Spitze: Sämtliche Hardware sowie Software, die Rechenleistung, Netzwerk- und Speicherressourcen selbsttätig zuweist, sind in einer einzigen Appliance verbaut, die im Wesentlichen eine „kompakte Mini-Cloud“ darstellt.

Was man bei aller Freude über eine steigende Kosteneffizienz und Agilität unbedingt mitbedenken sollte, ist der Aspekt, wie Daten in Zukunft gesichert, genauer gesagt verschlüsselt werden. Mit der Art, Rechenleistung, Netzwerkressourcen und Speicherplatz bereitzustellen, muss sich auch der Ansatz der Datensicherheit wandeln. Denn der Ansatz, die Daten hardwarenah auf Geräten oder Servern zu verschlüsseln, funktioniert nicht mehr. Ein Beispiel: Wenn Workloads nur noch in VMs laufen, wechseln die VMs häufig zwischen einem aktiven und einem inaktiven Status. Ist eine VM inaktiv oder im Ruhezustand, wird sie quasi zu einer großen unverschlüsselten Datei, die ein Angreifer theoretisch kopieren kann – ein gravierendes Sicherheitsproblem.

Die Daten sind konsequenterweise dort zu verschlüsseln, wo sie entstehen, also direkt auf der VM. Ein möglicher Ansatz ist hier die In-Guest-Verschlüsselung. Bei dieser Methode erfolgt die Datenverschlüsselung in der VM selbst, getrennt vom Hypervisor. Ein lokaler Key-Management-Server speichert dabei sämtliche Verschlüsselungs-Keys für alle VMs in einer zentralen Datenbank, die wiederum verschlüsselt und durch einen Master Key geschützt ist.

„In-Guest“-Verschlüsselung

Der Master-Schlüssel ist Teil eines Keyfiles, das idealerweise nur durch eine Zwei-Faktor-Authentifizierung, beispielsweise mit einer Kombination aus Hardware-Token und Verifizierung mittels HSM (Hardware-Sicherheitsmodul), zugänglich ist. Auch rollenbasierte Abstufungen von Master-Administrator-Berechtigungen sind möglich, etwa für die Durchführung von Nur-Recovery oder die Ausführung von Nur-Compliance-Berichten, ohne dass diese Administratoren Verschlüsselungscodes erhalten.

Der Key-Management-Server hat zudem die Aufgabe, die VMs nach dem Modell der Pre-Boot-Authentifizierung direkt beim Booten zu verifizieren. Als Richtlinienressource wird dazu beispielsweise die Active-Directory-Struktur mit ihren zugehörigen Cloud-Kontoinformationen importiert. So erhalten Administratoren die gleichen Funktionen und die gleiche Bedienung, wie sie es von Cloud- oder VM-Verwaltungs-Tools gewohnt sind. Nach dem Import und der Konfiguration der Zugriffsrichtlinien kann der Administrator diese den VMs zuweisen, genauso wie er reguläre VM-Richtlinien zuweist oder Änderungen mittels nativer Verwaltungswerkzeuge vornimmt.

Ein VM-zentrierter Verschlüsselungsansatz bietet gegenüber hardwarenaher Verschlüsselung weitaus mehr Möglichkeiten in puncto Sicherheit und Kontrolle. Bild: WinMagic

Wie in Active-Directory-Datenbanken üblich, gibt es verschiedene Verwaltungsoptionen, um Geräte zu überprüfen und anzuzeigen, ob sie der Policy entsprechen. So kann der Administrator kontrollieren, wer auf eine VM zugreifen darf, und zwar basierend auf seinen Rollen und Rechten innerhalb des Unternehmens. Mit diesem Ansatz hat die VM standardmäßig keinen zwischengespeicherten Berechtigungszugriff, um sie einzuschalten; zum Booten sucht die VM immer beim Server nach Verschlüsselungscodes. Allein der Key-Management-Server trifft die Entscheidung, einen bestimmten verschlüsselten Server zu starten.

So behalten Unternehmen auch in virtualisierten Infrastrukturen jederzeit die Kontrolle über ihre Daten – selbst wenn man eine VM an einen anderen Ort verschiebt, etwa in ein anderes Rechenzentrum oder in die Cloud. Die Pre-Boot-Authentifizierung ermöglicht es außerdem, das unbefugte Verschieben von Daten, den unerlaubten Zugriff und die Replikation von Daten zu verhindern. Neue VMs werden direkt bei ihrer Entstehung verschlüsselt und gehen damit sofort sicher in Betrieb.

Vorteile

Die beschriebene Methode hat gegenüber traditionellen physischen Verschlüsselungsansätzen vier wichtige Vorteile:

  • Kontinuität: Sie schützt die Workloads kontinuierlich, auch während der Übertragung, beim Klonen oder beim Erstellen von Snapshots.
    Unabhängigkeit: Sie minimiert das Risiko, abhängig von Hardware, Hypervisoren oder aber von Cloud-Anbietern zu sein.
  • Flexibilität: IT-Abteilungen können den verschiedenen VMs unterschiedliche Keys und Richtlinien zuweisen, um sensible und nicht-sensible VMs ohne großen Aufwand parallel zu betreiben.
  • Kontrolle: Durch die Verschlüsselung auf VM-Ebene können IT-Teams auch Boot-basierte Richtlinien durchsetzen, die steuern, wer auf Daten zugreifen darf, wo sich Daten befinden und wie diese Daten geschützt sind. Das stellt sicher, dass nur berechtigte Benutzer Daten abrufen können – selbst wenn eine Cloud kompromittiert wurde.

Strenge neue Datenschutzgesetze wie die DSGVO (Datenschutz-Grundverordnung der Europäischen Union) geben vor, wie Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten und speichern müssen. In einer Welt, in der IT-Umgebungen zunehmend virtualisiert sind, wächst zugleich die Angriffsfläche. Eine In-Guest-Verschlüsselung der Daten in Kombination mit einem Schlüssel-Management, das das Unternehmen selbst kontrolliert, und einer Authentifizierung noch vor dem Booten beugen Daten-Leaks und Compliance-Verletzungen in virtualisierten Infrastrukturen vor.

Garry McCracken ist Vice President Technology bei WinMagic, www.winmagic.com.