Cloud Data Management

Leitfaden von Rubrik zur Datenverschlüsselung in der Public Cloud

, München, Rubrik | Autor: Herbert Wieler

Leitfaden von Rubrik zur Datenverschlüsselung in der Public Cloud

Daten in der Cloud effizient schützen

Datenverschlüsselung ist ein kritischer Bestandteil der Sicherheitsstrategie jedes Unternehmens, nicht zuletzt seit dem Start der EU-DSGVO. Dies gilt umso mehr, wenn die Speicherung von Daten außerhalb des eigenen Rechenzentrums und stattdessen in Public-Cloud-Repositories wie Amazon S3, Azure Blob Storage und Google Cloud Storage erfolgt.

Für Rubrik, Anbieter einer Plattform für Cloud Data Management, ist Sicherheit von jeher von Bedeutung. Dies umfasst unter anderem End-to-End-Verschlüsselung und unveränderlichen Backups. Der Sicherheitsgedanke von Rubrik erstreckt sich natürlich auch auf die Integration in die Cloud.

Um die Datensicherheit auch auf die Cloud auszudehnen, rät Rubrik zur Nutzung einer CloudOut-Funktionalität für die Langzeitarchivierung in der Public Cloud, die sich beispielsweise als Ersatz für Bandsicherung anbietet. Dieser Ansatz ist nach Meinung von Rubrik in der Regel kostengünstiger, zuverlässiger und liefert bessere Antwortzeiten für den Fall, dass eine Datenwiederherstellung erforderlich ist.

Beim Konzept des Cloud Data Managements werden Daten, die in die Cloud geschickt werden, durch Verschlüsselung sowohl während der Übertragung als auch im Ruhezustand geschützt.

Rubrik gibt einen Einblick in die notwendigen Prinzipien für die Verschlüsselung von Daten in der Cloud, einschließlich der Verwendung der stärksten verfügbaren Verschlüsselungs-Chiffre, der Verschlüsselung von Daten auf Client-Seite, bevor sie in die Cloud übertragen werden, und der Bereitstellung eines flexiblen Schlüsselmanagements.

Die Plattform von Rubrik eignet sich unter anderem um Microsoft Azure Blob Storage als Archivierungsziel für gesicherte Daten zu nutzen. Azure unterstützt vom Kunden bereitgestellte Key Encrypting Keys (KEKs) zur Verschlüsselung von Content Encryption Keys (CEK) auf Client-Seite sowie eine Storage-Client-Bibliothek, die Rubrik für die Umschlagsverschlüsselung von Backup-Daten vor dem Upload zu Blob Storage verwendet. Wie bei der Amazon S3-Integration verwendet Rubrik asymmetrische Verschlüsselung mit der RSA-2048-Chiffre, um den KEK zu generieren. Der private Schlüssel wird beim Einrichten des Archivs eingegeben.

Sobald das Archiv erstellt ist, läuft der Verschlüsselungs-Workflow wie folgt ab:

  1. Die Speicher-Client-Bibliothek erzeugt einen einzigartigen, einmaligen symmetrischen CEK.
  2. Die Sicherungsdaten werden mit dem CEK verschlüsselt.
  3. Der Speicher-Client ruft einen Key-Wrapping-Algorithmus auf, der eine KEK von Rubrik anfordert, woraufhin ein öffentlicher Schlüssel generiert wird.
  4. Der CEK wird mit dem öffentlichen Schlüssel als KEK verschlüsselt.
  5. Der verschlüsselte CEK wird in Metadatenform neben den Chiffriertextdaten gespeichert, während die Klartextversion des CEK aus dem Speicher gelöscht wird.
  6. Die verschlüsselte Nachricht wird in Azure Blob Storage hochgeladen und gespeichert.

Der Entschlüsselungs-Workflow läuft wie folgt ab:

  1. Der Archiv-Manager von Rubrik ruft die verschlüsselten Backup-Daten aus Azure Blob Storage ab.
  2. Die Speicher-Client-Bibliothek ruft einen Algorithmus zum Entpacken von Schlüsseln auf, der den gespeicherten privaten Schlüssel anfordert, der dem Archiv zugeordnet ist.
  3. Der verschlüsselte CEK wird mit dem privaten Schlüssel entschlüsselt.
  4. Die Daten werden mit dem Klartext-CEK entschlüsselt, der dann aus dem Speicher gelöscht wird.

Zusammen mit der Verschlüsselungsmethode sollten Unternehmen eine robuste Schlüsselverwaltungslösung wählen, um ihre privaten Schlüssel zu speichern und zu verwalten. Schließlich könnten sie die stärkste Verschlüsselungsmethode der Welt verwenden, aber das würde keine Rolle spielen, wenn ihre Schlüssel verloren gehen oder gefährdet sind. Es ist, als hätte man ein hochmodernes Einbruchschutzsystem am Haus, aber die Hausschlüssel und Alarmcodes würden unter der Fußmatte liegen.

Der Ansatz von Rubrik bei der Archivierung von Daten in der Public Cloud stellt sicher, dass Unternehmen über eine durchgängige Verschlüsselung ihrer Daten verfügen. Diese bietet in Kombination mit einer mehrschichtigen Sicherheitsstrategie effektiven Schutz sowohl vor Bedrohungen von innen als auch von außen.