Zero Trust

Schutz vor Ransomware mit einem Fully-Encrypted Lifecycle Management

, München, Rubrik | Autor: Herbert Wieler

Schutz vor Ransomware mit einem Fully-Encrypted Lifecycle Management

Rubrik erklärt Ransomware-Umgehung im Detail

Die nahezu durchgängige Abfolge an Nachrichten über „erfolgreiche“ Ransomware-Angriffe (die Dunkelziffer ist hierbei noch ein Thema für sich), macht eines deutlich: Verteidigung ist nicht die beste Verteidigung. Werden Ziele nur lange genug ausgespäht, so finden Angreifer früher oder später einen Weg in die Systeme – vor allem wenn große Organisationen hinter den Attacken stecken. Ziel muss es nach Meinung von Rubrik, dem Zero Trust Data Management-Unternehmen, daher sein, die Wirkung der Attacken bestmöglich abzufedern. Daher rät Rubrik zur durchgängigen Verschlüsselung während des gesamten Backup- und Recovery-Prozesses an – vom Ingest bis zur Wiederherstellung.

Unabhängig davon, ob die Daten lokal im Cluster oder in der Cloud gespeichert sind, können Unternehmen nur dann sicher sein, dass ihre Daten – sowohl im Ruhezustand als auch in Bewegung – verschlüsselt und vor Ransomware und anderen bösartigen Angriffen geschützt sind.

End-to-End-Verschlüsselung zum Schutz der Daten vor Ransomware

Verschlüsselung ist ein Prozess, der sicherstellen soll, dass Daten für nicht autorisierte Benutzer und Geräte verborgen oder unzugänglich sind. Angesichts der zunehmenden Verbreitung von Ransomware und sonstigen Cyberbedrohungen müssen Unternehmen dafür sorgen, dass ihre wertvollsten Vermögenswerte und sensiblen Daten verschlüsselt und vor böswilligen Akteuren geschützt sind. Wird dieses Thema von der Produktion auf die Datensicherung verlagert, ist es wichtig, die Verschlüsselung überall anzuwenden.

Datenmanagement-Lösungen wie Rubrik werden zu einem globalen Katalog, der Point-in-Time-Kopien aller Produktionsdaten enthält, was die Verschlüsselung noch wichtiger macht als je zuvor. Rubrik verfolgt bei der Entwicklung einen Ansatz, der die Sicherheit in den Vordergrund stellt. Die Daten sind dabei vollständig verschlüsselt und gleichzeitig stellt Rubrik ein unveränderliches Dateisystem bereit, um sicherzustellen, dass einmal geschriebene Daten nicht mehr verändert werden können. Diese Prinzipien tragen dazu bei, Bedenken zu zerstreuen, da die Backups immer als letzte Verteidigungslinie dienen können. Die Verschlüsselung von Rubrik kann in zwei verschiedene Datenbereiche unterteilt werden: Data at Rest, also Daten im Ruhezustand, und Data in Flight, also Daten in Bewegung.

Verschlüsselung von Daten im Ruhezustand – überall

Data at Rest Encryption (DARE) ist eine Schlüsselstrategie für die Anwendung eines Defense-in-Depth-Ansatzes in der Sicherheitswelt. DARE bildet zusammen mit Rubrik Zero Trust Data Management und dem unveränderlichen Dateisystem die Grundlage dafür, dass Kunden in der Lage sind, sich von nahezu jeder Cyberbedrohung zu erholen, während sie gleichzeitig sicherstellen, dass ihre Daten immer sicher und vor neugierigen Blicken geschützt sind. Hinsichtlich der Verschlüsselung von Daten im Ruhezustand bietet Rubrik mehrere Optionen: Softwareverschlüsselung und Hardwareverschlüsselung.

Softwareverschlüsselung

Die Softwareverschlüsselung für Daten im Ruhezustand funktioniert auf der Anwendungsebene, d.h. die gesamte Arbeit und Verschlüsselung wird durch die Software durchgeführt. Wenn die Daten eingelesen werden, generiert Rubrik einen einmaligen symmetrischen Datenverschlüsselungsschlüssel (DEK). DEKs verwenden die AES-256 Chiffre und dienen dazu, um sowohl die eingelesenen Backupdaten als auch alle damit verbundenen Metadaten, die von Rubrik generiert werden, zu verschlüsseln. Dieser Prozess stellt sicher, dass die Daten ohne den zugehörigen DEK im Wesentlichen unlesbar sind, selbst für die Rubrik-Plattform. Daraus ergibt sich die Notwendigkeit, diesen zugehörigen DEK irgendwo neben den Daten selbst zu speichern.

Die lokale Speicherung des generierten DEK ist zwar eine Option, stellt aber ein Sicherheitsrisiko dar, da jeder, der über den DEK verfügt, die Daten entschlüsseln könnte. Um dem entgegenzuwirken, setzt Rubrik eine Technik ein, die als Envelope Encryption, also Umschlagsverschlüsselung, bekannt ist. Wenn der anfängliche Verschlüsselungsprozess mit dem DEK abgeschlossen ist, verschlüsselt Rubrik den DEK mit einem anderen Schlüssel, dem Key Encryption Key (KEK). Der verschlüsselte DEK wird dann zusammen mit den Chiffretextdaten gespeichert, während alle Klartextversionen davon sofort aus dem Speicher gelöscht werden. Wenn Rubrik diese Daten lesen muss, gilt es daher zwei Verschlüsselungsphasen durchlaufen, wobei zunächst der DEK mit einem KEK entschlüsselt wird und dann die Daten selbst entschlüsselt werden. Um KEKs zu erhalten und zu verwalten, können Kunden entweder den internen Trusted Platform Module (TPM)-Chip in der Rubrik-Appliance nutzen oder einen externen Key Management Interoperability Protocol (KMIP)-konformen Key Management Server, wie er von Hytrust oder Cryptsoft offeriert wird. In beiden Fällen übernimmt Rubrik die Sicherheits-Best-Practices, indem es den Kunden erlaubt, die Schlüsselrotation auf ihren KEKs entweder über die UI oder die RESTful API einfach durchzuführen.

Hardwareverschlüsselung

Oft stehen Bundes-, Landes- oder Kommunalbehörden vor der Herausforderung, wachsende Mengen an sensiblen Daten zu schützen. Die Tätigkeit der Behörden unterliegt strengen Vorschriften, was die Verschlüsselung betrifft. Um diesen Herausforderungen zu begegnen, bietet Rubrik auch Plattformen an, die mit FIPS 140-2 Level 2-validierten, selbstverschlüsselnden Festplatten und Solid State Drives das höchste Schutzniveau erreichen.

Die Hardwareverschlüsselung funktioniert ähnlich wie die Softwareverschlüsselung. Anstatt dass Rubrik die Verschlüsselung der Daten in der Software durchführt, verwenden die selbstverschlüsselnden Laufwerke die Laufwerksfirmware, um die Verschlüsselung durchzuführen. Jedes selbstverschlüsselnde Laufwerk nutzt ein Passwort, um seine DEKs zu generieren, und die DEKs gelangen nie in den Speicherbereich. Diese Passwörter werden, ähnlich wie die in der Rubrik generierten DEKs, durch einen KEK weiter verschlüsselt, der wiederum über einen internen TMP- oder externen KIMP-kompatiblen Schlüsselverwaltungsserver verwaltet wird.

Verschlüsselung von Daten in Bewegung – immer

Während die Verschlüsselung im Ruhezustand oft im Mittelpunkt steht, ist es genauso wichtig, dass alle Daten in Bewegung verschlüsselt sind. Ob zur Verhinderung von Man-in-the-Middle-Angriffen, Packet Sniffers oder allgemeiner bösartiger Aktivitäten, es ist von entscheidender Bedeutung, dass die Verschlüsselung auf Daten angewendet wird, während sie das Netzwerk durchqueren. Diese Bedeutung wird noch verstärkt, wenn man mit einer Datenmanagementlösung wie Rubrik arbeitet. Eine Datenmanagementlösung verwaltet – wie der Name schon sagt – Daten. Das bedeutet nicht nur, dass sie zu einem zentralen Repository für alle Produktionsdaten wird, sondern auch, dass sie diese Daten bewegt, indem sie Aufgaben zur Unterstützung von Funktionen wie Langzeitarchivierung und Replikation ausführt.

Wie oben dargestellt, ist die gesamte externe und interne Kommunikation zwischen geschützten Objekten, der Rubrik-Plattform vor Ort, der Cloud und Rubrik Polaris zu sehen. Die gesamte Kommunikation in und aus der Rubrik-Plattform wird wie folgt verschlüsselt:

  1. Die Kommunikation zwischen geschützten Umgebungen und Rubrik ist vollständig verschlüsselt. Die Kommunikation zu und von VMware vSphere-Umgebungen verwendet das NBDSSL-Protokoll, während die Kommunikation zu und von anderen geschützten Quellen über TLS verschlüsselt wird.
  2. Abgesehen von der Sicherstellung, dass jede interne Knotenanfrage autorisiert und authentifiziert ist, wird die gesamte Kommunikation innerhalb des Rubrik-Clusters von Knoten zu Knoten über TLS verschlüsselt, was zum „Trust nothing“-Ansatz einer Zero-Trust-Architektur beiträgt.
  3. Wenn Daten archiviert werden, ob zu einem Public-Cloud-Speicheranbieter oder zu einem lokalen Objektspeicher-, NFS- oder Bandspeicher-Ziel, werden sie während der Übertragung vollständig über TLS verschlüsselt. Die Daten selbst sind auch im Ruhezustand verschlüsselt, unabhängig vom Speicherort.
  4. Wenn die Rubrik-Replikationsfunktionen genutzt werden, um Daten zu einem anderen Rubrik-Cluster für Disaster-Recovery-Zwecke zu replizieren, erfolgt die gesamte Kommunikation zwischen den Clustern vollständig verschlüsselt über TLS.
  5. Rubrik Polaris, ein SaaS-basiertes Angebot, kommuniziert mit der Rubrik-Instanz vor Ort, um Multi-Cluster-Management sowie eine Reihe von Mehrwertdiensten für Kunden bereitzustellen. Diese Kommunikation ist ebenfalls vollständig über TLS verschlüsselt.
  6. Viele SaaS-Angebote rund um den Cloud-nativen Schutz innerhalb von Rubrik Polaris müssen auch mit den Cloud-Umgebungen der Kunden kommunizieren. Die gesamte Kommunikation zwischen Rubrik Polaris und einem Kunden-Cloud-Konto wird über TLS verschlüsselt.

Darüber hinaus müssen alle Anfragen an die Rubrik-Plattform, entweder über die UI oder einen RESTful API-Endpunkt, authentifiziert und autorisiert werden und sind vollständig über TLS verschlüsselt.

Rubrik rät allen Unternehmen auf End-to-End-Sicherheit zu setzen, unabhängig davon, wo sich die Daten befinden. Alle Daten in Bewegung sind verschlüsselt, und alle Daten, die innerhalb der Rubrik-Plattform landen, einschließlich des Archivspeichers, sind im Ruhezustand verschlüsselt. Verschlüsselung ist aber nicht die einzige Sicherheitsmaßnahme, die Rubrik empfiehlt um Backup-Daten zu schützen. Der gesamte Software-Stack einer Lösung für Data Protection sollte auf der Idee des Zero Trust Data Management aufgebaut sein. Dazu gehören rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung, die von einem verteilten, unveränderlichen Dateisystem unterstützt werden.