Ich wurde oft beschuldigt, bei der Datenverschlüsselung in der Cloud wie ein gebrochener Rekord zu klingen. Sie könnten sich also freuen, dass Box die Einführung seiner Beta-Lösung ‘Box EKM’ angekündigt hat. Leider braucht es viel, um mir zu gefallen, und das ist nicht genug.
Enterprise Key Management (EKM) soll es Unternehmen ermöglichen, “ihre eigenen Verschlüsselungsschlüssel zu steuern und gleichzeitig die branchenweit besten Funktionen für Content Management und Zusammenarbeit von Box zu nutzen”, so das Cloud-Speicherunternehmen. Dies scheint das immerwährende Problem zu lösen, wie das Unternehmen die Kontrolle über Verschlüsselungsschlüssel behalten und gleichzeitig die von Cloud-Diensten geforderten Funktionen für die Zusammenarbeit und Verwaltung aktivieren kann.
Wenn Sie Funktionen wie Deduplizierung, Suchindizierung, Inline-Virenscan, Inhaltsvorschau und Verwaltung von Informationsrechten nutzen möchten, benötigt der Cloud-Anbieter Zugriff auf unverschlüsselte Daten. Oder zumindest so lange, bis das Versprechen der homomorphen Verschlüsselung (HE) irgendwann am Horizont des technologischen Fortschritts verwirklicht wird.
Wie praktisch ist die Box EKM-Lösung in Bezug auf die Sicherheit?
Ich klopfe nicht an Box, weil seine Prozesse durch eine Reihe von Richtlinien zur Inhaltssicherheit unterstützt werden, die den Datenverlust verringern, indem Benutzer auf ungewöhnliche Download-Aktivitäten oder Dateifreigaben aufmerksam gemacht werden.
Was Box anbietet, ist ein System, das die Bereitstellung von Hardware-Sicherheitsmodulen (HSMs) umfasst, bei denen es sich im Wesentlichen um dedizierte Schlüsselverwaltungs-Appliances handelt. Das Unternehmen hat die volle Kontrolle über die Verwaltung dieser HSMs, die bei Amazon Web Services und ihrem eigenen Rechenzentrum bereitgestellt werden, bietet Box jedoch eine sichere Verbindung zu ihnen.
In Box hochgeladene Dateien werden dann wie gewohnt mit einem eindeutigen Schlüssel verschlüsselt. Dieser Schlüssel wird dann jedoch an den HSM gesendet, der mit dem kundeneigenen Schlüssel verschlüsselt wird. Bis jetzt bei mir? Die Idee ist, dass das Unternehmen ab diesem Zeitpunkt die volle Kontrolle über die Entschlüsselungsschlüssel hat und Box nur mit Genehmigung auf die Dateien zugreifen kann.
Der HSM stellt dem Kunden auch ein Überwachungsprotokoll aller Transaktionen direkt zur Verfügung, sodass das Unternehmen sicherstellen kann, dass kein unbefugter Zugriff auf Daten erfolgt ist. Gutes Zeug, richtig? Möglicherweise, soweit es geht, was leider nicht weit genug ist. Wenn die Daten auf der Clientseite nicht vollständig verschlüsselt sind, kann der Vertrauenskreis nicht als unzerbrechlich angesehen werden, da serverseitige Fragen immer ins Spiel kommen. Wie sich diese clientseitige Verschlüsselung auf die Servicefunktionalität auswirkt, ist natürlich eine andere Frage, und Sicherheit hängt immer davon ab, das potenzielle Risiko gegen die praktische Realität abzuwägen.
Ich klopfe nicht an die Sicherheit von Box. Mit geschichteter Verschlüsselung während der Übertragung über TLS und mehrschichtiger Verschlüsselung in Ruhe mit 256-Bit-AES macht es so gute Arbeit wie jede andere. Die Prozesse werden auch durch eine Reihe von Richtlinien zur Inhaltssicherheit unterstützt, die den Datenverlust verringern, indem Benutzer auf ungewöhnliche Download-Aktivitäten oder Dateifreigaben aufmerksam gemacht werden.
Was ich anklopfe, ist die Idee, dass Box EKM ein Allheilmittel gegen das Datenschutzproblem und insbesondere gegen die Frage „Kann die Regierung auf meine Sachen zugreifen?“ Ist.
Box argumentiert, dass es nicht an behördliche Anfragen nach Datenzugriff abtreten kann, es sei denn, der Kunde autorisiert dies, da er keinen Zugriff auf die Verschlüsselungsschlüssel hat. Ohne EKM könnte eine solche Anfrage gestellt und ausgeführt werden, ohne dass der Kunde weiß, ob diese gültige Anfrage Geheimhaltung erfordert.
Wie kann ich jedoch hundertprozentig sicher sein, dass die Daten sicher sind, es sei denn, sie werden von ME verschlüsselt und BEVOR sie irgendwohin gesendet werden? Andere Cloud-Anbieter legen Wert auf einen Null-Wissen-Ansatz für den Datenschutz, bei dem der Cloud-Server niemals Klartextdaten sieht und der Cloud-Dienst die Schlüssel auch nur für einen Moment nicht hat, indem er Daten auf der Clientseite verschlüsselt.
Einige Unternehmen verwenden ein Verschlüsselungs-Gateway-Produkt, das erkennt, wenn vertrauliche Daten den Unternehmensnetzwerk-Perimeter verlassen und verschlüsseln, bevor dies der Fall ist. Offensichtlich führen diese zusätzliche Probleme in die Cloud-Datensicherheitsgleichung ein, wie z. B. Infrastruktur-Overheads oder das Rätsel „Verlieren Sie nicht Ihren blutigen Schlüssel oder Sie verlieren Ihre blutigen Daten“. Aber hey, niemand hat gesagt, dass die Gewährleistung eines trüben Datenschutzes eine einfache Nuss ist.
Ausgewählte Ressourcen
Werden Sie ein digitaler Dienstleister
So transformieren Sie Ihr Unternehmen vom Netzwerkkern zum Edge
jetzt downloaden
Optimale Geschäftsergebnisse mit der Cloud
Bewertung der besten Ansätze für die Einführung hybrider Clouds
jetzt downloaden
Virtualisierung, die Entscheidungen ermöglicht, keine Kompromisse
Nutzen Sie die Virtualisierungstechnologie, die für Ihre Hybridinfrastruktur geeignet ist
jetzt downloaden
E-Mail-Sicherheitsbedrohungsbericht 2020
Vier wichtige Trends vom Speerfischen bis zum Diebstahl von Ausweisen
jetzt downloaden
