Open Source im professionellen Einsatz
Linux-Magazin 03/2016
© alphaspirit, 123RF

© alphaspirit, 123RF

Daten sicher in öffentlichen Open-Stack-Clouds ablegen

Auf verschlungenen Wegen

In öffentlichen Cloudumgebungen ist es ein Muss für Unternehmen, Daten verschlüsselt abzulegen. Open-Stack-Clouds eignen sich dafür nicht sehr gut – doch es gibt Tricks, um das Problem zu umgehen.

565

Dank Apple ist Verschlüsselung heute selbst für Endbenutzer Standard. Auf dem Mac aktiviert File Vault die Verschlüsselung der Notebook-Festplatte per Mausklick. Microsoft zog 2007 nach und führte mit Bitlocker entsprechende Technik auch in Windows ein. So wurden Verschlüsselungsfunktionen für das Gros der Nutzer verfügbar. Per Luks und Dmcrypt lassen sich die Daten auf SSDs und Festplatten natürlich auch auf Linux-Systemen seit Jahren zuverlässig vor den Blicken Unbefugter schützen.

Viel wichtiger als im Endanwenderbereich ist das Thema Verschlüsselung von Daten auf Datenträgern allerdings im Unternehmensumfeld. Denn dort ist es de facto nicht möglich, Hardware in Rechenzentren dauerhaft dem Zugang Dritter zu entziehen. Zwar schließt jeder, der Server oder Colocation-Platz im Rechenzentrum mietet, einen Vertrag mit dem Anbieter ab, der unbefugten Zugriff ausschließen soll. Doch Papier ist geduldig und nach Edward Snowden ist auch klar, dass solche Zusagen im Zweifelsfall ohne jeden Wert sind. Was für Rechenzentren in der EU gilt, das gilt für Rechenzentren etwa in den USA umso mehr.

Es ist also alles andere als undenkbar, dass Dritte sich Kopien von Daten auf den Festplatten im Rechenzentrum ziehen oder diese gleich ganz mitnehmen. In solchen Situationen ist es für das Unternehmen je nach Inhalt der Datenträger vielleicht überlebenswichtig, dass diese nicht sofort und idealerweise gar nicht auszulesen sind.

Noch schlimmer: Die Cloud

Noch dramatischer stellt sich die Situation in Cloud-Computing-Umgebungen wie Amazons AWS dar – hier weiß ein Unternehmen schließlich gar nicht, wo die jeweilige Festplatte sich physisch befindet, auf der die eigenen Daten gerade liegen. Selbst wenn der Anwender das wüsste, hat er praktisch keinen physischen Zugriff darauf. Auch wenn der jeweilige Server in Deutschland steht, gehört er vielleicht einer Firma, deren Mutterkonzern in den USA oder in Großbritannien beheimatet ist und dort im Zweifelsfall mit den jeweiligen Behörden kooperieren muss.

Wer aus welchen Gründen auch immer Daten in öffentlichen Cloudinstallationen ablegen will, tut also gut daran, sich um die Verschlüsselung der Daten schon im Voraus Gedanken zu machen. Der folgende Artikel beschäftigt sich mit der konkreten Fragestellung am Beispiel einer auf Open Stack basierenden öffentlichen Cloudumgebung. Die gewonnenen Erkenntnisse gelten in vergleichbarer Weise aber auch für andere Public Clouds und sind auf diese entsprechend anwendbar.

Welche Daten sind zu verschlüsseln?

Am Anfang der Überlegungen steht die Frage, welche Daten denn überhaupt zu verschlüsseln sind? Verschiedene Artikel in diesem Linux-Magazin beschreiben, wie sich spezifische Dienste so konfigurieren lassen, dass sie die Daten, mit denen sie hantieren, selbst verschlüsseln – etwa Datenbanken oder Mailserver. Gerade das ist aber nicht der Fokus dieses Artikels. Denn die Ausgangsfrage ist, wie sich der komplette Inhalt von Datenträgern so verschlüsseln lässt, dass er ohne ein entsprechendes Kennwort und außerhalb des gebooteten Systems nicht zu lesen ist.

Darüber hinaus bieten die meisten Clouddienste einen weiteren Dienst an, bei dem Datenverschlüsselung eine Rolle spielt: Objektspeicher etwa auf Grundlage von Amazons S3-Protokoll. Open Stack selbst hat ebenfalls ein Protokoll für diese Art von Objektspeicher, nämlich Swift, das in echten Open-Stack-Umgebungen üblicherweise durch den gleichnamigen Dienst umgesetzt wird.

Verschlüsselung von Daten in Linux-Systemen funktioniert allerdings im Grundsatz anders als die Verschlüsselung von Objekten in S3. Es ist insofern sinnvoll, beide Prinzipien getrennt voneinander zu betrachten. Los geht es mit Daten innerhalb von virtuellen Maschinen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Open Stack Liberty

    Pünktlich stellte das Open-Stack-Projekt im Oktober die neue Version seiner Cloudverwaltung Open Stack vor, Codename Liberty. Die bringt nicht den ganz großen Wurf, aber zahlreiche kleinere Verbesserungen, angefangen beim Support für QoS bis zu einem radikalen Umbau beim Orchestrierungsdienst Heat.

  • Cloudstorage

    Zwar bringt Open Stack mit Swift auch eine eigene Storagekomponente mit, doch wer sich Skalierbarkeit und eine einfache Verwaltung wünscht, kann die Cloudlösung mit Gluster-FS verheiraten.

  • Open Stack Newton

    Ihrem eigenen Release-Gesetz folgend verabreichten die Open-Stack-Entwickler im Oktober der Cloudwelt mit ihrer neuen Version auch neue Impulse. Neben diversen Fehlerkorrekturen implementierten sie in den Kernkomponenten auch Neuerungen, die zu bewerten sich dieser Artikel zur Aufgabe macht.

  • Datenkoppler

    Wenn die Festplatte wieder einmal voll ist, möchte man am liebsten einfach eine zweite nahtlos einfügen. Der Logical Volume Manager erfüllt diesen Wunsch, er fasst mehrere Blockdevices zu einem homogenen Speicherpool zusammen, der sich leicht erweitern lässt.

  • Bitparade

    Unterstützt durch den Logical Volume Manager nutzt Linux große Festplatten und Massenspeicher-Cluster oft effizienter als mit klassischen Partitionsschemata. Die Bitparade schaut sich verschiedene grafische Tools an, die dem Admin beim Auftischen von Logical Volumes und Volume Groups helfen wollen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.