Die Sicherheit in der Cloud hat oberste Priorität. Daten vor dem Zugriff Unbefugter zu schützen, ist dabei ein mehrstufiger Prozess: Die Daten müssen sowohl dort geschützt werden, wo sie entstehen (Data in Use), als auch beim Transport in die Cloud (Data in Transit) und schließlich gilt es, den Zugriff auf die in der Cloud gespeicherten Daten für all diejenigen zu unterbinden, die keine Zugriffsrechte haben (Data at Rest). Wir erklären in dieser Folge „Das 1×1 der IT-Sicherheit“, welche Rolle Confidential Computing dabei spielt.
Data in Use, Data in Transit, Data at Rest – Daten sind erst dann wirklich geschützt, wenn alle drei Touchpoints abgesichert sind. Dafür gibt es unterschiedliche Herangehensweisen: Das Verschlüsseln von Daten ist eine Möglichkeit. Das Isolieren von Daten in geschützten Umgebungen, Trusted Execution Environment (TEE) genannt, eine andere.
Beide Optionen bietet Microsoft Azure, die Cloud-Plattform von Microsoft. Für den Schutz von Daten während des Transports oder bei der Speicherung setzen wir unterschiedliche Verfahren ein oder bieten unseren Kunden die Möglichkeit, diese zu konfigurieren, wie hier beschrieben. Dazu gehört die Verschlüsselung von Daten und Datenträgern, das generelle Verschlüsseln aller Transportwege von und zur Cloud, aber auch das Benutzen besonders geschützter Verbindungen wie Site-to-Site-VPN oder Point-to-Site-VPN.
Was ist Confidential Computing?
Das Konzept hinter der sicheren Verarbeitung von Daten in geschützten TEE-Umgebungen heißt Confidential Computing – ein Begriff, der vom Confidential Computing Consortium (CCC) definiert wurde und zu dessen Gründungsmitgliedern auch Microsoft gehört: „Der Schutz verwendeter Daten durch Ausführen von Berechnungen in einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung.“
Bei einem TEE handelt es sich also um eine isolierte, von Anwendungen und Daten getrennte Umgebung, in der sich Applikationen geschützt ausführen und schützenswerte Daten während der Laufzeit einer Anwendung sicher ablegen lassen. Der Ort, auf dem ein TEE genutzt wird, ist kein Speicher auf einer Festplatte, sondern ein isolierter Bereich im Hauptprozessor eines Rechners, ein spezieller Prozessor oder ein besonderer Chip – eine sogenannte Enklave. Die Daten innerhalb einer Enklave werden ausschließlich in diesem Teil des Arbeitsspeichers verarbeitet und dort auch nur so lange vorgehalten, wie eine Anwendung aktiv ist. Daten innerhalb eines TEEs können mit Code, der sich außerhalb dieser Umgebung befindet, weder gelesen noch manipuliert werden. Zudem erkennt das System Zugriffsversuche von außen: Wenn jemand mit nicht vertrauenswürdigem Code versucht, den Inhalt im Arbeitsspeicher der Enklave zu ändern, wird die Umgebung deaktiviert und die Durchführung von Befehlen verweigert.
Azure Confidential Computing: Lückenloser Schutz
Wer Confidential Computing nutzt, muss seinem Cloud-Anbieter nicht mal vertrauen. Denn das Konzept verhindert, grob gesagt, dass der Anbieter überhaupt Zugriff auf Daten innerhalb einer TEE hat. Das Konzept verhindert alle nicht-autorisierten Zugriffe. Damit können zum Beispiel auch Unternehmen aus Bereichen mit besonderen Anforderungen an den Datenschutz alle gesetzlichen Bestimmungen (Compliance) erfüllen, z.B. aus dem Bereich Kritische Infrastrukturen (KRITIS). So hat die SWK Stadtwerke Krefeld AG zusammen mit Bechtle nicht nur sein Kundenportal auf Microsoft Azure modernisiert, sondern auch seine Sicherheitssoftware sowie Kommunikations- und Kollaborationssysteme mit Microsoft 365 E5 optimiert. „Heute kann jedes Unternehmen in die Cloud gehen, wenn es richtig geplant wird, auch KRITIS-Unternehmen“, sagte die Expertin Johanna Jupke dazu beim Cybersecurity-Meetup von Microsoft. Datenschutz und Sicherheit sind keine Argumente gegen eine Cloud-Nutzung, sondern ein Grund dafür!
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos
