Kritische Unternehmensdaten finden sich in Betrieben aller Größenordnungen. Insbesondere strategische Informationen und Unterlagen aus den Bereichen Forschung und Entwicklung, aber auch Personaldaten enthalten sensible Informationen, die das Unternehmen keinesfalls verlassen dürfen. Durch verstärkte Ausgliederung von IT-Dienstleistungen, das Auslagern von Backup-Bändern, aber auch durch die eigenen Mitarbeiter sind solche sensiblen Daten immer wieder dem Risiko des unerwünschten Zugriffs ausgesetzt. Hinzu kommen gesetzliche Anforderungen wie etwa der European Data Protection Act und Basel II, die einen ausreichenden Schutz für vertrauliche Daten fordern.

Die meisten heute verfügbaren Betriebssysteme bieten jedoch in der Regel nur rudimentäre Möglichkeiten, sensible Daten effizient zu schützen. Erschwerend kommt hinzu, dass die vorhandenen Mechanismen leicht von Systemadministratoren oder gar Anwendern ausgehebelt werden können. In solchen Fällen helfen die bei den meisten Unternehmen implementierten Sicherheitsmechanismen wie Firewalls, Proxy-Server oder auch Intrusion-Detection-Systeme wenig bis gar nicht.

Mehrstufiger Ansatz

Eine ebenso professionelle wie sichere Lösung zur Behebung der oben genannten Probleme liefert das US-Unternehmen Decru mit seiner Datafort-E510-Appliance. Das robuste und mit einer Einbruchserkennung ausgestattete System bietet eine 256 Bit starke AES-Verschlüsselung und eignet sich zum Einsatz in NAS-Umgebungen (Network Attached Storage), die mit den File-Sharing-Protokollen CIFS (Common Internet File Sharing) oder NFS (Network File System) arbeiten. Das Herz der Appliance bildet der Storage Encryption Processor (SEP), ein spezielles von Decru entwickeltes Asic. Als Management-System verwendet der Hersteller eine angepasste Version von Free BSD Unix.

Zwischen Client und Server

Die Hardwareplattform besteht aus einem Server mit einer Intel-Xeon-CPU. Ferner verfügt die Appliance über zwei Netzwerkanschlüsse für Gigabit Ethernet, wovon einer für die Anbindung der Client-Systeme gedacht ist, der andere für die Server. Das Gerät befindet sich somit im Datenpfad zwischen Client und Server. Das hat den Vorteil, dass weder auf den Client- noch auf den Server-Systemen zusätzliche Komponenten zu installieren sind, um die Verschlüsselung einzuschalten. Zudem kann die Administration des Geräts vollkommen unabhängig von der Verwaltung der Server erfolgen. Die Systemverwalter der File-Server sind somit nicht in der Lage, die Verschlüsselung außer Kraft zu setzen.

Als zusätzlichen Schutz liefert Decru mit jeder Appliance einen Satz Smartcards aus: "System Cards" und "Admin Cards". Die System Card muss im Gerät verbleiben. Wird sie entfernt, schaltet sich das System ab. Auf Wunsch kann der Systemverwalter sogar dafür sorgen, dass das System bei einem Entfernen der System Card sämtliche Daten löscht, die dann über eine Recovery-Maßnahme wiederhergestellt werden müssen. Leider ist die System Card nicht sonderlich gut gegen eine versehentliche Entnahme geschützt. Ein Verriegelungsmechanismus wäre hier von Vorteil.

Die "Admin Smart Cards" werden benötigt, um die Appliance über einen Windows-PC per Web-Browser konfigurieren zu können.

Fünf weitere Smartcards sind für die "Recovery Officers" reserviert. Je nach gewählter Sicherheitseinstellung müssen mindestens zwei von fünf Recovery Officers eine Entschlüsselung oder eine andere Recovery-Maßnahme autorisieren. Das heißt, selbst der Systemverantwortliche für die Datafort-Appliance kann die Verschlüsselung eines Verzeichnisses nicht eigenmächtig aufheben. Auch wenn eine Appliance ausfällt und deren Schlüsselinformationen auf ein neues Gerät eingespielt werden müssen, sind mindestens zwei Recovery Officers nötig, um die beabsichtigte Aktion zu autorisieren.

Für solche Prozeduren empfiehlt Decru den Einsatz der optionalen Lifetime-Key-Management-Lösung (LKM). Entscheidet sich ein Unternehmen für den Einsatz dieser Komponente, sichern die im Unternehmen vorhandenen Datafort-Appliances ihre Schlüsselinformationen in der LKM-Datenbank. Die Schlüsselinformationen werden natürlich ebenfalls verschlüsselt, bevor sie die Appliance verlassen, um in der LKM-Datenbank abgelegt zu werden.

Verschiedene Sicherheitsstufen

Um beispielsweise die Verschlüsselung in einer CIFS-Umgebung zu aktivieren, richtet der Datafort-Administrator auf der Appliance einen oder mehrere "Cryptainer" ein. Jedem von ihnen wird anschließend ein freigegebenes Verzeichnis auf einem vorhandenen File-Server zugewiesen. Die Cryptainer fungieren auf der Client-Seite ihrerseits als Verzeichnisfreigaben, die beispielsweise über ein Logon-Script mit dem Client als Netzlaufwerke verbunden werden. Der Client kommuniziert also nicht mehr direkt mit dem File-Server, sondern ausschließlich über die Datafort-Appliance, die sich fortan um die Ver- und Entschlüsselung der Daten kümmert.

Wer auf die verschlüsselten Verzeichnisse zugreifen kann, lässt sich über die Datafort-Appliance mit unterschiedlichen Sicherheitsstufen konfigurieren. Im einfachsten Fall überprüft die Appliance lediglich die Dateizugriffsliste der verschlüsselten Shares. Ist der Benutzer dort eingetragen, wird ihm der Zu-griff erlaubt. Diese Vorgehensweise hat allerdings den Nachteil, dass sich ein Administrator selbst in einer Gruppe mit entsprechenden Zugriffsberechtigungen hinzufügen und so unautorisiert auf die Daten zugreifen könnte. Deshalb bietet Decru dem Security-Administrator alternativ die Möglichkeit, eine eigene Zugriffsliste innerhalb der Appliance zu definieren und durchzusetzen, unabhängig davon, welche Sicherheitseinstellungen auf dem File-Server vorhanden sind.

Mit Audit-Funktion

Generell sind die Konfigurationsmöglichkeiten der Appliance im Bereich Authentifizierung und Zugriffskontrolle sehr umfangreich, ohne dabei jedoch unübersichtlich zu wirken. Um alle Aktionen auf der Datafort-Appliance nachvollziehen zu können, bietet Decru eine umfassende Audit-Funktionalität an. Die Log-Einträge können lokal in der Appliance, dem LKM-System oder einem separaten Syslog-Server abgespeichert und zum Schutz vor Manipulation digital signiert werden.

Die Appliance im Test

Um die Möglichkeiten der Datafort-Appliance auszuloten, integrierten wir zwei der Geräte in einer Cluster-Konfiguration in das Testlabor. Dieses bestand aus einer Active-Directory-Domäne unter Windows-2003-Server mit Distributed File System (DFS) sowie einem Network-Appliance-Filer vom Typ "FAS270" mit CIFS. Die Installation des kompletten Clusters nahm etwa zwei Stunden in Anspruch und verlief problemlos. Dabei unterstützte uns die umfangreiche Dokumentation, in der auch eine Checkliste mit den Installationsvoraussetzungen zu finden ist. So müssen beispielsweise physikalische und virtuelle IP-Adressen bereitgestellt werden, Einträge im DNS erfolgen und Virtual Router IDs (VRIDs) für die Cluster-Kommunikation vorhanden sein, bevor der Anwender mit dem Setup beginnen kann.

Anschließend richteten wir auf dem Network-Appliance-Filer zwei Verzeichnisstrukturen ein, von denen eine verschlüsselt und die andere unverschlüsselt bleiben sollte. Jede der beiden Verzeichnisstrukturen wurde über einen eigenen Share freigegeben. Auf der Datafort-Appliance legten wir dann einen Cryptainer an und verknüpften diesen mit dem zu verschlüsselnden Fileshare. Mit Hilfe des DFS-Servers fügten wir die verschlüsselte und die unverschlüsselten Verzeichnisstruktur zu einer Gesamtstruktur zusammen. Über einen Windows-XP-Client und zwei verschiedene Benutzerkonten konnten wir danach verifizieren, dass die Verschlüsselung zuverlässig und transparent erfolgte.

Keine Leistungseinbußen

Auch fanden wir trotz der vergleichsweise einfachen Sicherheitsstufe keine Möglichkeit, uns über einen Umweg unautorisierten Zugang zu den Daten zu verschaffen. Insbesondere gelang es nicht, einen Benutzer durch einfaches Hinzufügen zu einer Berechtigungsgruppe auf dem File-Server zu einem verschlüsselten Verzeichnis zu lotsen. Die Arbeit mit dem verschlüsselten Verzeichnis wurde durch die Decru-Appliance nicht merklich verlangsamt. (kk)