Die IT-Welt weltweit wird von Nachrichten über globale Datenschutzverletzungen und Cloud-Datenlecks beherrscht. Von der versehentlichen Offenlegung sensibler Daten bis hin zum Diebstahl von Kartendaten – dieser Trend scheint sich fortzusetzen, und niemand ist sich sicher, wie sicher seine Daten, insbesondere in der Cloud, sind.
Aus diesem Grund beobachten wir einen kontinuierlichen Aufwärtstrend bei der Verwendung von Verschlüsselungstechnologie in den IT-Abteilungen aller Unternehmen, da diese eine Sicherheitsebene für die kritischen Daten des Unternehmens bietet und diese für jeden unbrauchbar macht, der nicht über den zugehörigen Schlüssel verfügt, sei es ein interner oder externer Angreifer.
Aus Branchenerfahrungen lässt sich sagen, dass die Sicherheit einer Krypto-Entität weniger vom verwendeten Verschlüsselungsmechanismus abhängt, sondern vielmehr von der Sicherheit der zugehörigen Schlüssel. Sie können zwar jede Verschlüsselung mit ausreichender Schlüssellänge verwenden, doch ohne sichere Schlüssel ist der Schutz nicht gewährleistet.
Die manuelle Verwaltung eines einzelnen Sicherheitsschlüssels ist relativ einfach. Bei einer großen Anzahl verwendeter Sicherheitsschlüssel wird die Verwaltung dieser Schlüssel jedoch mühsam. Daher besteht Bedarf an automatisierten Schlüsselverwaltung Dienste zur Datenverschlüsselung.
Nun kann der Schlüsselverwaltungsdienst für jedes Kryptosystem als Verwaltung des gesamten Lebenszyklus von Schlüsseln betrachtet werden, einschließlich Generierung, Speicherung, Aktivierung, Verteilung, Rotation, Ablauf, Widerruf und Vernichtung.
Wir können die Schlüsselverwaltungssysteme in drei große Kategorien einteilen:
-
Softwarebasiertes KMS
Softwarebasiertes KMS kann als eigenständige Software betrachtet werden, die in einer physischen oder virtuellen Umgebung installiert wird. Aus Kostensicht sind softwarebasierte KMS-Lösungen im Vergleich zu hardwarebasierten KMS-Lösungen günstiger und einfacher zu installieren.
-
Hardwarebasiertes KMS
Hardwarebasiertes KMS kann als spezialisiertes, manipulationssicheres Hardwaregerät betrachtet werden, das für kryptografische Operationen oder Schlüsselverwaltung entwickelt wurde und bekannt ist als Hardware-Sicherheitsmodul, d. h. HSM. HSM kann in softwarebasiertes KMS integriert werden oder KMS-Software kann auch in das HSM eingebettet werden.
-
Cloudbasiertes KMS
Cloud-basiertes KMS kann als Serviceangebot von Cloud-Service-Providern betrachtet werden. Alle drei größten CSPs (AWS, Azure und GCP) bieten KMS als Managed Service mit einem Pay-as-you-go-Modell an, was bedeutet, dass der Kunde die zugrunde liegende Software/Hardware nicht verwalten muss. Auch andere Dienste innerhalb der CSP-Umgebung sind nahtlos in ihre KMS Dienstleistungen.
Nachdem wir nun die KMS-Typen im Allgemeinen besprochen haben, stellt sich als Nächstes die Frage, welcher Cloud-basierte KMS-Anbieter für Sie am besten geeignet ist.
Die Wahl zwischen drei CSPs (Amazon Web Services, Microsoft Azure oder Google Cloud Platform) wird von Nutzern heiß diskutiert. Der Übergang zum Hochladen von Daten in die öffentliche Cloud wird für Unternehmen zum Standard. Die beiden wichtigsten Faktoren für den Datenschutz sind der Schutz der Daten vor unbefugtem Zugriff und die Einhaltung von Compliance-Vorschriften. Cloud-Sicherheit muss für alle im Unternehmen oberste Priorität haben. Im nächsten Abschnitt fassen wir unseren Vergleich der drei größten Anbieter der Cloud-Computing-Welt zusammen:
- Schlüsselverwaltungssystem (KMS) von Amazon Web Services (AWS)
- Microsoft Azure Key Vault
- Schlüsselverwaltungssystem (KMS) der Google Cloud Platform (GCP)
AWS-Schlüsselverwaltungsservice (KMS)
AWS KMS ist ein verwalteter Dienst zum Erstellen und Verwalten von Verschlüsselungsschlüsseln. Die beiden Arten von Verschlüsselungsschlüsseln in AWS KMS sind Kundenhauptschlüssel (CMKs) , Datenschlüssel. CMKs können zum Verschlüsseln und Entschlüsseln von bis zu 4 Kilobyte Daten verwendet werden, während Datenschlüssel von CMKs generiert, verschlüsselt und entschlüsselt werden.
Die CMKs können das AWS KMS niemals verlassen, und die vom AWS KMS-Dienst erstellten Schlüssel werden niemals außerhalb der AWS-Region gesendet, in der sie erstellt wurden, und können nur in der Region verwendet werden, in der sie erstellt wurden. Die CMKs können vom Kunden oder von AWS verwaltet werden. CMKs dienen zum Verschlüsseln/Entschlüsseln der Datenschlüssel, während Datenschlüssel zum Verschlüsseln/Entschlüsseln der eigentlichen Kundendaten verwendet werden. AWS KMS speichert, verwaltet oder verfolgt keine Datenschlüssel.
AWS KMS kann den Datenschlüssel nicht zum Verschlüsseln/Entschlüsseln von Daten verwenden. Benutzer müssen Datenschlüssel selbst verwenden und verwalten. Standardmäßig verwendet AWS KMS FIPS 140-2 validiert Hardware-Sicherheitsmodule (HSM) und unterstützte FIPS 140-2-validierte Endpunkte, die die Vertraulichkeit und Integrität Ihrer Schlüssel gewährleisten.
Microsoft Azure Key Vault
Microsoft Azure Key Vault dient zum Speichern von Geheimnissen wie Token, Passwörtern, Zertifikaten und API-Schlüsseln. Azure Key Vault kann auch als Schlüsselverwaltungslösung eingesetzt werden. Key Vault kann Schlüssel und Geheimnisse in Hardware-Sicherheitsmodulen (HSMS) verschlüsseln. Key Vault unterstützt nur RSA- und Elliptic Curve-Schlüssel. Microsoft sieht Ihre Schlüssel nicht, verarbeitet sie aber in FIPS 140-2 Level 2-validierten HSMs.
GCP-Schlüsselverwaltungsdienst
Google Cloud Key Management Service (KMS) ist ein Angebot zur Verwaltung von Verschlüsselungsschlüsseln von Google Cloud, mit dem kryptografische Funktionen für Unternehmen implementiert werden. Google Cloud KMS verwendet einen 256-Bit-AES-Schlüssel zum Schutz der Daten und kann auch zur Verwaltung der Schlüssel zur Verschlüsselung anderer sensibler Daten wie API-Token, Benutzeranmeldeinformationen usw. verwendet werden.
Google stellt den Google Cloud KMS-Dienst über REST-APIs bereit, sodass Nutzer Schlüssel erstellen, auflisten, aktualisieren und löschen können. Dies erleichtert die Verwaltung einer großen Anzahl von Schlüsseln, insbesondere für Unternehmen weltweit. Außerdem werden AES-Schlüssel in einer fünfstufigen Hierarchie mit einer 24-stündigen Verzögerung beim Löschen von Schlüsseln bereitgestellt.
Die folgende Tabelle bietet einen zusammengefassten Vergleich der Dienste AWS KMS, Azure Key Vault und Google Cloud KMS, kategorisiert nach den Funktionen des Dienstes:
| # | Funktion | AWS-KMS | Azure Key Vault | Google Cloud KMS |
|---|---|---|---|---|
| 1 | Schlüsselspeicher | Appliance (Software + Hardware) | Gerät* (Software) | Appliance (Software + Hardware) |
| 2 | FIPS 140-2-Stufe | Level 2 | Level 2 | Level 1 |
| 3 | Schlüsseltypen | Symmetrisch und asymmetrisch | Asymmetrisch | Symmetrisch und asymmetrisch |
| 4 | BYOK (Bringen Sie Ihren eigenen Schlüssel mit) | AES 256-Bit, umhüllt von RSA 2048-Bit | RSA verpackt durch AES und RSA-OAEP | AES 256-Bit, umhüllt von RSA 3072-Bit |
| 5 | Symmetrische Schlüssellänge | 256-Bit-AES | Keine Präsentation | 256-Bit-AES |
| 6 | Asymmetrische Schlüssellänge | 2048-Bit, 3072-Bit, 4096-Bit RSA | 2048-Bit, 3072-Bit, 4096-Bit RSA | 2048-Bit, 3072-Bit, 4096-Bit RSA |
| 7 | Verschlüsselungsmodi | AES-GCM, RSA-OAEP | AES-GCM, RSA-OAEP | RSA PKCS#1v1.5, RSA-OAEP |
| 8 | Größenbeschränkung für Klartext | 4KB | 0.25KB | 64KB |
| 9 | Signaturmodi |
|
|
|
| 10 | Schlüsselfähigkeiten |
|
|
|
*Die Azure Key Vault-Integration mit Azure Managed HSM befindet sich in der öffentlichen Vorschau und wird möglicherweise irgendwann in der Zukunft verfügbar sein.
Fazit
Der kontinuierliche Aufwärtstrend in der Verschlüsselungstechnologie führt dazu, dass immer mehr Schlüssel verwaltet werden müssen, was Unternehmen dazu zwingt, automatisierte Schlüsselverwaltung Systeme zur effizienten Verwaltung der großen Anzahl von Schlüsseln. Angesichts der hohen Nachfrage nach Schlüsselverwaltungssystemen liefern sich die drei größten CSPs (Cloud Service Provider) einen harten Wettbewerb, um ihre KMS-Dienste in ihrer Umgebung um immer mehr Funktionen zu erweitern. Die begrenzte Dokumentation führt jedoch oft zu Verwirrung.
Encryption Consulting hilft Kunden dabei, sich mit den neuesten und fortschrittlichsten Sicherheitsfunktionen, Tools und Dokumentationen vertraut zu machen und unterstützt sie dabei, den wahren Wert für ihr Unternehmen zu nutzen, während sie diese in ihrer Umgebung einsetzen und dabei die Geschäftsziele des Unternehmens intakt halten.
