Suchen
IM-Cloud-mit-Cisco

Was genau ist externes Schlüsselmanagement von T-Systems?

Höchste Sicherheitsstufe für den Zugriff auf Ihre Daten in AWS

04. Mai 2023Louay Mresheh

Und wo sind Ihre Verschlüsselungsschlüssel?

Die Speicherung von Daten in der Cloud war schon immer mit der Frage des sicheren und privaten Zugriffs auf die Daten verbunden. Für Unternehmen ist es unerlässlich, die vollständige Kontrolle über die Schlüssel zu haben, mit denen ihre Daten in der Cloud verschlüsselt werden und die Möglichkeit zu haben diesen Zugriff jederzeit widerrufen zu können. Um die Kunden dabei zu unterstützen, hat T-Systems ein neues Produkt lanciert: External Key Management (EKM), wie in der Pressemitteilung vom 30. November 2022 angekündigt.

Datenverschlüsselung in AWS mit externen Schlüsseln

Mann vor Computer - AWS

Die Verschlüsselung von Daten in der Cloud ist eine grundlegende Voraussetzung für die Cloud Security. Die Verwendung und das Management von Verschlüsselungsschlüsseln für Daten in einer Public Cloud ist jedoch eine Herausforderung. Die Verschlüsselung sensibler Daten und Datenschutz erhielten in der IT-Branche zuletzt viel Aufmerksamkeit.  Dies ist zum Teil auf Compliance-Anforderungen wie im Schrems-II-Urteil und in der DSGVO zurückzuführen. Sie haben den Cloud-Anbietern klar gemacht, dass sie in puncto Sicherheit neue Dienste und Funktionen entwickeln müssen, um die neuen Datenschutzanforderungen umzusetzen. Um eine sichere Schlüsselverwaltung zu ermöglichen, hat AWS auf der alljährlichen AWS re:Invent 2022 seine neue Lösung External Key Store (XKS) vorgestellt. Diese Lösung wurde in intensiver Zusammenarbeit von Experten von AWS sowie von HSM-, Schlüsselmanagement- und Managed Cloud Services-Anbietern (MCS) wie unserem T-Systems-Sicherheitsteam entwickelt.

AWS External Key Store

IM-EKM

External Key Store (XKS, externer Schlüsselspeicher) ist eine neue Funktion von AWS Key Management Service (AWS KMS). Es handelt sich um einen benutzerdefinierten Schlüsselspeicher, der von einem External Key Manager außerhalb von AWS unterstützt wird. Bei diesem Key Manager kann es sich um ein physisches oder virtuelles Hardware-Sicherheitsmodul (HSM) oder ein beliebiges hard- oder softwarebasiertes System handeln, mit dem kryptografische Schlüssel erstellt und gespeichert sowie kryptografische Vorgänge wie die Ver- und Entschlüsselung von Daten durchgeführt werden können. (Der Begriff „External Key Manager“ bezieht sich hier auf alle genannten Konzepte.) AWS bezeichnet diese Funktion als „Hold Your Own Keys“ (HYOKs). Dabei werden zwei Schlüssel verwendet:

  1. XKS KMS Schlüsseln im KMS XKS
  2. External Key in externem Schlüsselmanager

Sichere Schlüsselverwaltung

Wenn ein AWS-Service die Verschlüsselung von Daten mit dem XKS KMS-Schlüssel anfordert, generiert KMS einen Datenschlüssel, verschlüsselt ihn mit dem XKS KMS-Schlüssel und sendet ihn an den externen Schlüsselmanager und verschlüsselt ihn mit dem externen Schlüssel ein zweites Mal. KMS gibt Folgendes zurück:

  • Einen Klartext-Datenschlüssel, der für die Verschlüsselung von Daten verwendet und dann vernichtet wird
  • Einen doppelt verschlüsselten Datenschlüssel, der im Service für die Entschlüsselung gespeichert wird.

Da der Klartext-Datenschlüssel für die Entschlüsselung benötigt wird, muss der gespeicherte doppelt verschlüsselte Datenschlüssel mit dem externen Schlüssel und dann mit dem XKS KMS-Schlüssel entschlüsselt werden. Durch den Entzug des Zugriffs auf einen dieser Schlüssel wird der doppelt verschlüsselte Datenschlüssel daher unbrauchbar und die Entschlüsselung der Daten unmöglich.

Weitere Informationen hierzu finden Sie unter External Key Stores.

External Key Management von T-Systems

T-Systems hat die EKM-Lösung zur Unterstützung von Kunden entwickelt, die den AWS External Key Store Service implementieren und gleichzeitig die gesetzlichen Sicherheits- und Compliance-Vorschriften einhalten möchten. Beim EKM-Angebot von T-Systems geht es primär um drei Bereiche:

  • Betrieb des externen Schlüsselmanagers
  • Verbinden von AWS KMS mit dem externen Schlüsselmanager
  • Bereitstellung eines Self-Service-Produkts zur Erstellung von XKS-KMS-Schlüsseln

Hier ist eine allgemeine Übersicht über den EKM-Service:

End-to-End-Sicherheit

IM-Self-Service-Product

Der externe Schlüsselmanager wird von Sicherheitsexperten in Rechenzentren der Telekom installiert und betrieben. Die über verschiedene geografische Standorte verteilte Multi-Node-Struktur gewährleistet eine hohe Verfügbarkeit des Schlüsselmanagers. Backups und Schlüsselrotationen werden unter Einhaltung von Best-Practices auf  alle im Schlüsselmanager erstellten Schlüssel angewendet.
Die Aufrechterhaltung einer sicheren Verbindung mit geringer Latenzzeit zwischen dem AWS XKS und dem externen Schlüsselmanager in den Telekom-Rechenzentren hatte die oberste Design- Priorität bei der Entwicklung der Lösung. Daher verwenden wir eine sichere Ende-zu-Ende-IPSec-Verbindung über AWS Direct Connect, wobei wir auf unsere Netzwerkerfahrung zurückgreifen und von unserem Status als AWS Direct Connect-Partner profitieren. Diese Verbindung führt in ein privates Netzwerk, das wir in einem zentralen AWS-Account eingerichtet haben, den T-Systems betreibt. Wir erweitern die Verbindung von diesem Netzwerk zu den AWS-Accounts unserer Kunden durch den Einsatz von AWS PrivateLink.

Fordert ein neuer Kunde den Service an, wird eine dedizierte Domäne im externen Schlüsselmanager erstellt und der PrivateLink-Endpunktservice für seinen AWS-Account freigegeben. Im Account des Kunden müssen bestimmte Netzwerkressourcen erstellt werden, um den XKS Store über den AWS PrivateLink mit dem externen Schlüsselmanager zu verbinden. Wir unterstützen unsere Kunden bei der Erstellung dieser Ressourcen mit einem AWS CloudFormation-Template.Nach der Erstellung des Netzwerks legt T-Systems den XKS Store für Kunden an und verbindet ihn mit deren Domäne im externen Schlüsselmanager.

Nutzung des AWS Service Catalog für EKM

Nach der Verbindung des XKS Stores mit der entsprechenden Domäne im externen Schlüsselmanager können unsere Kunden XKS KMS-Schlüssel erzeugen. Diese werden mit Schlüsseln gesichert, welche in ihrer Domäne im externen Schlüsselmanager erstellt wurden, indem die Kunden unser sicheres und vollautomatisches Self-Service-Produkt nutzen. Nach der Freigabe des Produkts kann der Kunde festlegen, welche IAM-Rollen, Nutzer oder Gruppen XKS KMS-Schlüssel verwenden und erstellen dürfen. Möchte ein autorisierter Nutzer einen XKS KMS-Schlüssel erstellen, kann er das Produkt  ganz einfach mit den folgenden Parametern starten:

  • Name des XKS-KMS-Schlüssels
  • Name des externen Schlüsselspeichers (in dem der Schlüssel erstellt werden soll)

Das Produkt erstellt zuerst einen externen Schlüssel in der Domäne des Kunden im externen Schlüsselmanager. Dann erstellt es einen XKS KMS-Schlüssel im genannten External Key Store und durch einen externen Schlüssel gesichert.

Ausblick

Dieser Beitrag ist der Auftakt zu einer Reihe von Blogartikeln zum Thema EKM.

Erfahren Sie mehr über EKM und das die Netzwerkbereitstellung sowie das Self-Service-Produkt.  

Zur Person
Louay Mresheh, Senior AWS Solution Architect & Consultant

Louay Mresheh

Senior AWS Solution Architect & Consultant, T-Systems International GmbH

Profil und alle Artikel ansehen

Das könnte Sie auch interessieren

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.