Blog Cloud

Vertrauen in die Cloud

Andreas Livert Veröffentlicht 26. Oktober 2021

Was anfangs schwer fällt, entlastet mit etwas Vertrauen ungemein: Die Cloud ist sicher.

Wissen Sie noch, als der erste Tag Ihres Kindes im Kindergarten, der Kindertagesstätte oder bei einer Tagesmutter anstand? Oder als zum ersten Mal ein Babysitter auf die Kleinen aufpasste, während Sie einen Termin wahrnahmen? Egal, ob es schon Jahre zurück liegt, gerade stattgefunden oder kurz bevorsteht: Die Unsicherheit, Sorgen und Bedenken von Eltern können wir alle nachempfinden – vielen bleiben diese Gefühle immer in Erinnerung.

Ähnliche Herausforderungen beobachten wir beim Thema Cloud und Cloud Networking – nämlich, wenn es zu Überlegungen der Datenspeicherung kommt. Unsicherheit, Sorgen und Bedenken sind auch die Begleiter vieler Datenschutzverantwortlicher im Zusammenhang mit der Cloud. Zugegeben, der Vergleich hinkt etwas. Aber Daten sind in einer digitalen Welt das wichtigste Gut, das wir haben. Und dieser Umstand macht sie unbedingt schützenswert. Im Zweifelsfall geht es dabei ja nicht „nur“ um die eigenen Daten – seien es Netzwerk- oder Geschäftsdaten. Insbesondere in kritischen Umgebungen wie Schulen oder Krankenhäusern wird die Sicherheit großgeschrieben, um Hackerangriffe und andere Unregelmäßigkeiten zu verhindern. Denn welche – teils dramatischen – Auswirkungen ein solcher Hackerangriff haben kann, zeigt beispielhaft der Fall am Universitätsklinikum Düsseldorf in diesem Jahr: Hier gelang es Hackern durch eine Schwachstelle im System, eine Schadsoftware zu installieren, wodurch die notfallmedizinische Versorgung lahmgelegt wurde. Laut offiziellen Berichten wurden dabei zwar keine Daten gestohlen oder gelöscht, aber die Möglichkeit könnte bestehen. Vor diesem Hintergrund sind Sorgen zwar berechtigt, Bedenken muss aber trotzdem niemand haben – genauso wie, um auf den Vergleich oben zurück zu kommen, wenn das Kind für einige Stunden nicht in der Nähe ist.

 

Ihre Daten einer Cloud anzuvertrauen, sei es über IaaS oder SaaS, ist mitunter genauso nervenaufreibend, wie ein Kind in die Betreuung eines Fremden zu geben. Sie vertrauen darauf, dass alles in Ordnung sein wird, treffen alle Vorsichtsmaßnahmen, und dennoch werden Sie sich nie verzeihen, wenn etwas passiert. Das bereitet vielen schlaflose Nächte.

Wir bei Extreme Networks haben uns zum Ziel gesetzt, Sie nachts besser schlafen zu lassen, weil Sie darauf vertrauen können, dass wir Ihre Daten schützen. Denn wir tun alles dafür, dass Ihre Netzwerkverwaltungsdaten innerhalb der Cloud-Management-Plattform von Extreme Networks, ExtremeCloudTM IQ, sicher sind. Wie genau erfahren Sie in den folgenden Abschnitten.

Architektur

ExtremeCloud IQ verwendet zwei Schlüsselkonzepte – das Globale Datenzentrum (GDC) und das Regionale Datenzentrum (RDC).

Ein GDC gibt es sowohl in den USA als auch in Europa. Die Hauptaufgabe des GDC besteht darin, Logins zu verarbeiten und Sie auf die virtuelle Instanz im RDC umzuleiten. Weitere Aufgaben sind z.B. Lizenzierung und Geräteumleitung. Die GDCs sind über Verfügbarkeitszonen hinweg sowohl in den USA als auch in Europa redundant und verfügen über einen IP-Lastausgleich durch Geo-Lokalisierungsmechanismen, sodass Sie immer mit dem nächstgelegenen System verbunden sind. Nutzerkonten bei Extreme Networks, die in Europa beheimatet sind oder der europäischen Datenschutz-Grundverordnung (DSGVO) unterliegen, werden ausschließlich auf dem europäischen GDC gespeichert.

An das RDC werden alle Geräte angebunden, der Administrator konfiguriert und betreibt sein Netzwerk. Hier werden alle Daten der betriebenen Geräte verarbeitet und gespeichert. Heute gibt es weltweit 17 RDCs (darunter z.B. in Deutschland, Schweiz und Irland), die über Amazon Web Services, Google Cloud Platform und Microsoft Azure gehostet werden. Auch jedes der RDCs ist über verschiedene Verfügbarkeitszonen hinweg redundant.

Das Ergebnis ist eine Architektur, die selbst im Katastrophenfall beständig ist und bei der ein größerer weltweiter Ausfall praktisch unmöglich ist.

Verschlüsselung

Wenn Sie einen Access Point oder Switch booten, wird die Kommunikation zwischen diesem Gerät und ExtremeCloud IQ sofort verschlüsselt. Wir verwenden je nach Datentyp und Gerät verschiedene Protokolle für den Informationsaustausch, die Verschlüsselung ist in jedem Fall gesichert. Sobald die Daten im Regionalen Datenzentrum ankommen, werden diese Daten in Datenbanksystemen gespeichert. Alle Speichervolumen, die von unseren verschiedenen Datenbanksystemen (sowohl SQL- als auch nicht-SQL-basiert) verwendet werden, sind mit AES-256 verschlüsselt und verwenden weitere Schlüssel, die von ExtremeCloud IQ Cloud Operations als Teil unseres ISMS (Information Security Management System) verwaltet werden. Die gesamte Interaktion mit unserer Benutzeroberfläche oder der API erfolgt außerdem über HTTPS.

 

Backups

Wir sichern die GDCs und RDCs täglich und behalten diese Backups für 90 Tage. Auch sie werden mit AES-256 verschlüsselt und werden in einer anderen Region abgelegt. Auf diese Weise können wir selbst dann, wenn unvorhergesehene Ereignisse eine ganze Cloud-Region in Mitleidenschaft ziehen, Backups verwenden, um einen beliebigen Teil von Cloud IQ in einer anderen Region oder sogar bei einem anderen Cloud-Anbieter wiederherzustellen, was eine Katastrophe größeren Ausmaßes praktisch unmöglich macht. Redundante Kopien von Backups werden nur innerhalb ihrer Datendomänen gespeichert.  Eine zweite Kopie der Backups von den RDCs der EU wird in unserem irischen Rechenzentrum gespeichert.

Datenschutz und -isolierung

Jeder Kunde innerhalb von ExtremeCloud IQ wird unter Verwendung eines eindeutigen Schlüssels, der „VIQ-ID“, isoliert. Diese ID wird innerhalb des Produkts verwendet, um den Speicherort des Datenbank-Shard zu überwachen und Kunden voneinander zu isolieren. Ihre Daten können von niemandem außerhalb Ihres Unternehmens eingesehen werden. Live-Kundendaten werden nicht zu Test- oder Entwicklungszwecken verwendet und Daten nicht weitergegeben – auch nicht intern.

ExtremeCloud IQ erfüllt alle Aspekte der Datenschutz-Grundverordnung und entsprechenden Gesetzen weltweit. Der Datenschutz wird bei allen neuen Produkten und Funktionen von Anfang an einbezogen.

Change Control und Schwachstellen-Prävention

Wir verfügen über strenge Änderungskontrollen und Prozesse der Qualitätssicherung (QA) für den Cloud-Betrieb, die alle auf unserem agilen Entwicklungsmodell Continuous Integration/Continuous Delivery aufbauen. Änderungen und Aktualisierungen werden von vielen Schichten automatisierter und manueller QA verarbeitet und in separaten Staging-Umgebungen getestet. Jede Änderung oder Aktualisierung unterliegt dem Vier-Augen-Prinzip: Wer eine Änderung implementiert oder sie dokumentiert, kann sie nicht gleichzeitig überprüfen und genehmigen. Alle unserer Entwicklungen werden kontinuierlich auf bösartige Codes, Cross-Site-Scripting und andere unsachgemäße Eingabeverfahren gescannt, die zu Produktionsproblemen oder zur Offenlegung von Daten führen könnten.

ISO-Normen für Sicherheit

Die Cloud-Management-Plattform von Extreme Networks (ExtremeCloud IQ) ist seit zwei Jahren ISO 27001 zertifiziert. Dieser Standard wurde von der International Standards Organization (ISO) für die Implementierung von Information-Security-Management-Systemen entwickelt.

 

Um die Sicherheit der Cloud-Management-Plattform noch weiter auszubauen, werden die Lösungen aktuell sowohl nach ISO 27017 als auch nach ISO 27701 geprüft und zertifiziert.

ISO 27017 ist die Norm für den Cloud-Betrieb, die den technischen Titel „Code of Practice for Information Security Controls based on ISO/IEC 27002 for Cloud Services“ trägt. Dieser Standard umfasst 37 zusätzliche Kontrollen sowie weitere interne und externe Audits, die sich auf den Cloud-Betrieb beziehen. ISO 27701 implementiert ein Privacy Information Management System und regelt alle Aspekte des Datenschutzes für ExtremeCloud IQ. Extreme Networks entwickelt die ExtremeCloud IQ Plattform aktiv so, dass die Konformität mit diesem neuen Standard gewährleistet ist.

Damit ist ExtremeCloud IQ ab 2021 die einzige Cloud-Management-Lösung mit allen drei ISO-Zertifizierungen für die Cloud. Dies gibt Verantwortlichen die Sicherheit, dass ihre Lösung, die Performance sowie die Daten geschützt sind.

SOC 2

Geplant ist, dass bis Mitte 2021 außerdem ein SOC 2-Audit abgeschlossen sein wird. SOC (Service Organization Control) deckt fünf Vertrauensfaktoren der sicheren Informationsverarbeitung und -speicherung ab. Dazu gehören:

  • Sicherheit: Das System ist physisch und logisch vor unbefugtem Zugriff geschützt.
  • Verfügbarkeit: Das System ist für den Betrieb und die Nutzung wie vereinbart verfügbar.
  • Verarbeitungsintegrität: Die Systemverarbeitung ist vollständig, präzise, zeitnah und autorisiert.
  • Vertraulichkeit: Vertrauliche Informationen werden wie vereinbart geschützt.
  • Datenschutz: Persönliche Daten werden gemäß den Verpflichtungen im Datenschutzhinweis der Entität und der Kriterien der Generally Accepted Privacy Principles (GAPP) gesammelt, verwendet, aufbewahrt, offengelegt und vernichtet.

SOC2-Audits unterscheiden sich von ISO insofern, als ISO-Zertifizierungen bescheinigen, dass alle Anforderungen der Norm implementiert sind, während ein SOC-Audit beweist, dass die Kontrollen auch ordnungsgemäß angewandt werden.

CSA Star Stufe 1

Darüber hinaus werden unsere Lösungen ab Anfang 2021 über eine CSA (Cloud Security Alliance) STAR Level 1-Bescheinigung verfügen. 

Dies sind FÜNF Sicherheitszertifizierungen für eine Plattform, wobei jede Zertifizierung einzeln auf den Schutz von Daten und den zuverlässigen Betrieb von Cloud-Diensten ausgerichtet ist.

Datenaufbewahrung

In diesem Jahr wurde „Unlimited Data“ innerhalb von ExtremeCloud IQ angekündigt. Unlimited Data ermöglicht Kunden, die Dauer der Datenspeicherung innerhalb des Produkts zu bestimmen. Es gibt Optionen für 30 Tage, 90 Tage oder unbegrenzte Speicherung. Das bedeutet, dass Ihre Daten, solange Sie Kunde sind, abgerufen werden können.

 

Fazit: Der Wechsel in die Cloud und ihre Nutzung soll Ihnen keine schlaflosen Nächte bereiten. Im Gegenteil: Die Cloud entlastet. Wir bei Extreme Networks kümmern uns darum, Ihre Daten zu schützen und sie redundant sowie jederzeit zur Verfügung zu stellen. Ihre Daten sind sicher, das Netzwerk bleibt in Betrieb. Und das wird immer der Fall sein, solange Sie ExtremeCloud IQ verwenden.

 

 

Dazugehörige Berichte