Nmedia - Fotolia

Microsoft Azure: Virtuelle Maschinen mit CloudLink verschlüsseln

Betreiben Unternehmen virtuelle Server in Microsoft Azure, lassen sich diese mit der Sicherheitslösung EMC CloudLink SecureVM verschlüsseln.

Im Azure Marketplace können Administratoren die VM EMC CloudLink SecureVM herunterladen. Damit lassen sich VMs und deren Festplatten verschlüsseln. Die Verschlüsselung erfolgt auf Basis von BitLocker oder Linux OS-Verschlüsselung – je nach Plattform. Die Schlüssel verbleiben in der CloudLink-VM, das heißt niemand hat Zugriff, außer den jeweiligen Administratoren des Unternehmens. Verschlüsseln lassen sich also Windows und Linux.

Verwendet werden bei der Verschlüsselung die Bordmittel des Betriebssystems. Auf Basis von CloudLink lassen sich bereits die Bootvorgänge und die Bootdatenträger, aber natürlich auch die Datenfestplatten absichern.

Beim Booten melden sich die VMs am CloudLink Secure Center an. Anschließend entscheidet CloudLink Center, ob der Schlüssel zur Entschlüsselung an die VM übertragen wird, und diese starten kann. Über diesen Weg werden auch die Richtlinien überprüft, die von der VM eingehalten werden. Dabei werden die virtuellen Festplatten überprüft, und ob diese unter Umständen auch an andere VMs gebunden sind. Aber auch die IP-Adressen der VM wird überprüft sowie das Subnetz, in dem sich die VM befindet. Entsprechen diese Daten nicht den Vorgaben, verweigert CloudLink den Bootvorgang.

CloudLink als Ergänzung zu BitLocker und Linux-Verschlüsselung

Ohne CloudLink lassen sich virtuelle Server zwar ebenfalls mit BitLocker verschlüsseln, allerdings fehlen dann bei virtuellen Servern in Microsoft Azure die TPM-Chips. Die Schlüssel und andere Daten zur Verschlüsselung lassen sich so nicht optimal und sicher speichern. Nur in Kombination mit einer externen Verwaltungslösung wie CloudLink ist sichergestellt, dass die Schlüssel nicht in falsche Hände geraten können. CloudLink Secure VM stellt sozusagen ein Software-TPM für virtuelle Server in Microsoft Azure zur Verfügung, und zwar zentral für mehrere oder alle virtuellen Server. Dabei spielt es auch keine Rolle, ob in Microsoft Azure Windows-Server und Linux-Server parallel eingesetzt werden. Denn das Software-TPM in CloudLink steht für beide Welten zur Verfügung.

Da virtuelle Server in Microsoft Azure auch nicht das Anschließen eines USB-Sticks unterstützen sowie die Eingabe eines PINs auf Konsolenebene, fällt auch dieser Sicherheitsmechanismus in BitLocker weg. Eine externe Lösung ist in diesem Fall also die ideale Wahl, um eine Verschlüsselung durchführen zu können. CloudLink arbeitet auch mit Azure Key Vault zusammen, um Schlüssel sicher speichern zu können.

Mit CloudLink SecureVM virtuelle Windows-Server verschlüsseln

Basis der Verschlüsselung von Windows-Servern ist BitLocker. Die Verschlüsselung wird über CloudLink verwaltet. CloudLink nutzt dazu alle Möglichkeiten von BitLocker. Die CloudLink SecureVM übernimmt die Steuerung der Richtlinien zur Verschlüsselung der einzelnen VMs, aber auch die Verifizierung der Authentifizierung und Integrität der Verschlüsselung. Die SecureVM stellt also die Zentrale zur Verschlüsselung dar.

Die Verwaltung der Umgebung erfolgt entweder innerhalb einer VM in Microsoft Azure, in einer VM im lokalen Netzwerk, aber natürlich auch auf einem physischen Server im lokalen Netzwerk. Wird das CloudLink-Center im lokalen Netzwerk betrieben, sind die Schlüssel zur Verschlüsselung definitiv in der eigenen Hand, da die Daten On-Premise gespeichert sind. Aber auch beim Betrieb des Centers in Microsoft Azure sind die Daten sicher gespeichert.

Linux-Server in Microsoft Azure sicher verschlüsseln

Die gleichen Möglichkeiten stehen natürlich auch für Linux-Server zur Verfügung. Auch hier lassen sich die Datenfestplatten verschlüsseln, aber auch bereits der Boot-Vorgang und die Root-Partition. Zur Verschlüsselung nutzt CloudLink die native Linux-Kernel-Verschlüsselung.

ECM CloudLink SecureVM einbinden

Die Einbindung der Lösung erfolgt auf Basis einer fertig konfigurierten Linux-VM. Diese steht im Azure Marketplace zur Verfügung. Die VM ist in wenigen Minuten einsatzbereit. Dazu erstellen Administratoren im Portal einfach eine neue VM und wählen die CloudLink SecureVM aus.

Abbildung 1: Die Integration von CloudLink SecureVM erfolgt über einen Assistenten im Microsoft Azure Marketplace.

Zur Vorlage der SecureVM gehören auch einige Links mit verschiedenen Guides und Dokumenten zur Bereitstellung und Verwaltung der Umgebung.  Die Lizenzierung erfolgt über EMC. Um die VMs optimal abzusichern, wird auf den gesicherten VMs ein SecureVM Agent installiert. Die Verteilung kann automatisiert erfolgen, auch über Skripte oder die PowerShell.

CloudLink Center einrichten und VMs verschlüsseln

Die Verwaltung von CloudLink erfolgt anschließend über eine Webseite. Auch der Zugriff über einen SSH-Client wie Putty ist möglich. Im SSH-Client steht eine textbasierte, grafische Oberfläche zur Verfügung. Hier ist zum Beispiel das Kennwort für den Zugriff auf die Webseite zu sehen. Nach der Anmeldung am CloudLink Center lässt sich die Umgebung einrichten. Dazu blendet CloudLink Center einen Assistenten ein, mit dem die Einrichtung erfolgen kann.

Im Zuge der Einrichtung lassen sich die Schlüssel für die Verschlüsselung herunterladen, mit welcher wiederum die Schlüssel der VMs abgesichert werden. Nach der Einrichtung, die nur wenige Minuten dauert, steht das CloudLink Center zur Verfügung. Hier können alle notwendigen Verwaltungsaufgaben durchgeführt werden. Über Home sind alle Informationen zu CloudLink selbst zu sehen. Auch Alarme, Benutzersitzungen, virtuelle Server, die auf Schlüssel warten und mehr sind hier auf einen Blick zu sehen. Über SecureVM/Virtual Machines sind die VMs zu sehen, die durch das CloudLink-Center geschützt werden.

Sobald CloudLink Center einsatzbereit ist, lassen sich VMs mit CloudLink Center absichern. Dazu ist ein Agent notwendig, der über das CloudLink Center zur Verfügung steht. Die Verteilung kann automatisiert erfolgen. Binden Administratoren den Agenten in eine Vorlage mit ein, wird die entsprechende VM automatisch abgesichert. Die Verteilung des Agenten kann über Gruppenrichtlinien erfolgen, aber auch mit Tools wie Puppets. Eine manuelle Installation ist gleichfalls möglich. Dazu wird der Client über die Webseite des CloudLink Centers heruntergeladen und installiert. Der Download erfolgt als Batch-Datei (*.bat). Anschließend ist die VM in CloudLink eingebunden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datei- und Laufwerks-Verschlüsselung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close