DE112015004500B4 - Automatisierte Verwaltung von vertraulichen Daten in Cloud-Umgebungen - Google Patents

Automatisierte Verwaltung von vertraulichen Daten in Cloud-Umgebungen Download PDF

Info

Publication number
DE112015004500B4
DE112015004500B4 DE112015004500.7T DE112015004500T DE112015004500B4 DE 112015004500 B4 DE112015004500 B4 DE 112015004500B4 DE 112015004500 T DE112015004500 T DE 112015004500T DE 112015004500 B4 DE112015004500 B4 DE 112015004500B4
Authority
DE
Germany
Prior art keywords
data
cloud
storage
security layer
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112015004500.7T
Other languages
English (en)
Other versions
DE112015004500T5 (de
Inventor
Marcus Breuer
Itzhack Goldberg
Thorsten Muehge
Erik Rueger
Matthias SEUL
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112015004500T5 publication Critical patent/DE112015004500T5/de
Application granted granted Critical
Publication of DE112015004500B4 publication Critical patent/DE112015004500B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren (100) zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, wobei die gemeinsam genutzte vernetzte Umgebung (610) eine Sicherheitsschicht (612) zwischen einem gemeinsam genutzten vernetzten Speicher und einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers (602) aufweist, wobei das Verfahren (100) aufweist- physisches Trennen (102) des gemeinsam genutzten vernetzten Speichers mit der Sicherheitsschicht (612) von einem Schlüsseltresorsystem (604),- Empfangen (104) einer Speicheranforderung zusammen mit Daten, die in dem gemeinsam genutzten vernetzten Speicher gespeichert werden sollen, und zusammen mit einer Vertraulichkeitseinstufung, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des gemeinsam genutzten vernetzte Speichers (602) von der Sicherheitsschicht (612) empfangen wird,- Verschlüsseln (106) der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht (612) durch das Schlüsseltresorsystem (604) in einem Datencontainer (608, 904),- Kategorisieren (108) des gemeinsam genutzten vernetzten Speichers in Cloud-Zonen, wobei jeder Cloud-Zone eine Vertrauensebene zugewiesen ist;- Speichern (110) des Datencontainers (608, 904) in einer der Cloud-Zonen des gemeinsam genutzten vernetzten Speichers, sodass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht; und- Validieren durch das Schlüsseltresorsystem (604), dass die Speicheranforderung mit konfigurierbaren Richtlinien konform ist durch- Validieren, dass die Sicherheitsschicht (612) für eine Datenübertragung vertrauenswürdig ist, und dass ein Übertragungskanal zwischen der Sicherheitsschicht (612) und dem Schlüsseltresorsystem (604) durch eine Verschlüsselung auf Zertifikatsgrundlage geschützt ist, und- im Fall einer positiven Validierung, Erstellen eines Übertragungstickets, das die Autorisierung aufweist, Anfordern von Informationen über den Speicher-Anforderer und von Metadaten über die zu speichernden Daten, einer Signatur der Sicherheitsschicht (612) und einer Ablaufzeit für die Speicheranforderung, und Signieren des Übertragungstickets, bevor das Übertragungsticket an die Sicherheitsschicht (612) zurückgesendet wird.

Description

  • GEBIET DER ERFINDUNG
  • Die Erfindung betrifft allgemein ein Verfahren zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung. Die Erfindung betrifft ferner ein Speichersubsystem zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, ein Datenverarbeitungssystem, ein Datenverarbeitungsprogramm und ein Computerprogrammprodukt.
  • HINTERGRUND DER ERFINDUNG
  • Immer mehr Unternehmen wenden sich dem Cloud-Computing als bevorzugtes Informationstechnologie-Nutzungsverfahren zu - nicht nur in Bezug auf Software, sondern auch auf Infrastrukturkomponenten und auch zum Speichern von Daten. „Die Cloud“ kann jedoch nicht als ein homogener, mehr oder weniger anonymer Raum betrachtet werden. Speicherkapazitäten können von verschiedenen Anbietern von Cloud-Speichern unter verschiedenen Vertragsbedingungen und mit unterschiedlicher Dienstgüte erhältlich sein. Einige Anbieter können eine Datenspeicherung innerhalb eines rechtlichen Zuständigkeitsbereichs garantieren; andere geben möglicherweise keinerlei Garantie.
  • In den heutigen Cloud-Umgebungen können Daten zwischen verschiedenen Instanzen, Daten-Pools oder Speicherorten oder sogar ganzen Ländern migriert werden. Diese Migration kann als Teil von regulären Operationen, z.B. Datensynchronisierung, Benutzerinteraktionen oder sogar Angriffen auf die Cloud-Infrastruktur erfolgen. Sämtliche dieser Interaktionen stellen ein zentrales Risiko dar:
    • vertrauliche und/oder sensible Daten können aus einer sicheren Umgebung in eine unsichere Umgebung verschoben werden, wodurch die Daten leichter zugänglich und daher möglicherweise (feindlichen) externen Quellen ausgesetzt sind.
  • Es gibt mehrere Offenbarungen, die ein Verfahren zum Speichern von Daten in einer Cloud-Umgebung betreffen.
  • Das Dokument US 20140164774 A1 offenbart eine Datenzugriffsverwaltung, die eine Vielfalt von Prozessen enthalten kann, auf Grundlage einer Verschlüsselung. In einem Beispiel kann eine Einheit eine Benutzer-Authentifizierungsanforderung zum Entschlüsseln von verschlüsselten Daten an einen Datenspeicherserver übertragen, der die verschlüsselten Daten speichert. Die Datenverarbeitungseinheit kann daraufhin ein Validierungs-Token empfangen, das der Authentifizierungsanforderung des Benutzers zugehörig ist. Das Validierungs-Token kann angeben, dass der Benutzer für eine Domäne authentifiziert ist.
  • Das Dokument US 8205078 B2 offenbart ein Verfahren, eine Vorrichtung und Computeranweisungen zum Verwalten von Dateien in einem Datenverarbeitungssystem. Ein Attribut für eine Datei wird mit einer speziellen Bezeichnung angegeben. Die Datei mit dem Attribut mit der speziellen Bezeichnung wird durch das Betriebssystem auf eine andere Art wie andere Dateien verarbeitet, wenn Operationen wie beispielsweise Kopieren der Datei auf einen entfernt angeordneten Datenträger, Drucken der Datei oder Senden der Datei über ein Netzwerk ausgeführt werden.
  • Eine Reihe von Nachteilen ist mit herkömmlichen Technologien verbunden: z.B. kann kein automatischer Schutz bereitgestellt sein. Die Daten müssen durch den Client vor dem Versenden an eine Cloud-Umgebung geschützt werden, wenn der zugehörige Datenspeicherbereich kompromittiert oder sogar physisch gestohlen worden ist, sind Daten gefährdet.
  • Eine Verschlüsselung kann schwierig umzusetzen und zu verwalten sein, da Client-Systeme unterschiedliche Verschlüsselungsfähigkeiten haben können, und weil auch die Verwendung der Verschlüsselung während eines Hochladens von Daten in eine Cloud-Speicherumgebung durch Benutzer einfach vergessen werden kann. Auch wenn Daten zwischen Cloud-Zonen von unterschiedlicher Vertrauenswürdigkeit verschoben werden, muss ein Benutzer berücksichtigen, ob Daten an einen neuen Speicherort verschoben werden können für den Fall, dass der Speicherort einen unzureichenden Schutz aufweist oder in einer geografisch nicht vertrauenswürdigen Umgebung oder einem solchen Land gehostet wird.
  • Es kann jedoch ein Bedarf an der Bereitstellung einer Lösung bestehen, die eine sichere Speicherung von Daten in Cloud-Umgebungen ermöglicht und gleichzeitig keine Auseinandersetzung mit Verschlüsselungsanforderungen auf einer Client-Seite erfordert.
  • Die US 2014/0157363 A1 betrifft ein Verfahren zur sicheren Speichersegmentierung auf Grundlage des Sicherheitskontextes in einer virtuellen Umgebung. Das Verfahren umfasst die folgenden Schritte. Ein Computersystem kennzeichnet eine Anforderung zur Platzierung einer Arbeitslast in einem Hypervisor-basierten Host. Das Computersystem kennzeichnet eine Sicherheitsstufe der Arbeitslast. Das Computersystem kennzeichnet eine Sicherheitsstufe eines Speichergeräts, das mit dem Hypervisor-basierten Host verknüpft ist. Wenn die Sicherheitsstufe der Arbeitslast der Sicherheitsstufe des Speichergeräts entspricht, gewährt das Computersystem die Anforderung, die Arbeitslast in dem Hypervisor-basierten Host zu platzieren. Wenn das Sicherheitsniveau des Arbeitsaufkommens nicht dem Sicherheitsniveau des Speichergeräts entspricht, lehnt das Computersystem die Anforderung zur Platzierung des Arbeitsaufkommens im Hypervisor-basierten Host ab.
  • Die US 2014/0050317 A1 betrifft ein Cloud-basiertes Schlüsselverwaltungssystem zum Speichern, Abrufen, Erzeugen und Ausführen anderer wichtiger Operationen. Das Cloud-basierte System ermöglicht die Sicherheit der Schlüssel und verhindert gleichzeitig deren Verlust oder Zerstörung. Mit diesem System kann ein Unternehmen nun die Kontrolle und Sicherheit rund um seine Schlüssel verwalten, prüfen und beibehalten. Die Auditierung von Sicherheitsereignissen ermöglicht die Auswertung der Operationen, um sicherzustellen, dass jeder Schritt vollkommen sicher ist.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Dieser Bedarf kann durch ein Verfahren zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, ein Speichersubsystem zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, ein Cloud-Speichersystem, ein Datenverarbeitungsprogramm und ein Computerprogrammprodukt gemäß den unabhängigen Ansprüchen angesprochen werden.
  • In einem Beispiel kann ein Verfahren zum Speichern von Daten in einer Cloud-Umgebung bereitgestellt werden. Die gemeinsam genutzte vernetzte Umgebung kann eine Sicherheitsschicht zwischen einem gemeinsam genutzten vernetzten Speicher und einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers aufweisen. Das Verfahren kann ein physisches Trennen des gemeinsam genutzten vernetzten Speichers mit der Sicherheitsschicht von einem Schlüsseltresorsystem und ein Empfangen einer Speicheranforderung zusammen mit Daten, die in dem gemeinsam genutzten vernetzten Speicher gespeichert werden sollen, und zusammen mit einer Vertraulichkeitseinstufung aufweisen, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des gemeinsam genutzten vernetzten Speichers von der Sicherheitsschicht empfangen wird.
  • Das Verfahren kann ferner ein Verschlüsseln der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht durch das Schlüsseltresorsystem in einen Datencontainer aufweisen, ein Kategorisieren des gemeinsam genutzten vernetzten Speichers in Cloud-Zonen, wobei jeder Cloud-Zone eine Vertrauensebene zugewiesen wird; und ein Speichern des Datencontainers in einer der Cloud-Zonen des Cloud-Speichers, sodass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht.
  • In einem weiteren Beispeil kann ein Speichersubsystem zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung bereitgestellt werden. Die gemeinsam genutzte vernetzte Umgebung kann eine Sicherheitsschicht zwischen einem gemeinsam genutzten vernetzten Speicher und einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers aufweisen. Das Speichersubsystem kann einen gemeinsam genutzten vernetzten Speicher mit einer Sicherheitsschicht aufweisen, die physisch von einem Schlüsseltresorsystem getrennt ist, wobei der gemeinsam genutzte vernetzte Speicher Cloud-Zonen aufweist, wobei jede der Cloud-Zonen eine zugewiesene Vertrauensebene hat, und eine empfangende Einheit, die angepasst ist, um eine Speicheranforderung zusammen mit Daten, die in dem gemeinsam genutzten vernetzten Speicher gespeichert werden sollen, und zusammen mit einer Vertraulichkeitseinstufung zu empfangen, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des gemeinsam genutzten vernetzten Speichers von der Sicherheitsschicht empfangen wird.
  • Das Schlüsseltresorsystem kann für ein Verschlüsseln der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht in einem Datencontainer angepasst werden.
  • Ferner kann das Verfahren eine Speicherkomponente aufweisen, die angepasst ist, um den Datencontainer so in einer der Cloud-Zonen des Cloud-Speichers zu speichern, dass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht.
  • In einem weiteren Beispiel kann ein gemeinsam genutztes vernetztes Speichersystem bereitgestellt werden, das das Speichersubsystem zum Speichern von Daten in einer Cloud-Umgebung aufweist.
  • Es ist anzumerken, dass der gemeinsam genutzte vernetzte Speicher als ein Cloud-Speicher oder ein Speichersystem in einer Cloud-Umgebung betrachtet werden kann.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In dem Kontext dieser Beschreibung können die folgenden Konventionen, Begriffe und/oder Ausdrücke verwendet werden:
    • Der Begriff „Cloud-Umgebung“ kann in dem Kontext von Cloud-Computing verwendet werden. In diesem Dokument wird auch Cloud-Speicherung oder Cloud-Speicherdienst mehrmals erwähnt. Ein derartiger Dienst gehört allgemein zu Cloud-Computing, das ein Modell zum Ermöglichen eines bequemen On-Demand-Netzwerkzugriffs auf einen gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen ist (z.B. Netzwerke, Server, Anwendungen und Dienste) - insbesondere Speicher oder vernetzte Speicher - die schnell und mit minimalem Verwaltungsaufwand oder minimaler Dienstanbieter-Interaktion bereitgestellt und freigegeben werden können. Dieses Cloud-Modell unterstützt Verfügbarkeit und setzt sich aus fünf wesentlichen Merkmalen, drei Dienstmodellen und vier Nutzungsmodellen zusammen. Der gemeinsame vernetzte Speicher kann in einer Cloud-Umgebung eingesetzt werden.
  • Zu wesentlichen Merkmalen des Cloud-Computing gehören
    • (i) On-Demand-Selfservice. Ein Nutzer kann einseitig und je nach Bedarf automatisch Datenverarbeitungs-Funktionen, wie z.B. Serverzeit und Netzwerkspeicher, ohne erforderliche menschliche Interaktion mit jedem Dienstanbieter bereitstellen.
    • (ii) Breiter Netzwerkzugriff. Funktionen stehen über das Netzwerk zur Verfügung, und auf sie wird über Standardmechanismen zugegriffen, die eine Verwendung über heterogene Thin Client- oder Thick Client-Plattformen unterstützen (z.B. Mobiltelefone, Laptops und PDAs).
    • (iii) Ressourcen-Pooling. Die Datenverarbeitungsressourcen des Anbieters sind in einem Pool zusammengeschlossen, um unter Verwendung eines Multi-Tenant-Modells mehrere Nutzer mit unterschiedlichen physischen und virtuellen Ressourcen zu bedienen, deren Zuweisung und Zuweisungsaufhebung je nach Nutzerbedarf dynamisch erfolgt. Es herrscht insofern ein Gefühl der Standortunabhängigkeit, als der Nutzer im Allgemeinen keine Kontrolle oder Kenntnis in Bezug auf den genauen Standort der bereitgestellten Ressourcen hat, aber in der Lage sein kann, einen Standort auf einer höheren Abstraktionsebene anzugeben (z.B. Land, Bundesstaat oder Rechenzentrum). Zu Beispielen für Ressourcen zählen Speicher, Verarbeitung, Arbeitsspeicher, Netzwerk-Bandbreite und virtuelle Maschinen.
    • (iv) Schnelle Elastizität. Funktionen können rasch und elastisch, in einigen Fällen automatisch für eine schnelle Erweiterung bereitgestellt und für eine schnelle Reduzierung rasch freigegeben werden. Für den Nutzer scheinen die zur Bereitstellung verfügbaren Funktionen oft unbegrenzt zu sein und können jederzeit in beliebiger Menge erworben werden.
    • (v) Richtig bemessener Dienst. Cloud-Systeme kontrollieren und optimieren Ressourcen automatisch durch die Nutzung einer Messfunktion auf einer Abstraktionsebene, die dem Diensttyp entspricht (z.B. Speicher, Verarbeitung, Bandbreite und aktive Benutzerkonten). Eine Inanspruchnahme von Ressourcen kann überwacht, kontrolliert und gemeldet werden, was sowohl für den Anbieter als auch den Nutzer des in Anspruch genommenen Dienstes für Transparenz sorgt.
  • Zu den für Cloud-Computing genutzten Dienstmodellen gehören:
    • (i) Cloud-Software as a Service (SaaS). Die für den Nutzer bereitgestellte Funktion besteht darin, die auf einer Cloud-Infrastruktur ausgeführten Anwendungen des Anbieters zu nutzen. Auf die Anwendungen kann über eine Thin Client-Schnittstelle, wie beispielsweise einen Web-Browser (z.B. webbasierte eMail), von verschiedenen Client-Geräten aus zugegriffen werden. Weder verwaltet noch kontrolliert der Nutzer die zu Grunde liegende Cloud-Infrastruktur, einschließlich Netzwerk, Server, Betriebssysteme, Speicher oder auch einzelne Anwendungsfunktionen, ausgenommen möglicherweise begrenzte benutzerspezifische Einstellungen einer Anwendungskonfiguration.
    • (ii) Cloud Platform as a Service (PaaS). Die für den Nutzer bereitgestellte Funktion besteht darin, auf der Cloud-Infrastruktur vom Nutzer erstellte oder erworbene Anwendungen zu nutzen, die unter Verwendung von Programmiersprachen und Tools erstellt wurden, die von dem Anbieter unterstützt werden. Weder verwaltet noch kontrolliert der Nutzer die zu Grunde liegende Cloud-Infrastruktur, einschließlich Netzwerk, Server, Betriebssysteme oder Speicher, aber er besitzt die Kontrolle über die umgesetzten Anwendungen und möglicherweise die Hosting-Umgebungskonfigurationen von Anwendungen.
    • (iii) Cloud Infrastructure as a Service (laaS). Die für den Nutzer bereitgestellte Funktion besteht in der Bereitstellung von Verarbeitung, Speicher, Netzwerken und anderen grundlegenden Datenverarbeitungsressourcen, wobei der Nutzer in der Lage ist, beliebige Software zu nutzen und auszuführen, zu der auch Betriebssysteme und Anwendungen gehören können. Der Nutzer verwaltet weder noch kontrolliert er die zu Grunde liegende Cloud-Infrastruktur, aber er hat die Kontrolle über Betriebssysteme, Speicher, genutzte Anwendungen und möglicherweise eine begrenzte Kontrolle über ausgewählte Netzwerkkomponenten (z.B. Host-Firewalls).
  • Zu den für Cloud-Computing genutzten Nutzungsmodellen gehören
    • (i) Private Cloud. Die Cloud-Infrastruktur wird ausschließlich durch eine Organisation betrieben. Sie kann von der Organisation oder einer Drittpartei verwaltet werden und kann innerhalb oder außerhalb von Geschäftsräumen vorhanden sein.
    • (ii) Community Cloud. Die Cloud-Infrastruktur wird von mehreren Organisationen gemeinsam genutzt und unterstützt eine spezielle Community, die gemeinsame Problemstellungen hat (z.B. Berücksichtigungen von Zielsetzung, Sicherheitsanforderungen, Richtlinien und Konformität). Sie kann von den Organisationen oder einer Drittpartei verwaltet werden und kann innerhalb oder außerhalb von Geschäftsräumen vorhanden sein.
    • (iii) Public Cloud. Die Cloud-Infrastruktur wird der allgemeinen Öffentlichkeit oder einer großen Industriegruppe zur Verfügung gestellt und ist im Besitz einer Organisation, die Cloud-Dienste verkauft.
    • (iv) Hybrid Cloud. Die Cloud-Infrastruktur ist eine Zusammensetzung von zwei oder mehr Clouds (Private, Community oder Public), die eindeutige Entitäten bleiben, aber durch eine standardisierte oder proprietäre Technologie vereinigt sind, die eine Daten- und Anwendungsportabilität ermöglicht (z.B. Cloud Bursting für einen Lastausgleich zwischen Clouds).
  • Es ist anzumerken, dass Cloud-Software das Cloud-Paradigma durch eine dienstgebundene Orientierung mit Schwerpunkt auf Statusungebundenheit, niedrige Kopplung, Modularität und semantische Interoperabilität in vollem Umfang nutzt.
  • Der Begriff „Cloud-Speicher“ kann Speicherkomponenten wie beispielsweise Speichersysteme jeder Art bezeichnen, die einen Cloud-Speicherdienst im vorgenannten Sinn erbringen.
  • Der Begriff „Sicherheitsschicht“ kann eine Komponente bezeichnen, die Zugriff auf einen Cloud-Speicherdienst auf eine sichere Weise ermöglicht. Die Sicherheitsschicht kann die Komponente sein, die zwischen einem Client und einer Zugriffsschnittstelle des Cloud-Speichers transparent ist, in der sich ein Benutzer/ein Client anmelden kann, um mit einem Cloud-Speicherdienst verbunden zu werden. Die Sicherheitsschicht erfüllt eine Reihe von Sicherheits- und Vertraulichkeitsfunktionen. Sie kann als Hardware-Komponente oder als Software-Schicht umgesetzt werden.
  • Der Begriff „Zugriffsschnittstelle für gemeinsam genutzten vernetzten Speicher“ oder „Zugriffsschnittstelle des Cloud-Speichers“ kann einen Kontaktpunkt oder eine Anwendungsprogrammierschnittstelle für einen Client bezeichnen, um mit einem Cloud-Speicherdienst einer Cloud-Umgebung in Kontakt zu kommen.
  • Der Begriff „Schlüsseltresorsystem“ kann ein System bezeichnen, das physisch von einem System getrennt sein kann, das die Zugriffsschnittstelle des Cloud-Speichers ausführt, sowie physisch von dem Speicherort der Daten getrennt sein kann. Es kann Verschlüsselungs- und Entschlüsselungsfähigkeiten, einen Zugriffsrichtlinien-Governor und einen Schlüsselspeicher aufweisen. Das Schlüsseltresorsystem kann bei der Bereitstellung von Diensten im Kontext des vorgeschlagenen Verfahrens instrumentell sein.
  • Das Schlüsseltresorsystem kann auch eine Gruppe von Maschinen und Systemen in einer Umgebung darstellen, die physisch und logisch von dem Rest der Cloud-Zonen isoliert sind.
  • Der Begriff „Vertraulichkeitseinstufung“ kann eine Vertraulichkeitsebene bezeichnen, der Daten zugehörig sind. Die höchste Vertraulichkeitseinstufung kann angeben, dass die höchsten verfügbaren Sicherheitsstandards zum Schutz der zugehörigen Daten angewendet werden können. Die niedrigste Vertraulichkeitseinstufung kann angeben, dass nicht jeder mögliche Schutzmechanismus zum Schutz der Daten angewendet werden kann. Zwischen Sicherheitsbemühungen in Bezug auf eine Vertraulichkeitseinstufung und den zugehörigen Kosten kann ein Kompromiss vorhanden sein.
  • Der Begriff „Cloud-Zone“ kann einen Bereich angeben, in dem sich Speichersysteme physisch - oder logisch - befinden. Ein Anbieter von Cloud-Speicher kann eine Mehrzahl von Speichersystemen betreiben, z.B. in verschiedenen Ländern. Jedem Land kann z.B. eine andere Zone zugewiesen werden. Es gibt jedoch auch andere Optionen zum Kategorisieren von Speichersystemen. Ein Möglichkeit kann die physische Sicherheit des Rechenzentrums sein, in dem sich das Speichersystem befinden kann. Eine weitere Möglichkeit zum Kategorisieren des Speichersystems eines Cloud-Speicherdiensts kann ein lokales Gruppieren von Speichersystemen in Rechenzentren sein, die unter dem Gesetz eines bestimmten Landes betrieben werden. Weitere Optionen sind möglich. Die einzige Einschränkung besteht darin, dass die Speichersysteme, die zu derselben Cloud-Zone gehören, eine einheitliche Auslegung bezüglich der Sicherheit hinsichtlich eines Zugriffs von nicht berechtigtem Personal haben.
  • Der Begriff „Vertrauensebene“ kann eine bestimmte Sicherheitseinstufung eines Speicherdiensts einer bestimmten Cloud-Zone bezeichnen. Verschiedene Cloud-Zonen können verschiedene Vertrauensebenen haben. Eine höhere Vertrauensebene kann angeben, dass gespeicherte Daten unterschiedliche Schwachstellen haben, d.h. die Daten können entsprechend verschiedenen Sicherheitsebenen gespeichert werden.
  • Der Begriff „Zugriffs-Governor“ kann ein System bezeichnen, das unerwünschte Dateizugriffsanforderungen auf die Komponenten des Schlüsseltresorsystems kontrolliert. Der Zugriffs-Governor kann auch als „Zugriffsrichtlinien-Governor“ angegeben werden, der ebenfalls eine Zertifizierungsstelle darstellen kann, die fähig ist, Zertifikate und zugehörige Schlüssel sowohl zu erstellen als auch zu validieren. Die Zuständigkeiten können ferner ein Prüfen enthalten, ob Daten aus dem aktuellen Speicherort in einen neuen Zielspeicherort übertragen werden können, sowohl unter dem Aspekt der Vertrauenswürdigkeit als auch der Sicherheit des neuen Ziels, sowie ein Prüfen, ob bestimmte Datenzugriffsmuster erkannt worden sind, die eine böswillige Absicht angeben (z.B. massive, anscheinend zufällige Anforderung von Dateien) von dem Client.
  • Der Begriff „Schlüsselspeicher“ kann eine weitere Komponente des Schlüsseltresorsystems bezeichnen. Sie kann einen Datenspeicher für Verschlüsselungsschlüssel mit einer dazugehörigen Kennung darstellen. Dieser Schlüsselspeicher kann verwendet werden. sobald eine neue Datei durch das Schlüsseltresorsystem verschlüsselt wird und als eindeutiger Verschlüsselungsschlüssel und eindeutige Kennung der Datei gespeichert werden kann. Er kann auch für eine Entschlüsselung verwendet werden, wenn der Schlüssel für eine bestimmte Datei abgerufen werden kann.
  • Der Schlüsselspeicher kann in Bezug auf Verbindungen für eine Datenübertragung zum Zugriffs-Governor und zu den Verschlüsselungs-/Entschlüsselungseinheiten des Schlüsseltresorsystems sowohl für nicht geprüfte als auch sichere Schlüsseltransaktionen begrenzt werden.
  • Der Begriff „Verschlüsselungs-/Entschlüsselungseinheit“ kann ein Verschlüsselungs-/ Entschlüsselungssystem bezeichnen, das auf einer oder mehreren standardisierten virtuellen Maschinen untergebracht sein kann. Jede Verschlüsselungs-1 Entschlüsselungseinheit einer Anordnung von Verschlüsselungs-/ Entschlüsselungseinheiten kann für eine Verschlüsselung der neuen Dateien und die Generierung des jeweiligen Schlüssels sowie die Entschlüsselung mit einem bereits vorhandenen Schlüssel instrumentell sein. Die Verschlüsselungs-/ Entschlüsselungseinheiten können mit der Schnittstelle des Schlüsseltresorsystems in Datenaustausch stehen, um eingehende Anforderungen zu bearbeiten, mit dem Zugriffs-Governor, um Anforderungen zu überprüfen, und mit dem Schlüsselspeicher, um Schlüssel zu speichern und abzurufen. Die Verschlüsselungs-/Entschlüsselungseinheiten können mit der erforderlichen Software und Hardware ausgestattet sein, um die Verschlüsselungs-/Entschlüsselungsvorgänge zu unterstützen, und können bereits vorhandene, im Handel erhältliche und Open-Source-Produkte verwenden.
  • Ein flaches zugehöriges Verschlüsselungs-/Entschlüsselungs-Verwaltungssystem kann sicherstellen, dass eine konfigurierbare Anzahl von Verschlüsselungs-/Entschlüsselungseinheiten bereit ist, eingehende Anforderungen durch Skalieren der Anzahl von VMs (virtuellen Maschinen) je nach Bedarf zu bearbeiten, wobei Ressourcen freigegeben werden, wenn sich das System im Leerlauf befindet. Das Verschlüsselungs-/Entschlüsselungs-Verwaltungssystem kann Verschlüsselungs-/Entschlüsselungseinheiten nach einer konfigurierbaren Menge von Verschlüsselungs-/Entschlüsselungsanforderungen verwerfen oder zurücksetzen, um eine unbeabsichtigte Kontamination durch Informationsreste aufgrund von Informations-/Speicherlecks in der Verschlüsselungs-Software/-Hardware zu vermeiden, während des Weiteren die Auswirkung einer genutzten Verschlüsselungs-/Entschlüsselungseinheit auf das Maximum der kürzlichen Prozesse seit dem letzten Neustart verringert wird.
  • Der Begriff „Datencontainer“ kann eine logische Speichereinheit bezeichnen, z.B. eine Datei, die angepasst ist, um verschiedene Arten von Daten auf sichere Art und Weise zu speichern. Hier kann der Datencontainer zu speichernde Daten sowie eine Vertraulichkeitseinstufung der Daten aufweisen. Die Daten und die dazugehörige Vertraulichkeitseinstufung können in dem Datencontainer verschlüsselt sein.
  • Das vorgeschlagene Verfahren zum Speichern von Daten in einer Cloud-Umgebung kann eine Reihe von Vorteilen bieten:
    • Die gespeicherten Daten sind in Ruhestellung geschützt, d.h. die Daten sind gesichert, wenn sie in dem Cloud-Speichersystem gespeichert sind, aber auch, wenn sie sich in Bewegung befinden. „in Bewegung“ kann heißen, dass die Daten aus der Zugriffsschnittstelle des Cloud-Speichers in ein Speichersystem oder von einem Speichersystem in ein anderes Speichersystem übertragen werden können. Dies kann auch zutreffen, wenn die Daten aus einer Cloud-Zone in eine andere verschoben werden.
  • Ein weiterer Vorteil kann in der Tatsache erkennt werden, dass die Daten gemäß einer Vertraulichkeitseinstufung gespeichert werden. Dies kann Benutzer dazu anregen, sich über die Wichtigkeit ihrer Daten Gedanken zu machen, bevor sie sie in eine Cloud-Speicherumgebung senden. Verschiedene Vertraulichkeitseinstufungen können verschiedene Preispunkte für den Speicherdienst haben. Somit kann ein Kompromiss zwischen Sicherheit und monetären Argumenten geschlossen werden. Daten können einen zugehörigen Wert in einem Unternehmenskontext erhalten.
  • Unter demselben Token kann verhindert werden, dass gespeicherte Daten in eine Cloud-Zone mit einer niedrigeren Vertraulichkeitseinstufung als die Daten selbst verlagert werden. Und es kann sichergestellt werden, dass die Daten gemäß Datengovernance-Regeln behandelt werden.
  • Durch die Verwendung des Schlüsseltresorsystems kann auch garantiert werden, dass Daten, die möglicherweise durchgesickert sind, gestohlen oder in einen unsicheren Speicherort verlagert wurden, zwangsweise unbrauchbar gemacht werden können.
  • Nicht zuletzt können die gespeicherten Daten einer rückwirkenden Verlagerung, einer erneuten Verschlüsselung und einem Widerruf von Zugriffsberechtigungen unterzogen werden.
  • Sämtliche dieser Vorteile können auf der Tatsache beruhen, dass seitens des Clients keine Aktivität für die sichere Speicherung der Daten in einer Cloud-Umgebung erforderlich sein kann. Außerdem kann auf der Client-Seite keine Client-seitige Verschlüsselungsschlüssel-Verwaltung erforderlich sein. Gleichzeitig können die gespeicherten Daten und die Schlüsselverwaltung vollkommen voneinander getrennt werden.
  • Gemäß einer Ausführungsform des Verfahrens kann das Empfangen der Speicheranforderung auch ein Genehmigen der Sicherheitsschicht aufweisen, insbesondere von der zugreifenden Client-Seite. Dies kann sicherstellen, dass eine vertrauenswürdige Datenübertragung zwischen dem Client und der Sicherheitsschicht über die Zugriffsschnittstelle des Cloud-Speichers aufgebaut werden kann. Eine nicht genehmigte Sicherheitsschicht kann keine zu speichernden Daten empfangen.
  • Gemäß einer zugehörigen Ausführungsform des Verfahrens kann ein Empfangen der Speicheranforderung ein Genehmigen eines Absenders der Anforderung, insbesondere des Clients, durch die Sicherheitsschicht aufweisen. Dies kann sicherstellen, dass der Anforderer und der Empfänger der Datenübertragung einander hinsichtlich der Sicherheit vertrauen können.
  • Gemäß einer weiteren Ausführungsform des Verfahrens können Nachrichten verschlüsselt werden, die zwischen der Sicherheitsschicht und dem Schlüsseltresorsystem gesendet werden. Dieser Aspekt erhöht ebenfalls die Sicherheit und Vertrauenswürdigkeit der öffentlichen/privaten Schlüsseltechniken von asymmetrischen Protokollen oder symmetrischen Protokollen des gesamten Systems, die instrumentell sein können. Die hin und her geschickten Nachrichten können die zu speichernden Daten aufweisen. Daher können sie verschlüsselt werden.
  • Gemäß einer erweiterten Ausführungsform des Verfahrens können von der Sicherheitsschicht versendbare und/oder von dieser empfangbare Nachrichten, insbesondere zu/von einer externen Quelle, d.h. dem Client, verschlüsselt werden. Diese Funktion erhöht des Weiteren die Sicherheitsebene des gesamten Systems. Somit können auch diese Nachrichten mit den in der Cloud-Umgebung zu speichernden Daten auf dem Weg vom Client-System zu der Sicherheitsschicht über die Zugriffsschnittstelle des Cloud-Speichers verschlüsselt werden.
  • Eine Ausführungsform des Verfahrens kann ein Validieren durch das Schlüsseltresorsystem aufweisen, dass die Speicheranforderung - des Clients - mit den konfigurierbaren Richtlinien konform ist. Derartige Richtlinien können durch den Zugriffs-Governor des Schlüsseltresorsystems validiert werden. Die Richtlinien können Regeln dazu aufweisen, welcher Benutzer was, wie viel, in welchen Zeiträumen, mit welchem Inhalt usw. speichern darf. Dies kann durch Validieren erreicht werden - insbesondere durch das Schlüsseltresorsystem - dass die Sicherheitsschicht für eine Datenübertragung vertrauenswürdig ist, und dass ein Übertragungskanal zwischen der Sicherheitsschicht und dem Schlüsseltresorsystem durch eine Verschlüsselung auf Zertifikatsgrundlage geschützt wird. Im Fall einer positiven Validierung kann ein Übertragungsticket erstellt werden, das die Autorisierung - insbesondere vom Absender der Anforderung - aufweist, Informationen über den Speicher-Anforderer anzufordern. Dies können Informationen über den Ursprung (den Anforderer) der Speicheranforderung sein. Außerdem können Metadaten über die zu speichernden Daten sowie eine Signatur der Sicherheitsschicht und eine Ablaufzeit für die Speicheranforderung angefordert werden.
  • Danach kann das Übertragungsticket signiert werden - insbesondere von dem Zugriffs-Governor - bevor das Übertragungsticket an die Sicherheitsschicht zurückgeschickt wird.
  • Gemäß einer sogar noch stärker erweiterten Ausführungsform kann das Verfahren nach dem Empfangen des Übertragungstickets durch die Sicherheitsschicht vom Schlüsseltresorsystem, insbesondere von dem Zugriffs-Governor, ein Validieren der Signatur des Schlüsseltresors sowie der eigenen Signatur - insbesondere als Teil des Übertragungstickets und im Fall eines positiven Ergebnisses - vor der Anforderung zur Verschlüsselung der zu speichernden Daten aufweisen.
  • Die Anforderung zur Verschlüsselung der Daten kann das Übertragungsticket und die zu speichernden Daten aufweisen. Die Verschlüsselung kann durch eine Verschlüsselungseinheit ausgeführt werden, die Teil des Schlüsseltresorsystems sein kann.
  • Eine weitere Ausführungsform des Verfahrens kann ferner aufweisen
    • - nach Empfangen der Validierung des Übertragungstickets durch das Schlüsseltresorsystem, d.h. die Verschlüsselung/Entschlüsselung des Schlüsseltresorsystems - ein Validieren der Signatur des Übertragungstickets und der Ablaufzeit der Speicheranforderung und ein Validieren, ob die Signatur der Sicherheitsschicht, die in das Übertragungsticket eingebettet ist, der Verschlüsselung eines Dateiinhalts der zu speichernden Daten entsprechen kann. Des Weiteren kann diese Ausführungsform ein Validieren aufweisen, ob die Dateikennung der zu speichernden Daten mit der tatsächlichen zu übertragenden Datei übereinstimmen kann. Diese Funktion kann die Sicherheit des gesamten Systems wesentlich erhöhen.
  • Eine weitere Ausführungsform des Verfahrens kann ein Extrahieren von Daten aus dem Cloud-Speicher aufweisen, indem durch das Schlüsseltresorsystem bestimmt wird, dass der Anforderer gemäß der Vertraulichkeitseinstufung der Daten ein vertrauenswürdiges Ziel ist. Somit können gespeicherte Daten nicht an einen unbekannten Anforderer zurück übermittelt werden.
  • Gemäß einer vorteilhaften Ausführungsform des Verfahrens können gespeicherte Daten von einer ersten Cloud-Zone in eine zweite Cloud-Zone übertragen werden, z.B. von einer privaten in eine öffentliche Cloud-Umgebung oder von einem Cloud-Speicher in einem Land, z.B. Deutschland, in ein anderes Land, z.B. die Vereinigten Staaten. Dies kann durch Validieren erreicht werden, dass die Vertraulichkeitseinstufung der zweiten Cloud-Zone mit der Vertrauensebene entsprechend übereinstimmt, und durch Ablehnen der Übertragung von gespeicherten Daten von der ersten Cloud-Zone in die zweite Cloud-Zone. Dieser Mechanismus kann garantieren, dass Daten mit einer bestimmten Vertraulichkeitseinstufung nicht in einer Cloud-Zone gespeichert werden können, die nicht die erforderliche Vertrauenswürdigkeit besitzt.
  • Gemäß einer weiteren vorteilhaften Ausführungsform des Verfahrens kann die Vertraulichkeitseinstufung auf Grundlage des Inhalts der zu speichernden Daten bestimmt werden. Diese Bestimmung kann durch das Schlüsseltresorsystem ausgeführt werden. Dies hat den Vorteil, dass eine automatische Bestimmung der Vertraulichkeitseinstufung erfolgen kann. Eine manuelle Interaktion kann nicht erforderlich sein.
  • Ferner können Ausführungsformen die Form eines Computerprogrammprodukts annehmen, auf das von einem computerverwendbaren oder computerlesbaren Medium aus zugegriffen werden kann, das Programmcode zur Verwendung durch oder in Verbindung mit einem Computer oder irgendeinem Anweisungsausführungssystem bereitstellt. Zum Zweck dieser Beschreibung kann ein computerverwendbares oder computerlesbares Medium jede Vorrichtung sein, die Mittel zum Speichern, Übertragen, Verbreiten oder Transportieren des Programms zur Verwendung durch oder in einer Verbindung mit dem System, der Vorrichtung oder Einheit zur Anweisungsausführung enthalten kann.
  • Das Medium kann ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleitersystem für ein Verbreitungsmedium sein. Zu Beispielen für ein computerlesbares Medium können ein Halbleiter- oder Solid-State-Speicher, ein Magnetband, eine austauschbare Computerdiskette, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), eine Magnetplatte und eine optische Platte zählen. Zu aktuellen Beispielen für optische Platten zählen ein CD-ROM, eine CD-R/W, eine DVD und Blu-Ray-Disk.
  • Es ist ebenfalls anzumerken, dass Ausführungsformen der Erfindung unter Bezugnahme auf verschiedene Erfindungsgegenstände beschrieben wurden. Insbesondere wurden einige Ausführungsformen unter Bezugnahme auf Verfahrenstyp-Ansprüche beschrieben, wogegen andere Ausführungsformen unter Bezugnahme auf Vorrichtungstyp-Ansprüche beschrieben wurden. Ein Fachmann wird aus der obigen und folgenden Beschreibung jedoch schließen, sofern nichts anderes angegeben ist, dass zusätzlich zu jeder Kombination von Merkmalen, die zu einem Typ des Erfindungsgegenstands gehören, auch jede Kombination von Merkmalen, die sich auf verschiedene Erfindungsgegenstände beziehen, insbesondere auf Merkmale der Verfahrenstyp-Ansprüche und Merkmale der Vorrichtungstyp-Ansprüche, als in diesem Dokument offenbart zu betrachten ist.
  • Die oben definierten Aspekte und weitere Aspekte der vorliegenden Erfindung werden aus den Beispielen von Ausführungsformen offenkundig, die hierin im Folgenden zu beschreiben sind und unter Bezugnahme auf die Beispiele von Ausführungsformen erklärt werden, auf die die Erfindung aber nicht beschränkt ist.
  • Figurenliste
  • Bevorzugte Ausführungsformen der Erfindung werden nachstehend allein zu Beispielzwecken und unter Bezugnahme auf die folgenden Zeichnungen beschrieben:
    • 1 zeigt ein Blockschaubild einer Ausführungsform des erfinderischen Verfahrens.
    • 2 zeigt ein Blockschaubild einer Ausführungsform zum Speichern einer neuen Datei.
    • 3 zeigt ein Blockschaubild einer Ausführungsform einer eingehenden Verschlüsselungsanforderung.
    • 4 zeigt ein Blockschaubild einer Ausführungsform für eine Anforderung einer Datei aus der Cloud-Umgebung.
    • 5 zeigt ein Blockschaubild einer Ausführungsform für eine Übertragungsanforderung einer Datei aus einer Cloud-Zone in eine andere.
    • 6 zeigt ein Blockschaubild einer Ausführungsform von Interaktionen zwischen der Zugriffsschnittstelle des Cloud-Speichers und dem Schlüsseltresorsystem.
    • 7 zeigt ein Blockschaubild des erfinderischen Speichersubsystems.
    • 8 zeigt eine Ausführungsform eines Datenverarbeitungssystems, das das Speichersubsystem oder Teile davon aufweist.
    • 9 zeigt den umgesetzten Sicherheitsmechanismus Container-in-Container.
  • AUSFÜHRLICHE BESCHREIBUNG VON BEISPIELHAFTEN AUSFÜHRUNGSFORMEN
  • Im Folgenden werden die Figuren ausführlich beschrieben. Alle Anweisungen in den Figuren sind schematisch. Zunächst wird ein Blockschaubild einer Ausführungsform des erfinderischen Verfahrens zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, d.h. einer Cloud, angegeben. Anschließend werden weitere Ausführungsformen des Verfahrens und ein zugehöriges Speichersubsystem beschrieben.
  • 1 zeigt ein Blockschaubild einer Ausführungsform des Verfahrens 100 zum Speichern von Daten. Es können keine Einschränkungen der Art oder des Typs von Daten vorhanden sein, die gespeichert werden sollen. Die Daten können in einer Cloud-Umgebung auf Cloud-Speichersystemen gespeichert werden. Die Cloud-Umgebung, insbesondere eine private, öffentliche oder hybride Cloud-Umgebung, kann unterschiedliche Vertraulichkeitsebenen haben, kann eine Sicherheitsschicht zwischen einem Cloud-Speicher und einer Zugriffsschnittstelle des Cloud-Speichers aufweisen. Für einen Cloud-Speicherzugriff kann eine Anwendungsprogrammierschnittstelle (API) vorhanden sein.
  • Das Verfahren 100 kann ein physisches Trennen, 102, des Cloud-Speichers mit der Sicherheitsschicht von einem Schlüsseltresorsystem aufweisen, das - unter anderem - einen sicheren Schlüsselspeicher und eine Verschlüsselungs-/ Entschlüsselungseinheit aufweisen kann.
  • Das Verfahren 100 kann auch ein Empfangen, 104, einer Speicheranforderung zusammen mit in dem Cloud-Speicher zu speichernden Daten und zusammen mit einer Vertraulichkeitseinstufung aufweisen, d.h. einer Vertraulichkeitseinstufung für die Daten von einem Client-System. Die Speicheranforderung kann zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des Cloud-Speichers von der Sicherheitsschicht empfangen werden.
  • Die zu speichernden Daten und die Vertraulichkeitseinstufung können auf Anforderung der Sicherheitsschicht durch das Schlüsseltresorsystem in einem Datencontainer verschlüsselt werden, 106. Der Cloud-Speicher kann in Cloud-Zonen kategorisiert werden, 108. Jeder Cloud-Zone kann eine Vertrauensebene zugewiesen werden.
  • Anschließend kann der Datencontainer, der jetzt verschlüsselt sein kann, so in einer der Cloud-Zonen des Cloud-Speichers gespeichert werden, 110, dass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht. Jede Cloud-Zone kann eine entsprechende Vertrauensebene haben.
  • 2 zeigt ein Blockschaubild 200 einer Ausführungsform zum Speichern einer neuen Datei über die Zugriffsschnittstelle des Cloud-Speichers. Die neue Datei kann von der Zugriffsschnittstelle des Cloud-Speichers empfangen werden, 202. Es kann geprüft werden, 204, ob die Datei vorab verschlüsselt sein kann. Falls „nein“, kann die Vertraulichkeitseinstufung der Datei in Zusammenhang mit einem Klassifizierungsdienstleiner Klassifizierungsdatenbank 208 bestimmt werden, 206. Die Vertraulichkeitseinstufung kann drei getrennte Einstufungen haben: hoch, mittel, niedrig. Andere zusätzliche Vertraulichkeitseinstufungen können jedoch verfügbar sein. Nach einer Prüfung der Vertraulichkeitseinstufung, 210, kann eine niedrige Vertraulichkeitseinstufung zugewiesen werden, 212; im Fall von „mittel“ kann eine mittlere Vertraulichkeitseinstufung zugewiesen werden, 214; und im Fall von „hoch“ kann eine hohe Vertraulichkeitseinstufung zugewiesen werden, 216.
  • Als Nächstes, 218, kann bestimmt werden, ob ein Cloud-Speicherpool mit einer zugehörigen Vertrauensebene verfügbar sein kann, die mit der Vertraulichkeitseinstufung kompatibel ist. Nach einer Prüfung, 220, ob ein derartiger Cloud-Pool verfügbar ist, und einer Bestimmung, dass er nicht verfügbar ist, kann die Speicheranforderung abgelehnt werden, 222, und ein Fehlerbericht kann generiert werden.
  • Falls ein Cloud-Pool verfügbar sein kann, kann die Datei an den Cloud-Speicherpool weitergeleitet werden, 224. Die Datei kann durch das zugewiesene Schlüsseltresorsystem verschlüsselt werden, 226. Danach kann geprüft werden, ob die Datei verschlüsselt werden kann, 228. Falls „ja“, kann die Datei gespeichert werden, 230, und ein Speicherungserfolg kann gemeldet werden. Falls „nein“, kann die Speicheranforderung abgelehnt werden, 222, und der Fehler kann gemeldet werden.
  • 3 zeigt ein Blockschaubild 300 einer Ausführungsform einer eingehenden Verschlüsselungsanforderung.
  • Die eingehende Verschlüsselungsanforderung kann empfangen werden, 302. Es kann geprüft werden, 304, ob die Sicherheitsschicht autorisiert sein kann. Falls „nein“, kann die Verschlüsselungsanforderung abgelehnt werden, 306.
  • Falls „ja“, kann geprüft werden, 308, ob der Anforderer autorisiert sein kann. Falls „nein“, kann die Datei verschlüsselt werden, 310, der Schlüssel kann in dem Schlüsseltresorsystem gespeichert werden, 312, der Anforderer kann ignoriert werden, 314, und für das Sicherheitspersonal aufgezeichnet werden. Das Sicherheitspersonal kann ein den Vorfall betreffendes Signal empfangen, 316, und der Vorfall kann an die Sicherheitsschicht gemeldet werden, 318.
  • Für den Fall, dass die Anforderung autorisiert sein kann, 308, kann die Datei verschlüsselt werden, 320, der Schlüssel kann in dem Schlüsseltresorsystem gespeichert werden, 322, die Autorisierung der Anforderung kann aufgezeichnet werden, 324, und eine Erfolgsmeldung kann an die Sicherheitsschicht gesendet werden, 326. Danach kann die eingehende Verschlüsselungsanforderung abgeschlossen werden, 328.
  • 4 zeigt ein Blockschaubild 400 einer Ausführungsform für eine Anforderung einer Datei aus der Cloud-Umgebung. Eine Anforderung für eine neue Datei kann empfangen werden, 402. Es kann geprüft werden, 404, ob der Anforderer authentifiziert sein kann. Falls „nein“, kann die Anforderung abgelehnt werden, 406. Falls „ja“, kann geprüft werden, 408, ob der Anforderer für diese Datei autorisiert sein kann. Falls „ja“, kann geprüft werden, 410, ob die Datei an eine autorisierte Zieladresse übermittelt werden soll. Danach kann der verschlüsselte Datencontainer abgerufen werden, 412. Eine Entschlüsselungsanforderung kann an das Schlüsseltresorsystem mit dem verschlüsselten Datencontainer und den Informationen über den Anforderer gesendet werden, 414.
  • Es kann geprüft werden, 416, ob die entschlüsselte Datei von dem Schlüsseltresorsystem empfangen worden sein kann. Falls „ja“, kann die Datei in entschlüsselter Form an den Anforderer übermittelt werden, 418. Falls „nein“, kann die Anforderung abgelehnt werden, 406. - Falls „nein“, kann die Anforderung auch bei den Prüfungen 408 und 410 abgelehnt werden, 406.
  • 5 zeigt ein Blockschaubild 500 einer Ausführungsform für eine Übertragungsanforderung einer Datei von einer Cloud-Zone in eine andere Cloud-Zone. Wenn die neue Übertragungsanforderung empfangen werden kann, 502, kann geprüft werden, 504, ob die Anforderung autorisiert werden kann. Falls „nein“, kann die Anforderung abgelehnt werden, 506.
  • Falls „ja“, kann geprüft werden, 508, ob der Anforderer autorisiert sein kann. Falls „nein“, kann die Anforderung abgelehnt werden, 506. Falls „ja“, kann ein neuer Verschlüsselungsschlüssel generiert werden, 510, eine Kopie der Datei kann mit dem neuen Verschlüsselungsschlüssel verschlüsselt werden, 512, und die Datei kann zu der neuen Zieladresse übertragen werden, 514. Es kann geprüft werden, 516, ob die Zieladresse die Entschlüsselungsrechte übernehmen kann. Falls „ja“, kann der neue Verschlüsselungsschlüssel zu dem neuen Adressziel übertragen werden, 518. Falls „nein“, können die Entschlüsselungsrechte für das Adressziel aufgezeichnet werden, 519.
  • Danach kann geprüft werden, 520, ob die Datei zu dem neuen Speicherplatz/Adressziel „verschoben“ oder „kopiert“ worden sein kann. Falls „kopiert“, kann ein Erfolgsbericht generiert werden, 530. Falls „verschoben“, kann für den Bestimmungsschritt 520 bestimmt werden, 522, ob die ursprüngliche Datei beibehalten oder archiviert werden soll. Falls „nein“, können der alte Verschlüsselungsschlüssel und die alte Datei gelöscht werden, 524. Andernfalls (falls „ja“) können der alte Verschlüsselungsschlüssel und die alte Datei archiviert werden, 526. Anschließend kann der Erfolg gemeldet werden, 530.
  • 6 zeigt ein Blockschaubild 600 einer Ausführungsform von Interaktionen zwischen der Zugriffsschnittstelle des Cloud-Speichers, einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers 602 oder einfach einer Cloud-API 602, und dem Schlüsseltresorsystem 604. Anforderungen können empfangen und/oder Ergebnisse an einen Client 606 zurückgesendet werden, der auch der Absender 606 einer Speicheranforderung ist. Die Daten, oder insbesondere ein Datencontainer 608 können in einer vernetzten Cloud-Umgebung 610 oder mit anderen Worten einer gemeinsam genutzten vernetzten Umgebung 610 gespeichert werden. Die Sicherheitsschicht 612 kann Teil eines Firewall-Systems sein.
  • Das Schlüsseltresorsystem 604 kann den Zugriff-Governor eines Zugriffsrichtlinien-Governors 614, einen Schlüsselspeicher 616 und eine Verschlüsselungs-/ Entschlüsselungsschnittstelle 618 aufweisen, die mit einem Verschlüsselungs-/ Entschlüsselungs-Cluster von Verschlüsselungs-/Entschlüsselungseinheiten 620 verbunden ist. Der Schlüsselspeicher 616 kann einen Schlüssel von dem Verschlüsselungs-/Entschlüsselungs-Cluster 620 anfordern, 624, das auch Datenschlüssel auf Anforderung 622 des Zugriff-Governors 614 validieren kann.
  • Die Cloud-API 604 kann für eine Authentifizierung und Autorisierung des Clients oder Anforderers 606 zuständig sein.
  • Das Schlüsseltresorsystem 604 und seine Funktionalität können im Folgenden im Kontext des Schlüsseltresorsystems 604 und zusammen mit den folgenden Interaktionen und Aktivitäten mit der Sicherheitsschicht 612 beschrieben werden:
  • Erste Sicherheitsprüfungen
  • Ein Hochladen einer neuen Datei kann von der externen Schnittstelle der Cloud-Zone, der Cloud-API 602, empfangen werden, die nach einem erfolgreichen Authentifizieren des Clients 606 im Folgenden versuchen wird, die Datei in dem Datenspeicherbereich zu speichern. Dazu kann sie eine Anforderung, die die Datei selbst, die Authentifizierungsinformationen (z.B. eine Benutzer-ID) und Client-Informationen (Datum/Uhrzeit der Anforderung, Quellen-IP- [Internet Protocol] Adresse, Client-Typ/Produkt/Versionsnummer) enthält, an den Datenspeicherbereich senden.
  • Diese eingehende Anforderung wird transparent durch die Sicherheitsschicht 612 erfasst, die den Datenstrom auf Anforderungsströme überwacht, die einer Transaktion zum „Hochladen einer Datei“ entsprechen. Die Sicherheitsschicht kann überprüfen, ob der Datenstrom durch Verwendung eines verschlüsselten Übertragungskanals mit einem vertrauenswürdigen Zertifikat geschützt ist.
  • Ist dies nicht der Fall, wird die Übertragung abgelehnt.
  • Wenn die Übertragung einwandfrei geschützt ist, handelt die Sicherheitsschicht 612 ähnlich wie ein Proxy und akzeptiert den Datenstrom der externen Schnittstelle, ohne ihn an ein Datenspeichersystem weiterzuleiten. Wenn die Kopfdaten des Datenstroms mit der Authentifizierung, den Client- und allgemeinen Dateiinformationen empfangen worden sind, werden die eingehenden Dateidaten weiterhin gepuffert, während parallel dazu fortgefahren wird, die Anforderung mit dem Schlüsseltresorsystem 604 zu validieren.
  • Preflight-Validierung durch den Schlüsseltresor
  • Dazu erstellt die Sicherheitsschicht 612 eine sichere Verbindung zu einer Schnittstelle des Schlüsseltresorsystems 604 und sendet eine Anforderung, um sie validieren zu lassen, wenn der Client 606 diese Art von Datei gemäß den vom Zugriff-Governor 614 konfigurierten Richtlinien hochladen darf. Die Sicherheitsschicht 612 stellt alle der bisher empfangenen Anforderungsinformationen ohne die tatsächlichen Dateiinhalte bereit und wartet auf die Antwort des Schlüsseltresorsystems. Wenn das Schlüsseltresorsystem 604 nicht innerhalb eines vordefinierten Zeitraums, z.B. 5 Sekunden, antwortet, bricht ein Zeitüberschreitungssignal die Anforderung ab und lehnt den Hochladeversuch der externen Schnittstelle ab.
  • Während des Empfangs der Validierungsanforderung der Sicherheitsschicht 612 validiert die Schnittstelle des Schlüsseltresorsystems 604, ob die Sicherheitsschicht 612 für einen Datenaustausch vertrauenswürdig ist, und ob der Übertragungskanal mit einer Verschlüsselung auf Zertifikatsgrundlage geschützt ist. Falls eines der beiden Kriterien nicht erfüllt wird, wird die Übertragung abgelehnt. Wenn die Übertragung akzeptiert wird, erstellt die Schnittstelle des Schlüsseltresorsystems 604 eine sichere Verbindung mit dem Zugriff-Governor 614 und leitet die empfangene Anforderung zur Validierung weiter.
  • Der Zugriff-Governor 614 prüft im Folgenden, ob der Client 606 allgemein die Cloud-Zone zum Hochladen von Dateien verwenden darf, sowohl hinsichtlich der authentifizierten Benutzer-ID zum Blacklisting im Zugriff-Governor 614 als auch der Quellen-IP-Adresse zur Reputation. Dies kann unter Verwendung von herkömmlichem Black-/Whitelisting sowie im Handel erhältlichen IP-Reputationsprodukten erfolgen, wie beispielsweise SCA SDK von IBM, die ein Ablehnen eines Zugriffs von IPs ermöglichen, die als bösartig kategorisiert, aber nicht durch einen anonymen Proxy gesteuert oder verwendet wurden.
  • Der Zugriff-Governor 614 prüft ferner, ob innerhalb eines kürzlichen Zeitraums, wie beispielsweise den letzten 24 Stunden, weitere Anforderungen von diesem Benutzer getätigt wurden, die ein anomales Verhalten zeigen, wie beispielsweise massives Hochladen/Herunterladen, wiederholte abgelehnte Anforderungen, ständiges Wechseln von IP-Adressen oder fragwürdige Client-Details. Dies kann entweder durch den Zugriff-Governor 614 direkt oder durch Schnittstellenbildung mit im Handel erhältlichen Produkten erfolgen wie beispielsweise IBM QRadar Anomaly Detection. Anomale Anforderungen können durch den Zugriff-Governor 614 abgelehnt werden, und ein Sicherheitsvorfallbericht wird für das zuständige Sicherheitspersonal generiert.
  • Wenn eine Anforderung als akzeptabel erachtet wird, erstellt der Zugriff-Governor 614 ein Übertragungsticket. Dieses Übertragungsticket kann die Authentifizierung, die bereitgestellten Client- und Dateiinformationen, die Signatur der Sicherheitsschicht 612, die die Anforderung stellt, und eine Ablaufzeit für die Anforderung enthalten, die von der gemeldeten Dateigröße abhängt (z.B. 5 Min./250 MB Dateigröße, eine Datei von 1 GB würde also eine Ablaufzeit von 20 Minuten haben). Das Übertragungsticket kann anschließend vom Zugriff-Governor 614 signiert und an die Sicherheitsschicht 612 zurückgegeben werden.
  • Ausführen der Verschlüsselung
  • Nach Empfang des Übertragungstickets validiert die Sicherheitsschicht 612 sowohl die Signatur des Zugriff-Governors 614 als auch seine eigene eingebettete Signatur. Wenn beide Prüfungen in Ordnung sind, wird eine Verschlüsselungsanfrage an die Schnittstelle des Schlüsseltresorsystems 604 gestartet, die aus dem Übertragungsticket und allen Daten für die gerade übertragene Datei besteht, die bisher bereits gepuffert worden sind. Zum Sicherstellen der Übertragungssicherheit verschlüsselt die Sicherheitsschicht 612 die Dateidaten mit dem öffentlichen Schlüssel, der durch die Verschlüsselungs-/Entschlüsselungseinheiten 620 des Schlüsseltresorsystems 604 verwendet wird. Dies kann sicherstellen, dass nur die Verschlüsselungs-/Entschlüsselungseinheiten 620 die Datei in ihrer ursprünglichen Version in dem Schlüsseltresorsystem 604 lesen können, wodurch Einbrüche in die anderen Schlüsseltresorsysteme für einen Angreifer weniger wertvoll gemacht werden.
  • Wie vorher prüft die Schnittstelle des Schlüsseltresorsystems 604 die Sicherheit der eingehenden Verbindung und leitet die Anforderung danach an die Verschlüsselungs-/Entschlüsselungseinheiten 620 weiter. Eine der Verschlüsselungs-/Entschlüsselungseinheiten 620 nimmt die eingehende Anforderung in einem Umlaufverfahren auf. Die zugehörige Verschlüsselungs-/ Entschlüsselungsverwaltung stellt sicher, dass immer eine inaktive Verschlüsselungs-/Entschlüsselungseinheit 620 verfügbar ist.
  • Die Verschlüsselungs-/Entschlüsselungseinheit 620, die die eingehende Anforderung empfängt, überprüft die Signatur des Übertragungstickets und die Ablaufzeit. Sie kann auch überprüfen, ob die Verschlüsselung auf dem Dateiinhalt mit der in das Ticket eingebetteten Signatur der Sicherheitsschicht 612 übereinstimmen kann. Ferner überprüft sie, ob die Dateiidentifizierung mit der tatsächlichen Datei übereinstimmen kann, die übertragen wird. Falls eine dieser Prüfungen nicht erfolgreich ist, kann die Anforderung abgelehnt werden, und ein Sicherheitsvorfallbericht kann generiert werden.
  • Abschließende Verschlüsselung und Inhaltsprüfung
  • Sind alle Prüfungen erfolgreich, generiert die Verschlüsselungs-1 Entschlüsselungseinheit 620 einen neuen Schlüssel, der abschließend für die gespeicherte Datei verwendet werden soll. Danach beginnt sie mit dem Entschlüsseln der Datei unter Verwendung des gemeinsam genutzten privaten Verschlüsselungs-/Entschlüsselungsschlüssels. Während der Prozess ausgeführt wird, führt die Verschlüsselungs-/Entschlüsselungseinheit 620 eine Inhaltsklassifizierung an den entschlüsselten Daten aus. Dieser Prozess wird mehrmals ausgeführt, während die Daten entschlüsselt werden, bis entweder alle Daten gescannt worden sind oder die Datei bereits als mit der höchsten Vertraulichkeit klassifiziert worden ist. Zu diesem Zweck kann die Verschlüsselungs-1 Entschlüsselungseinheit 620 mehrere Technologien einsetzen, wie beispielsweise einfachen Musterabgleich, Bayes-Klassifizierung oder Heuristik. Die Verschlüsselungs-/Entschlüsselungseinheiten 620 können eine zentrale Datenbank für Signaturen, Muster und/oder Heuristik gemeinsam nutzen, um sicherzustellen, dass alle Einheiten über dieselbe synchrone Gruppe von Klassifizierungskriterien verfügen.
  • Auf Grundlage der Klassifizierung wird die Datei hinsichtlich der Vertraulichkeit auf einer Skala von 0 bis 1 eingestuft, wobei 0 nichtvertrauliche und 1 höchst vertrauliche Informationen sind. Nach dem Festlegen der Vertraulichkeitseinstufung prüft die Verschlüsselungs-/Entschlüsselungseinheit 620, ob die Cloud-Zone ein gültiges Ziel für diese Vertraulichkeitseinstufung ist. Dies kann entweder lokal auf der Verschlüsselungs-/Entschlüsselungseinheit 620 oder durch Abfragen des Zugriff-Governors 614 auf die aktuelle Klassifizierungsrichtlinie erfolgen.
  • Wenn die Vertrauenswürdigkeit der aktuellen Cloud-Zone für diese zu speichernde Datei zu niedrig ist, fordert die Verschlüsselungs-/Entschlüsselungseinheit 620 den Zugriff-Governor 614 auf zu prüfen, ob andere Cloud-Zonen mit höherer Vertrauenswürdigkeit dafür registriert worden sind. Ist dies der Fall, aktualisiert der Zugriffs-Governor 614 das Übertragungsticket mit der Sicherheitsschicht 612 der sichereren Cloud-Zone als Ziel und meldet dies an die Verschlüsselungs-/ Entschlüsselungseinheit 620 zurück. Wenn keine geeignete Cloud-Zone bestimmt werden kann, wird die Anforderung sofort abgebrochen.
  • Während die Datei entschlüsselt wird, wird sie ebenfalls mit dem generierten eindeutigen Schlüssel sofort erneut verschlüsselt. Der verschlüsselte Datenstrom wird in einen Container eingebettet, der mit der Signatur der Verschlüsselungs-/ Entschlüsselungseinheit 620 signiert ist, die die Kennung der Datei, die Inhaltsklassifizierung der Datei zusammen mit dem Datenstrom enthält. Wenn bereits eine endgültige Entscheidung zur Vertraulichkeit getroffen worden ist und auch die endgültige Zieladresse bestimmt worden ist, stellt die Verschlüsselungs-/ Entschlüsselungseinheit 620 eine Verbindung mit der zuständigen Sicherheitsschicht 612 her und sendet eine Speicheranforderung mit der Kennung der Datei und dem erneut verschlüsselten Datenstrom zum Speichern auf dem jeweilige Datenspeicherbereich. Des Weiteren leitet die Verschlüsselungs-/ Entschlüsselungseinheit 620 die Dateikennung und den dazugehörigen Verschlüsselungsschlüssel an den Schlüsselspeicher 616 zur sicheren Aufbewahrung weiter.
  • Der Speicherbereich validiert, ob für das Übertragungsticket des eingehenden Datenstroms die Signatur der Sicherheitsschicht 612 für die aktuelle Cloud-Zone eingebettet ist und speichert den Datenstrom anschließend.
  • Wenn die Übertragung abgeschlossen ist, benachrichtigt die Verschlüsselungs-/ Entschlüsselungseinheit 620 die Sicherheitsschicht 612, von der sie die Datei zu Beginn empfangen hat, dass die Übertragung erfolgreich war. Wenn die Sicherheitsschicht 612 zum Speichern der Datei mit derjenigen identisch ist, die eine Verschlüsselung angefordert hat, wird nur Erfolg gemeldet. Wenn die Datei an eine andere Cloud-Zone weitergeleitet worden ist, meldet die Verschlüsselungs-1 Entschlüsselungseinheit 620 auch die Details der zuständigen Sicherheitsschicht 612 zurück. Diese Informationen können dann zum Beispiel verwendet werden, um den Benutzer über die Weiterleitung der Datei zu benachrichtigen.
  • Die Sicherheitsschicht 612 berichtet im Folgenden an die externe Schnittstelle der Cloud-Zone zurück. Die Datei wurde erfolgreich gespeichert.
  • Herunterladen einer vorhandenen Datei
  • Der Prozess ist der Verschlüsselung sehr ähnlich mit dem einen Unterschied, dass das Schlüsseltresorsystem 604 prüft, ob der anfordernde Client vertrauenswürdig ist, um einen bestimmte Datei abzurufen - bzw. mit anderen Worten, ob der Client ein vertrauenswürdiges Ziel für die (potenziell permanente) Speicherung einer vertraulichen Datei ist. Die Vertraulichkeit einer Datei wird aus dem Speichercontainer der Datei gelesen, die aus der Dateikennung, einer Vertraulichkeitseinstufung und der verschlüsselten Datei selbst besteht. Der Zugriff-Governor 614 validiert die Container-Signierung, um sicherzustellen, dass sich niemand an der Vertraulichkeitseinstufung oder der Datei seit ihrer Speicherung zu schaffen gemacht hat. Er verwendet dieselben Validierungsverfahren wie diejenigen, die beim Hochladen verwendet wurden, kann aber strengere Richtlinien verwenden (z.B. nur bekannte, auf der Whitelist befindliche Clientversionen zulassen, sämtliche negativen IP-Reputationskriterien sperren), da das Abrufen von Dateien potenziell gefährlicher als das Hochladen von neuen ist.
  • Außerdem wird die Übertragungsrichtung umgekehrt, wenn der Datenstrom aus dem Datenspeicherbereich in die Verschlüsselungs-/Entschlüsselungseinheit 620 in die Sicherheitsschicht 612 und aus der externen Schnittstelle der Cloud-Zone abgerufen wird.
  • Übertragung zwischen Cloud-Zonen
  • Dieser Prozess ist dem Herunterladen einer neuen Datei dadurch sehr ähnlich, dass die neue Cloud-Zone wie ein externer Client behandelt wird, der Zugriff auf eine oder mehrere Dateien anfordert. Der Hauptunterschied besteht darin, dass das Schlüsseltresorsystem 604 sich gegen eine Herausgabe eines Verschlüsselungsschlüssels einer Datei an das neue Ziel entscheiden kann. Diese Entscheidung kann auf Grundlage der Vertrauenswürdigkeit der neuen Cloud-Zone getroffen werden, d.h. konfiguriert oder ein Ergebnis einer Anomalie-Erkennung von Übertragungen von/zu der Cloud-Zone oder IP-Reputationsdaten sein.
  • Wenn das Schlüsseltresorsystem 614 den Verschlüsselungsschlüssel nicht herausgeben will, kann es die Übertragung entweder vollständig ablehnen oder eine Übertragung zulassen, aber den Schlüssel zurückhalten. Im letzteren Fall leitet die neue Cloud-Zone die gesamte Entschlüsselung für diese Datei an den Zugriff-Governor 614 der ursprünglichen Cloud-Zone weiter.
  • Diese Konfiguration kann nützlich sein, wenn mehrere Cloud-Zonen von unterschiedlicher Vertrauenswürdigkeit, z.B. unterschiedliche Dienstanbieter, Dienstgüte/Schichten, in großer Nähe vorhanden sind oder über einen Zugriff mit hoher Bandbreite verbunden sein können.
  • Zusätzliche Ausfallsicherheit gegen Angriffe
  • Das erfinderische Verfahren kann mit zusätzlichen Sicherheitsmechanismen ausgestattet sein, indem vorhandene handelsübliche Lösungen wie Trusted Platform Modules (TPM), die eine manipulationsgeschützte Speicherung von Schlüsseldaten sicherstellen, und UEFI (Unified Extensible Firmware Interface) Secure Boot für die Ausführung nur auf nichtmodifizierten Betriebssystemen eingesetzt werden.
  • Das erfinderische Verfahren kann die Verwendung dieser Technologien erzwingen, indem der Systemstart verweigert wird, es sei denn, eine TPM-Einheit ist verfügbar und das Betriebssystem wurde unter Verwendung von UEFI Secure Boot hochgefahren.
  • Ferner kann die Software, die auf irgendeiner der Komponenten ausgeführt wird, dafür ausgestattet sein, alle Binärprogramme auf gültige, vertrauenswürdige Signierung zu prüfen, und eine Ausführung zu verweigern, wenn die Signatur von irgendeiner der Komponenten nicht übereinstimmt, kompromittiert oder abgelaufen ist.
  • Außerdem kann das erfinderische Verfahren die eindeutigen Signaturen eines UEFI-Bootvorgangs beim Signieren von Transaktionen verwenden, z.B. für den Zugriff-Governor 614, die Verschlüsselungs-/Entschlüsselungseinheiten 620 des Schlüsseltresorsystems 604, wodurch sichergestellt wird, dass ein System entweder keine, eine nicht vertrauenswürdige oder nicht übereinstimmende Signatur aus einem Datenaustausch mit anderen Systemen hat. Letztendlich kann dies eine Kette von Überprüfungen auslösen, die von dem System-UEFI BIOS bis zum Betriebssystem reichen, das wiederum überprüfen kann, dass keine Komponenten auf dem System kompromittiert sind. Wenn ein Angreifer versuchen würde, eine Systemkomponenten zu ändern, könnte diese Manipulation durch strenge Signaturprüfungen erkannt werden.
  • Abhängig von der Bereitstellung können fortlaufende, zertifizierte Aktualisierungen ebenfalls als Sicherheitsmaßnahme genutzt werden. Indem die Gültigkeit von Zertifikaten kurz gehalten wird (z.B. nur einige Stunden) und die ständige erneute Bereitstellung von kleineren, aber zentralen Überprüfungskomponenten von einer vertrauenswürdigen Quelle erfordert (z.B. dem Anbieter), wäre selbst eine unterbrochene Manipulation nur für einige Stunden möglich - andernfalls würde sie durch die aktualisierte Komponente erkannt, oder die Komponenten würden aufhören zu arbeiten, da ihre Zertifizierung abgelaufen ist.
  • Für eine physische Sicherheit kann eine manipulationsgeschützte Hardware-Lösung entwickelt werden, die von der Außenseite abgeschottet ist - abgesehen von Luft, Energie und Datenübertragungsverbindungen - und vor Eindringversuchen schützen kann, z.B. durch Überwachen des Öffnens jeder der Serviceluken, Unterbrechungssensoren für die Außenhülle, um ein Bohren von Löchern zu erkennen, und eine aktive Geräuscherzeugung, um das Auslesen von Schlüsseln durch Messung von Spulenfiepen und Lüfterzyklen zu unterdrücken.
  • Wenn eine mögliche Sicherheitsverletzung erkannt worden wäre, würde die Erfindung sofort alle gespeicherten Schlüssel softwaremäßig zerstören und könnte sogar einen lokalen EMP-Generator oder ein anderes physisches Mittel einsetzen, z.B. kontrollierte Explosionen, um sicherzustellen, dass ein Angreifer wenig oder keine Möglichkeit hat, sich nützliche Informationen aus dem Einbruchsversuch zu verschaffen.
  • Für den Fall, dass eine zerstörerische Eindring-Abwehrmaßnahme eingesetzt werden kann, kann die Erfindung so erweitert werden, dass sie die Verwendung einer begrenzten Anzahl von universellen Entschlüsselungsschlüsseln pro Kunde ermöglicht, die an einem getrennten Ort gespeichert werden. Des Weiteren kann die Synchronisierung mit anderen vertrauenswürdigen Instanzen der Erfindung im Fall einer Notfallwiederherstellung verwendet werden, um sicherzustellen, dass Kunden weiterhin in der Lage sind, auf ihre Dateien zuzugreifen. Dies ist jedoch optional und kann nicht verwendet werden, wenn eine vollständige Unzugänglichkeit der Daten statt eines „Backup-Schlüssels“ vorzuziehen ist, der möglicherweise die Segmentierung von Daten umgehen könnte.
  • Verwendung von asymmetrischer im Vergleich zu symmetrischer Verschlüsselung
  • Das erfinderische Verfahren verwendet im Wesentlichen eine asymmetrische Verschlüsselung auf Zertifikatsgrundlage für alle Datenübertragungen, um sicherzustellen, dass alle Transaktionen geschützt sind. Dies kann jedoch abhängig von der verfügbaren Leistung die Verarbeitung von Dateien etwas verlangsamen. Eine derartige Situation kann durch technologischen Fortschritt abgeschwächt werden, da CPU-Zyklen immer kostengünstiger werden, sich aber immer noch summieren und für die nahe Zukunft zu einer Einschränkung werden können.
  • Wenn dies der Fall ist, kann die Erfindung die Anforderung von asymmetrischer Verschlüsselung lockern und mit einer symmetrischen Verschlüsselung arbeiten, wenn eine Transaktion für eine Datei erstellt worden ist.
  • Des Weiteren kann die Erfindung Datenübertragungen zwischen den Komponenten im Allgemeinen schützen, indem eine symmetrische Verschlüsselung verwendet wird, wenn eine vertrauenswürdige Beziehung von einem menschlichen Bediener hergestellt worden ist. Wenn dies der Fall ist, bearbeitet die Erfindung alle Datenübertragungen mit dem ausgetauschten Schlüssel statt das vollständige asymmetrische Handshake-Verfahren auszuführen, um die Datenübertragungen zu beschleunigen. Um die Sicherheit auf akzeptablen Niveaus zu halten, kann das erfinderische Verfahren den Schlüssel in kurzen Intervallen drehen, z.B. alle 10 Minuten, und nach einer vorab festgelegten Anzahl von Transaktionen, z.B. 500, je nachdem, welcher Fall zuerst eintritt, um Angriffe zum Knacken des Schlüssels durch potenzielle Dritte zu stoppen, die einen Man-in-the-Middie-Angriff ausführen.
  • In diesem Kontext kann es hilfreich sein, sich das Container-in-Container-Konzept zum Datenschutz näher anzusehen. 9 zeigt ein Einbettungsprinzip 900. Die äußere Schicht wird durch einen verschlüsselten Transaktionscontainer dargestellt, der nur von der Sicherheitsschicht 612 gelesen werden kann (siehe 6). Ein Teil eines verschlüsselten Transaktionscontainers 902 ist eine Transaktions-ID (Kennung), die diesen verschlüsselten Transaktionscontainer 902 im Übergang identifiziert. Ein Datencontainer 904 in dem verschlüsselten Transaktionscontainer 902 weist mindestens zwei Elemente auf: Meta-Informationen 906 über die Datei. Diese Meta-Informationen sind ebenfalls nur durch die Sicherheitsschicht 612 lesbar. In dem Datencontainer 904 befindet sich auch die gespeicherte Datei in verschlüsselter Form 908.
  • Somit kann die zu speichernde 908 Datei 908 nicht kompromittiert werden, selbst wenn der Container 904 sich im Übergang von einer Cloud-Zone in eine andere befindet. Das Container-in-Container-Konzept macht dies unmöglich.
  • In einem Überblick und einer Zusammenfassung zeigt 7 ein Blockschaubild eines erfinderischen Speichersubsystems 700 zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung - bekannt als Cloud-Umgebung. Die Cloud-Umgebung weist eine Sicherheitsschicht 612 zwischen Cloud-Speicher und einer Zugriffsschnittstelle des Cloud-Speichers 602 auf. Das Speichersubsystem 700 weist einen Cloud-Speicher mit der Sicherheitsschicht 612 auf, die physisch von einem Schlüsseltresorsystem 604 getrennt ist. Der Cloud-Speicher weist Cloud-Zonen auf, wobei jede der Cloud-Zonen eine zugewiesene Vertrauensebene hat. Das Speichersubsystem 700 weist eine empfangende Einheit 702 auf, die zum Empfangen einer Speicheranforderung zusammen mit in dem Cloud-Speicher zu speichernden Daten und zusammen mit einer Vertraulichkeitseinstufung angepasst ist. Die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung wird über die Zugriffsschnittstelle des Cloud-Speichers 602 von der Sicherheitsschicht 612 empfangen. Das Schlüsseltresorsystem 604 ist für ein Verschlüsseln der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht 612 in einem Datencontainer angepasst.
  • Das Speichersubsystem 700 weist außerdem eine Speicherkomponente 704 auf, die angepasst ist, um den Datencontainer so in einer der Cloud-Zonen des Cloud-Speichers zu speichern, dass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht.
  • Ausführungsformen der Erfindung können zusammen mit praktisch jedem Computertyp umgesetzt werden, ungeachtet der zum Speichern und/oder Ausführen von Programmcode geeigneten Plattform. Wie zum Beispiel in 8 gezeigt, kann ein Datenverarbeitungssystem 800 einen oder mehrere Prozessoren 802 mit einem oder mehreren Kernen pro Prozessor, zugehörige Arbeitsspeicherelemente 804, eine interne Speichereinheit 806 (z.B. eine Festplatte, ein optisches Plattenlaufwerk wie beispielsweise ein CD-Laufwerk oder ein DVD-Laufwerk, einen Flash-Speicherstick, eine SSD-Festplatte usw.) und zahlreiche andere Elemente und Funktionalitäten enthalten, die für die heutigen Computer typisch sind (nicht gezeigt). Die Arbeitsspeicherelemente 804 können einen Hauptarbeitsspeicher, z.B. einen Direktzugriffsspeicher (RAM), der während einer tatsächlichen Ausführung des Programmcodes verwendet wird, und einen Cache-Speicher enthalten, der eine vorübergehende Speicherung von mindestens einigem Programmcode und/oder Daten bereitstellen kann, um die Anzahl zu verringern, wie oft Code und/oder Daten für eine Ausführung aus einem Langzeitspeichermedium oder externen Massenspeicher 816 abgerufen werden müssen. Elemente in dem Computer 800 können über ein Bussystem 818 mit entsprechenden Adaptern verbunden werden. Außerdem kann das Speichersubsystem 700 zum Speichern von Daten in einer Cloud-Umgebung mit dem Bussystem 818 verbunden werden.
  • Das Datenverarbeitungssystem 800 kann auch Eingabemittel wie eine Tastatur 808, eine Zeigevorrichtung wie beispielsweise eine Maus 810 oder ein Mikrofon (nicht gezeigt) enthalten. Alternativ kann das Datenverarbeitungssystem mit einem Berührungsbildschirm als Haupteingabeeinheit ausgestattet sein. Ferner kann der Computer 800 Ausgabemittel wie einen Monitor oder Bildschirm 812 [z.B. eine Flüssigkristallanzeige (LCD), eine Plasmaanzeige, eine Leuchtdiodenanzeige (LED) oder einen Kathodenstrahlröhren- (CRT) Monitor] enthalten. Das Computersystem 800 kann über ein Netzwerk [z.B. ein lokales Netzwerk (LAN), ein Weitverkehrsnetz (WAN)] wie dem Internet oder irgendeinem anderen ähnlichen Netzwerktyp, einschließlich drahtlosen Netzwerken über eine Netzwerkschnittstellenverbindung 814 verbunden werden. Dies kann eine Verbindung mit anderen Computersystemen oder einem Speichernetzwerk oder einem Bandlaufwerk ermöglichen. Dem Fachmann wird klar sein, dass es viele verschiedene Typen von Computersystemen gibt, und daher können die vorgenannten Eingabe- und Ausgabemittel andere Formen annehmen. Im Allgemeinen kann das Computersystem 800 mindestens die minimalen Verarbeitungs-, Eingabe- und/oder Ausgabemittel enthalten, die notwendig sind, um Ausführungsformen der Erfindung umzusetzen.
  • Jede Kombination von einem oder mehreren computerlesbaren Medien kann verwendet werden. Das computerlesbare Medium kann ein computerlesbares Signalmedium oder ein computerlesbares Speichermedium sein. Ein computerlesbares Speichermedium kann zum Beispiel ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleitersystem, eine derartige Vorrichtung oder Einheit oder jede geeignete Kombination aus dem Vorgenannten sein, es ist aber nicht darauf beschränkt. Zu spezielleren Beispielen (eine nicht erschöpfende Liste) für das computerlesbare Speichermedium würde Folgendes zählen: eine elektrische Verbindung mit einer oder mehreren Leitungen, eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM oder Flash-Speicher), ein Lichtwellenleiter, ein tragbarer CD-ROM, eine optische Speichereinheit, eine Magnetspeichereinheit oder jede geeignete Kombination des Vorgenannten. In dem Kontext dieses Dokuments kann ein computerlesbares Speichermedium jedes konkrete Medium sein, das ein Programm zur Verwendung durch oder in Verbindung mit einem System, einer Vorrichtung oder einer Einheit zur Anweisungsausführung enthalten oder speichern kann.
  • Ein computerlesbares Signalmedium kann ein verbreitetes Datensignal mit einem darin verkörperten computerlesbaren Programmcode enthalten, zum Beispiel im Basisband oder als Teil einer Trägerwelle. Ein derartiges verbreitetes Signal kann jede einer Vielfalt von Formen annehmen, unter anderem elektromagnetisch, optisch oder jede geeignete Kombination davon, es ist aber nicht darauf beschränkt. Ein computerlesbares Signalmedium kann jedes computerlesbare Medium sein, das kein computerlesbares Speichermedium ist und das ein Programm zur Verwendung durch oder in Verbindung mit einem System, einer Vorrichtung oder einer Einheit zur Anweisungsausführung übertragen, verbreiten oder transportieren kann.
  • In einem computerlesbaren Medium verkörperter Programmcode kann unter Verwendung jedes geeigneten Mediums übertragen werden, unter anderem drahtlos, drahtgebunden, über ein Lichtwellenleiterkabel, HF usw. oder eine geeignete Kombination des Vorgenannten, er ist aber nicht darauf beschränkt.
  • Computerprogrammcode für ein Ausführen von Vorgängen für Aspekte der vorliegenden Erfindung kann in jeder Kombination von einer oder mehreren Programmiersprachen geschrieben werden, einschließlich einer objektorientierten Programmiersprache wie Java, Smalltalk, C++ oder dergleichen und herkömmlichen prozeduralen Programmiersprachen wie der Programmiersprache „C“ oder ähnlichen Programmiersprachen. Der Programmcode kann vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In dem letzteren Szenario kann der entfernt angeordnete Computer mit dem Computer des Benutzers über jeden Typ von Netzwerk verbunden werden, einschließlich ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann zu einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Nutzung eines Internet-Dienstanbieters).

Claims (14)

  1. Verfahren (100) zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, wobei die gemeinsam genutzte vernetzte Umgebung (610) eine Sicherheitsschicht (612) zwischen einem gemeinsam genutzten vernetzten Speicher und einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers (602) aufweist, wobei das Verfahren (100) aufweist - physisches Trennen (102) des gemeinsam genutzten vernetzten Speichers mit der Sicherheitsschicht (612) von einem Schlüsseltresorsystem (604), - Empfangen (104) einer Speicheranforderung zusammen mit Daten, die in dem gemeinsam genutzten vernetzten Speicher gespeichert werden sollen, und zusammen mit einer Vertraulichkeitseinstufung, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des gemeinsam genutzten vernetzte Speichers (602) von der Sicherheitsschicht (612) empfangen wird, - Verschlüsseln (106) der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht (612) durch das Schlüsseltresorsystem (604) in einem Datencontainer (608, 904), - Kategorisieren (108) des gemeinsam genutzten vernetzten Speichers in Cloud-Zonen, wobei jeder Cloud-Zone eine Vertrauensebene zugewiesen ist; - Speichern (110) des Datencontainers (608, 904) in einer der Cloud-Zonen des gemeinsam genutzten vernetzten Speichers, sodass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht; und - Validieren durch das Schlüsseltresorsystem (604), dass die Speicheranforderung mit konfigurierbaren Richtlinien konform ist durch - Validieren, dass die Sicherheitsschicht (612) für eine Datenübertragung vertrauenswürdig ist, und dass ein Übertragungskanal zwischen der Sicherheitsschicht (612) und dem Schlüsseltresorsystem (604) durch eine Verschlüsselung auf Zertifikatsgrundlage geschützt ist, und - im Fall einer positiven Validierung, Erstellen eines Übertragungstickets, das die Autorisierung aufweist, Anfordern von Informationen über den Speicher-Anforderer und von Metadaten über die zu speichernden Daten, einer Signatur der Sicherheitsschicht (612) und einer Ablaufzeit für die Speicheranforderung, und Signieren des Übertragungstickets, bevor das Übertragungsticket an die Sicherheitsschicht (612) zurückgesendet wird.
  2. Verfahren (100) nach Anspruch 1, wobei das Empfangen der Speicheranforderung auch ein Autorisieren der Sicherheitsschicht (612) aufweist.
  3. Verfahren (100) nach Anspruch 1 oder 2, wobei das Empfangen der Speicheranforderung auch aufweist - Autorisieren eines Absenders (606) der Anforderung.
  4. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die zwischen der Sicherheitsschicht (612) und dem Schlüsseltresorsystem (604) gesendeten Nachrichten verschlüsselt sind.
  5. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die von der Sicherheitsschicht (612) weiterleitbaren und/oder durch sie empfangbaren Nachrichten (612) verschlüsselt sind.
  6. Verfahren (100) nach einem der vorhergehenden Ansprüche, ferner aufweisend - nach Empfangen der Übertragungstickets durch die Sicherheitsschicht (612) von dem Schlüsseltresorsystem (604) - Validieren der Signatur des Schlüsseltresors sowie der eigenen Signatur vor der Anforderung für die Verschlüsselung der zu speichernden Daten, wobei die Anforderung für die Verschlüsselung der Daten das Übertragungsticket und die zu speichernden Daten aufweist.
  7. Verfahren (100) nach Anspruch 6, ferner aufweisend - nach Empfangen der Validierung des Übertragungstickets durch das Schlüsseltresorsystem (604) - Validieren der Signatur des Übertragungstickets und der Ablaufzeit für die Speicheranforderung, - Validieren, ob die Signatur der Sicherheitsschicht (612), die in das Übertragungsticket eingebettet ist, mit der Verschlüsselung eines Dateiinhalts der zu speichernden Daten übereinstimmt, und - Validieren, ob die Dateiidentifizierung der zu speichernden Daten mit der tatsächlichen zu übertragenden Datei übereinstimmt.
  8. Verfahren (100) nach einem der vorhergehenden Ansprüche, des Weiteren aufweisend ein Extrahieren von Daten aus dem Cloud-Speicher durch - Bestimmen durch das Schlüsseltresorsystem (604) unter Verwendung der Vertraulichkeitseinstufung der Daten, dass der Anforderer ein vertrauenswürdiges Ziel ist.
  9. Verfahren (100) nach einem der vorhergehenden Ansprüche, des Weiteren aufweisend ein Übertragen von gespeicherten Daten aus einer ersten Cloud-Zone zu einer zweiten Cloud-Zone des Cloud-Speichers durch - Validieren, dass die Vertraulichkeitseinstufung der zweiten Cloud-Zone mit der entsprechenden Vertrauensebene übereinstimmt, und - Ablehnen der Übertragung von gespeicherten Daten von der ersten Cloud-Zone zu der zweiten Cloud-Zone.
  10. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die Vertraulichkeitseinstufung auf Grundlage des Inhalts der zu speichernden Daten bestimmt wird.
  11. Speichersubsystem zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung (610), wobei die gemeinsam genutzte vernetzte Umgebung (610) eine Sicherheitsschicht (612) zwischen einem gemeinsam genutzten vernetzten Speicher und einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers (602) aufweist, wobei das Speichersubsystem aufweist - einen gemeinsam genutzten vernetzten Speicher mit der Sicherheitsschicht (612), die von einem Schlüsseltresorsystem (604) physisch getrennt ist, wobei der gemeinsam genutzte vernetzte Speicher Cloud-Zonen aufweist, wobei jede der Cloud-Zonen eine zugewiesene Vertrauensebene hat, - eine Empfangseinheit (702), die angepasst ist, um eine Speicheranforderung zusammen mit Daten, die in dem gemeinsam genutzten vernetzten Speicher gespeichert werden sollen, und zusammen mit einer Vertraulichkeitseinstufung zu empfangen, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des gemeinsam genutzten vernetzten Speichers (602) von der Sicherheitsschicht (612) empfangen wird, - wobei das Schlüsseltresorsystem (604) angepasst ist, um auf Anforderung der Sicherheitsschicht (612) die zu speichernden Daten und die Vertraulichkeitseinstufung in einem Datencontainer (608, 904) zu verschlüsseln, - eine Speicherkomponente (704), die angepasst ist, um den Datencontainer (608, 904) in einer der Cloud-Zonen des Cloud-Speichers so zu speichern, dass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht, - wobei das das Schlüsseltresorsystem (604) angepasst ist, um zu validieren, dass die Speicheranforderung mit konfigurierbaren Richtlinien konform ist durch - Validieren, dass die Sicherheitsschicht (612) für eine Datenübertragung vertrauenswürdig ist, und dass ein Übertragungskanal zwischen der Sicherheitsschicht (612) und dem Schlüsseltresorsystem (604) durch eine Verschlüsselung auf Zertifikatsgrundlage geschützt ist, und - im Fall einer positiven Validierung, Erstellen eines Übertragungstickets, das die Autorisierung aufweist, Anfordern von Informationen über den Speicher-Anforderer und von Metadaten über die zu speichernden Daten, einer Signatur der Sicherheitsschicht (612) und einer Ablaufzeit für die Speicheranforderung, und Signieren des Übertragungstickets, bevor das Übertragungsticket an die Sicherheitsschicht (612) zurückgesendet wird.
  12. Cloud-Speichersystem, aufweisend das Speichersubsystem nach Anspruch 11 zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung (610).
  13. Datenverarbeitungsprogramm zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung (610) nach einem der Ansprüche 1 bis 10, wobei das Datenverarbeitungsprogramm Softwarecode-Abschnitte zum Ausführen des Verfahrens (100) aufweist, wenn das Datenverarbeitungsprogramm auf einem Computer (800) ausgeführt wird.
  14. Computerprogrammprodukt für das Verfahren (100) zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung (610) nach einem der Ansprüche 1 bis 10, das ein computerlesbares Programmmittel aufweist, um einen Computer zu veranlassen, das Verfahren (100) auszuführen, wenn das Programmmittel auf dem Computer (800) ausgeführt wird.
DE112015004500.7T 2014-12-09 2015-10-23 Automatisierte Verwaltung von vertraulichen Daten in Cloud-Umgebungen Active DE112015004500B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1421826.7 2014-12-09
GB1421826.7A GB2533098B (en) 2014-12-09 2014-12-09 Automated management of confidential data in cloud environments
PCT/IB2015/058181 WO2016092384A1 (en) 2014-12-09 2015-10-23 Automated management of confidential data in cloud environments

Publications (2)

Publication Number Publication Date
DE112015004500T5 DE112015004500T5 (de) 2017-08-10
DE112015004500B4 true DE112015004500B4 (de) 2021-06-02

Family

ID=52425646

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112015004500.7T Active DE112015004500B4 (de) 2014-12-09 2015-10-23 Automatisierte Verwaltung von vertraulichen Daten in Cloud-Umgebungen

Country Status (6)

Country Link
US (3) US9996698B2 (de)
JP (1) JP6556840B2 (de)
CN (1) CN107003815B (de)
DE (1) DE112015004500B4 (de)
GB (1) GB2533098B (de)
WO (1) WO2016092384A1 (de)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2533098B (en) * 2014-12-09 2016-12-14 Ibm Automated management of confidential data in cloud environments
WO2016174668A1 (en) * 2015-04-26 2016-11-03 Y.G. Noobaa Ltd. Systems and methods for security management of multi-client based distributed storage
US9626516B1 (en) * 2015-11-18 2017-04-18 Amazon Technologies, Inc. Controlling use of electronic devices
US10171585B2 (en) 2015-12-07 2019-01-01 International Business Machines Corporation Method, system, and computer program product for distributed storage of data in a heterogeneous cloud
US10122832B2 (en) 2015-12-07 2018-11-06 International Business Machines Corporation Communications of usernames and passwords to a plurality of cloud storages via a plurality of communications protocols that change over time
US10013181B2 (en) * 2015-12-07 2018-07-03 International Business Machines Corporation Distributed storage of data in a local storage and a heterogeneous cloud
US10204237B2 (en) * 2016-07-01 2019-02-12 Workday, Inc. Sensitive data service access
US20180097809A1 (en) * 2016-09-30 2018-04-05 Intel Corporation Securing access to cloud components
US10542017B1 (en) * 2016-10-13 2020-01-21 Symantec Corporation Systems and methods for personalizing security incident reports
US10554690B2 (en) 2016-11-10 2020-02-04 International Business Machines Corporation Security policy inclusion with container deployment
US10360009B2 (en) * 2017-03-17 2019-07-23 Verizon Patent And Licensing Inc. Persistent data storage for a microservices application
US10845996B2 (en) 2017-05-24 2020-11-24 Red Hat, Inc. Managing data throughput for shared storage volumes using variable volatility
CN109150792B (zh) 2017-06-15 2022-03-08 杭州海康威视数字技术股份有限公司 一种提高数据存储安全性方法及装置
US10733061B2 (en) * 2017-06-27 2020-08-04 Western Digital Technologies, Inc. Hybrid data storage system with private storage cloud and public storage cloud
US10204241B2 (en) 2017-06-30 2019-02-12 Microsoft Technology Licensing, Llc Theft and tamper resistant data protection
US10637846B2 (en) * 2017-08-30 2020-04-28 Capital One Services, Llc System and method for cloud-based analytics
WO2019133329A1 (en) * 2017-12-27 2019-07-04 Daniel Maurice Lerner Protected and secured user-wearable devices that utilize securitised containers
US10833857B2 (en) * 2018-01-29 2020-11-10 International Business Machines Corporation Encryption key management in a data storage system communicating with asynchronous key servers
CN110390184B (zh) * 2018-04-20 2022-12-20 伊姆西Ip控股有限责任公司 用于在云中执行应用的方法、装置和计算机程序产品
US10824751B1 (en) 2018-04-25 2020-11-03 Bank Of America Corporation Zoned data storage and control security system
US10929556B1 (en) 2018-04-25 2021-02-23 Bank Of America Corporation Discrete data masking security system
EP3623886A1 (de) * 2018-09-17 2020-03-18 Siemens Aktiengesellschaft Verfahren zur verwaltung eines produktionsprozesses, sowie computerprogramm zum ausführen des verfahrens und elektronisch lesbarer datenträger
WO2020102696A1 (en) 2018-11-15 2020-05-22 Airside Mobile, Inc. Methods and apparatus for encrypting, storing, and/or sharing sensitive data
EP3811272B1 (de) * 2019-01-04 2023-10-04 Baidu.com Times Technology (Beijing) Co., Ltd. Verfahren und system zur speicherverwaltung von datenverarbeitenden beschleunigern
US11238174B2 (en) 2019-01-31 2022-02-01 Salesforce.Com, Inc. Systems and methods of database encryption in a multitenant database management system
JP7287068B2 (ja) * 2019-04-01 2023-06-06 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置
WO2020210362A1 (en) * 2019-04-08 2020-10-15 Ares Technologies, Inc. Systems, devices, and methods for machine learning using a distributed framework
US11727078B2 (en) * 2019-04-18 2023-08-15 The Boeing Company Management of client devices for maintenance of a structural product
CN111191253B (zh) * 2019-05-17 2021-02-12 融智通科技(北京)股份有限公司 一种数据加密组合方法
CN111753326B (zh) * 2020-05-22 2024-02-13 湖南麒麟信安科技股份有限公司 一种容器云平台云存储资源加密方法、系统及介质
US11664978B2 (en) * 2020-06-04 2023-05-30 Fidelius, LLC Systems, methods and software for secure access control to digitally stored information
CN111859378B (zh) * 2020-07-31 2022-11-18 中国工商银行股份有限公司 保护数据模型的处理方法和装置
CN112181292A (zh) * 2020-09-10 2021-01-05 绍兴无相智能科技有限公司 基于大数据的安全存储方法、装置及计算机可读存储介质
US20220109560A1 (en) * 2020-10-02 2022-04-07 Google Llc Regional Isolation in an Integrated Cloud Service
CN112308236A (zh) * 2020-10-30 2021-02-02 北京百度网讯科技有限公司 用于处理用户请求的方法、装置、电子设备及存储介质
DE102020215286A1 (de) * 2020-12-03 2022-06-09 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Bereitstellen von Programmdaten aus einer Datenbank
DE102020215292A1 (de) * 2020-12-03 2022-06-09 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Hinterlegen von Programmdaten in einer Datenbank
CN113114658B (zh) * 2021-04-08 2023-02-28 深圳十方数链科技有限公司 一种基于云平台主机的传输加密证书自动管理系统
KR102442366B1 (ko) * 2021-04-15 2022-09-13 계명대학교 산학협력단 블록 체인 기반의 기업 네트워크를 이용하여 접근 가능한 정보를 관리하는 분산 저장 방법 및 장치
US11392705B1 (en) 2021-07-29 2022-07-19 Netskope, Inc. Disk encryption key management for booting of a device
CN113660235B (zh) * 2021-08-10 2023-04-28 中和易茂科技服务(北京)有限公司 数据安全共享方法、存储器和处理器
GB2610861B (en) * 2021-09-20 2023-10-11 Intelligent Voice Ltd Confidential Automated Speech Recogntion
US20230177190A1 (en) * 2021-12-03 2023-06-08 Dell Products L.P. Systems and methods for transferring information handling systems
CN114218619A (zh) * 2021-12-20 2022-03-22 昊链(中山)科技有限责任公司 数据安全保护方法、装置、介质及电子设备
US20230289457A1 (en) * 2022-03-10 2023-09-14 Microsoft Technology Licensing, Llc Preventing Illicit Data Transfer and Storage
CN115348295A (zh) * 2022-08-26 2022-11-15 中国长江三峡集团有限公司 一种海上风电设备数据共享方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140050317A1 (en) * 2012-08-16 2014-02-20 Digicert, Inc. Cloud Key Management System
US20140157363A1 (en) * 2012-12-05 2014-06-05 Symantec Corporation Methods and systems for secure storage segmentation based on security context in a virtual environment

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6643783B2 (en) * 1999-10-27 2003-11-04 Terence T. Flyntz Multi-level secure computer with token-based access control
JP2001266112A (ja) * 2000-03-21 2001-09-28 Ricoh Co Ltd 文書管理システム
DE10025626A1 (de) * 2000-05-24 2001-11-29 Deutsche Telekom Ag Verschlüsseln von abzuspeichernden Daten in einem IV-System
AU2001280581A1 (en) * 2000-07-18 2002-01-30 Correlogic Systems, Inc. A process for discriminating between biological states based on hidden patterns from biological data
US7082200B2 (en) * 2001-09-06 2006-07-25 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
JP2003330783A (ja) * 2002-05-15 2003-11-21 Secom Co Ltd 文書保管システム、文書保管方法および情報記録媒体
US7263619B1 (en) * 2002-06-26 2007-08-28 Chong-Lim Kim Method and system for encrypting electronic message using secure ad hoc encryption key
US7519984B2 (en) 2002-06-27 2009-04-14 International Business Machines Corporation Method and apparatus for handling files containing confidential or sensitive information
US7958351B2 (en) * 2002-08-29 2011-06-07 Wisterium Development Llc Method and apparatus for multi-level security implementation
WO2005119960A2 (en) * 2004-06-01 2005-12-15 Ben-Gurion University Of The Negev Research And Development Authority Structure preserving database encryption method and system
JP4584652B2 (ja) * 2004-08-26 2010-11-24 株式会社リコー 保管ルール管理装置、情報処理装置および保管ルール管理プログラム
US7899189B2 (en) * 2004-12-09 2011-03-01 International Business Machines Corporation Apparatus, system, and method for transparent end-to-end security of storage data in a client-server environment
US8127145B2 (en) * 2006-03-23 2012-02-28 Harris Corporation Computer architecture for an electronic device providing a secure file system
CA2649449A1 (en) * 2006-04-14 2007-10-25 Advanced Solutions, Inc. Method, apparatus and computer-readabele medium to provide customized classification of documents in a file management system
US8705746B2 (en) * 2006-09-29 2014-04-22 Microsoft Corporation Data security in an off-premise environment
KR100983827B1 (ko) * 2007-08-20 2010-09-27 동양물산기업 주식회사 구강 및 날숨 가스 성분 분석 장치 및 이에 적합한 방법
US8266708B2 (en) * 2008-12-09 2012-09-11 Broadlands Technologies Llc Privacy protection system
EP2219190B1 (de) * 2009-02-11 2011-09-28 Research In Motion Limited Mehrstufen-Datenspeicherung
CN104079573A (zh) 2009-05-19 2014-10-01 安全第一公司 用于安全保护云中的数据的系统和方法
US8914631B2 (en) * 2009-07-01 2014-12-16 Oracle International Corporation Performing secure and non-secure communication over the same socket
US8799322B2 (en) * 2009-07-24 2014-08-05 Cisco Technology, Inc. Policy driven cloud storage management and cloud storage policy router
US20110025830A1 (en) * 2009-07-31 2011-02-03 3Dmedia Corporation Methods, systems, and computer-readable storage media for generating stereoscopic content via depth map creation
US8977842B1 (en) * 2010-02-05 2015-03-10 Symantec Corporation Hypervisor enabled secure inter-container communications
US20110219424A1 (en) * 2010-03-05 2011-09-08 Microsoft Corporation Information protection using zones
JP5652618B2 (ja) * 2010-07-07 2015-01-14 株式会社ダイフク 物品仕分け手段
US20120029048A1 (en) * 2010-07-30 2012-02-02 Via Pharmaceuticals, Inc. Phenylalkyl n-hydroxyureas for treating leukotriene related pathologies
US9253199B2 (en) * 2010-09-09 2016-02-02 Red Hat, Inc. Verifying authenticity of a sender of an electronic message sent to a recipient using message salt
FR2969509B1 (fr) * 2010-12-22 2012-12-28 IFP Energies Nouvelles Materiau spherique a base d'heteropolyanions pieges dans une matrice oxyde mesostructuree et son utilisation comme catalyseur dans les procedes du raffinage
EP2523139A1 (de) * 2011-05-10 2012-11-14 Nagravision S.A. Verfahren zur Behandlung privater Daten
US20120290483A1 (en) * 2011-05-12 2012-11-15 Moshe Hezrony Methods, systems and nodes for authorizing a securized exchange between a user and a provider site
US8751463B1 (en) * 2011-06-30 2014-06-10 Emc Corporation Capacity forecasting for a deduplicating storage system
US8690814B2 (en) * 2011-07-22 2014-04-08 Elizabeth Chabner Thompson Radiation treatment garment-II
JP2013058101A (ja) * 2011-09-08 2013-03-28 Interlink:Kk クラウドコンピューティングシステム
US8612284B1 (en) * 2011-11-09 2013-12-17 Parallels IP Holdings GmbH Quality of service differentiated cloud storage
EP2778951B1 (de) * 2011-11-11 2017-04-26 NEC Corporation Datenbankverschlüsselungssystem, -verfahren und -programm
US9256758B2 (en) * 2011-11-29 2016-02-09 Dell Products L.P. Mode sensitive encryption
US8910297B2 (en) 2012-01-05 2014-12-09 Vmware, Inc. Securing user data in cloud computing environments
US9038065B2 (en) * 2012-01-30 2015-05-19 International Business Machines Corporation Integrated virtual infrastructure system
JP5746446B2 (ja) * 2012-02-21 2015-07-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード
US9594921B2 (en) * 2012-03-02 2017-03-14 International Business Machines Corporation System and method to provide server control for access to mobile client data
US9317709B2 (en) * 2012-06-26 2016-04-19 Google Inc. System and method for detecting and integrating with native applications enabled for web-based storage
JP2014010465A (ja) * 2012-06-27 2014-01-20 International Business Maschines Corporation 複数のストレージ・クラウドから実体ファイルを格納するためのストレージ・クラウドを選択する方法、並びにそのコンピュータ及びコンピュータ・プログラム
KR101861380B1 (ko) * 2012-07-16 2018-05-28 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 헤드 마운트 디스플레이를 이용한 컨텐츠 출력 방법 및 이를 위한 헤드 마운트 디스플레이
US9710664B2 (en) * 2012-09-07 2017-07-18 Amrita Vishwa Vidyapeetham Security layer and methods for protecting tenant data in a cloud-mediated computing network
US9565180B2 (en) * 2012-09-28 2017-02-07 Symantec Corporation Exchange of digital certificates in a client-proxy-server network configuration
US9015845B2 (en) * 2012-10-30 2015-04-21 Samsung Sds Co., Ltd. Transit control for data
US9471245B1 (en) * 2012-10-31 2016-10-18 Emc Corporation Method and apparatus for transferring modified data efficiently
US8997197B2 (en) 2012-12-12 2015-03-31 Citrix Systems, Inc. Encryption-based data access management
US9059973B2 (en) 2013-01-15 2015-06-16 International Business Machines Corporation Securing sensitive information in a network cloud
US9245137B2 (en) * 2013-03-04 2016-01-26 International Business Machines Corporation Management of digital information
US9405926B2 (en) * 2014-06-30 2016-08-02 Paul Lewis Systems and methods for jurisdiction independent data storage in a multi-vendor cloud environment
EP2821913A1 (de) * 2013-07-01 2015-01-07 Open Text S.A. Verfahren und System zum Speichern von Dokumenten
US9225691B1 (en) * 2013-09-27 2015-12-29 Emc Corporation Deduplication of encrypted dataset on datadomain backup appliance
US9384362B2 (en) * 2013-10-14 2016-07-05 Intuit Inc. Method and system for distributing secrets
TWI499931B (zh) * 2013-12-17 2015-09-11 Inwellcom Technology Corp File management system and method
US9665306B1 (en) * 2013-12-18 2017-05-30 EMC IP Holding Company LLC Method and system for enhancing data transfer at a storage system
CN103763355B (zh) * 2014-01-07 2017-02-01 天地融科技股份有限公司 一种云数据的上传、访问控制方法
US10380352B2 (en) * 2014-02-04 2019-08-13 International Business Machines Corporation Document security in enterprise content management systems
US9742738B2 (en) * 2014-06-17 2017-08-22 Cisco Technology, Inc. Method and apparatus for enforcing storage encryption for data stored in a cloud
CN104113595B (zh) * 2014-07-09 2018-01-02 武汉邮电科学研究院 一种基于安全等级划分的混合云存储系统及方法
GB2533098B (en) * 2014-12-09 2016-12-14 Ibm Automated management of confidential data in cloud environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140050317A1 (en) * 2012-08-16 2014-02-20 Digicert, Inc. Cloud Key Management System
US20140157363A1 (en) * 2012-12-05 2014-06-05 Symantec Corporation Methods and systems for secure storage segmentation based on security context in a virtual environment

Also Published As

Publication number Publication date
US9996698B2 (en) 2018-06-12
JP6556840B2 (ja) 2019-08-07
US20200012799A1 (en) 2020-01-09
US10474830B2 (en) 2019-11-12
WO2016092384A1 (en) 2016-06-16
GB2533098B (en) 2016-12-14
GB201421826D0 (en) 2015-01-21
US11062037B2 (en) 2021-07-13
US20160162693A1 (en) 2016-06-09
US20180239911A1 (en) 2018-08-23
CN107003815A (zh) 2017-08-01
DE112015004500T5 (de) 2017-08-10
JP2018502368A (ja) 2018-01-25
GB2533098A (en) 2016-06-15
CN107003815B (zh) 2020-03-17

Similar Documents

Publication Publication Date Title
DE112015004500B4 (de) Automatisierte Verwaltung von vertraulichen Daten in Cloud-Umgebungen
US8769605B2 (en) System and method for dynamically enforcing security policies on electronic files
Chang et al. Cloud computing adoption framework: A security framework for business clouds
CN107409126B (zh) 用于保护企业计算环境安全的系统和方法
Awaysheh et al. Next-generation big data federation access control: A reference model
US8296855B2 (en) Privileged access to encrypted data
US11907366B2 (en) Introspection driven by incidents for controlling infiltration
Doelitzscher et al. An autonomous agent based incident detection system for cloud environments
Kaufman et al. Windows Azure™ Security Overview
WO2013035409A1 (ja) クラウドコンピューティングシステム
EP3876127A1 (de) Gerätefernwartung auf basis verteilter datenspeicherung
US9740876B1 (en) Securely storing and provisioning security telemetry of multiple organizations for cloud based analytics
Pal et al. A novel open security framework for cloud computing
Chandramouli et al. Security guidelines for storage infrastructure
Lakhe Practical Hadoop Security
Saxena et al. An insightful view on security and performance of NoSQL databases
Jain Lateral movement detection using ELK stack
Gattoju et al. A Survey on Security of the Hadoop Framework in the Environment of Bigdata
Abduvaliyevich et al. Creation and Security of the Cloud Platform for Educational Technologies
Forsberg Implementation of Centralized Log Management Solution for Ensuring Privacy of Individuals as Required by EU Regulation
Cardarelli Automated Deployment of a Security Operations Center
Knop et al. IBM Spectrum Scale Security
Henttunen Automated hardening and testing CentOS linux 7: security profiling with the USGCB baseline
Wyatt et al. Secure Messaging Scenarios with WebSphere MQ
Udayakumar Design and Deploy Security for Infrastructure, Data, and Applications

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0003060000

Ipc: G06F0012140000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final