ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

Verbindung aufnehmen

Im nächsten Schritt lesen Sie die Konfiguration in die lokal installierte Sophos-UTM-Firewall ein. Dies geschieht über den Dialog unter »Site-to-Site VPN | Amazon VPC« auf dem Tab »Setup« unter »Import via Amazon VPC configuration« . Nach dem Upload der Konfiguration aktivieren Sie sie über den Button »Apply« . Anschließend wird die VPN-Verbindung ins virtuelle Rechenzentrum sofort hergestellt. Wechseln Sie auf den Status-Reiter in der VPN-Konfiguration, um die Details der beiden per BGP dynamisch gerouteten IPsec-Tunnel einzusehen. Server-Instanzen in der EC2, die Sie über diese Verbindung an das lokale Netzwerk anbinden möchten, müssen natürlich wieder in der entsprechenden VPC gestartet werden.

Da die Firewall das Routing über den VPN-Tunnel übernimmt, können Sie die Serverdienste in der Cloud dann über deren private IP-Adresse vom LAN aus ansprechen.

Fazit

Der Einsatz von Cloud-Infrastrukturen wie den Amazon Web Services eröffnet Unternehmen und Privatleuten Zugang zu praktisch unendlichen Computing- und Storage-Ressourcen. Egal ob nur ein Webserver benötigt wird oder gleich ganze Teile aus dem eigenen Rechenzentrum in die Cloud wandern sollen – praktisch für jede Anforderung steht dort ein geeigneter Service zur Verfügung. Die geltenden Datenschutzbestimmungen und das Risiko der Ausspähung unternehmenskritischer Informationen sollte man dabei natürlich stets im Blick behalten.

Wer bereits eine Sophos-UTM-Firewall zum Schutz des eigenen Unternehmensnetzwerks einsetzt, kann sein LAN mit dem ab Version 9 verfügbaren VPC-Connector leicht an das virtuelle Amazon-Rechenzentrum andocken. Ressourcen dort lassen sich dann mit einer redundanten VPN-Verbindung so einfach verwenden, als befänden sie sich im eigenen Netzwerk. Umgekehrt lässt sich aber auch einfach eine Sophos-UTM-Firewall in der AWS einrichten, um dort gehostete Services zu schützen oder eine zentrale Firewall für verteilte Standorte bereitzustellen. VPN-Tunnel sorgen dann für Sicherheit und richtiges Routing.

Cloud-Firewall für zentralisierten Internet-Zugang

Auch die komplette Verlagerung der Firewall vom lokalen Serverraum in die Cloud kann besonders für Unternehmen mit vielen Standorten interessant sein. Denn im Sinne einer zentralen Internet Usage Policy sollte die Internet-Kommunikation für alle Standorte immer über einen zentralen Internet-Breakout erfolgen. Die Vernetzung der Standorte erfolgt dabei über ein sternförmiges VPN, dessen Zentrum die Firewall in der Cloud bildet. Die Vorteile einer solchen Lösung liegen auf der Hand: Es existiert nur ein einheitliches Regelwerk für die Benutzer an allen Standorten und es muss auch nur ein System (statt eines je Standort) administriert werden. Besonders deutlich werden die Vorteile, wenn am Standort der Unternehmenszentrale nur wenig Internet-Bandbreite zur Verfügung steht. Denn in diesem Falle würde die Internet-Leitung am Hauptstandort nicht nur mit dem VPN-Traffic, sondern zusätzlich ja auch mit dem Internet-Traffic der Standorte belastet.

Wird als zentrale Firewall in der Cloud ein Sophos-UTM-System betrieben, ist die VPN-Vernetzung mehrerer Standorte durch den Einsatz der Sophos-UTM-RED-Technologie besonders einfach. RED ist das Kürzel für »Remote Ethernet Device« . Dabei handelt es sich um kleine, wartungsfreie VPN-Boxen, die beispielsweise per Post in die Außenstellen geliefert und dank eines Provisioning Service über das zentrale Firewall-System in Betrieb genommen werden können. Dazu muss der Admin lediglich einen Namen sowie die eindeutige Gerätekennung in die Sophos-UTM eingeben, um eine Konfigurationsdatei für das jeweilige Gerät zu erstellen. Das unkonfigurierte RED-Device wird dann am jeweiligen Standort einfach ans Internet und an Strom angeschlossen und als Default-Gateway eingesetzt.

Seine Konfiguration bezieht das Gerät automatisch vom Einrichtungsservice. Anschließend verbindet das Gerät den Standort über einen sicheren Ethernet-Tunnel mit der Firewall. Der Administrator kann hier Regeln für die Inter-Netz-Kommunikation konfigurieren, um beispielsweise bestimmte Services nur bestimmten Benutzern zur Verfügung zu stellen. Abbildung 3 veranschaulicht dieses Szenario.

Abbildung 3: Interessanter Use-Case: Eine zentrale Firewall in der Amazon Cloud sorgt hier in Kombination mit kleinen Hardware-VPN-Boxen für einen zentralen Internet-Breakout an allen Standorten mit einheitlicher Internet-Use-Policy.

Von Risiken und Nebenwirkungen: Prism, Tempora & Co

Spätestens seit Edward Snowdens Enthüllungen um die Machenschaften der amerikanischen und britischen Geheimdienste dürfte sich überall herumgesprochen haben, dass die Cloud nicht unbedingt der sicherste Ort für (unverschlüsselte) Daten ist. Zumal Amazon als  amerikanisches Unternehmen auch schon vor dem Bekanntwerden von Prism & Co aufgrund des Patriot Acts zur Herausgabe von Daten gezwungen werden konnte.

Problematisch bei der Zusammenarbeit mit amerikanischen (oder besser: nichteuropäischen) Cloud-Anbietern sind vor allem zwei Aspekte:

1. Datenschutz (Personenbezogene Daten)

Werden personenbezogene Daten, zum Beispiel von Mitarbeitern, Kunden oder Lieferanten in der Cloud verarbeitet, dürfen diese den europäischen Wirtschaftsraum nicht verlassen. Denn für diese Daten gilt gemäß der europäischen Datenschutzrichtlinie der Grundsatz, dass personenbezogene Daten nur in Staaten übermittelt werden dürfen, die "ein angemessenes Datenschutzniveau" besitzen – die USA gehören de facto nicht zu diesen Staaten.

Eine Ausnahme gilt allerdings für US-Unternehmen, die der Kontrolle des Handelsministeriums unterliegen und die bei der Zertifizierung für das sogenannte »Safe-Harbor-Abkommen« die Zusammenarbeit mit den europäischen Datenschutzaufsichtsbehörden nicht ausgeschlossen haben. Unter [2] stellt das US-Handelsministerium eine Liste der für das Safe-Harbor-Abkommen zertifizierten Unternehmen bereit.

2. Wirtschaftsspionage

Mit dem Bekanntwerden des (bisher bekannten) Ausmaßes der Abhöraktion im Rahmen von Prism und Tempora liegt die Vermutung nahe, dass die von unseren befreundeten Staaten gewonnenen Daten nicht ausschließlich zur Terrorabwehr genutzt werden. Denn schließlich ist im britischen »Intelligence Services Act 1994« als Zielsetzung für die Geheimdienste unter anderem auch »die Wahrung des wirtschaftlichen Wohlergehens des Vereinigten Königreichs« fest verankert.

Amazon liefert in seinen FAQs dazu folgenden Hinweis [4] : »Bei Wahl der Amazon S3-Region EU (Irland) können Kunden sämtliche Daten in der EU speichern. Dennoch liegt es in Ihrer Verantwortung sicherzustellen, dass Sie die Datenschutzbestimmungen der EU einhalten.«

Es ist also unverzichtbar, die eigenen Daten vor der Verlagerung in die Cloud zumindest auf die beiden oben genannten Aspekte hin zu untersuchen.

Abbildung 5: Das Netz im Netz: Mit der Virtual Private Cloud lassen sich private Netze und Subnetze innerhalb der Amazon Cloud abbilden. Die IP-Netze sind dabei frei wählbar.

Der Autor

Thomas Zeller ist IT-Consultant und beschäftigt sich seit über 15 Jahren mit IT-Sicherheit und Open Source. Er ist Autor/Co-Autor der Bücher »OpenVPN kompakt« und »Mindmapping mit Freemind« . Im richtigen Leben ist er IT-Unternehmer und Geschäftsführer eines mittelständischen IT-Systemhauses und verantwortet dort auch den Geschäftsbereich IT-Sicherheit.

comments powered by Disqus
Mehr zum Thema

Neue Versionen der UTM-Lösungen von Endian und Sophos

UTM-Systeme stellen sich Gefahren aller Art in den Weg: eben Unified Threat Management. Die Ansprüche und Erwartungen der Kunden befeuern den Wettbewerb. Zwei der beliebtesten Hersteller – Endian und Sophos – haben jetzt neue Versionen ihrer Lösungen herausgebracht.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023