Gcore Cloud ist eine zuverlässige und sichere Cloud. Dies wird durch Zertifikate PCI DSS und ISO 27001 bestätigt, Einhaltung von GDPR.
In diesem Artikel sprechen wir über 8 Haupttechnologien, die es uns ermöglichen, Kundendaten zuverlässig vor illegalem Zugriff, Änderung und Verlust zu schützen.
1. Intel SGX
Intel SGX ist eine Reihe von Prozessoranweisungen, die es Anwendungen ermöglichen, private Code- und Datenbereiche zuzuweisen. Der Benutzercode wird in Enklaven platziert — private Speicherbereiche. Die Daten in Enklaven sind sicher vor externen Prozessen und Software geschützt, die auf den privilegierteren Ebenen ausgeführt werden, wie z.B. Betriebssysteme und Hypervisoren.
Den Daten wird zusätzlicher Schutz vor Offenlegung und Veränderung sichergestellt. Weder der Cloud-Anbieter noch sonst jemand kann darauf zugreifen, selbst wenn die Cloud-Server gehackt werden.
Die Intel SGX Integration in unsere Cloud basiert auf einer Plattform für vertrauliche Berechnungen SCONE. Mit ihrer Hilfe werden Netzwerktraffic, Dateien, Ein-/Ausgabeströme verschlüsselt und Schutz vor illegalem Zugriff durch das Betriebssystem, Hypervisor oder andere Software sichergestellt. Sie führt auch eine Anwendungsattestierung durch, um die Authentizität von ausführbarem Code zu garantieren, und ermöglicht Anwendungen mit vertraulichen Daten sicher zu konfigurieren.
Mehr über die Technologie lesen Sie im Artikel „Warum haben wir Intel SGX in die Gcore Cloud integriert“.
Im Mai 2021 haben wir die ersten virtuellen Maschinen mit Intel SGX Unterstützung in Betrieb genommen. Anfangs waren die Instanzen nur in Luxemburg zum Mieten verfügbar, aber jetzt können Sie eine virtuelle Maschine mit Unterstützung der Technologie in jeder core-Standort mieten.
Solche virtuellen Maschinen werden vor allem für Projekte mit hohen Sicherheitsanforderungen relevant. In den Enklaven können alle vertraulichen Informationen untergebracht werden, einschließlich der Kundenzahlungsdaten.
2. Isoliertes geschütztes Netzwerk
Alle virtuelle und physische Server der Gcore Cloud können zu isolierten privaten Netzwerken (VLANs) vereinigt werden.
Jeder Server im Netzwerk hat eine private IP Adresse, auf die von außen nicht zugegriffen werden kann. Um mit dem Internet zu kommunizieren, wird den Maschinen eine Floating-IP zugewiesen — eine spezielle Adresse, in deren Namen der Server mit dem Internet interagiert.
Für Ausfallsicherheit und Netzwerksicherheit wenden wir folgende Maßnahmen an:
- Alle Komponenten werden dupliziert.
- Netzwerkschnittstellen auf Servern werden standardmäßig aggregiert.
- Access Switches verwenden Sicherheitseinstellungen: Schutz vor ARP Spoofing und anderen Netzwerkangriffen.
3. Cloud-Firewall
Alle virtuellen Maschinen in unserer Cloud können mit einer Firewall vor Netzwerkbedrohungen geschützt werden. Das ist eine spezielle Firewall, die den eingehenden und ausgehenden Traffic anhand konfigurierter Regeln regelt.
Die Regeln legen fest, welche Art von Traffic an welchen Ports und aus welchen Originn an den Server gesendet werden kann. Der gesamte andere Traffic wird blockiert.
Sie können eine Default-Firewall mit bereits festgelegten Regeln verwenden oder den Schirm unter Berücksichtigung der Besonderheiten Ihres Projekts selbst einstellen.
Sie können die Firewall kostenlos in der Systemsteuerung anschließen und konfigurieren. Lesen Sie mehr dazu in unserem Wissensdatenbank.
4. WAF
Die Cloud-Firewall bietet einen grundlegenden Schutz vor Netzwerkbedrohungen. Und für einen zuverlässigen Schutz von Webanwendungen vor Hackerangriffen und unbefugtem Zugriff auf Daten können wir eine intelligente Firewall anbieten — WAF (Web Application Firewall).
Diese Firewall verbirgt zuverlässig alle Schwachstellen von Webanwendungen vor Eindringlingen; verfügt über ein eigenes Schwachstellenerkennungssystem; warnt vor gefundenen Schwachstellen und gibt Empfehlungen zu deren Behebung.
WAF kann mit einer großen Menge an Traffic arbeiten und dabei ihn nicht einfach nach den festgelegten Regeln blockieren. Die Firewall ist mit selbstlernenden Algorithmen ausgestattet. Das ermöglicht Fehlauslösungen zu vermeiden. Nur verdächtige Anfragen werden blockiert, und der legitime Traffic wird in keiner Weise beeinträchtigt.
Alle Angriffe werden in Echtzeit blockiert und es ist kein Herunterfahren der Webanwendung erforderlich.
5. DDoS-Schutz
Wir schützen virtuelle Maschinen und physische Server vor allen bekannten DDoS-Angriffen auf Netzwerk- (L3) und Transportebene (L4).
Der gesamte Traffic zu Ihren Ressourcen wird durch eine spezielle Filterplattform geleitet. Das System analysiert jedes der Pakete, vergleicht sie mit dem aktuellen Signaturen und blockiert verdächtige.
Somit erreicht nur legitimer Traffic die Ressource und schädigende Pakete werden auf dem Weg gestoppt.
Dieses Schutzmodell ist sogar gegen niederfrequente Angriffe wirksam. Bösartiger Traffic wird ab dem ersten Paket blockiert.
Auf allen virtuellen Maschinen und dedizierten Servern in unserer Cloud ist der DDoS-Schutz kostenlos und standardmäßig verfügbar.
6. Verwaltung von Geheimnissen
Mit dieser Funktion können Sie SSL Zertifikate und -Schlüssel sicher auf dem System speichern und eine sichere HTTPS Verbindung zwischen Ihren Load Balancern und Clients herstellen.
Geheimnisse sind PKCS12-Dateien, spezielle Dateien im Binärformat, mit denen Sie Zertifikate sicher speichern und übertragen können. Diese Datei enthält:
- Master-SSL Zertifikat — eine digitale Signatur der Website, die bestätigt, dass sie Ihnen gehört;
- Kette von Zertifikaten — Informationen über die Zertifizierungsstellen, die an der Ausstellung des Zertifikats teilgenommen haben und seine Echtheit bestätigen;
- Geschlossener Schlüssel — ein einzigartiger Satz von Zeichen, der zum Verschlüsseln der übertragenen Daten verwendet wird.
Die Datei wird zum Bedienfeld unserer Cloud hinzugefügt, und nach ihrer Hinzufügung können Sie den Load-Balancer mit HTTPS Listener erstellen — ein Balancer, der eine sichere Verbindung mit Clients herstellen kann.
Weitere Informationen zur Verwendung der Funktion finden Sie in unserem Wissensbasis.
7. Sicherer Zugriff auf Ressourcen
In unserer Cloud haben Kunden die volle Zugriffskontrolle.
1. Zwei-Faktor-Authentifizierung. Sie kann in dem Bedienfeld aktiviert werden. Dies ist ein zusätzlicher Schutz für Ihr Konto vor Hackern.
2. Zugriffsverwaltung. Sie können Mitgliedern Ihres Teams unterschiedliche Zugriffsebenen gewähren und den Zugriff für verschiedene Projekte differenzieren. Somit stehen die Ressourcen der Cloud nur denjenigen zur Verfügung, die dazu berechtigt sind.
3. API-Token — ein spezieller Code mit einer bestimmten Gültigkeitsdauer, um den Zugriff auf das Konto über die API zu erhalten und die automatisierte Arbeit Ihrer Anwendung mit der Cloud einzurichten.
Wir verwenden permanente API-Token. Bei der Erstellung können Sie selbst die Lebensdauer festlegen — bis hin zu unbegrenzt. Das ermöglicht eine bequemere Logik der automatischen Arbeit einzurichten und das Login und das Passwort seltener zu übertragen, was die Sicherheit erhöht.
8. Datenschutz vor Verlust
Wir schützen die Daten unserer Kunden nicht nur vor unbefugtem Zugriff und Veränderung. Wir garantieren auch die Sicherheit der Daten im Falle verschiedener Ausfälle.
Dazu verwenden wir verschiedene Werkzeuge.
Beispielsweise ist für alle Clients standardmäßig eine Drei-Faktor-Replikation auf dem Datenspeichersystem verfügbar. Alle Informationen in der Cloud haben drei weitere Kopien, die über das Datenspeichersystem verteilt sind. Somit, selbst wenn ein Zwischenfall eintritt und einige der Dateien verloren gehen, können sie mithilfe von Kopien problemlos wiederhergestellt werden.
Darüber hinaus haben wir einen Notfallwiederherstellungsdienst. In der Cloud entsteht ein heißes Backup — eine Sicherungskopie Ihrer gesamten Infrastruktur. Diese Kopie wird im Hintergrund erstellt und wirkt sich nicht auf die Leistung aus.
Bei einem Ausfall wird der gesamte Traffic automatisch auf das Backup übertragen. Die Übertragungszeit entspricht RTO — der zulässigen Datenwiederherstellungszeit, die im Voraus vereinbart und festgelegt wird. Wir können RTO ab 3 Minuten garantieren.
Zusammenfassung
Technologien und Funktionen, die unsere Cloud sicher und vollständig konform mit den Anforderungen von PCI DSS und ISO 27001 machen:
- Intel SGX ist eine Reihe von Prozessoranweisungen, die es ermöglichen, einen Teil des Codes und vertrauliche Daten in Enklaven zu platzieren und sie zuverlässig vor äußeren Einflüssen zu schützen.
- Isolierte sichere Netzwerke, die virtuelle Maschinen und physische Server kombinieren können.
- Cloud-Firewall — Schutz vor Netzwerkbedrohungen.
- WAF ist ein intelligenter Schirm, der alle Schwachstellen von Webanwendungen zuverlässig vor Angreifer verbirgt.
- DDoS-Schutz — Filtration von Anfragen über eine spezielle Plattform und Blockieren von unzulässigem Traffic.
- Verwaltung von Geheimnissen — sichere Speicherung von SSL Zertifikaten und Schlüsseln im System, Aufbau einer sicheren HTTPS Verbindung zwischen Load Balancern und Clients.
- Sicherer Zugriff auf Ressourcen — Zwei-Faktor-Authentifizierung, vollständige Verwaltung von Zugriffen auf das Panel, API Token für die Verbindung über API.
- Datenschutz vor Verlust — Drei-Faktor-Replikation auf dem Datenspeichersystem und Notfallwiederherstellung von Daten.