Ransomware Abwehr mit Rubrik | durch vollständig verschlüsseltes Lifecycle-Management 05.10.2021

Während des gesamten Sicherungsprozesses mit Rubrik werden Kundendaten verschlüsselt, vom Backup bis hin zur Wiederherstellung. Unabhängig davon ob die Daten im lokalen Cluster oder in der Cloud vorgehalten werden.  Wie setzt Rubrik dies um?

| End-to-End Verschlüsselung

Die Verschlüsselung von Rubrik kann in zwei verschiedene Datenbereiche unterteilt werden: Data at Rest und Data in Flight.
Data at Rest Verschlüsselung (DARE) ist eine Schlüsselstrategie für den Einsatz eines Defense-in-Depth-Ansatzes in der Sicherheitswelt. Gemeinsam mit Rubrik Zero Trust Data Management™ und dem unveränderlichen Dateisystem bildet dies die Grundlage für die Sicherheit des Rubrik Systems. Ruhende Daten werden bei Rubrik über zwei Optionen gesichert: Software-Verschlüsselung und Hardware-Verschlüsselung.


| Software-Verschlüsselung

Die Softwareseitige Verschlüsselung bei Rubrik wird auf der Anwendungsebene ausgeführt. Wenn Daten eingelesen werden, generiert Rubrik einen einmaligen symmetrischen Datenverschlüsselungsschlüssel (DEK) mit AES-256 Code. Es werden sowohl die eingelesenen Backup-Daten als auch alle damit verbundenen Metadaten verschlüsselt. Hierdurch werden die Daten ohne den zugehörigen DEK im Wesentlichen unlesbar, sogar für die Rubrik-Plattform selbst. Der zugehörige DEK muss neben den Daten selbst ebenfalls gesichert werden. Eine lokale Speicherung des generierten DEK ist zwar eine Option, stellt aber ein Sicherheitsrisiko dar, da jeder, der über den DEK verfügt, die Daten entschlüsseln könnte. Um dies zu verhindern verwendet Rubrik eine Technik namens Envelope Encryption (Umschlagsverschlüsselung), mit welcher der DEK mit einem weiteren Schlüssel verschlüsselt wird, dem Key Encryption Key (KEK). Der verschlüsselte DEK wird dann zusammen mit den Codetextdaten gespeichert, während alle Klartextversionen davon sofort aus dem Speicher gelöscht werden. Wenn Rubrik die Daten lesen muss, werden zwei Verschlüsselungsphasen durchlaufen, wobei zunächst der DEK mit einem KEK entschlüsselt wird und dann die Daten selbst entschlüsselt werden. Um KEKs zu erhalten und zu verwalten, können Kunden entweder den internen Trusted Platform Module (TPM) Chip in der Rubrik-Appliance nutzen oder einen externen Key Management Interoperability Protocol (KMIP) konformen Key Management Server, wie er von Hytrust oder Cryptsoft angeboten wird. In beiden Fällen ist eine einfache Schlüsselrotation auf den KEKs entweder über die UI oder die RESTful API durchführbar.

 

| Hardware Verschlüsselung

Behörden auf Bundes-, Landes- oder kommunaler Ebene stehen oft vor der Herausforderung, wachsende Mengen an sensiblen Daten zu schützen und unterliegen strengen Verschlüsselungsvorschriften. Um diese Herausforderungen zu meistern, bietet Rubrik auch Plattformen an, die mit FIPS 140-2 Level 2 validierten, selbstverschlüsselnden Festplatten und Solid State Drives die höchste Schutzstufe erreichen.

Die Hardware-Verschlüsselung funktioniert ähnlich wie die Software-Verschlüsselung, aber anstatt dass Rubrik die Verschlüsselung der Daten innerhalb der Software durchführt, nutzen die selbstverschlüsselnden Laufwerke die Laufwerks-Firmware, um die Verschlüsselung durchzuführen. Jedes selbstverschlüsselnde Laufwerk verwendet ein Passwort, um seine DEKs zu generieren, und die DEKs gelangen nie in den Speicherbereich. Diese Passwörter werden, ähnlich wie die in der Rubrik generierten DEKs, durch einen KEK weiter verschlüsselt, der wiederum über einen internen TMP- oder externen KIMP-konformen Schlüsselverwaltungsserver verwaltet wird.


| Verschlüsselung der Daten "in Transit" 

Während die Verschlüsselung der ruhenden Daten oft im Mittelpunkt steht, ist es genauso wichtig, dass alle Daten während der Übertragung verschlüsselt sind. Ob zur Verhinderung von Man-in-the-Middle-Angriffen, Paket-Sniffers oder allgemeiner bösartiger Aktivitäten - die Verschlüsselung von Daten auf ihrem Weg durch das Netzwerk ist von entscheidender Bedeutung. Wie Sie sich vorstellen können, verwaltet eine Datenverwaltungslösung Daten - und das bedeutet nicht nur, dass sie zu einem zentralen Repository für alle Produktionsdaten wird, sondern auch, dass sie diese Daten bewegt, indem sie Aufgaben zur Unterstützung von Funktionen wie Langzeitarchivierung und Replikation ausführt. 

 

 

Wie oben dargestellt, kann Rubrik die gesamte externe und interne Kommunikation zwischen geschützten Objekten, der Rubrik-Plattform vor Ort, der Cloud und Rubrik Polaris sehen. Die gesamte Kommunikation in und aus der Rubrik-Plattform wird wie folgt verschlüsselt:

Die Kommunikation zwischen geschützten Umgebungen und Rubrik ist vollständig verschlüsselt. Die Kommunikation zu und von VMware vSphere Umgebungen nutzt das NBDSSL Protokoll, während die Kommunikation zu und von anderen geschützten Quellen über TLS verschlüsselt wird. Neben der Sicherstellung, dass jede interne Knotenanforderung autorisiert und authentifiziert ist, wird die gesamte Kommunikation innerhalb des Rubrik-Clusters nach dem "trust nothing"- Ansatz einer Zero-Trust Architektur von Knoten zu Knoten über TLS verschlüsselt. Wenn Daten archiviert werden, ob zu einem öffentlichen Cloud-Speicheranbieter oder zu einem lokalen Object Store, NFS oder Tape Target, werden sie während der Übertragung vollständig über TLS verschlüsselt. Die Daten selbst sind auch im Ruhezustand verschlüsselt, unabhängig vom Speicherort. Wenn Daten zu einem anderen Rubrik-Cluster für DR-Zwecke repliziert werden, ist die gesamte Kommunikation zwischen den Clustern vollständig über TLS verschlüsselt. Auch die Kommunikation zwischen Rubrik Polaris und den Clustern ist vollständig über TLS verschlüsselt.

Viele SaaS-Angebote rund um den Cloud-nativen Schutz innerhalb von Rubrik Polaris müssen auch mit den Cloud-Umgebungen der Kunden kommunizieren. Die gesamte Kommunikation zwischen Rubrik Polaris und einem Kunden-Cloud-Account ist über TLS verschlüsselt.
Darüber hinaus müssen alle Anfragen an die Rubrik-Plattform, entweder über die UI oder einen RESTful API-Endpunkt, authentifiziert und autorisiert werden und sind vollständig über TLS verschlüsselt. Viele SaaS-Angebote rund um den Cloud-nativen Schutz innerhalb von Rubrik Polaris müssen auch mit den Cloud-Umgebungen der Kunden kommunizieren. Die gesamte Kommunikation zwischen Rubrik Polaris und einem Kunden-Cloud-Account ist über TLS verschlüsselt. Darüber hinaus müssen alle Anfragen an die Rubrik-Plattform, entweder über die UI oder einen RESTful API-Endpunkt, authentifiziert und autorisiert werden und sind vollständig über TLS verschlüsselt.

Insgesamt ist der gesamte Rubrik Software-Stack auf der Idee des Zero Trust Data Management aufgebaut, vertraut standardmäßig nichts, bietet rollenbasierte Zugriffskontrolle und unterstützt Multi-Faktor-Authentifizierung, die alle von einem verteilten, unveränderlichen Dateisystem unterstützt werden. 

 

Sie interessieren sich für Rubrik oder wollen in ein neues Projekt starten? Sprechen Sie uns an, Ihr TIM Vertiebsansprechpartner steht Ihnen gerne mit Rat und Tat zur Seite.