Mobile-Menu

Sicherheit von Cloud-Datenbanken Mehr Datenbanksicherheit von Anfang an

Von Max Mether*

Anbieter zum Thema

Bei Cloud-Datenbanken liegt ein Großteil der Verantwortung für die Sicherheit in den Händen der nutzenden Unternehmen. Wer direkt bei der Konfiguration die richtigen Optionen wählt, bleibt auf der sicheren Seite.

Unternehmen müssen bei Cloud-Datenbanken die Sicherheit von Anfang an im Blick behalten. Eine sichere Alternative sind DBaaS-Angebote: Der Anbieter übernimmt hier mehr Sicherheitsaspekte, und die eigenen Admins werden entlastet.
Unternehmen müssen bei Cloud-Datenbanken die Sicherheit von Anfang an im Blick behalten. Eine sichere Alternative sind DBaaS-Angebote: Der Anbieter übernimmt hier mehr Sicherheitsaspekte, und die eigenen Admins werden entlastet.
(Bild: vectorfusionart - stock.adobe.com)

Die Nutzung von Cloud-Datenbanken ist in vielen Unternehmen alltäglich, sind die Vorteile doch überzeugend: Die Leistung der Datenbanksysteme ist leicht skalierbar, Speicherplatzprobleme existieren nicht, und der Zugriff aus unterschiedlichen geographischen Regionen ist unproblematisch. Doch trotz aller Einfachheit bleibt Datenbanksicherheit ein zentrales Thema.

Geteilte Verantwortung für Sicherheit

Cloud-Datenbanken gibt es in zwei unterschiedlichen Darreichungsformen, die abweichende Sicherheitsanforderungen haben. Bei Infrastrukturanbietern läuft die Datenbank auf einem virtuellen Server, für den das nutzende Unternehmen vollständig verantwortlich ist. Der Provider garantiert nur für den störungsfreien Betrieb der physischen Infrastruktur.

Für Plattformdienste, auch Database-as-a-Service (DBaaS) genannt, gilt für die Datenbank die geteilte Verantwortung. Vereinfacht ausgedrückt, kümmert sich der Betreiber um ein jederzeit aktuelles und mit den notwendigen Sicherheitsaktualisierungen ausgerüstetes Datenbanksystem und stellt grundlegende Sicherheitsfunktionen bereit. Die Nutzer und Nutzerinnen sind dafür verantwortlich, alle weiteren Aspekte der Datenbanksicherheit in Eigenregie zu übernehmen. Sie können dafür aus zahlreichen Sicherheitsoptionen wählen, von denen einige allerdings anfangs inaktiv sind.

Zwei-Faktor-Authentifizierung aktivieren

Trotz aller Sicherheitsbedenken ist die „ab Werk“ aktivierte Nutzerauthentifizierung oft auf die klassischen Zugangsdaten beschränkt: Nutzername oder E-Mail-Adresse und Passwort. Doch das reicht nicht aus. So lassen sich beispielsweise einigermaßen sichere Passwörter nur schwer merken. Viele Anwender und Anwenderinnen notieren sie dann auf einem Zettel, den sie irgendwo ablegen, etwa im Büroschreibtisch. Das ist grundsätzlich ein Einfallstor für Cyberkriminelle.

Sinnvoll ist deshalb eine Zwei-Faktor-Authentifizierung. Das bedeutet: Die Anwender melden sich mit mindestens zwei Identifikationsmerkmalen an eine Anwendung für die Datenbank an. Das ist beispielsweise ein spezifisches Passwort (1. Faktor) und ein Bestätigungscode (2. Faktor). Der Nutzer findet ihn in einer Authentifizierungs-App wie Google oder Microsoft Authenticator auf dem Smartphone. Dieses Verfahren verhindert beispielsweise, dass ein erbeutetes Passwort oder ein gestohlenes Smartphone zu einer Sicherheitsfalle werden, da immer beide Faktoren gebraucht werden, um den Zugang zu erhalten.

Benutzerrechte vergeben und Admin-Zugang schützen

Jeder Zugriff auf eine Cloud-Datenbank erfordert ein eigenes Benutzerkonto, das von einem Master-Admin erzeugt werden muss. Er gibt den einzelnen Nutzern ihre Rechte. Reine Anwender sollten so streng begrenzt sein, dass sie weder die Konfiguration noch die Struktur der Datenbank verändern können. Die einfachste Möglichkeit dafür ist die sogenannte rollenbasierte Sicherheit, bei der es mehrere Nutzerrollen gibt, beispielsweise Gast (Lesen von Daten), Anwender (Lesen und Schreiben von Daten) und Admin (alle Rechte).

Es sollte nur wenige Admin-Benutzerkonten geben, diese müssen zudem speziell geschützt werden. Es ist beispielsweise sinnvoll, für sie besondere Konten anzulegen, die nicht an das Single Sign-on (SSO) angebunden sind. Damit können sich Admins auch anmelden, wenn das SSO von einer Störung oder einem Cyberangriff betroffen ist. Dazu gehört auch das automatische Abmelden der Admins, wenn es eine Zeit lang keine Aktivität gab.

Daten und Verbindungen verschlüsseln

Cloud-Datenbanken bieten verschiedene Optionen an, die Daten zu verschlüsseln. Sie sind in aller Regel bei der Erstkonfiguration noch nicht aktiviert, da zunächst einmal ein Schlüssel erzeugt werden muss. Das kann mit integrierten Routinen des Datenbanksystems geschehen, aber auch über eine externe Anwendung. Diese Möglichkeit wird oft als „Bring Your Own Key“ bezeichnet: Der Schlüssel wird nicht beim DBaaS-Anbieter erzeugt und verwaltet, sondern in einer externen Anwendung.

Wichtig ist vor allem die Verschlüsselung der Daten und der Verbindungen. Die Datenverschlüsselung gilt den in Tabellen gespeicherten Daten, sodass sie ohne den richtigen Schlüssel wertlos sind. Allerdings müssen sie für den Transport zwischen dem Datenbanksystem und einem Frontend-System entschlüsselt werden. Deshalb ist es sinnvoll, eine Transportverschlüsselung einzusetzen. Es handelt sich hierbei um ein Protokoll wie HTTPS, das einen verschlüsselten Tunnel zwischen zwei Endpunkten aufbaut, in diesem Fall der Datenbank und einer nutzenden Anwendung. Wichtig ist hierbei, ob sich die Cloud-Datenbank in derselben oder einer anderen Infrastruktur oder Cloud befindet. Wenn das Unternehmen seine IT-Infrastruktur und die Datenbankplattform beim selben Cloud-Anbieter betreibt, ist die Cloud-interne Verbindung leicht zu schützen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Backups aktivieren und verschlüsseln

Inzwischen ist bei den meisten Providern die Backup-Funktion per Default aktiv. Normalerweise macht sie einmal täglich ein Backup der gesamten Datenbankinstanz mit allen aktiven Tabellen. Diese Kopie wird anschließend in einem gesonderten Speicherbereich aufbewahrt. Für die Verschlüsselung der Backups gibt es integrierte Funktionen, die jedoch aus demselben Grund wie bei der allgemeinen Daten- und Transportverschlüsselung nicht aktiv sind: Erst muss ein Schlüssel generiert werden. Da die Datenbank-Backups in Speicherbereichen des Providers abgelegt werden, sollten sie Unternehmen auf jeden Fall verschlüsseln.

Protokolle sichern und auswerten

Bei der Erstkonfiguration ist es sinnvoll, sofort die Protokollfunktionen zu aktivieren. Das sorgt für Informationen über die Aktivitäten aller Nutzer des Datenbanksystems. Zudem werden auch Auffälligkeiten im Datenbankbetrieb aufgezeichnet, beispielsweise oft wiederholte Anmeldeversuche mit wechselnden Passworteingaben. Generell sind ausführliche Protokolle ein sinnvolles Hilfsmittel für die Leistungsmessung sowie das Ermitteln von Störungsursachen, Konfigurationsproblemen und Hacker-Angriffen. Allerdings werden die Protokolle ähnlich wie Backups nur über einen bestimmten Zeitraum aufbewahrt. Wer auch länger zurückliegende Ereignisse noch analysieren will, muss sie also regelmäßig sichern.

Fazit: Datenbanksicherheit ist die Aufgabe der Nutzer

Viele Sicherheitsfunktionen liegen allein schon aus technischen Gründen in der Verantwortung der Anwender:innen. So sind häufig Vorarbeiten notwendig, etwa das Erzeugen eines Schlüssels oder die Integration eines Authentifizierungssystems. Wer hier seine Hausaufgaben macht, erreicht bereits bei der Erstkonfiguration der Datenbank ein hohes Sicherheitsniveau. Eine sichere Alternative sind auch DBaaS-Angebote: Der Anbieter übernimmt hier mehr Sicherheitsaspekte; Admins werden so entlastet.

*Der Autor: Max Mether ist ein Gründungsmitglied und Vice President Product Management der MariaDB Corporation. In dieser Position ist er für die Weiterentwicklung des MariaDB-Servers und der umliegenden Technologien verantwortlich. Davor baute er das Professional-Services-Team bei MariaDB auf. Max begann seine Karriere als Berater und Trainer für Unternehmen wie MySQL und Sun Microsystems. Der gebürtige Finne erwarb seinen Master of Science (Eng) in Physik und Mathematik an der Helsinki University of Technology.

(ID:48496964)