Das Militär ist typischerweise extrem paranoid, wenn es um Datenschutz und Sicherheit geht. Vermutlich weil sie wissen, wie effektiv es ist, an die Daten des Gegners zu kommen. Aus diesem Grund hat die NSA die Entwicklung von SELinux [6] gesponsort, einem System, das Mandatory Access Control (MAC) für Linux implementiert. Die meisten Administratoren begrüßen die Idee von SELinux: Man kann die Berechtigungen einzelner Anwendungen und Dienste so beschränken, dass ein Angreifer selbst dann keinen großen Schaden anrichten kann, wenn er sich Zugriff zu diesen Anwendungen verschafft.
In der Praxis finden die meisten Administratoren SELinux dann weniger toll, denn es erschwert die Arbeit und behindert die Funktion vieler Dienste. Ich musste SELinux abschalten, weil damit Samba (mit nicht standardisierten Shares) und einige Webanwendungen nicht mehr funktionierten. Für Service-Provider, insbesondere Anbieter von PaaS, ist SELinux dennoch eine sehr nützliche Sicherheitsmaßnahme.
Die meisten dieser Sicherheitsmaßnahmen helfen Kunden wenig, wenn sie sich mit einem böswilligen Provider konfrontiert sehen. Die meisten Verschlüsselungsverfahren basieren auf der Geheimhaltung eines Schlüssels. Interessiert sich der Provider für die Daten des Kunden, ist es ein Leichtes, im Speicher den Schlüssel zu finden. Oder er spiegelt die entsprechenden Ports der Netzwerk-Switches und schneidet den kompletten Traffic mit. Wenn er an den Schlüssel gelangt ist, kann er leicht alle Informationen entschlüsseln, etwa gespeicherte Kreditkarteninformationen.
Ein Einbrecher kann natürlich dieselben Methoden anwenden, wenn er einmal entsprechende Rechte erlangt hat. Provider müssen deshalb Maßnahmen gegen solche Angriffe treffen.
Trotz der erwähnten Herausforderungen bei der Absicherung von Cloud-Systemen, stellt Linux eine gute Basis für sichere Clouds dar. SELinux beispielsweise gibt es nun schon seit mehr als zehn Jahren und ist entsprechend ausgereift. Auch in den Hypervisor-Systemen wurden bisher keine kritischen Bugs gefunden. Jetzt ist es nur noch eine Frage der richtigen Anwendung der passenden Tools, um genügend Sicherheit in der Cloud zu gewährleisten. (ofr)
Infos