Clevis und Tang

Unternehmen müssen verhindern, dass sensitive Daten in die falschen Hände geraten, gerade auch bei der Migration wichtiger Dienste in Cloudumgebungen. Doch stellt dies Administratoren vor eine Reihe von Problemen. Anders als im lokalen Rechenzentrum besteht hier kein genauer Einblick, was Cloudbetreiber mit virtuellen Disk-Images anstellen, nachdem der Kunde die zugehörige VM gelöscht hat. Also führt kein Weg an einer softwarebasierten Fulldisk- oder Partitionsverschlüsselung vorbei.

Für den Zugriff auf eine vollverschlüsselte Disk muss der Verwalter beim Systemstart an der Konsole dann das Passwort eingeben. Um diesen manuellen Eingriff zu vermeiden, gibt es mehrere automatisierte Ansätze: Ein zentraler Schlüsselserver (Key Escrow) kann die Plattenpasswörter mehrerer Server verwalten und den bootenden Servern übergeben. Dieses Verfahren erzeugt jedoch einen erheblichen Verwaltungsaufwand mit einem komplizierten Schlüssel-, Zugriffs- und Zertifikatsmanagement. Es gibt aber auch eine vergleichsweise simple Lösung: Die sogenannte "Network- bound Disk Encryption" (NBDE) mit den Open-Source-Tools "Clevis & Tang". Ins Deutsche übersetzt stehen "clevis and tang" für ein "Kurbelgelenk", wobei die beiden Teile "Gabelkopf" und "Griffzapfen" mit einem Bolzen, dem "Pin", zusammengehalten werden.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.