Speichertypen
Grundsätzlich ist Cloud-Speicher kein einheitliches Konzept. Je nach Nutzungsdauer, Leistungsanforderung und Persistenzbedarf kommen unterschiedliche Speicherarchitekturen zum Einsatz. Aus CCSP-Sicht sollte man auch zwischen Speichercharakteristik und Servicemodell unterscheiden.
Grundsätzlich lassen sich drei Speicherklassen unterscheiden:
- Long-Term Storage
- Ephemeral Storage
- Raw Storage
Diese Klassen werden je nach IaaS-, PaaS- oder SaaS-Modell unterschiedlich sichtbar und steuerbar.
Long-Term Storage
Long-Term Storage ist eine Art digitaler Archivkeller. Diesen sollte man zwar haben, nutzt ihn aber eher selten. Er dient der dauerhaften, kosteneffizienten Speicherung von Daten. Long-Term Storage dient der dauerhaften, kosteneffizienten Speicherung von Daten. Typische Anwendungsfälle sind, wenn Daten aus rechtlichen, regulatorischen oder historischen Gründen aufbewahrt werden müssen.
Eine andere Bezeichnung für Long-Term Storage ist Cold Storage. In der Cloud bedeutet dies niedrige Kosten und eine hohe Speicherdauer, jedoch eine langsame Zugriffsgeschwindigkeit.
Aus Sicherheitsperspektive erfordert die Langzeitspeicherung besondere Sorgfalt beim Schlüsselmanagement: Der Lebenszyklus der Verschlüsselungsschlüssel muss mindestens so lange sein wie der der gespeicherten Daten.
Ephemeral Storage
Ephemeral Storage ist das Gegenteil von Long-Term Storage: Es ist temporär und an den Lebenszyklus einer Instanz oder Anwendung gebunden. Die gespeicherten Daten existieren nur, solange die zugehörige VM, der Container oder die Funktion aktiv ist. Ephemeral Storage eignet sich für Caches, temporäre Dateien oder kurzlebige, leistungsintensive Rechenprozesse.
Raw Storage
Raw Storage bildet die unterste Schicht und ist die technische Grundlage für andere Speichertypen. Sie ermöglicht den direkten, unformatierten Zugriff auf Speicherressourcen.
Typische Untertypen von Raw Storage sind:
Block Storage (inkl. Volume Storage) funktioniert wie eine lokale Festplatte. Daten werden in festen Blöcken adressiert, was niedrige Latenzen ermöglicht. Es ist ideal für Betriebssysteme, Datenbanken und Transaktionssysteme.
Object Storage speichert Daten als Objekte inklusive Metadaten und ID. Er ist hoch skalierbar und perfekt für unstrukturierte Daten wie Backups und Archive geeignet.
Blob Storage ist eine auf große, unstrukturierte Datenmengen (Videos, Logs) spezialisierte Form des Object Storage und ist für Streaming und Big-Data-Analysen optimiert.
Speichertypen im Kontext der Service-Modelle
IaaS
Im IaaS-Modell hat der Kunde die größte Kontrolle über Speicherressourcen:
- Ephemeral Storage für Instanzen
- Block/Volume Storage für persistente VM-Daten
- Object Storage für unstrukturierte Daten
- Cold Storage für Archivierung
Der Kunde verwaltet Konfiguration, Verschlüsselung und Zugriffs-kontrollen.
PaaS
Im PaaS-Modell wird Speicher stärker abstrahiert:
- Managed Databases
- Integrierter Object/Blob Storage
- Automatisch verwaltete Persistenz
Der CSP übernimmt Infrastruktur- und Patch-Verantwortung, der Kunde konzentriert sich auf Daten und Zugriff.
SaaS
Im SaaS-Modell ist die Speicherarchitektur vollständig verborgen. Der Kunde interagiert ausschließlich über Anwendungen oder APIs.
Bedrohungen für Storage-Typen
Cloud-Speicher sind attraktive Angriffsziele und zahlreichen Bedrohungen ausgesetzt. Die untere Reihenfolge ist zufällig gewählt und hat keine Relevanz.
Unbefugter Zugriff (Unauthorized Access)
Unbefugter Zugriff entsteht durch kompromittierte Zugangsdaten, Fehlkonfigurationen oder übermäßige Berechtigungen. Diese Gegenmaßnahmen können die Wahrscheinlichkeit der unbefugten Zugriffe minimieren: RBAC oder ABAC, MFA, Regelmäßige Rezertifizierung von Berechtigungen, Logging und Monitoring.
Misconfiguration
Cloud-Speicher werden oft automatisiert erstellt. Ein einziger Fehler im Skript kann dazu führen, dass sensible Daten unverschlüsselt und unkontrolliert im öffentlichen Internet landen. Mithilfe der Service Control Policies, des zentralen Asset-Inventars und des Continuous Compliance Monitorings lassen sich solche Gefahrensituationen gar nicht erst entstehen.
Insider-Bedrohungen
Insider-Bedrohungen entstehen, wenn Personen mit legitimem Zugang, seien es Mitarbeiter, Auftragnehmer oder Administratoren, ihre Privilegien missbrauchen, unabhängig davon, ob dies absichtlich oder versehentlich geschieht. Da Insider klassische Sicherheitskontrollen oft umgehen können, sind strenge Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe sowie eine kontinuierliche Überwachung des Nutzerverhaltens essenziell.
Datenverlust
Datenverlust oder -beschädigung kann durch versehentliches Löschen, Hardwareausfälle oder gezielte Angriffe wie Ransomware entstehen. Die Verbreitung über gemeinsam genutzte Cloud-Laufwerke ist besonders gefährlich, da eine infizierte Datei dort mehrere Nutzer gleichzeitig betreffen kann.
Zu den wichtigsten Gegenmaßnahmen zählen Endpunktschutz, regelmäßige Scans, robuste Backup-Strategien, regelmäßige Integritätsprüfungen und Wiederherstellungstests sowie die Replikation über mehrere Regionen. In Bezug
Jurisdiktion und Data Location
Der Datenspeicherort (Data Location) ist eine Gefahrquelle, die oft unterschätzt wird. In der Cloud können Daten physisch an mehreren Standorten in verschiedenen Ländern liegen, was erhebliche Auswirkungen auf die Compliance haben kann. Gesetze wie die DSGVO oder länderspezifische Regelungen zur Datensouveränität schreiben vor, wo bestimmte Daten gespeichert werden dürfen. Die Wahl eines Anbieters mit transparenten Standortrichtlinien ist daher eine rechtliche Notwendigkeit.
Datenreste (Data Remanence)
Als Datenreste werden Daten bezeichnet, die nach einer Löschung auf einem Speichermedium verbleiben.
In mandantenfähigen Cloud-Umgebungen ist dieses Risiko besonders relevant. Wird ein Speicherlaufwerk einem neuen Kunden zugewiesen, ohne dass es zuvor sicher gelöscht wurde, können Restdaten des Vornutzers offengelegt werden. Wie bereits erwähnt, ist eine kryptografische Löschung eine optimale Lösung.
Denial-of-Service
Bei Denial-of-Service-Angriffen (DoS) werden Cloud-Speicherressourcen überlastet, um den Zugriff legitimer Nutzer zu verhindern. Auch wenn DoS kein klassisches „Speicherproblem“ ist, stellt es ein Verfügbarkeitsproblem des Storage-Systems im Sinne der CIA-Triade dar.
Unsichere APIs
Cloud-Storage wird in erster Linie über APIs angesprochen. Unsichere API-Verbindungen zählen zu den häufig übersehenen Risiken. Da APIs das primäre Zugriffstor zum Cloud-Speicher sind, können schlecht konfigurierte oder schwach authentifizierte Schnittstellen Angreifern Tür und Tor öffnen. Mögliche Gegenmaßnahmen sind eine starke Authentifizierung, Transportverschlüsselung (TLS) und eine konsequente Eingabevalidierung.