Security by Design

Die DorfCloud soll maßgeblich nach dem Prinzip "Security by Design" aufgebaut werden. Deshalb gilt primär das Pull-Prinzip, wenn aus dem Management-Netzwerk auf die DMZ zugegriffen wird. Dieses Prinzip erschwert es Angreifern direkt auf das Backend und deren umfassenden Steuerungsmöglichkeiten zugreifen zu können. Ferner wird das Netzwerk durch Port-Isolation und IP-MAC-Binding für den kundenübergreifenden Zugriff strikt getrennt.

Hinzu kommen in einer weiteren Ausbaustufe die Anomalie-Erkennung und ein umfassendes Monitoring der Systeme. Insbesondere bei der Anomalieerkennung hilft der Pull-Ansatz, da im DMZ-Umfeld erfolgte, un-autorisierte Änderungen schnell auffallen. Dadurch bleibt es einem Angreifer nur möglich, Daten abzugreifen.

Trotz aller Sorgfalt muss aber darauf hingewiesen werden, dass es generell für einen Angreifer möglich ist, auf in der DMZ gespeicherte Daten lesend zuzugreifen. Abrechnungsrelevante Daten (sofern diese einmal erhoben werden sollten) werden natürlich im Backend gespeichert, sodass das Zeitfenster hierfür für einen Angreifer sehr gering ist. Nichtsdestotrotz ist jede Software per se nicht sicher, sodass über SQL-Injections, ... ein weitreichender Zugriff auf die Frontend-Systeme erlangt werden kann.

Sobald es dedizierte Server gibt, wird auch hier auf Sicherheit geachtet werden. Neben der nur von Strato bekannten seriellen Konsole (SerialConsole) wird es vsl. auch Zugriff auf die integrierte iKVM-Schnittstelle geben. Dadurch kann gänzlich auf den SSH-Dienst verzichtet werden und eine zusätzliche Sicherheitsstufe (zweiter Faktor) zwischen Server und Administrations-Endpunkt erreicht werden. Voraussetzung hierfür ist natürlich, dass nach der Administration ein Logout auf dem Zielserver erfolgt, da durch offene Sessions ein gewisses Sicherheitsrisiko besteht.