none
EFS und Cloud - wie kann ein Zertifikat beim Auftraggeber verbleiben RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Gegeben ist folgendes Szenario: mehrere Server im Haus sind veraltet und müssen ersetzt werden. Die Verschiebung zu einer Cloud-Lösung wird in Betracht gezogen. Das Rechenzentrum liegt in Deutschland. Von den Daten liegt einiges an Besonderen Kategorien (z.B. Gesundheitsdaten) vor. Damit ergibt sich die Forderung, dass die Daten verschlüsselt gespeichert werden und zwar so, dass der Schlüssel beim Auftraggeber verbleibt.

    Technische Hilfe bei der Installation des Zertifikats wird wohl vom gleichen Anbieter erfolgen müssen, wobei m.E. das Zertifikat nicht zwingend übergeben werden muss. 

    Ich stelle mir das so vor:

    1. ein Zertifikat für EFS wird extern beschafft.
    2. ein Techniker, evtl. vor Ort, installiert das Zertifikat remote auf Server und allen Vorort-Clients (sind ein paar, aber machbare Menge).

    Das Zertifikat ist dann im Serverspeicher gespeichert. Aber ein Server-Admin käme doch immer noch da dran? Ebenso wie der Admin der Clients über die Clients selbst? Oder übersehe ich da was / gibt es da Wege und Möglichkeiten?

    PS: ich bin der bestellte Datenschutzbeauftragte. Aber schon recht lange aus der Technik raus.

    PPS: Die gleiche Anfrage ging an den Anbieter/Auftragnehmer, der sich bislang in Schweigen hüllt (was ein gutes Indiz sein kann). Anyway, ich hätte ich gerne eine zweite Meinung dazu.

    Vielen Dank schon mal vorab.

    -- Thx & Best Regards Hubert Daubmeier

    Mittwoch, 15. August 2018 11:22
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ich glaube nicht, dass das Vorhaben so umsetzbar ist.

    1. gibt es nicht "DAS EFS-Zertifikat", sondern diese sind User-bezogen, d.h. für jeden Benutzer muss ein solches Zertifikat ausgestellt werden, und zusätzlich noch einige Recovery Agents. Es sind alles Zertifikate mit ganz bestimmten Parametern und unterscheiden sich erheblich von normalen SSL-Serverzertifikaten.

    2. ich glaube nicht, dass eine öffentliche CA Dir solche Zertifikate ausstellt. Es ist auch nicht erforderlich, denn das Vertrauen in die CA wird bei EFS auch nicht geprüft oder zumindest nicht erzwungen, solange das Zertifikat richtig ist.

    Was ich machen würde, ist eine PKI dort zu etablieren und zuzusehen, dass die Mitarbeiter des Anbieters keine Admin-Rechte darauf bekommen. Wenn der Anbieter dort Domänen-Adminrechte hat, kann diese PKI freilich nicht Enterprise sein, was das ganze Enrollment-Thema etwas erschwert.

    Ansonsten siehe Gesetze #3 und #6, die auf Dein Szenario anwendbar sind (https://blogs.technet.microsoft.com/rhalbheer/2011/06/16/ten-immutable-laws-of-security-version-2-0/)

    EDIT: Und dann muss der Provider noch seinen Senf dazu geben, was Themen wie Backup und Virenscan angeht.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    • Bearbeitet Evgenij Smirnov Mittwoch, 15. August 2018 11:47
    • Als Antwort markiert MrProcess Donnerstag, 16. August 2018 17:16
    Mittwoch, 15. August 2018 11:35
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ich glaube nicht, dass das Vorhaben so umsetzbar ist.

    1. gibt es nicht "DAS EFS-Zertifikat", sondern diese sind User-bezogen, d.h. für jeden Benutzer muss ein solches Zertifikat ausgestellt werden, und zusätzlich noch einige Recovery Agents. Es sind alles Zertifikate mit ganz bestimmten Parametern und unterscheiden sich erheblich von normalen SSL-Serverzertifikaten.

    2. ich glaube nicht, dass eine öffentliche CA Dir solche Zertifikate ausstellt. Es ist auch nicht erforderlich, denn das Vertrauen in die CA wird bei EFS auch nicht geprüft oder zumindest nicht erzwungen, solange das Zertifikat richtig ist.

    Was ich machen würde, ist eine PKI dort zu etablieren und zuzusehen, dass die Mitarbeiter des Anbieters keine Admin-Rechte darauf bekommen. Wenn der Anbieter dort Domänen-Adminrechte hat, kann diese PKI freilich nicht Enterprise sein, was das ganze Enrollment-Thema etwas erschwert.

    Ansonsten siehe Gesetze #3 und #6, die auf Dein Szenario anwendbar sind (https://blogs.technet.microsoft.com/rhalbheer/2011/06/16/ten-immutable-laws-of-security-version-2-0/)

    EDIT: Und dann muss der Provider noch seinen Senf dazu geben, was Themen wie Backup und Virenscan angeht.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    • Bearbeitet Evgenij Smirnov Mittwoch, 15. August 2018 11:47
    • Als Antwort markiert MrProcess Donnerstag, 16. August 2018 17:16
    Mittwoch, 15. August 2018 11:35
    |
  • Question
    Anmelden
    0
    Anmelden
    Ganz herzlichen Dank

    -- Thx & Best Regards Hubert Daubmeier

    Donnerstag, 16. August 2018 17:16
    |