Wie handhabt man Verschlüsselung im Ruhezustand und während der Übertragung in der Cloud?
Kurzantwort
Verschlüsselung während der Übertragung (TLS) schützt Daten, die über das Netz wandern, vor Abhören und Manipulation; erzwinge TLS überall und lehne Klartext ab. Verschlüsselung im Ruhezustand schützt gespeicherte Daten auf Festplatten und Backups, typischerweise über KMS-verwaltete Schlüssel mit Umschlagverschlüsselung. Beide sind Basiskontrollen, aber keine stoppt eine autorisierte, aber bösartige Anfrage — der Dienst entschlüsselt transparent für gültige Aufrufer — daher bleibt Zugriffskontrolle am wichtigsten.
Verschlüsselung ist in der Cloud Pflicht, doch Kandidaten überschätzen oft, was sie bringt. Eine gute Antwort deckt beide Datenzustände ab und ist ehrlich über das Bedrohungsmodell.
Während der Übertragung — Daten auf der Leitung schützen
Daten, die zwischen Clients, Diensten und Regionen wandern, können von jedem auf dem Weg gelesen oder verändert werden. TLS liefert Vertraulichkeit und Integrität für diesen Verkehr.
- Erzwinge TLS überall, auch bei internen Dienst-zu-Dienst-Aufrufen — „es ist innerhalb der VPC" ist keine Garantie gegen einen kompromittierten Host oder fehlgeleiteten Verkehr.
- Lehne Klartext ausdrücklich ab (z. B. eine Speicherrichtlinie, die Anfragen ablehnt, bei denen
aws:SecureTransportfalse ist), damit ein fehlkonfigurierter Client nicht still zurückfallen kann.
Im Ruhezustand — gespeicherte Daten schützen
Verschlüsselung im Ruhezustand schützt Daten auf Festplatten, Snapshots und Backups, sodass ein gestohlener oder unsachgemäß außer Betrieb genommener Datenträger nutzlos ist.
- Cloud-Dienste integrieren sich mit KMS über Umschlagverschlüsselung: KMS hält den Hauptschlüssel, erzeugt einen Datenschlüssel pro Objekt, und der Datenschlüssel verschlüsselt die Daten. KMS-Schlüssel-Richtlinien entscheiden, wer entschlüsseln darf.
- Kundenverwaltete Schlüssel (CMKs) geben dir Kontrolle über Rotation, Zugriffsrichtlinie und Widerruf; anbieterverwaltete Schlüssel sind einfacher, aber weniger steuerbar. Wähle je nach Compliance-Anforderungen.
Die ehrliche Einschränkung
Hier ist die Nuance, die Interviewer abklopfen: Verschlüsselung im Ruhezustand stoppt keine autorisierte Anfrage. Wenn ein gültiger IAM-Principal ein Objekt liest, entschlüsselt der Dienst es transparent. Eine Rolle mit übermäßigen Rechten oder eine öffentliche Bucket-Richtlinie leakt Daten also trotz Verschlüsselung. Verschlüsselung schützt vor Datenträgerdiebstahl und Netzwerk-Sniffing — nicht vor schlechter Zugriffskontrolle.
Worauf Interviewer achten
Die zwei Zustände und ihre unterschiedlichen Bedrohungen unterscheiden, die KMS-Umschlagverschlüsselung sowie CMK gegenüber verwalteten Schlüsseln kennen und feststellen, dass Verschlüsselung IAM- und Richtlinienkontrollen ergänzt — niemals ersetzt.
Wahrscheinliche Anschlussfragen
- Gegen welche Bedrohung schützt Verschlüsselung im Ruhezustand tatsächlich?
- Was ist der Unterschied zwischen anbieterverwalteten und kundenverwalteten KMS-Schlüsseln?
- Warum stoppt Verschlüsselung im Ruhezustand keine Anfrage eines IAM-Principals mit übermäßigen Rechten?