RestAssured: Secure Data Processing in the Cloud

Im Projekt RestAssured werden Lösungen für Cloud-Systeme erarbeitet, die in der Lage sind, auf Änderungen der Umgebung oder der Anforderungen durch geeignete Anpassungen zur Laufzeit zu reagieren.


Die Cloud-Dienste im Internet werden immer zahlreicher und komfortabler. Für die Nutzer wird es jedoch zunehmend schwerer nachzuvollziehen, was solche Cloud-Dienste mit den persönlichen Daten machen und ob persönliche Daten in unerwünschte Hände gelangen.

Cloud-Systeme sind in hohem Maße dynamisch: Die Rechenlast der Cloud-Dienste ändert sich kontinuierlich je nach Nutzer-Verhalten, Rechner fallen manchmal aus, Software-Komponenten werden zwischen Rechnern oder gar Rechenzentren migriert usw. Beim Thema Datensicherheit kommen zusätzliche Dimensionen der Dynamik hinzu. Beispielsweise kann ein Nutzer die Sicherheitseinstufung seiner Daten ändern, so dass Datensätze, die bisher nicht geschützt werden muss-ten plötzlich als schützenswert eingestuft sind oder umgekehrt. Der Schutz persönlicher Daten in der Cloud muss daher die sich ständig ändernden Ziele und Rahmenbedingungen berücksichtigen.

Weitere Gefahrenquellen für den Datenschutz gehen von anderen Cloud-Nutzern aus. Um die Kosten niedrig zu halten, ist es im Cloud-Computing üblich, dass Software-Komponenten für unterschiedliche Nutzer auf demselben Rechner im Rechenzentrum laufen, gegebenenfalls gekapselt in sogenannte virtuelle Maschinen, aber immerhin auf derselben physischen Maschine. Dies ermög-licht prinzipiell, dass eine bösartige Software-Komponente eines Nutzers die Daten eines anderen Nutzers, die auf demselben Rechner beheimatet sind, ausspioniert oder verfälscht.

Bisherige Lösungen konzentrieren sich hauptsächlich auf die Abwendung konkreter Angriffsmöglichkeiten, etwa durch verschiedene Verschlüsselungsverfahren oder Authentifizierungstechniken. Damit soll der Datenschutz durch konstruktive Maßnahmen von vornherein garantiert werden. Solche Ansätze sind für die zunehmend hohe Dynamik von Cloud-Systemen, die mit häufig ändernden Rahmenbedingungen und damit stets neuen Gefährdungen einhergeht, leider nicht mehr ausreichend.

Um mit dieser vielfältigen Dynamik umgehen zu können, ist Adaptionsfähigkeit der Cloud-Systeme gefordert. Im Projekt RestAssured werden daher Lösungen erarbeitet, die in der Lage sind, auf Änderungen der Umgebung oder der Anforderungen durch geeignete Anpassungen zur Laufzeit zu reagieren. Dazu werden die Konfiguration des Cloud-Systems sowie die Datensicherheitsanforderungen der Nutzer kontinuierlich beobachtet. Falls potentielle Verletzungen festgestellt werden, passen sich die Cloud-Dienste an, um solche Verletzungen zu verhindern oder zu mitigieren.

RestAssured kombiniert den adaptionsbasierten Ansatz mit innovativen Sicherheitsmechanismen zu einer ganzheitlichen Lösung. Insbesondere wird der Einsatz vollhomomorpher Verschlüsselung und sicherer Hardware-Enklaven evaluiert, um geeigneten Datenschutz bieten zu können. Dabei werden neben einer Auswirkung auf die Sicherheitseigenschaften auch „Nebenwirkungen“ auf andere Qualitätsattribute wie Performanz oder Kosten betrachtet, um die insgesamt beste Konfiguration wählen zu können. Des Weiteren werden sogenannte Sticky Policies verwendet, um den Lebenszyklus von Daten verwalten und Änderungen beobachten zu können.

Das paluno-Team ist einerseits verantwortlich für das Arbeitspaket „Run-time data protection assurance“, das das kontinuierliche Monitoring und darauf aufbauend die Ansteuerung der entsprechenden Adaptionsmaßnahmen verwirklicht. Andererseits verantworten paluno-Teammitglieder mehrere übergreifende Aktivitäten des Projektes, inklusive der Gesamtarchitektur und des ge-meinsamen Testbeds.

Förderung

Fördergeber: Europäische Union (EU)

Programm: Horizon 2020

Typ: Forschungs- und Innovationsprojekt

Fördersumme: 647.000 EUR (Gesamtfördersumme 4,99 Mio. EUR)

Laufzeit: 01/2017 - 12/2019

Ansprechpartner

Projektpartner

  • IBM Israel
  • Adaptant Solutions AG
  • University of Southampton
  • Oxford Computer Consultants Ltd.
  • Thales Services SAS
  • Universität Duisburg-Essen

This project has received funding from the European Union's Horizon 2020 research and innovation programme under grant agreement no. 731678.