none
Wie sicher sind Informationen in SHAREPOINT? (Frage zu Verschlüsselung von Daten und Datenaustausch) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Sehr geehrte TechNet Community,

    ich möchte einen Aufsatz über die Sicherheit von Informationen in Microsoft SharePoint schreiben. Ich habe herausgefunden, dass bei uns ein AD DS für die Personen verwendet wird, die sich bei SharePoint anmelden können. Und das SharePoint mit einem Transport Layer Security_RSA_WITH_AES_128_CBC_SHA, 18-Bit-Schlüssel den Datenaustausch zwischen dem Server und dem Client schützt. Für die Abkürzungen habe ich Wikipedia-Artikel gefunden die auf den ersten Blick glaubwürdig erscheinen. Aber vielleicht haben Sie ja Ideen für weitaus zitier würdigere Quellen. Am liebsten natürlich Bücher. AES eine Blockverschlüsselung. Aber was bedeutet die 128 hinter AES und vor allem würde ich gerne wissen, was die ganzen Verfahren in Kombination bewirken also wie sicher ist diese Art der Verschlüsselung? Gibt es eine Art "Index" der berechnet werden kann um eine vergleichbare Aussage über die Sicherheit treffen zu können? Sowas wie Verschlüsselt mit einer Sicherheit von Rang E wobei die Kategorien von A - Z gehen...

    Weiterhin wurde mir gesagt, dass die Kommunikation über ein vertrauenswürdiges Zertifikat, welches durch die deutsche Telekom Root CA2 signiert ist, erfolgt.

    Wissen Sie, was das bedeutet?

    Haben Sie darüber hinaus noch weitere Informationen zur Sicherheit von Informationen in SharePoint die in einem solchen Aufsatz nicht fehlen dürfen? 

    Vielen lieben Dank!

    Mit freundlichen Grüßen

    Marius


    • Bearbeitet Marius2304 Samstag, 22. März 2014 14:13
    Freitag, 21. März 2014 10:54
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hi,
    bei der Betrachtung, wie sicher Daten im SharePoint sind, sollte zuerst das Ziel der Betrachtung etwas genauer definiert werden. Wenn es um mehr als nur um den Transport der Daten zwischen Client und WebServer geht, dann kann das schon eine mehrere hundert Seiten große Ausarbeitung werden. Dazu können dann zählen:

    - Definition der Sicherheit, wie sie betrachtet wird (was ist ein unberechtigter Zugriff, was ist ein Ausfall, was soll geschützt werden, was ist tolerierbar, welche Zeiten sind akzeptabel usw.?);
    - Sicherheit in den einzelnen Ebenen des ISO-7-Schichten-Modells;
    - Sicherheit der Server der SharePoint Farm (Zugriff, Ausfall);
    - Berechtigungskonzept im SharePoint;
    - Konfiguration der SharePoint Farm (alternative URLs, Zonen, verwaltete Konten, Secure Store Service);
    - Sicherheit des SQL Clusters (Zugriff, Ausfall, Verschlüsselung);
    - Sicherheit der Workflow Farm (Zugriff, Ausfall);
    - Sicherheit in der Domäne (NTLM, Kerberos);
    - Software-Sicherheit der Lösungen und Apps (was ist ein Ausfall?);
    - Sicherheit der externen Datenquellen (BCS Konfiguration);

    --
    Peter

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. März 2014 08:19
    • Als Antwort markiert Alex Pitulice Donnerstag, 27. März 2014 09:35
    Sonntag, 23. März 2014 08:15
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,
    im ersten Posting hast Du Techniken genannt, die die Sicherheit des Transports zwischen Client und Server beeinflussen. Jetzt schreibst Du, dass es unwahrscheinlich ist, das in den Transport der Daten zwischen Client und Server eingegriffen wird. Gerade in diesem Prozess ist es recht einfach Information abzugreifen, was die NSA auch bewiesen hat.

    Wenn es Dir nur um den Schutz der abgelegten Daten geht, nicht um die Sicherheit bei Erfassung und Anzeige, dann ist das vom Anwender konzipierte und im SharePoint umgesetzte Rechtekonzept von Bedeutung. Ein einfaches Rechtekonzept kann man schon auf 2 Seiten darlegen. Üblicherweise ist das ein Matrix mit Zeilen für die Rechtegruppen und Spalten für die konkreten Rechte (Rollen) in einem definierten Bereich (Web, Liste, Bibliothek). Diese Spalten können auch gruppiert werden, um beispielsweise Vererbungen zu nutzen.

    Beim Thema Zeiten geht es vor allem um Sicherheit als Kriterium der Verfügbarkeit, d.h., wie lange darf eine Farm oder eine Funktion im SharePoint maximal nicht verfügbar sein, wenn ein Sicherheitsaspekt verletzt wurde (z.B. Hardware-Ausfall).

    Jedes Sicherheitssystem ist maximal nur so sicher, wie der Schlüssel gesichert ist. Wenn beispielsweise der Administrator seine Kontoinformation weitergibt, ist die Sicherheit nicht mehr gewährleistet usw.

    --
    Peter

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. März 2014 08:19
    • Als Antwort markiert Alex Pitulice Donnerstag, 27. März 2014 09:35
    Sonntag, 23. März 2014 12:59
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hi,
    bei der Betrachtung, wie sicher Daten im SharePoint sind, sollte zuerst das Ziel der Betrachtung etwas genauer definiert werden. Wenn es um mehr als nur um den Transport der Daten zwischen Client und WebServer geht, dann kann das schon eine mehrere hundert Seiten große Ausarbeitung werden. Dazu können dann zählen:

    - Definition der Sicherheit, wie sie betrachtet wird (was ist ein unberechtigter Zugriff, was ist ein Ausfall, was soll geschützt werden, was ist tolerierbar, welche Zeiten sind akzeptabel usw.?);
    - Sicherheit in den einzelnen Ebenen des ISO-7-Schichten-Modells;
    - Sicherheit der Server der SharePoint Farm (Zugriff, Ausfall);
    - Berechtigungskonzept im SharePoint;
    - Konfiguration der SharePoint Farm (alternative URLs, Zonen, verwaltete Konten, Secure Store Service);
    - Sicherheit des SQL Clusters (Zugriff, Ausfall, Verschlüsselung);
    - Sicherheit der Workflow Farm (Zugriff, Ausfall);
    - Sicherheit in der Domäne (NTLM, Kerberos);
    - Software-Sicherheit der Lösungen und Apps (was ist ein Ausfall?);
    - Sicherheit der externen Datenquellen (BCS Konfiguration);

    --
    Peter

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. März 2014 08:19
    • Als Antwort markiert Alex Pitulice Donnerstag, 27. März 2014 09:35
    Sonntag, 23. März 2014 08:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Peter,

    vielen Dank für die Mühe! Für den Aufsatz habe ich eine Vorgabe von 2 Seiten bekommen. Es geht um den Schutz der 'abgelegten' Informationen in den Listen und Bibliotheken. Ich halte es für äußerst unwahrscheinlich, dass jemand versucht direkt in den Datenaustausch einzugreifen. 

    Was meinen Sie mit: "welche Zeiten akzeptabel sind"? Zugriffszeiten? Also wie lange der Server auf eine Antwort des Clients wartet?

    Ein paar ganz allgemeine Informationen habe ich in Form eines Verfahrensverzeichnisses vom Datenschutzbeauftragen bekommen. Das genügt um die verwendeten Sicherheitslösungen zu beschreiben aber wie sicher diese tatsächlich sind, darüber kann ich keine Aussage treffen. Aber genau solch eine Aussage wird von mir gefordert. Welches Vorgehen würden Sie mir in diesem Fall empfehlen? Soll ich nach Unternehmen oder staatlichen Einrichtungen suchen, die die ein oder andere Methode ebenfalls einsetzen, um diese als 'Beispiel für die Sicherheit' angeben zu können?

    Mit freundlichen Grüßen

    Marius

    Sonntag, 23. März 2014 11:36
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,
    im ersten Posting hast Du Techniken genannt, die die Sicherheit des Transports zwischen Client und Server beeinflussen. Jetzt schreibst Du, dass es unwahrscheinlich ist, das in den Transport der Daten zwischen Client und Server eingegriffen wird. Gerade in diesem Prozess ist es recht einfach Information abzugreifen, was die NSA auch bewiesen hat.

    Wenn es Dir nur um den Schutz der abgelegten Daten geht, nicht um die Sicherheit bei Erfassung und Anzeige, dann ist das vom Anwender konzipierte und im SharePoint umgesetzte Rechtekonzept von Bedeutung. Ein einfaches Rechtekonzept kann man schon auf 2 Seiten darlegen. Üblicherweise ist das ein Matrix mit Zeilen für die Rechtegruppen und Spalten für die konkreten Rechte (Rollen) in einem definierten Bereich (Web, Liste, Bibliothek). Diese Spalten können auch gruppiert werden, um beispielsweise Vererbungen zu nutzen.

    Beim Thema Zeiten geht es vor allem um Sicherheit als Kriterium der Verfügbarkeit, d.h., wie lange darf eine Farm oder eine Funktion im SharePoint maximal nicht verfügbar sein, wenn ein Sicherheitsaspekt verletzt wurde (z.B. Hardware-Ausfall).

    Jedes Sicherheitssystem ist maximal nur so sicher, wie der Schlüssel gesichert ist. Wenn beispielsweise der Administrator seine Kontoinformation weitergibt, ist die Sicherheit nicht mehr gewährleistet usw.

    --
    Peter

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. März 2014 08:19
    • Als Antwort markiert Alex Pitulice Donnerstag, 27. März 2014 09:35
    Sonntag, 23. März 2014 12:59
    |