Diese Anlage beschreibt die Maßnahmen, die von der open3A GmbH in der open3A Cloud umgesetzt werden, um die Sicherheit der Kundendaten zu gewährleisten.
Die Server sind in folgendem Rechenzentrum untergebracht:
Datacenter-Park Nürnberg
Das Rechenzentrum verfügt über folgende moderne Infrastruktur und ist Zertifiziert gemäß DIN ISO/IEC 27001:
Weitere Details zum Rechenzentrum finden Sie unter https://www.hetzner.com/de/unternehmen/rechenzentrum/
Die Verbindung des Benutzers zum Lastverteilungs-Server wird nach dem Stand der aktuellen Technik verschlüsselt. Dabei wird darauf geachtet, dass als unsicher geltende Verfahren nicht zugelassen sind und damit keine Verbindung möglich ist. Eine Zusammenfassung über die Verbindungssicherheit erhalten Sie unter folgender Adresse:
https://www.ssllabs.com/ssltest/analyze.html?d=cloud.open3a.de
Um die ständige Verfügbarkeit zu gewährleisten und einen Verlust der Daten auszuschließen, wird folgende Architektur verwendet, die alle Daten jederzeit auf mehreren Servern gleichzeitig vorhält:
Es erfolgt sowohl die Replikation der Datenbank-Daten als auch der von den Kunden hochgeladenen Dateien.
Die Server-Hardware wird vom Anbieter Hetzner Online GmbH betrieben und überwacht. Hetzner ist seit vielen Jahren ein bekannter Name in diesem Bereich.
Alle Maßnahmen folgen dem Grundsatz, dass einem Angreifer so wenig potentielle Ziele wie möglich angeboten werden. Dies bedeutet zunächst, dass wichtige Angriffsziele wie die Datenbank- und Webserver - soweit möglich - gar nicht von außen erreichbar sind, sondern nur über den in der vorherigen Abbildung dargestellten Gateway.
Die Benutzer-Anmeldung am und über den Gateway erfolgt über ein kryptografisches Schlüsselverfahren. Es wird dabei darauf geachtet, dass keine allgemein bekannten Benutzernamen (root) zur öffentlichen Anmeldung zur Verfügung stehen, so dass einem Angreifer zusätzlich der Benutzer unbekannt ist.
Als Betriebssystem auf den Servern kommt das weit verbreitete Debian Linux zum Einsatz. Konkret werden hauptsächlich folgende sicherheits- und datenrelevante Anwendungen verwendet:
openSSH, Apache, HAProxy, GlusterFS, MySQL mit Galera Cluster
Alle Anwendungen stehen als open source zur Verfügung, werden von einem breiten Anwenderkreis eingesetzt und bieten daher eine gute und vielfach geprüfte Grundsicherheit.
Jeder Kunde erhält innerhalb der Datenbank eigene Zugangsdaten, mit denen ein Zugriff nur auf die eigenen Datensätze möglich ist. Damit wird ausgeschlossen, dass die Kunden untereinander auf die Daten anderer Kunden zugreifen können.
Innerhalb der Anwendung open3A erfolgt die Anmeldung per Benutzername und Passwort. Die Passwortvergabe obliegt dabei dem Kunden selbst.
Die Sicherung sowohl der Datenbank als auch der von den Kunden hochgeladenen Dateien erfolgt mehrmals täglich automatisiert und wird ebenfalls auf mehreren Servern gleichzeitig gespeichert. Die Datensicherungen werden für 30 Tage aufbewahrt und dann vom System gelöscht.
Neben der Hardware-Überwachung werden auch die zur Verfügung gestellten Dienste mit einer Softwarelösung überwacht, um bei Problemen aktiv eine Nachricht zu erhalten und schnellstmöglich reagieren zu können.