Optimierung der individuellen Dateiverschlüsselung in Microsoft Azure durch den kontrollierten Rückbau von Utimaco u.trust LAN Crypt und die Nutzung nativer Azure-Sicherheitsmechanismen.

Challenge / Problem

Siemens setzte für den Schutz sensibler Dateifreigaben historisch auf Utimaco u.trust LAN Crypt, was im Cloud-Umfeld zu zusätzlicher Komplexität und operativem Mehraufwand führte. Mit der Einführung von Azure File Shares mit nativer Verschlüsselung im Ruhezustand entstand eine Überschneidung bestehender Sicherheitsmechanismen.

  • Zusätzliche Betriebs- und Supportkomplexität durch clientseitige Entschlüsselung mit LAN Crypt
  • Leistungseinbußen und negative Auswirkungen auf die Benutzererfahrung
  • Fehlende zentrale Transparenz über verschlüsselte Dateifreigaben und Fortschritt der Entschlüsselung
  • Redundante Verschlüsselung für C2-Daten durch Azure-native Security Features
  • Notwendigkeit einer klaren Trennung zwischen C2- und C3-Sicherheitsanforderungen gemäß interner Richtlinien

Unser Vorgehen

CloudAstro entwickelte ein strukturiertes, automatisiertes Vorgehensmodell, um die bestehende LAN-Crypt-Nutzung kontrolliert zurückzuführen und gleichzeitig die Sicherheitsanforderungen von Siemens vollständig einzuhalten.

  • Einführung des Programms „LAN Crypt Housekeeping“ zur systematischen Reduzierung von Legacy-Verschlüsselung
  • Definition einer wellenbasierten Entschlüsselungsstrategie, um Geschäftsunterbrechungen zu vermeiden
  • Aufbau regionaler Entschlüsselungsserver (Europa, Amerika, Asien, Australien) für performante Verarbeitung
  • Zentrale Bestandsführung und Steuerung über eine SQL-gestützte Inventar- und Steuerungslogik
  • Abstimmung der Zielarchitektur auf Azure File Share Encryption at Rest (C2) und Double Key Encryption (DKE) für C3-Daten

Implementierung

Die Umsetzung erfolgte hochautomatisiert, nachvollziehbar und global skalierbar, mit vollständiger Transparenz für alle beteiligten Fachbereiche.

  • Zentrale Inventarisierung aller C2-Dateifreigaben in einer SQL-Datenbank
  • Planung und Durchführung der Entschlüsselung in definierten Wellen mit frühzeitiger Information der Datenverantwortlichen
  • Nutzung regionaler Entschlüsselungsserver, um Verarbeitung nahe an den Azure-Datenzentren sicherzustellen
  • Automatisierte Skriptausführung pro Welle inklusive Protokollierung und Statusrückmeldung
  • Validierung der Ergebnisse, schrittweise Stilllegung von LAN Crypt und Vorbereitung der C3-Absicherung über DKE

Ergebnisse

Die neue Zielarchitektur reduziert Komplexität, verbessert die Performance und schafft eine zukunftssichere Sicherheitsbasis für Dateiservices in Microsoft Azure.

  • Deutlich reduzierte Betriebs- und Legacy-Risiken durch den Rückbau von LAN Crypt
  • Verbesserte Performance und Benutzererfahrung durch Wegfall clientseitiger Entschlüsselung
  • Klare, regelkonforme Trennung von C2- und C3-Sicherheitsanforderungen
  • Zentrale Transparenz und Nachvollziehbarkeit aller Entschlüsselungsvorgänge
  • Zukunftsfähige Sicherheitsarchitektur im Einklang mit internen C2/C3-Policies und Azure Best Practices