FileCloud „Zero Trust“ Architektur
FileCloud unterstützt ab Version 22.x das hochsichere Teilen von Dateien mittels „Zero Trust“ Architektur:
- Passwortgeschützte ZIP- Dateien als „Zero Trust“ Ordner
- AES-256 Verschlüsselung
- Passwort und privater Schlüssel werden nicht in FileCloud gespeichert, sondern verbleiben immer beim Anwender
- Unterstützung von jpg, png, pdf, txt, docx, pptx, xlsx – Dateien
Was ist Zero Trust?
Zero Trust funktioniert auf der Grundlage von ständiger Identitätsprüfung und Zugriff mit geringsten Rechten. Nutzer haben nur Zugriff auf die Daten, die sie wirklich benötigen. Durch Nutzung des Zip Ordner Mechanismus können Endnutzer Dateien geschützt innerhalb und außerhalb der Perimeter der Organisation teilen („Sicherheit ohne Perimeter“).
Warum Zero Trust?
Viele Unternehmen in der Industrie, Organisationen und Behörden setzen zunehmend auf eine „Zero Trust“ Strategie. Dieser Fahrplan etabliert einen Zero Trust Framework zur Verbesserung der IT-Sicherheitslage. Der private Sektor wird diesen Framework wahrscheinlich als Folge der immer häufiger werdenden Cyberangriffe anpassen, um eigene Zero Trust Strategien zu entwickeln.
Wie kann mir Zero Trust helfen?
Als Nutzer muss ich die Möglichkeit haben, geschäftskritische Dateien zu verpacken und mit Kollegen und Kunden zu teilen. Die Lösung dafür muss praktisch und für mein Team und mich leicht zu bedienen sein, während gleichzeitig sicher gestellt wird, dass meine Daten innerhalb und außerhalb der Organisation gesichert sind.
FileCloud bietet bereits viele Funktionen ähnlich eines Zero Trust Frameworks wie z.B.:
- Identitätsüberprüfung
- Sicherheit von Endpunkten
- Malware Vorbeugung
- Aktivitätsüberwachung
- Benachrichtigungen über Sicherheitsvorfälle
- AES Verschlüsselung
Zero Trust Ordner ermöglichen FileCloud Administratoren und -Nutzer ein anderes Level von Hochsicherheit und Kontrolle über hochsensible oder vertrauliche Daten.
Zero Trust File Sharing℠
Aktivieren Sie Zero Trust File Sharing℠ und Speicherung mit passwortgeschützten Zip Dateien in FileCloud. Das Passwort wird nicht in der FileCloud gespeichert, so dass Ihre Daten selbst während eines Angriffs oder Sicherheitsvorfalls geschützt bleiben. Sobald das Passwort eines Nutzers eingegeben wurde, wird dieses standardmäßig für die Dauer der Sitzung im Browser UI gespeichert. Administratoren können diese Einstellung per FileCloud Richtlinie verwalten.
Hyper-Secure Control
Zip Dateien werden nicht von FileCloud gescannt. Zero Trust Dateien (Zip Dateien mit Passwortschutz) werden in der FileCloud mit 256-bit AES Verschlüsselung gesichert.
Erstellen und Teilen von Dateien
Sie können Dateien im Managed (lokalen) Speicher erstellen, ansehen, bearbeiten, herunterladen und teilen. Zugriffsrechte können schreibgeschützt (Dateien ansehen und herunterladen) oder mit Lese- und Schreibzugriff (Dateien ansehen, herunterladen, hochladen und löschen) geteilt werden.
Whitepaper zur FileCloud Zero Trust Architektur herunterladen …
15 Jahre managedhosting.de
15 Jahre managedhosting.de
Liebe Kunden, Geschäftspartner und Freunde,
bereits 15 Jahre sind seit der Gründung von managedhosting.de vergangen.
Wir wirken unbemerkt. Wie die Cloud selbst, bleiben wir im Hintergrund, sichern wichtige Datensätze, stellen Systeme zur Verfügung und reparieren sie, bevor etwas Unerwartetes passiert. Unbemerkt von außen, leise und vor allem: ohne Aufwand für Sie. Wir lösen IT-Probleme, bevor sie entstehen und ohne ein Wort darüber zu verlieren, wenn es nicht dringend notwendig ist. Und das schon seit 15 Jahren.
Trotz aller Widrigkeiten, die derzeit in unser Leben drängen, wünschen wir Ihnen ein erfolgreiches Geschäftsjahr bei bester Gesundheit und weiterhin eine phantastische Zusammenarbeit.
Dieser Meilenstein markiert eine bemerkenswerte Reise voller Herausforderungen, Wachstum und vor allem wertvoller Unterstützung.
Auf unserem Weg haben wir zahlreiche wunderbare Momente erlebt, die wir gemeinsam mit euch teilen durften. Wir erinnern uns an erfolgreiche Projekte, innovative Lösungen und die vielen persönlichen Begegnungen, die wir hatten. Eure Partnerschaft und eure Loyalität haben uns motiviert und inspiriert, jeden Tag unser Bestes zu geben.
Seit unserer Gründung im Jahr 2006 haben wir unser Bestes gegeben, um eure Erwartungen zu übertreffen und euch qualitativ hochwertige Produkte und Dienstleistungen anzubieten. Wir haben uns kontinuierlich weiterentwickelt, um mit den sich ständig verändernden Bedürfnissen und Anforderungen unserer Kunden Schritt zu halten. Eure konstruktiven Rückmeldungen und euer wertvolles Feedback haben uns dabei geholfen, uns zu verbessern und unseren Service kontinuierlich zu optimieren. Eure Zufriedenheit war und ist unser oberstes Ziel.
Unser 15-jähirges Jubiläum ist ein Anlass, der uns daran erinnert, wie weit wir gekommen sind und wie viel wir als Team erreicht haben. Es ist eine Zeit, in der wir auf unsere Erfolge zurückblicken und den Grundstein für eine noch erfolgreichere Zukunft legen können. Lasst uns diesen Anlass feiern, nicht nur als ein Rückblick auf unsere Vergangenheit, sondern als ein Aufruf, unsere Zukunft mit Leidenschaft, Mut und Innovationsgeist anzugehen.
FileCloud Version 21.3
FileCloud steht seit Februar 2022 in der neuen Version 21.3 zur Verfügung. Neben vielen Detailverbesserungen und Fehlerbehebungen sind vor allem das neue „Compliance Center für HIPAA und DSGVO“ sowie das verbesserte „Admin Dashboard“ erwähnenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.
Die vollständige Liste aller Änderungen finden Sie wie immer in den Release Notes (Englisch).
Das verbesserte Admin Dashboard von FileCloud
Eine große Verbesserung die mit der FileCloud Version 21.3 eingeführt wurde, betrifft das Admin Dashboard.
Das Admin Dashboard und Login Portal wurden erneuert und bieten nicht nur ein neues Aussehen, sondern auch neue Funktionserweiterungen. Diese beinhalten:
- Links zu Schnellmaßnahmen und Warnmeldungen oben auf der Seite für zeitnahe Benachrichtigung und schnellen Zugriff
- Drag-and-Drop-Widgets für eine bessere Visualisierung und ein individuelles Erlebnis
Adminitratoren können die neuen Drag-and-Drop-Widgets verwenden, um Informationen nach Priorität zu ordnen oder sie zu sortieren, in dem sie das entsprechende Widget an der gewünschten Stelle im Panel platzieren. Widgets können jederzeit in ihrer Größe verändert, komplett entfernt und wieder hinzugefügt werden.
Darüber hinaus wurden die Informationen in den Widgets optimiert, um direkt auf den ersten Blick aussagekräftigere Informationen zu liefern. Die Widgets „Dateitypverteilung“ und „Nutzerverteilung“ liefern beispielsweise genaue Zahlen, wenn Sie den Mauszeiger über die Diagramme bewegen.
Compliance Center für HIPAA und DSGVO
Das Compliance Center wurde um eine Unterstützungsfunktion für die Einhaltung von HIPAA- und DSGVO Richtlinien erweitert. Administratoren können jetzt die in FileCloud integrierten Best-Practices-Vorschläge nutzen, um alle erforderlichen Sicherheits- und Freigabeeinstellungen für ITAR, HIPAA und DSGVO mit nur einem Klick anzuwenden. Das Compliance Center ist in der FileCloud Enterprise Edition verfügbar.
CVE-2021-44228 – Sicherheitslücke in Log4j (Log4Shell)
Auf verschiedenen Portalen wurde über eine kritische Zero-Day-Lücke in Log4j unter dem Namen Log4Shell berichtet. Die offiziellen Meldungen dazu sind den originalen Quellen zu entnehmen:
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://logging.apache.org/log4j/2.x/security.html
- https://www.lunasec.io/docs/blog/log4j-zero-day
Durch die Sicherheitslücke verwundbar sind die Log4j Versionen 2.0-beta9 bis 2.14.1. Zusätzlich wird darauf verwiesen, dass alle Applikationen, die mindestens Java 8 U121 mit den Standardeinstellungen verwenden, selbst bei verwundbarer Log4j Version nicht kompromittierbar sind, da hier die Standardeinstellungen
com.sun.jndi.rmi.object.trustURLCodebase false
com.sun.jndi.cosnaming.object.trustURLCodebase false
die Ausführung von Code eines fremden Systems (Remote Code Execution) verhindern. Weitere Informationen dazu sind in den Java – Release Notes zu finden: https://www.oracle.com/java/technologies/javase/8u121-relnotes.html.
Nach derzeitigem Kenntnisstand ist die Sicherheitslücke demnach nur ausnutzbar, wenn alle der folgenden Bedingungen zutreffend sind:
- Es muss eine Java- basierte Applikation einen Dienst präsentieren, der (auch indirekt) kompromittierende Anfragen entgegen nimmt und diese Anfragen unter Nutzung von Log4j protokolliert.
- Die Java Version muss älter als die Versionen Java 6 U211, Java 7 U201 oder Java 8 U191 sein oder die standardmäßigen Einstellungen zur Verhinderung der Ausführung von nachgeladenem Code aus externen Quellen müssen deaktiviert sein.
- Es ist Log4j in Versionen 2.0-beta9 bis 2.14.1 im Einsatz.
Falls es nicht ohne weiters möglich ist, die aktuelle Log4j Version 2.15.x zu verwenden, so kann die verwundbare Funktion mittels Konfigurationsparameter log4j2.formatMsgNoLookups=true
deaktiviert werden.
Applikationen
Zimbra Collaboration Suite
Laut der vom Softwarehersteller Zimbra veröffentlichten Mitteilung, verwenden die aktuellen Versionen der Zimbra Collaboration Suite die Komponente Log4j in der Version 1.2.16 und sind somit nicht für Angriffe unter Ausnutzung dieser Sicherheitslücke anfällig.
Update (15.12.2021):
0-day Exploit Vulnerability for log4j (CVE-2021-44228)
After intensive review and testing, Zimbra Development determined that the 0-day exploit vulnerability for log4j (CVE-2021-44228) does not affect the current Supported Zimbra versions (9.0.0 & 8.8.15). Zimbra Collaboration Server currently uses log4j1 version 1.2.16 which doesn’t contain the lookup expression feature that is found within versions 2.0 to 2.17, which is the cause of the vulnerability. Also, Redhat (CVE-2021-4104) vulnerability does not affect the Zimbra Collaboration Server version (8.8.15 & 9.0.0). For this vulnerability to affect the server, it needs JMSAppender, which the ZCS Server does not use, and the ability to append configuration files.
Quellen:
https://support.zimbra.com
https://wiki.zimbra.com/wiki/Security_Center
VMware vSphere
VMware fasst in einem eigenen Artikel alle nötigen Informationen sowie Links zu den relevanten Sicherheitshinweisen zusammen:
- VMware Security Advisory VMSA-2021-0028 (Beschreibung der Sicherheitslücke und aktuelle Maßnamen)
- VMSA-2021-0028 Questions & Answers (FAQ)
- VMSA-2021-0028 & Log4j: What You Need to Know (Artikel im VMware Blog)
- VMware Communities Thread On CVE-2021-44228 (Forum)
- Tips for Patching VMware vSphere & Cloud Infrastructure
- VMware vSphere Security Configuration Guide
- VMware Ransomware Resource Center
- VMware Ports & Protocols Firewalling Guidance (ports.vmware.com)
Quelle: https://blogs.vmware.com/vsphere/2021/12/vmsa-2021-0028-log4j-what-you-need-to-know.html.
VMware Cloud Director
VMware Cloud Director ist laut der Übersicht unter https://www.vmware.com/security/advisories/VMSA-2021-0028.html nicht von dieser Sicherheitslücke betroffen. Eine offizielle Bestätigung seitens VMware steht hier noch aus.
Apache SOLR
Für Apache SOLR kann die Anfälligkeit für die o.g. Sicherheitslücke durch aktivieren der Java-Option log4j2.formatMsgNoLookups=true
beseitigt werden. Dazu ist folgende Option am Ende der Konfigurationsdatei /etc/default/solr.in.sh
nötig:
# CVE-2021-44228 - Log4j (Log4Shell) Mitigation
SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"
Diese Konfiguration wurde bereits vorsorglich auf allen von managedhosting.de betriebenen Instanzen mit Managed Service Paket ausgerollt.
FileCloud
FileCloud ist eine PHP- basierte Anwendung und somit nicht direkt von CVE-2021-44228 – Log4j (Log4Shell) betroffen. Jedoch verwendet FileCloud zur Indizierung von Inhalten Apache SOLR, welcher wiederum Log4j benutzt. Nach jetzigem Kenntnisstand ist seitens der Applikation kein Durchgriff auf die entsprechenden Funktionen in Log4j möglich. Vorsorglich wurde jedoch die für die Härtung empfohlene SOLR – Konfiguration auf allen von managedhosting.de betriebenen FileCloud- Instanzen ausgerollt.
Update (16.12.2021): FileCloud hat inzwischen einen entsprechenden Patch für SOLOR und eine aktualisierte Version veröffentlicht.
FileCloud Version 21.1
FileCloud steht seit Juni 2021 in der neuen Version 21.1 zur Verfügung. Neben vielen Detailverbesserungen ist vor allem die optimierte Perfomance der Applikation nennenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.
Die vollständige Liste aller Änderungen finden Sie wie immer in den Release Notes (Englisch).
Role Based Access Control (RBAC)
Die Rechteverwaltung für FileCloud Administratoren wurde komplett neu gestaltet und stellt jetzt eine rollenbasierte Rechteverwaltung bereit, die nach Bedarf individuell konfiguriert und einzelnen Nutzern oder Nutzergruppen zugewiesen werden kann.
Für folgende Bereiche können Administratoren nach Bedarf die Rechte „Read“, „Create“, „Update“ und „Delete“ zugewiesen werden:
- Alert
- Audit
- Customization
- Device Management
- Encryption
- Federated Search
- Files
- Folder Permissions
- Groups
- Locks
- Manage Administrators
- Metadata
- Network Share
- Notifications
- Reports
- Retention
- Rich Dashboard
- Settings
- Smart Classification
- Smart DLP
- System
- Team Folders
- User Share
- Users
- Workflow
Abkürzungstasten (Keyboard Shortcut Keys)
Ebenfalls neu ist die Bedienbarkeit des Web UIs mittels Tastenkombinationen. Die vollständige Liste finden Sie in der Online Dokumentation (Englisch).
Veeam Backup & Replication löst VMware Data Protection ab
VMware kündigt VDP ab – VMware Data Protection (VDP) ist eine in vSphere integrierte Backup- und Recovery-Lösung für die Sicherung kompletter VMs. In 2017 erklärte VMware für VDP das „End of Availabilty“ (EOA). Mit dem Auslaufen des Supports für vSphere 6.5 ist VDP nicht mehr einsetzbar.
Cloud Director – CSE Web UI
Cloud Director – CSE Web UI: Mit Cloud Director in Version 10.x wurde die Erstellung und Verwaltung eines Kubernetes Klusters noch einmal deutlich vereinfacht. Zusätzlich zur VCD CSE CLI steht jetzt auch eine entsprechende Integration in das Cloud Director Web UI zur Verfügung:
FileCloud Version 20.2 (Aurora)
FileCloud steht seit Oktober 2020 in der neuen Version 20.2 – Codename „Aurora“ zur Verfügung. Neben generellen Verbesserungen ist in dieser Version vor allem die neue, komplett überarbeitete Benutzeroberfläche bemerkenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.
Magento Security Updates 2.4.1, 2.3.6 und 2.4.0-p1
Im nunmehr zweiten Sicherheitsupdate nach Ende des Supports für Magento 1 werden Lücken geschlossen, die Adobe selbst als wichtig bzw. kritisch einstuft. Während die meisten der geschlossenen Lücken mit Admin-Zugang ausnutzbar sind, wird auch eine Cross-site Scripting-Lücke genannt, die ohne Credentials auskommt.