E-Mail-Verschlüsselung in der Cloud

Der E-Mail-Verschlüsselungsgateway kann auch in die Cloud verschoben werden. Bei zum Beispiel SEPPmail wird Azure und AWS unterstützt oder wo ein Image basierend auf ESX, Hyper-V oder QMU virtualisiert werden kann. Am weitesten unterstützt ist die Lösung mit Azure (seppmail.de/produkte/seppmail365/). Da exisitiert bereits die Appliance im Marketplace und SEPPmail hat schon Powershellscripts für den Setup mit der Lösung 2 (weiter unten) zur Verfügung gestellt. Natürlich geht das auch in AWS. Dort ist aktuell mehr Handarbeit gefragt und das Einrichten einer VIP mit dem CARP-Protokoll ist nicht unterstützt. Es gibt Workarounds mit dem AWS-Loadbalancing Feature (aws.amazon.com/blogs/aws/new-aws-application-load-balancer/).

Der Preis soll nicht als Grund für den Move in die Cloud sein, weil es sogar teurer werden könnte als OnPremises! Die Cloudanbieter haben oft kreative und nicht vergleichbare Preismodelle 😉

• • Bei O365 macht es Sinn auch mit dem Verschlüsselungsgateway in die Cloud zu gehen.
    • Zu Bedenken: Wollen wir nur, weil das alle machen und sind wir bereit dafür? (siehe auch Blog-Post Die (un)endliche Reise in die Cloud? Teil 1 – Teste deine Maturität!)
  • Wir können sehr ‘nahe’ zu den Mailboxen kommen. Bei Azure eventuell in das gleiche Subnetz.
  • Bei der Combo Azure und O365 ist die Konfiguration über Powershell recht einfach und schon vom Hersteller (SEPPmail) gut dokumentiert.
  • Die Skalierung kann besser sein, wenn bei der OnPremises-Lösungen Limiten in der Hardware oder der Virtualisierungsplattform entstehen.

• • Die privaten Keys der Zertifikate sind in der Cloud. Sie sind bei der SEPPmaillösung aber gut geschützt und können noch besser geschützt werden, wenn man mit Firewallregeln den Zugriff einschränkt und gewisse Defaults der Appliance ändert.
    In naher Zukunft rechne ich damit, dass es HSM-Anbindungen geben wird, um den Zugriff auf private Schlüssel auch in der Cloud schützen zu können.
  • Es könnten durch die zusätzlichen Kosten der Platz-/Transaktionskosten beim Cloudanbieter höhere Gesamtkosten anfallen als OnPremises.
    • Cloud ist nicht immer günstiger!
  • Die Wege der TLS-Tunnel mit dem unverschüsselten Inhalt vom Gateway zu den beteiligten MTAs können ‘lange’ sein und durch ‘Feindgebiet’, sprich das böse Internet gehen.

• • Sind wir bereit für die Cloud?
  • Brauchen wir auch eine Cloudredundanz (Azure und AWS)?
  • Welcher Migrationspfad ist notwendig, um einen unterbruchsfreien Übergang zu erhalten?
  • Habe ich den richtigen Partner für die Unterstützung des Vorhabens?
  • Welcher Ansatz in den nächsten Punkten ist für mich der richtige?
    • Kann es Sinn machen zuerst einen nicht ganz optimalen Ansatz zu wählen (Lösung 1) und dann in einem zweiten Schritt zur optimalen Lösung mit der sogenannten Sternanbindung gelangen (Lösung 2 oder über Lösung 3 zu Lösung 2)?

Verschlüsselung in der Cloud muss nicht schwierig sein und mit dem richtigen Partner wird es einen erfolgreichen Abschluss geben. Das Ziel sollte aber die Sternanbindung sein, welche in der Lösung 2 beschrieben wurde. Auch über mehrere Stufen und über eine längere Zeit. Nicht alle Mühlen mahlen gleich schnell. Also lieber mit der Lösung 1 sofort starten und dann in einem zweiten Schritt zur Lösung 2 übergehen.

Teilweise werden All-In-One-Lösungen angeboten. Aus meiner Sicht gibt es kein System, welches die beschriebene Kombination in einem gleich gut und flexibel beherrscht.

Wenn Sie nicht meiner Meinung sind, nehme ich sehr gerne Kommentare entgegen.

seppmail.de/produkte/seppmail365/

Aktuelles SEPPmailhandbuch ab Seite 669: MS Office365: Anbinden von Exchange Online mit ATP / EOP

www.avantec.ch/loesungen/seppmail/