Entscheidungshilfe
Im Blog-Post über die bessere Alternative zur Papierpost habe ich die Vorteile von Mailverschlüsselung aufgezeigt. Nun ist vielleicht Ihre Firma gerade auf dem Weg in die Cloud mit O365 oder Cisco CES? Mit diesem Blogbeitrag möchte ich die Angst davor nehmen und zeigen, dass wir ganz viele Optionen haben, um das Vorhaben zu einem Erfolg zu führen.
Inhalt
Entscheidungshilfe
Was spricht für die Cloud, was dagegen?
Vorteile Cloud PROs
Nachteile Cloud CONs
Welche Fragen muss ich mir stellen?
Lösungsvorschlag mit Verschlüsselungsappliance vorgeschaltet („Lösung 1“)
Lösungsvorschlag mit Verschlüsselungsappliance Stern („Lösung 2“)
Lösungsvorschlag mit Verschlüsselungsappliance Kombination für den Übergang („Lösung 3“)
Zusammenfassung
Links
Was spricht für die Cloud, was dagegen?
Der E-Mail-Verschlüsselungsgateway kann auch in die Cloud verschoben werden. Bei zum Beispiel SEPPmail wird Azure und AWS unterstützt oder wo ein Image basierend auf ESX, Hyper-V oder QMU virtualisiert werden kann. Am weitesten unterstützt ist die Lösung mit Azure (seppmail.de/produkte/seppmail365/). Da exisitiert bereits die Appliance im Marketplace und SEPPmail hat schon Powershellscripts für den Setup mit der Lösung 2 (weiter unten) zur Verfügung gestellt. Natürlich geht das auch in AWS. Dort ist aktuell mehr Handarbeit gefragt und das Einrichten einer VIP mit dem CARP-Protokoll ist nicht unterstützt. Es gibt Workarounds mit dem AWS-Loadbalancing Feature (aws.amazon.com/blogs/aws/new-aws-application-load-balancer/).
Der Preis soll nicht als Grund für den Move in die Cloud sein, weil es sogar teurer werden könnte als OnPremises! Die Cloudanbieter haben oft kreative und nicht vergleichbare Preismodelle 😉
Vorteile Cloud PROs
-
- Bei O365 macht es Sinn auch mit dem Verschlüsselungsgateway in die Cloud zu gehen.
- Zu Bedenken: Wollen wir nur, weil das alle machen und sind wir bereit dafür? (siehe auch Blog-Post Die (un)endliche Reise in die Cloud? Teil 1 – Teste deine Maturität!)
- Wir können sehr ‘nahe’ zu den Mailboxen kommen. Bei Azure eventuell in das gleiche Subnetz.
- Bei der Combo Azure und O365 ist die Konfiguration über Powershell recht einfach und schon vom Hersteller (SEPPmail) gut dokumentiert.
- Die Skalierung kann besser sein, wenn bei der OnPremises-Lösungen Limiten in der Hardware oder der Virtualisierungsplattform entstehen.
- Bei O365 macht es Sinn auch mit dem Verschlüsselungsgateway in die Cloud zu gehen.
Nachteile Cloud CONs
-
- Die privaten Keys der Zertifikate sind in der Cloud. Sie sind bei der SEPPmaillösung aber gut geschützt und können noch besser geschützt werden, wenn man mit Firewallregeln den Zugriff einschränkt und gewisse Defaults der Appliance ändert.
In naher Zukunft rechne ich damit, dass es HSM-Anbindungen geben wird, um den Zugriff auf private Schlüssel auch in der Cloud schützen zu können. - Es könnten durch die zusätzlichen Kosten der Platz-/Transaktionskosten beim Cloudanbieter höhere Gesamtkosten anfallen als OnPremises.
- Cloud ist nicht immer günstiger!
- Die Wege der TLS-Tunnel mit dem unverschüsselten Inhalt vom Gateway zu den beteiligten MTAs können ‘lange’ sein und durch ‘Feindgebiet’, sprich das böse Internet gehen.
- Die privaten Keys der Zertifikate sind in der Cloud. Sie sind bei der SEPPmaillösung aber gut geschützt und können noch besser geschützt werden, wenn man mit Firewallregeln den Zugriff einschränkt und gewisse Defaults der Appliance ändert.
Welche Fragen muss ich mir stellen?
-
- Sind wir bereit für die Cloud?
- Brauchen wir auch eine Cloudredundanz (Azure und AWS)?
- Welcher Migrationspfad ist notwendig, um einen unterbruchsfreien Übergang zu erhalten?
- Habe ich den richtigen Partner für die Unterstützung des Vorhabens?
- Welcher Ansatz in den nächsten Punkten ist für mich der richtige?
- Kann es Sinn machen zuerst einen nicht ganz optimalen Ansatz zu wählen (Lösung 1) und dann in einem zweiten Schritt zur optimalen Lösung mit der sogenannten Sternanbindung gelangen (Lösung 2 oder über Lösung 3 zu Lösung 2)?
Lösungsvorschlag mit Verschlüsselungsappliance vorgeschaltet ("Lösung 1")
-
- Traffic-Definition
- EIN: Gateway als erster MTA vom Internet
- EIN: Entschlüsselung
- EIN: Bei Bedarf erste Spam- und AV-Analyse und Filterung
- EIN: Weiterleiten zu O365
- Traffic-Definition
-
-
- AUS: O365 zum Gateway Relaying
- AUS: Verschlüsselung
- AUS: Gateway als letzter Hop zum Internet
-
-
- Vorteile
- In bestimmten Fällen mit Umsystemabhängigkeiten ist das der einfachste Ansatz für den ersten Schritt einer E-Mail-Migration.
- Einfaches Handling von TLS-Rulesets.
- Einfacher Setup und Rollout.
- Vorteile
-
- Nachteile
- Es müssen die DNS-Records angepasst werden.
- Die Security kann besser von Spezialgateways gemacht werden; wie CES Cisco E-Mail Cloud Security (IronPort in der Cloud) oder xorlab, aber auch O365.
- Vorfilterung des E-Mail-Traffics nicht vorgesehen oder nur marginal möglich.
- DKIM-Signierung von O365 muss auf den Gateway ausgelagert werden.
- Nachteile
Lösungsvorschlag mit Verschlüsselungsappliance Stern ("Lösung 2")
-
- Traffic-Definition
- EIN: O365 als erster MTA vom Internet
- EIN: Weiterleiten zum Verschlüsselungsgateway
- EIN: Entschlüsselung
- EIN: Weiterleiten zurück zu O365
- EIN: ATP von O365 (Spam- und AV-Analyse und Filterung)
- Traffic-Definition
-
-
- AUS: O365 zum Gateway
- AUS: Verschlüsselung
- AUS: Weiterleiten zurück zu O365
- AUS: O365 zum Internet
-
-
- Vorteile
- Die flexibelste Variante für den Mailfluss.
- DNS-Records (MX) zeigen weiter auf O365.
- Fast automatischer Setup in Azure.
- Weitere flexible Anbindungen von anderen Gateways über weiteren Sternmechanismus.
- Gateway ist nicht mehr erster MTA
- Spezialisierte Subsysteme können die Security machen.
- DKIM-Signierung von O365 bleibt bei O365.
- Vorteile
-
- Nachteile
- Etwas komplexer im Unterhalt und Support.
- Nachteile
Lösungsvorschlag mit Verschlüsselungsappliance Kombination für den Übergang ("Lösung 3")
-
- Traffic-Definition
- Es ist eine Kombination von 1 und 2, aber noch mit OnPremises Mailserver.
- Traffic-Definition
-
- Vorteile
- Wie Lösung 2.
- Als Migrationsstart, wenn man hybride Umgebungen hat.
- Vorteile
-
- Nachteile
- Noch etwas komplexer im Unterhalt und Support als 2.
- Nachteile
Zusammenfassung
Verschlüsselung in der Cloud muss nicht schwierig sein und mit dem richtigen Partner wird es einen erfolgreichen Abschluss geben. Das Ziel sollte aber die Sternanbindung sein, welche in der Lösung 2 beschrieben wurde. Auch über mehrere Stufen und über eine längere Zeit. Nicht alle Mühlen mahlen gleich schnell. Also lieber mit der Lösung 1 sofort starten und dann in einem zweiten Schritt zur Lösung 2 übergehen.
Teilweise werden All-In-One-Lösungen angeboten. Aus meiner Sicht gibt es kein System, welches die beschriebene Kombination in einem gleich gut und flexibel beherrscht.
Wenn Sie nicht meiner Meinung sind, nehme ich sehr gerne Kommentare entgegen.
Links
seppmail.de/produkte/seppmail365/
Aktuelles SEPPmailhandbuch ab Seite 669: MS Office365: Anbinden von Exchange Online mit ATP / EOP

Lenti
Lenti ist Senior Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Firewalls, Zscaler, BlueCoat, SEPPmail, Cisco IronPort, Sandboxing und das Zusammenspiel aller Komponenten in komplexen Umgebungen.