Wir hatten heute eine Diskussion über unsere Serverdienste die rollenbasierte Benutzerverwaltung, sicheren Datenserver und externe Zugriffsoptionen aus dem Internet kombinieren. Ausgangspunkt waren Anforderungen (kleine Hochschule) an Datensicherheit, Datenschutz, einfachste Konfigurierbarkeit und vertretbare Kosten und vor allem tauglich für personenbezogene Daten.
Weggefallen sind früh alle Speicherorte außerhalb der EU (DSGVO, fehlende Kontrollmöglichkeit, geringe Transparenz, Zugriff ausländischer Dienste ohne Kontrolle). Auch normale Clouddienste selbst die in der EU, ja selbst F&L Dienste wie BW Sync & Share (Nextcloud) sind wegen fehlender Authorisierung/ Authentifizierung (Zugriff per Link=NoGo) weggefallen. Auch wird z.B. beim Landesdienst BW Sync & Share die Speicherung personenbezogener Daten ohnehin ausgeschlossen. Zudem erfordert die externe Speicherung personenbezogener Daten detaillierte Kontrolloptionen und einen Vertrag zur Auftragsdatenverarbeitung.
Klar ist also dass interne Speicherung unabdingbar ist. Datensicherheit/ Datenschutz nach Stand der Technik bedeutet Ramsomware sicher, unveränderliche Versionierung und Verschlüssellung der Daten und des Backups. Rollenbasierte Benutzerverwaltung, das macht üblicherweise Windows Active Directory. Auch der Storage Part ist für mich ganz klar. ZFS kann das perfekt, bietet neuerdings Verschlüssellung und die Solarish basierten ZFS Varianten haben eine perfeke Windows Integration mit ntfs artigen Rechten, Windows kompatible Gruppenverwaltung (Gruppen in Gruppen) und Unterstützung von Windows SID Identifiern (Rechte im AD Backup/Restore bleiben erhalten) und Windows vorherige Version. Außerdem macht ZFS unter Solaris bei Installation, Betrieb und Updates kaum Probleme. Mit Solaris und OmniOS auch mit kommerzieller Supportoption.
Probleme machte uns bisher der sichere externe Zugriff aus dem Internet über sftp, ftps und https. Wir haben lange gesucht, bis wir uns jetzt abschließend für die Lösung Titan sftps Server entschieden haben.
Der externe Zugriff auf den Titan Server (Windows) erfolgt wahlweise über sicheres ftp oder https. Nach Anmeldung mit einem AD Account bekommt der Benutzer Ordner gezeigt. Das kann sein Homeverzeichnis sein oder aber gemeinsame Ordner auf dem ZFS Filer und das abhängig von der AD Gruppe des Benutzers oder gar des Benutzers selber. Windows Rechte werden transparent durchgereicht. Ordner für die der Benutzer keine Rechte hat, werden ausgeblendet. Webzugang über https bietet direktes Upload/ Download im Browser so wie bei Cloudlösungen üblich - genial gut gelöst. Einen Zugang per email-Link gibt es nicht aber das wäre auch das Aus für die Lösung gewesen. (keine Authentifizierung)
Kosten unseres Storage Dreamteams:
- Windows Server (je nach Useranzahl)
- ZFS Storage (je nach Kapazität)
- Titan SFTP (ca 1100 Euro + 500 Euro/Jahr + Windows Lizenz).
Titan mit https ca 2000 Euro
Weggefallen sind früh alle Speicherorte außerhalb der EU (DSGVO, fehlende Kontrollmöglichkeit, geringe Transparenz, Zugriff ausländischer Dienste ohne Kontrolle). Auch normale Clouddienste selbst die in der EU, ja selbst F&L Dienste wie BW Sync & Share (Nextcloud) sind wegen fehlender Authorisierung/ Authentifizierung (Zugriff per Link=NoGo) weggefallen. Auch wird z.B. beim Landesdienst BW Sync & Share die Speicherung personenbezogener Daten ohnehin ausgeschlossen. Zudem erfordert die externe Speicherung personenbezogener Daten detaillierte Kontrolloptionen und einen Vertrag zur Auftragsdatenverarbeitung.
Klar ist also dass interne Speicherung unabdingbar ist. Datensicherheit/ Datenschutz nach Stand der Technik bedeutet Ramsomware sicher, unveränderliche Versionierung und Verschlüssellung der Daten und des Backups. Rollenbasierte Benutzerverwaltung, das macht üblicherweise Windows Active Directory. Auch der Storage Part ist für mich ganz klar. ZFS kann das perfekt, bietet neuerdings Verschlüssellung und die Solarish basierten ZFS Varianten haben eine perfeke Windows Integration mit ntfs artigen Rechten, Windows kompatible Gruppenverwaltung (Gruppen in Gruppen) und Unterstützung von Windows SID Identifiern (Rechte im AD Backup/Restore bleiben erhalten) und Windows vorherige Version. Außerdem macht ZFS unter Solaris bei Installation, Betrieb und Updates kaum Probleme. Mit Solaris und OmniOS auch mit kommerzieller Supportoption.
Probleme machte uns bisher der sichere externe Zugriff aus dem Internet über sftp, ftps und https. Wir haben lange gesucht, bis wir uns jetzt abschließend für die Lösung Titan sftps Server entschieden haben.
Der externe Zugriff auf den Titan Server (Windows) erfolgt wahlweise über sicheres ftp oder https. Nach Anmeldung mit einem AD Account bekommt der Benutzer Ordner gezeigt. Das kann sein Homeverzeichnis sein oder aber gemeinsame Ordner auf dem ZFS Filer und das abhängig von der AD Gruppe des Benutzers oder gar des Benutzers selber. Windows Rechte werden transparent durchgereicht. Ordner für die der Benutzer keine Rechte hat, werden ausgeblendet. Webzugang über https bietet direktes Upload/ Download im Browser so wie bei Cloudlösungen üblich - genial gut gelöst. Einen Zugang per email-Link gibt es nicht aber das wäre auch das Aus für die Lösung gewesen. (keine Authentifizierung)
Kosten unseres Storage Dreamteams:
- Windows Server (je nach Useranzahl)
- ZFS Storage (je nach Kapazität)
- Titan SFTP (ca 1100 Euro + 500 Euro/Jahr + Windows Lizenz).
Titan mit https ca 2000 Euro
Zuletzt bearbeitet: