Verschlüsselungsschlüssel

Sie können organisationsspezifische Schlüssel oder System-Organisationsschlüssel verwalten und wechseln (Registerkarte ORGS <Organisation oder System> - Security Information (Sicherheitsinformationen) - Encryption Keys (Verschlüsselungsschlüssel)). Die Funktion ersetzt den Schlüssel, mit dem Ihre Daten verschlüsselt wurden, und verschlüsselt sie erneut (pro Organisation).

Sie können den Schlüsselwechsel von MOVEit Transfer im Rahmen des Schlüsselverwaltungsplans nutzen, um gespeicherte Daten vor Angriffen und Schwachpunkten zu schützen.

Als zusätzliche Sicherheitsmaßnahme können Sie mit der Schlüsselwechselfunktion die Organisations-Passphrase (und den davon abgeleiteten Schlüssel) (nach Bedarf oder geplant) erneuern und den Dateispeicher erneut verschlüsseln. Wenn die Dateiverschlüsselung mit dem neuen Schlüssel abgeschlossen wird, erhalten Sie eine E-Mail-Benachrichtigung von MOVEit Transfer.

Auf dem Schlüsselwechsel-Dashboard haben Sie folgende Möglichkeiten:

Erneute Verschlüsselung – sofort, regelmäßig oder anhand eines entsprechenden Plans.
Schätzungen der Zeit bis zum Abschluss.
Konvertierungsprozess anhalten und neu starten.
Verlauf des organisations- oder systemweiten Schlüsselwechsels für die Verschlüsselung.
Erinnerungen für pausierte oder ausstehende Wechsel.
Warnmeldungen und Berichte zu abgeschlossenen Wechseln.

Anleitung für organisationsweite oder System-Organisationsschlüsselwechsel

Die Schlüsselwechselfunktion leitet Sie durch die Schritte, die zur Übernahme neuer Verschlüsselungsschlüssel notwendig sind. Es wird eine Zusammenfassung der Zeit bis zum Abschluss ausgegeben, mit der Sie den besten Zeitraum für die Aufnahme des Neuverschlüsselungsvorgangs bestimmen können. Wenn die Neuverschlüsselung abgeschlossen wurde, erhalten Sie eine E-Mail-Benachrichtigung von MOVEit Transfer.

Schlüsselwechselanleitung (Zeit bis Abschluss)

Hinweis: Nur Benutzer auf Systemadministrator-Ebene können MOVEit Transfer-Organisationen auf der Registerkarte „ORGS“ anzeigen und verwalten. Für andere Benutzerrollen wird diese Option nicht angezeigt.

Organisationsschlüssel, System-Organisationsschlüssel (oder beide) wechseln

Als zusätzliche Sicherheitsmaßnahme können Sie die Schlüssel regelmäßig oder anhand der Anforderungen des Standorts austauschen. Mit der Funktion „Schlüssel wechseln“ können Sie die Passphrase und die daraus abgeleiteten Schlüssel, mit denen der Dateispeicher verschlüsselt wird, erneuern.

Mit dieser Funktion erhalten Sie eine zusätzliche Sicherheitsebene, da der Zeitraum zwischen der Erneuerung von Schlüsseln/Passphrasen gesteuert werden kann.

Sie müssen als SysAdmin (Systemadministrator) angemeldet sein, um diese Einstellungen vornehmen zu können.

Umfang der Verschlüsselung...

Ort in der Web-Benutzeroberfläche...

Verschlüsselungsziel...

<org-name>

Beliebige lizensierte Organisation

ORGS > <org-name> – Security Information – Encryption Keys (ORGS > <org-name> – Sicherheitsinformationen – Verschlüsselungsschlüssel)

Benutzer- und Dateiinformationen für eine bestimmte MOVEit Transfer-Organisation

(System)

Systemorganisation

ORGS > System – Security Information – Encryption Keys (ORGS > System – Sicherheitsinformationen – Verschlüsselungsschlüssel)

Daten auf Systemebene, die von MOVEit Transfer verwendet werden.

Verlauf der verwendeten Verschlüsselungsschlüssel anzeigen

Der Verlauf der Verschlüsselungsschlüssel ist auf der Verwaltungsseite für Org-Schlüssel verfügbar (Abbildung zeigt Organisationsverschlüsselung)

Vorabprüfung: Klicken Sie auf „Begin“ (Starten), um eine Schätzung der Zeitdauer zu erhalten.

Durch die Anwendung eines neuen Schlüssels werden die freigegebenen Dateien und der Dateispeicher neu verschlüsselt; dadurch wird für die Dauer des Schlüsselwechselvorgangs die CPU-Arbeitslast für den MOVEit Transfer-Server erhöht. Nutzen Sie die Schätzungen im Schlüsselwechselvorgang und führen Sie den Wechsel nicht in Spitzenzeiträumen aus.

Schlüsselwechsel für die Verschlüsselung beginnt mit einer Zeitschätzung

Jetzt ausführen, planen und jederzeit anhalten/fortsetzen

Sie können den Schlüsselwechsel anhalten und zu einem geeigneteren Zeitpunkt fortsetzen. Beispiel: Das Hostsystem, auf dem MOVEit Transfer ausgeführt wird, nutzt im Verlauf der Schlüsselkonvertierung immer mehr der normalen CPU-Ressourcen. Mit dieser Funktion können Sie die Verarbeitung z. B. während Spitzendownloadzeiten anhalten und später fortsetzen, damit die Benutzer keine Systemlatenzen bemerken. (Für diesen Zweck können Sie auch den Planer verwenden.)

Anhalten und Fortsetzen

Schlüssel mit Zeitplan wechseln

Wenn verlässlich vorhergesagt werden kann, in welchen Zeiträumen das MOVEit Transfer-System am stärksten ausgelastet ist, können Sie mit dem Planer für den Schlüsselwechsel einen Zeitraum außerhalb der Spitzenzeiten festlegen, um die Dateien neu zu verschlüsseln.

Regelmäßiger Schlüsselwechsel oder Planung für Zeiträume außerhalb der Spitzenzeiten

Schlüssel für gespeicherte Daten wechseln

Als Systemadministrator können Sie den Ausgangspunkt für die Neuverschlüsselung – den Schlüssel für die Konvertierung des MOVEit Transfer-Systems und der organisationsspezifischen Datendateien – austauschen.

Hinweis: Melden Sie sich bei Cluster-Installationen – sog. MOVEit Transfer-Webfarmen auf dem Knoten an, der in der Regel zur Administration der MOVEit Transfer-Bereitstellung verwendet wird. Nach dem Start wird die Schlüsselkonvertierung ausschließlich über diesen Knoten gesteuert. Weitere Informationen finden Sie im Abschnitt Hinweise zur Bereitstellung in Webfarmen.

In der folgenden Tabelle werden die Schritte aufgeführt, die zur Anwendung neuer Verschlüsselungsschlüssel für die organisationsspezifischen Daten oder die Systemorganisationsdaten notwendig sind.

Schritt	Aktion...	Beschreibung
1.	Klicken Sie auf Begin Key Rotation Process (Schlüsselwechselvorgang starten).	Eine Online-Anleitung mit einer Zeitschätzung für den Abschluss der Neuverschlüsselung der Organisationsdaten mit dem neuen Schlüssel wird geöffnet.
2.	Schätzung	Überprüfen Sie die Schätzung. Klicken Sie anschließend auf eine der folgenden Optionen: Neue Schätzung. Lädt die Schätzungszusammenfassung neu. Fortfahren. Akzeptiert die Schätzung. Bei längeren geschätzten Zeiträumen wird empfohlen, den Schlüsselwechsel außerhalb der Spitzenzeiten vorzunehmen.
3.	Passphrase erstellen	Klicken Sie auf Fortsetzen, um die Schätzung zu akzeptieren und eine Passphrase anzuwenden. Notieren Sie sich unbedingt die Passphrase und bewahren Sie sie sicher auf.
4.	Klicken Sie auf Start Now (Jetzt starten), um die Daten mit der neuen Passphrase neu zu verschlüsseln. – oder – Zeitplan bearbeiten/aktivieren	Sofort ausführen (kann jederzeit angehalten werden) – oder – Wählen Sie Zeiträume aus, in denen die erhöhte CPU-Auslastung, die mit der Neuverschlüsselung und Schlüsselkonvertierung zusammenhängt, nicht stört, und nehmen Sie diese in den Zeitplan auf.
5.	Benachrichtigung abwarten.	Eine Benachrichtigung über den Abschluss wird an die konfigurierte Systemadministrator-E-Mail gesendet.
	Was jetzt?	Konsultieren Sie die Anleitung für die Schritte nach der Konvertierung. wenn bei einzelnen Dateien die Schlüssel während der aktuellen Konvertierung nicht konvertiert wurden, zum Planen regelmäßiger Erinnerungen, für Best Practices zur allgemeinen Planung des Schlüsselmanagements und der damit zusammenhängenden Vorgänge.

Schlüsselwechsel durchführen

Mit diesem Vorgang können Sie die Datenverschlüsselung der gespeicherten Daten Ihrer Organisation schätzen und erneuern.

Wenn ein großer Dateispeicher neu verschlüsselt werden muss, sollte der Schlüsselwechsel und die anschließende Neuverschlüsselung entweder in einem Wartungszeitraum oder in einem Betriebszeitraum mit geringerem Benutzerdatenverkehr vorgenommen oder geplant werden.

Klicken Sie auf Begin Process (Vorgang starten).
MOVEit Transfer gibt eine Schätzung der Dauer und eine Zusammenfassung der betroffenen Datenvolumen und Dateizahlen aus. Sie können diesen Schritt mehrfach ausführen.
Klicken Sie auf „Weiter“. Akzeptieren Sie den Kenncode oder geben Sie einen eigenen Kenncode an.
Der Kenncode ist der Master-Schlüssel, von dem der Verschlüsselungsschlüssel abgeleitet wird. Notieren Sie ihn und verwahren Sie ihn sicher.
Start Now (Jetzt starten). Klicken Sie auf Start Now (Jetzt starten), um die Organisationsdateien und Daten mit dem neu erstellten/abgeleiteten Schlüssel neu zu verschlüsseln. (Nach dem Abschluss des Vorgangs erhalten Sie eine E-Mail.)

Hinweise zur Verschlüsselungsleistung

Im Produktionsbetrieb sind die Anforderungen an die Verschlüsselungsleistung auf dem MOVEit Transfer-Server im Verhältnis zur CPU-Leistung gering. Elemente, die zum Dateispeicher hinzugefügt werden, werden nach Bedarf verschlüsselt. Wenn Sie jedoch einen MOVEit Transfer-Dateispeicher neu verschlüsseln, der nach und nach aufgebaut wurde und aus Hunderten oder Tausenden von Dateien besteht, erhöht diese Stapelverschlüsselung mit großem Volumen die CPU-Auslastung u. U. mehrere Stunden lang. Sie können die wahrgenommene Systemlatenz durch geeignete Zeitpläne, Skalierung und Benachrichtigungen an die Benutzer, dass Latenzen bei der Nutzung von MOVEit Transfer auftreten können, abmildern.

Hinweise zur Bereitstellung in Webfarmen

Der Schlüsselwechsel für gespeicherte Dateien auf MOVEit Transfer-Webfarmen ähnelt dem Schlüsselmanagement für einzelne Knoten.

Es gibt nur wenige Unterschiede:

Nur der „primäre“ Knoten (auf dem die Schätzung und die Schlüsselkonvertierung gestartet wird) steuert den Schlüsselkonvertierungsvorgang.
Der Schlüsselkonvertierungsvorgang kann von jedem Webfarm-Knoten aus überwacht werden.