Sowohl Unternehmen als auch Heimanwender greifen nach wie vor gerne zu Cloud-Lösungen. Mit Storgrid geht eine neue Software an den Start, die besonders Unternehmenskunden anspricht und Sicherheit verheißt.
Cloud-Anbindungen gehören inzwischen in den meisten Unternehmen und auch bei vielen Heimanwendern zum festen Repertoire. Doch die Ansprüche an das kollaborative Arbeiten in der Cloud variieren, weshalb die Anbieter dazu tendieren, immer neue Funktionen in ihre Produkte einzubauen. Daraus resultieren häufig überladene Oberflächen, die Einsteigern einen erhöhten Aufwand beim Einarbeiten abfordern. Administratoren ärgern sich über häufige Updates mit oft unausgegorenen Funktionen, die einen erheblichen Mehraufwand bei der Betreuung verursachen.
Auch Sicherheitsaspekte und das sich verändernde Nutzerverhalten verursachen so mancher IT-Abteilung bei der Einführung und dem Einsatz von Cloud-Diensten erhebliche Kopfschmerzen: So gilt es, unterschiedlichste Plattformen wie Smartphones, Notebooks oder Tablet-PCs unter einen Hut zu bringen. Wollen obendrein Anwender im Unternehmen ihre privaten Geräte in der Cloud nutzen, stellt sich zwangsläufig die Frage nach der Sicherheit der Unternehmens-IT.
Durchdacht
Das in den Niederlanden beheimatete und erst seit 2012 aktive Unternehmen Storgrid [1] versucht, mit Storgrid EFS eine Lösung für all diese Probleme anzubieten. Das Konstrukt lässt sich sowohl lokal selbst hosten als auch als externer Rundum-Service nutzen. Die kommerzielle, auf Java basierende Software zielt dabei primär auf größere Infrastrukturen ab und erlaubt auch ein Virtualisieren. Nach Herstellerangaben unterstützt es unterschiedlichste Plattformen und Zugriffstechniken. Die Lizenzkosten für den Standardserver von Storgrid belaufen sich auf 3 Euro pro User und Monat, ab 1000 Nutzern reduziert sich der Betrag auf 2,50 Euro.
Neben verschiedenen Server-Varianten bietet Storgrid auch Clients für die meisten gebräuchlichen Betriebssysteme an, unter anderem auch für Android. Zusätzlich gewährt es den Zugriff auf die Cloud auch via WebDAV und im Browser. Das Herzstück von Storgrid EFS stellt die ausgeklügelte Rechteverwaltung dar: Sie soll, zusammen mit verschiedenen Sicherheits- und Authentifizierungsmechanismen, die Datenintegrität auch beim Verwenden externer Geräte als Cloud-Clients wahren. Trotz des breiten Funktionsumfangs schreiben sich die Entwickler eine besonders gute Ergonomie auf die Fahnen, die Storgrid im Vergleich zu anderen Lösungen einfacher bedienbar machen will.
Der Sicherheitsgedanke spielte bei der Entwicklung des Cloud-Diensts eine wichtige Rolle. Dabei implementierten die Entwickler nicht nur gängige Standards wie Ende-zu-Ende-Verschlüsselung, clientseitig abgelegte Zertifikate oder SSL zur sicheren Übertragung, sondern ermöglichen durch eine ausgereifte Benutzerverwaltung zusätzlich den abgesicherten Einsatz von privaten Mobilgeräten im Firmen-Intranet.
Der Administrator kann sich nach dem einfachen Anmelden der jeweiligen Hardware samt Rechtevergabe wieder seinen eigentlichen Aufgaben widmen, ohne dabei Gefahr zu laufen, dass unautorisierte Drittgeräte Sicherheitslöcher aufreißen. Zudem konzentriert sich Storgrid auf File-Sharing sowie Cloud-Dienste und verzichtet auf unnötige Gimmicks. Im Vergleich zu Lösungen, die zusätzlich zahlreiche Apps implementieren, verringert das die Gefahr softwareseitiger Sicherheitslöcher.
Installation
Storgrid bietet eine vergleichsweise gute Dokumentation [2], die auch die Hardware-Anforderungen spezifiziert: Der Linux-Server benötigt Java 7 oder höher sowie 2 GByte RAM und 10 GByte freien Festplattenspeicher. Soll Storgrid auf einem virtuellen Server laufen, empfiehlt der Hersteller pro virtueller Maschine mindestens einen Zweikernprozessor. Der Hersteller hat das System unter Oracle Linux 7, Red Hat Enterprise Linux 4 und Suse Linux 13 getestet. Der Server steht als gut 338 MByte großes RPM-Paket für 64-Bit-Architekturen zum Abruf bereit.
Wir testeten Storgrid unter CentOS 7.2 als sogenannte On-Premise-Installation, die der Nutzer selbst aufsetzt. Die vom Hersteller bereitgestellte Variante enthält neben dem RPM-Paket auch eine Installationsanleitung, die sich jedoch noch auf CentOS 6.x bezieht. Das RPM-Paket setzt ein frisch aufgesetztes Betriebssystem voraus, die erforderliche Java-Glassfish-Umgebung von Oracle befindet sich im Installationspaket. Beim Einrichten von Storgrid gilt es allerdings, einige Hürden zu umschiffen, die teils auch versierte Anwender an ihre Grenzen bringen.
Zunächst einmal aktualisieren Sie das System (Listing 1, Zeile 1) und installieren anschließend eine Reihe benötigter Pakete (Zeile 2). Danach überprüfen Sie, ob in Ihrer Firewall die Ports 80 und 443 geöffnet sind, und schalten diese gegebenenfalls frei. Nun installieren Sie den eigentlichen Server (Zeile 3). Im nächsten Schritt gilt es, das SSL-Zertifikat für den Webserver einzubinden oder ein eigenständig signiertes zu generieren. Dazu legen Sie zunächst ein entsprechendes Unterverzeichnis an (Zeile 4), setzen dessen Besitzer und Gruppe auf storgrid und weisen die Rechtesequenz 775 zu.
Listing 1
# yum upgrade # yum install -y openssh-clients libGL libXi libXrender libXtst alsa-lib atk libxslt pango gtk2 httpd mod_ssl libreoffice libreoffice-headless # rpm -Uvh storgrid-efs-*-x86_64.rpm # mkdir /etc/httpd/conf.d/ssl
Falls vorhanden, kopieren Sie danach das Zertifikat in dieses Verzeichnis und tragen den Pfad in die Datei /etc/httpd/conf.d/storgrid-efs.conf ein. Suchen Sie darin den Abschnitt <VirtualHost_*:443> und nehmen Sie dort in den Zeilen SSLCertificateFile, SSLCertificateKeyFile und SSLCACertificateFile die entsprechenden Anpassungen vor. Beim Verwenden eines selbst signierten Zertifikats kommentieren Sie die Zeile SSLCACertificateFile durch Setzen einer Raute zu Beginn aus. Nun ist die Server-Installation laut Anleitung beendet, und Sie starten den Rechner neu.
Hürdenlauf
Im Test zeigten sich aber ein unschöner Fehler und einige gravierende Mängel: Aufgrund eines Versionswechsels bei Apache in der CentOS-Version 7.x verweigerte der Webserver wegen eines fehlerhaften Eintrags in /etc/httpd/conf.d den Start. Um den Fehler zu beheben, kommentieren Sie in dieser Konfigurationsdatei den veralteten Eintrag SSLMutex default aus und fügen stattdessen Mutex sysvsem default hinzu. Danach starten Sie den Server.
Fährt der Dienst auch nun nicht hoch, könnte das an der SELinux-Implementierung liegen: Da CentOS sie im Enforcing-Modus betreibt, verhindert sie den unkontrollierten Systemzugriff von Applikationen, auf die keine Policy zutrifft. Überprüfen Sie also vorab die Datei /var/log/audit/audit.log auf entsprechende Einträge. Das Tool Sealert zeigt auf Wunsch detaillierte Informationen mit Lösungsvorschlägen an [3]. Alternativ schalten Sie SELinux zu Testzwecken komplett ab – im Produktivbetrieb der Storgrid-Cloud empfiehlt sich das aus Sicherheitsgründen später nicht.
Nach dem Hochfahren des Servers öffnen Sie einen Webbrowser und geben als Zieladresse https://localhost/admin oder admin mit dem Passwort password am aufgeräumt wirkenden Dashboard an (Abbildung 1).
Abbildung 1: Das spartanische, funktionell aufs Wesentliche reduzierte Server-Interface von Storgrid.
Konfiguration
Das Administrationsfenster besteht lediglich aus zwei Komponenten: Links finden Sie vertikal angeordnet eine Gruppenauswahl zur Konfiguration des Servers, rechts daneben nehmen Sie kontextsensitiv die entsprechenden Einstellungen vor. Zunächst registrieren Sie Ihre Lizenz auf dem Server durch einen Klick auf Lizenzen und den Import der von Storgrid gelieferten Lizenzdatei. Ohne eine Registrierung lassen sich die Domänen nicht verwalten, womit das Werkzeug nutzlos wäre.
Die wichtigsten Optionen zur Konfiguration des Servers finden sich in den Gruppen Domänen und Datenspeicher. Unter Domänen definieren Sie zunächst durch einen Mausklick auf den Button Domäne hinzufügen die Domain-Einstellungen. Bei der Abfrage der notwendigen Daten fallen bereits sicherheitsspezifische Aspekte für BYOD-Geräte auf: So definieren Sie in dieser Gruppe, ob mit einem Jailbreak versehene oder gerootete Smartphones Zugriff auf die Storgrid-Cloud erhalten. Auch eine Whitelist zugriffsberechtigter Geräte aktivieren Sie an dieser Stelle.
Für Offline-Inhalte definieren Sie bei Bedarf eine Gültigkeitsperiode, nach deren Ablauf ohne erneutes Einloggen die Storgrid-Inhalte auf dem Endgerät gelöscht werden. Diese als remote wipe bezeichnete Technik dient ebenso der Datensicherheit wie die Angabe der entsprechenden Speicherpfade und der Authentifizierungsmechanismen nach unterschiedlichen Standards. In der Gruppe Datenspeicher fügen Sie diese inklusive der Speicherverschlüsselung hinzu. Nach Abschluss der jeweiligen Konfiguration speichern Sie die Optionen durch einen Klick auf Sichern (Abbildung 2).
Abbildung 2: Der Integration mobiler Geräte wie Smartphones und Tablets schenkt Storgrid besondere Aufmerksamkeit.
Zum Anlegen eines Domänen-Administrators klicken Sie nach dem Anlegen der Domäne im zugehörigen Verwaltungsfenster auf Manage. Anschließend legen Sie sich hier als neuen Storgrid-User an und integrieren sich in die Gruppe Domänen Manager. Ein Klick auf Abmelden oben rechts im Fenster meldet Sie als Admin bei der Seite ab. Das Login für den Domänenadministrator erreichen Sie unter Server-IP” target=”_self”>https://<i>Server-IP<i>.
Verwirrspiel
Das Verwaltungskonzept des Servers wirkt nicht völlig durchdacht: Storgrid definiert hier drei Ebenen von Administratoren, deren Rechte sich teilweise überschneiden. So darf der zu Beginn der Konfiguration aktive Systemadministrator keine Benutzer und Gruppen verwalten oder individuelle Speicherzuweisungen vornehmen. Diese Arbeiten bleiben einem Domänenadministrator vorbehalten, den der Systemadministrator aber zuerst anlegen muss.
User-Administratoren befinden sich nochmals eine Ebene darunter und dürfen zwar die Benutzer und externen Anwender in der Domäne verwalten, jedoch keine Filter- und Reportaufgaben. Ein derart aufgeblähtes Verwaltungskonzept reißt bei falscher Handhabung Sicherheitslöcher auf und erhöht die Komplexität der Server-Administration unnötig.
An der Bereitstellung von Speicherkapazitäten in der Cloud beteiligen sich sowohl der Systemadministrator als auch der Domänenadministrator. Zunächst fügen Sie als Systemadministrator im Dashboard neuen Speicherplatz hinzu. Dabei wählen Sie im entsprechenden Dialog, ob der Speicherplatz lokale Kapazitäten abdeckt, etwa neue Ordner auf einem NAS, oder in heterogenen Umgebungen über das Common Internet File System-Protokoll (CIFS) freigegeben wird. Sie legen dabei auch bereits die Zugangsdaten zur Windows-Domäne fest.
Anschließend müssen Sie sich als Systemadministrator ab- und als Domänenadmin wieder anmelden. Im Fenster Domänen-Management des jeweiligen Nutzers klicken Sie links im Fenster auf den Eintrag Storages, woraufhin die angelegten Speicherorte erscheinen. Ein Rechtsklick auf den gewünschten Ort und das anschließende Aktivieren von Teilen macht diesen Speicher für den jeweiligen Nutzer oder die Gruppe verfügbar.
Das Web-Interface
Das für die Nutzer vorgesehene Web-Interface (Abbildung 3) von Storgrid unterscheidet sich fundamental von den Gegenstücken bei anderen Cloud-Lösungen. Nach der Anmeldung gelangen Sie in einen simpel aufgebauten Bildschirm, dessen zentrale Elemente eine horizontale Schalterleiste oben und eine Ordner- und Dateianzeige darunter bilden.
Abbildung 3: Übersichtlich und trotzdem funktionell: das Web-Interface von Storgrid.
In einem freien Bereich ganz unten visualisiert die Software in einer Listenansicht alle Dateioperationen in Echtzeit, wie etwa den Fortschritt etwa von Up- und Downloads. Die Schalter ermöglichen den schnellen Zugriff auf unterschiedlichste Dateioperationen. Positiv fällt die Kontextsensitivität der Funktionen auf: In der jeweiligen Situation nicht nutzbare Buttons bleiben ausgegraut.
Im Vergleich zu Konkurrenzprodukten fällt das aufgeräumte Bedienkonzept auf: Storgrid verzichtet auf alle ablenkenden Zusatzfunktionen wie Chat- oder Kommentarfenster. Auf das bei anderen Cloud-Lösungen gängige Überfrachten der Oberfläche mit Apps verzichtet Storgrid und konzentriert sich stattdessen auf das Wesentliche: die Arbeit mit Datenbeständen unterschiedlichster Art in der Cloud.
Einige Funktionen der Schalterleiste stoßen Sie per einfachem Rechtsklick ins Anzeigefenster an, wie etwa das Anlegen von Ordnern und das Hochladen von Dateien. In einen neu angelegten Ordner wechseln Sie durch einen Doppelklick auf dessen Symbol. Uploads von Dateien starten Sie anschließend einfach per Drag & Drop aus einem lokalen Dateimanager; alternativ öffnen Sie durch einen Klick auf Browsen… einen Dateimanager rechts in der Listenansicht und wählen die gewünschten Files im Dateimanager Ihres lokalen Systems aus.
Für einen besseren Überblick teilen Sie mithilfe des Schalters Ordner den oberen Bildschirmbereich so auf, dass links neben dem Datei- und Ordnersegment eine Baumansicht erscheint, die ein schnelles Navigieren auch in tief verschachtelten Ordnerhierarchien ermöglicht. Achten Sie nach Dateioperationen darauf, Aktualisieren zu klicken, da Storgrid die Bildschirmanzeige nicht automatisch auf den aktuellen Stand bringt.
Im Unterschied zu anderen Cloud-Lösungen bringt Storgrid keine eigenen Viewer oder gar Mediaplayer mit. Um Multimedia-Dateien aus der Cloud anzuzeigen oder abzuspielen, klicken Sie doppelt auf deren Namen. Daraufhin öffnet sich der Standarddialog der verwendeten Distribution, um die betreffende Datei entweder mit dem jeweiligen Mediaplayer abzuspielen oder die Datei herunterzuladen. Auch für Dokumente existieren keine integrierten Anzeige- oder Bearbeitungsprogramme; lediglich ein Doppelklick auf PDF-Dateien öffnet den browserinternen Viewer. Alle anderen Dateitypen starten den Betriebssystemdialog zum Sichern oder Anzeigen.
Dieser Verzicht auf unnötigen Ballast beschleunigt nicht nur die Arbeit, sondern vermeidet auch Fehlerquellen, wie sie vor allem in den Viewern häufig auftreten. Da zudem alle gängigen Distributionen bereits entsprechende Player- und Viewer-Software mitbringen, entfallen im Regelfall umständlichen manuellen Installationsarbeiten.
Im Test fiel vor allem die erfreuliche Arbeitsgeschwindigkeit von Storgrid positiv auf: Up- und Downloads gingen selbst bei großen Dateien zügig vonstatten, das Web-Interface zeigte bei entsprechenden Rückmeldungen kaum Latenzzeiten.
Teilen
Zum kollaborativen Arbeiten in der Cloud gehören sowohl eine Versionsverwaltung als auch eine Funktion zum Teilen von Inhalten, wobei sich diese nicht nur auf die Cloud-Benutzer beschränken sollte. Storgrid bietet beides.
Möchten Sie eine Datei mit anderen Nutzern teilen, markieren Sie diese und klicken in der Schalterleiste mittig auf das Share-Symbol. Der zugehörige geöffnete Dialog ermöglicht es Ihnen, die jeweilige Datei sowohl Cloud-Nutzern als auch externen Anwendern zugänglich zu machen. Sie legen dabei ein Passwort für die Freigabe der Datei fest sowie einen Zeitraum, für den die Datei zugänglich bleibt. Markieren Sie mehrere Dateien zum Teilen mit weiteren Personen, fallen allerdings der Passwortschutz und der Freigabezeitraum weg.
Die in der Storgrid-Nomenklatur als “Einladung” bezeichnete Funktion setzt für das Teilen der Datei mit externen Nutzern die Kenntnis von deren E-Mail-Adresse voraus. Optional definieren Sie nach Festlegen der Empfänger auch, welche Rechte diese für das Nutzen der betreffenden Datei erhalten (Abbildung 4).
Abbildung 4: Die Teilen-Funktion erlaubt es, Inhalte zeitlich beschränkt und mit Passwort versehen anderen zugänglich zu machen.
Einstieg über Webbrowser
Sofern Sie eine extern bei einem Anbieter gehostete Cloud nutzen, stehen passende Clients für verschiedene Betriebssysteme nur über das Storgrid-Web-Interface im Browser zum Abruf bereit. Apps für mobile Betriebssysteme finden Sie dagegen im App Store von Apple oder bei Google Play.
Um den Linux-Client zu erhalten, melden Sie sich zunächst beim Cloud-Dienst an und klicken danach oben rechts im Fenster auf die Willkommens-Schaltfläche mit Ihrem Usernamen. Das sich öffnende Kontextmenü enthält den Eintrag Client herunterladen. Nach einem Klick darauf ermittelt Storgrid anhand der Browserkennung automatisch das Betriebssystem und bietet nun unter Linux den Download des Java Desktop Client an.
Der Linux-Client
Der Linux-Client benötigt also zwingend eine Java-Laufzeitumgebung. Dabei fiel uns im Test eine weitere Ungereimtheit auf: Die von den meisten Distributionen automatisch installierte OpenJDK-Laufzeitumgebung weist in diversen Versionen aufgrund fehlender Klassen massive Kompatibilitätsprobleme mit dem Storgrid-Client auf. Im Test verweigerte der Client unter Linux Mint 17.3, CentOS 7.2, Fedora 23, Mageia 5, ROSA Fresh R7 und auch OpenSuse Leap 42.1 den Dienst.
Nach einer Deinstallation von OpenJDK und deren Ersatz durch die Oracle-JRE [4] ließ sich der Storgrid-Client jedoch zumindest aufrufen und geleitete uns zum Anmeldedialog. Allerdings gelang es im Test nicht, eine Verbindung zum Server herzustellen, da sich keine vollständige Eingabe der Authentifizierungsdaten bewerkstelligen ließ (Abbildung 5).
Abbildung 5: Endstation: Wegen fehlerhafter Software schlägt eine Authentifizierung mit dem grafischen Java-Client unter Linux am Server fehl.
Dieses Verhalten trat sowohl bei einem im lokalen Intranet installierten On-Premise-Server auf, als auch bei einem extern gehosteten System. Das lässt vermuten, dass der Java-Client weder jemals unter OpenJDK noch unter den derzeit aktuellen Java-Runtimes von Oracle auf Linux-Desktops getestet wurde.
Diese Vermutung belegen auch die widersprüchlichen Angaben in der ansonsten vorbildlich gehaltenen Dokumentation: Hier taucht zwar gelegentlich Linux als Client auf, allerdings ohne detailliertere Angaben dazu. Storgrid lässt sich daher in Umgebungen mit Linux-Clients nur eingeschränkt nutzen, da die automatische Synchronisation nicht funktioniert.
Fazit
Storgrid könnte konzeptionell und sicherheitstechnisch eine der besten Cloud-Lösungen am Markt sein, wäre da nicht die jeder Beschreibung spottende, miserable Linux-Unterstützung. Im negativen Sinne führt das Projekt dem Interessenten eindrucksvoll vor Augen, dass Java offensichtlich immer noch nicht gleich Java ist und zwischen den OpenJDK- und Oracle-Implementationen nach wie vor gravierende Inkompatibilitäten bestehen. Wer aktuelle Distributionsversionen einsetzen möchte, sieht sich obendrein mit Problemen konfrontiert, die selbst gestandene Administratoren nicht ohne Weiteres lösen. Bei Storgrid besteht also trotz guter Ansätze hinsichtlich der Usability und ausgeklügelter Sicherheitskonzepte noch ein deutlicher Verbesserungsbedarf.
Glossar
-
BYOD
-
“Bring your own device”. Saloppe neuhochdeutsche Umschreibung der Möglichkeit für Anwender, ihre privaten Endgeräte auch im Unternehmen zu nutzen.
Infos
[1] Storgrid: http://www.storgrid.com/
[2] Storgrid-Dokumentation: http://www.storgrid.com/resources/library/
[3] SELinux-Dokumentation: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Fixing_Problems-sealert_Messages.html
[4] Oracle Java: http://www.java.com/de/download/linux_manual.jsp
