IT-Administrator September 2019
Total Page:16
File Type:pdf, Size:1020Kb
Selbstgehostete deklofenak – 123RF Quelle: Alternativen zu Dropbox Datei-Lakai von Andreas Stolzenberger Viele Unternehmen möchten moderne Dateidienste im Stil von Dropbox oder der Google Cloud für den sicheren Informationsaustausch nutzen. Das Vertrauen in die Daten- integrität der in den USA gesicherten Daten hält sich allerdings meist in Grenzen – wenn nicht ohnehin Datenschutzrichtlinien die Lagerung von Dokumenten außerhalb des Landes verbieten. Hier sind selbstgehostete Optionen zu Dropbox gefragt. Wir geben einen Überblick. O ft zum Leidwesen der laufenden aber ähnlich simpel bedienen lassen wie Unterhaltskosten verlagern Unter- Dropbox und Co. nehmen ihre IT-Dienste aus dem heimi- schen Datenzentrum irgendwo in die Architektur Cloud – Outsourcing 4.0 ist in vollem moderner Dateidienste Gange. Viele Anwendungen und Dienste Aber was unterscheidet eigentlich den sind in der Cloud gut aufgehoben, wenn modernen Dateidienst vom klassischen auch bei weitem nicht alle. Laufwerk F:? Da ist zunächst einmal die Zugriffsart an sich: Der Zugang zu den Trotz Tonnen moderner Microservices gespeicherten Daten muss über das In- und moderner Apps für nahezu jeden ternet erfolgen können. Als Protokoll Unternehmensprozess besteht nach wie kommt daher nur HTTPS in Frage. Der vor der Bedarf am klassischen Dateiser- Zugriff erfolgt – gerade in Anbetracht ver-Dienst – allerdings mit modernen ungesicherter öffentlicher WLANs – ver- Zugangsmethoden. Denn auf das altbe- schlüsselt und kann in der Regel unge- kannte gemeinsame Laufwerk F: haben hindert Proxy-Server und Firewalls pas- nur interne Mitarbeiter Zugriff und wer sieren. Proprietäre Protokolle mit eigenen von unterwegs oder aus dem Home-Of- Ports schaffen das häufig nicht. VPN- fice arbeitet, kommt ohne komplexe Tunnel für den Zugriff erfordern spezielle VPN-Konstrukte nicht an seine Daten. Software auf dem Endgerät, was einen simplen Dateizugriff verhindert. In der Praxis nutzen deshalb frustrierte Mitarbeiter immer mal wieder ihren pri- Auch bei der Zugriffskontrolle gibt es Un- vaten Dropbox-Account, um Dokumente terschiede: Der Besitzer von Dateien und mit Geschäftspartnern zu teilen, und ver- Verzeichnissen sollte selbst den Zugang letzen dabei sowohl die gesetzlichen als zu einzelnen Dateien und Ordnern re- SCHWERPUNKT auch die konzernweiten Datenschutz- glementieren können. Das schließt ein, richtlinien. Die IT-Abteilungen müssen dass einzelne Benutzer und Gruppen vol- reagieren und ihren Anwendern daten- len Zugriff bekommen, während andere schutzkonforme Lösungen bieten, die sich beispielsweise nur Leserechte erhalten. www.it-administrator.de Selbstgehostete Alternativen zu Dropbox Schwerpunkt um lokale Dateiordner automatisch mit den im Internet gesicherten Dateien ab- zugleichen. Letztere Zugriffsform eignet sich dabei allerdings nur dann, wenn ein- zelne Nutzer mit den Daten arbeiten. Synchronisieren und ändern hingegen mehrere Anwender die geteilten Datenbe- stände, kommt es zwangsweise zu Syn- chronisationsfehlern und widersprüchli- chen Versionen. Welche Tools eignen sich also bevorzugt für das Dateisharing via In- ternet mit Datenhaltung im lokalen LAN? Bild 1: Alle Lösungen lassen sich mit einer 3-Tier-Architektur betreiben, die mehrere Frontend-Knoten im WebDAV allein untauglich Scale-out vom eigentlichen Speicher trennt. So sieht beispielsweise die Cluster-Architektur von Seafile aus. Das universelle Protokoll für Dateisharing via Internet ist WebDAV. Es basiert auf Ein weiteres Unterscheidungsmerkmal: durchaus Sinn, den Access-Layer vom ei- HTTP und natürlich HTTPS als Trans- Gerade wenn mehrere Personen an ge- gentlichen Storage zu trennen. portschicht. Prinzipiell genügt bereits ein teilten Dateien arbeiten, muss der Datei- simpler Apache- oder NGINX-Webserver dienst mehrere Versionen dieser Datei Eine 3-Tier-Lösung kann den eigentlichen mit den passenden Dav- und Dav-Lock- vorhalten. So kann der Eigner versehent- Dateidienst in der Cloud oder bei einem Modulen, um diesen Dienst bereitzustel- liche oder falsche Änderungen rückgän- Hoster betreiben, während die Daten si- len. Alle gängigen Clientbetriebssysteme gig machen und eine überschriebene Da- cher im lokalen Datacenter lagern. Diese unterstützen DAVFS, um Netzwerklauf- tei durch eine ältere Version ersetzen. Architektur bedarf nur eines wesentlich werke einzubinden. Viel mehr als "F: over kleineren Lochs in der Firewall, das nur Internet" hat das blanke DAV aber nicht Nicht zuletzt gilt natürlich das Primat des eine Punkt-zu-Punkt-Verbindung zwi- zu bieten und so fehlt es vor allem an den sicheren Speicherorts: Der Dienst muss schen Clouddienst und Datacenter erlaubt vom Benutzer steuerbaren Rechte- und alle Informationen an einem datenschutz- und sich damit wesentlich einfacher über- Zugriffsbeschränkungen. Das nackte DAV konformen Ort lagern. Nach Möglichkeit wachen lässt. Da der Cloud-Layer keine allein reicht also nicht. sollte der Dateiservice sich gleich selbst großen Massenspeicher benötigt, redu- um das Backup kümmern. ziert diese Lösung die Kosten des Cloud- ownCloud und Nextcloud teils erheblich gegenüber einem Ansatz, Zu den populärsten Dropbox-Alternativen 3-Tier-Lösung ergibt Sinn der viele TByte an Daten auf Cloudser- gehören die verwandten Open-Source- Wer eine Dropbox-Variante im eigenen vern sichert. Tools ownCloud [1] und das von dessen Data Center hostet, steht vor einem gro- Sourcecode geforkte Nextcloud [2]. Beide ßen Sicherheitsproblem. Er benötigt ne- Online statt Offline in PHP programmierten Werkzeuge of- ben einer offiziellen externen IP-Adresse Moderne Internet-Dateidienste offerieren ferieren Synchronisations- und Kollabo- auch ein passendes Loch in seiner Fire- in der Regel zwei Zugriffsformen: Den rationsdienste. Wer lediglich die Basis- wall für den Zugang von außen, was häu- Online-Live-Zugriff auf die gesicherten dienste für Dateisharing verwenden fig wiederum anderen Sicherheitsrichtli- Dateien und eine Synchronisationsoption, möchte, kann mit beiden gut umgehen. nien des Unternehmens widerspricht. Greifen alle Nutzer des Dateidienstes di- rekt auf den Service im internen Rechen- zentrum zu, müssen die Administratoren diesen Dienst und alle Zugriffe sehr genau überwachen. Bei genauer Betrachtung besteht ein Da- teidienst aus drei Services: Dem Client des Anwenders, dem Sharing-Dienst mit Authentisierung, Rechtesystem und Me- tadaten sowie der eigentlichen Dateihal- tung mit Versionierung und Backup. Viele Dienste fassen Access- und Storage-Tier Bild 2: Das Nextcloud-Interface listet die Metadaten der gesicherten Dateien auf. in einem Dienst zusammen. Es ergibt aber Via Versionierung kann der Nutzer auf frühere Dateiversionen zugreifen. www.it-administrator.de September 2019 71 Schwerpunkt Selbstgehostete Alternativen zu Dropbox mit dem passenden PHP-Support einrich- ten und eine SQL-Datenbank (in der Regel MySQL) bereitstellen. Ein paar Basispa- rameter liegen in einer Konfigurations- datei, die restliche Administration erfolgt im Webbrowser. Beide Plattformen klin- ken sich problemlos in gängige Directo- ry-Dienste wie ADS oder FreeIPA ein, un- terstützen Zwei-Faktor-Authentifikation und Single Sign-on. Beide Angebote liefern in der Praxis zu- Bild 3: Wie alle Tools unterstützt auch Seafile eine Dateihistorie und kann verlässige Dateidienste über das DAV- Änderungen sowie versehentliche Löschungen rückgängig machen. Protokoll und eigene Sync-Clients. Die Performance, speziell beim Dateisync, ist ownCloud zielt in der Zwischenzeit stärker Angebote wie Office 365 oder die Goo- anderen Tools unterlegen. Das spielt aber auf den kommerziellen Einsatz mit kos- gle Office Suite. bei der Hauptaufgabe Kollaboration eine tenpflichtigem Enterprise Support für sei- geringe Rolle. Die Entwicklung hin zu ne Plattform. Der Freistaat Bayern nutzt Beide Lösungen nutzen für die Kommu- mehr Kollaborationsfunktionen gefällt, beispielsweise eine angepasste Variante nikation das DAV-Protokoll, das sich steckt aber verglichen mit anderen An- von ownCloud in seiner "BayernBox", eine gänzlich ohne Clientsoftware nutzen lässt. geboten wie denen von Google noch et- Dateisharing-Plattform für Kommunen Alternativ gibt es eine Reihe von Tools was in den Kinderschuhen. in Bayern. für alle gängigen PC- oder Mobilplattfor- men. Diese lassen sich online oder mit Seafile Auch Nextcloud bietet kommerziellen Synchronisation verwenden. Die dem Seafile [4] führt ein Schattendasein hinter Support und entwickelt zudem die Kol- DAV-Protokoll fehlenden Zugriffsregeln ownCloud/Nextcloud, obwohl es bereits laborationsfunktionen der Plattform ak- steuert der Anwender über das Webin- länger als ownCloud existiert. Der auf tiv weiter. Dazu gehören dann Dienste terface des Diensts. ownCloud und Next- Open Source fußende File-Sharing-Ser- wie cloudbasierte Office-Funktionen cloud erstellen automatisch und zeitba- vice ist in Python auf Basis des Django- (etwa OnlyOffice-Integration) zum ge- siert Snapshots der Dateien. Webframeworks geschrieben. Seafile kann meinsamen Bearbeiten von Notizen, Ta- sowohl den eigenen Webserver nutzen bellen oder Dokumenten. Damit posi- Beide Werkzeuge unterstützen mittlerweile als auch hinter Apache oder NGINX ope- tioniert sich Nextcloud stärker gegen eine ganze Reihe von Storage-Back ends. rieren. Es benötigt eine Datenbank für Neben lokalen Ordnern lassen sich auch die Metadaten und unterstützt verschie- Self hosted S3 NFS-Freigaben oder S3-Buckets der ei- dene Storage-Backends. Neben S3 kann gentlichen Dokumente aufnehmen. Die das Tool nativ mit dem Object-Storage Bei allen vorgestellten