De beveiligingsproblemen rond cloud computing zijn niet nieuw. “Het inherente probleem is: verschillende not trusted mensen op dezelfde hardware. Dus dat is hetzelfde als dertig jaar geleden. Toen had je verschillende abonnementen op één computer.” Dat zegt beveiligingsexpert Bruce Schneier, chief security technology officer van BT.
Hoe veilig is de cloud?
Dat is grappig. In de afgelopen maand vraagt iedereen me naar cloud computing. Iederéén! De cloud is niets nieuws. Mijn vraag is: wat is het verschil?
Het probleem met de cloud is dat je het databezit scheidt van het bezit over het apparaat waarop die gegevens zijn opgeslagen. Dat is een situatie die volgens uzelf beveiliging lastiger maakt, zo valt te lezen in uw laatste boek, Schneier on Security.
Maar dat doen al met mail! Waar is je mail nu? Weet je dat? We doen dat al zo véél! Ik weet niet of er wel een verschil is. Iedereen schrijft over de beveiliging van cloud computing, en neemt aan dat er een gigantisch verschil is. Ik vraag me af of dat wel zo is.
Veel bedrijven aarzelen om hun applicaties en data naar de cloud te brengen, vanwege beveiligingsaspecten.
Omdat er een controle- en vertrouwenskwestie speelt. Maar dat probleem bestond dertig jaar geleden ook al. Toen had je ook clients en servers.
Dat was binnen en bedrijf.
Dat maakt het probleem niet anders. Het inherente probleem is: verschillende not trusted mensen op dezelfde hardware. Dus dat is hetzelfde als dertig jaar geleden. Toen had je verschillende abonnementen op één computer. Misschien vergis ik me en is de cloud iets anders, maar voor mij voelt het alsof we dit al eens meegemaakt hebben, alsof dit geen nieuwe kwesties zijn.
Nu hebben we internet.
Toen had je ARPAnet. Maakt dat zo'n groot verschil? Het voelt als een hoop redundantie en oude problemen. Die hele notie van niet weten waar je gegevens zijn, dat is client-server, computing in de jaren zestig. Of die not trusted mensen zich binnen of buiten het bedrijf bevinden maakt niet zoveel uit.
Op het internet zwerven veel meer mensen rond, ook met slechte bedoelingen, dan op ARPAnet.
Wat maakt het uit of je vijf mensen met kennis van zaken hebt, of dertig? Dat is alleen een verschil in de schaal van het probleem, niet in het type.
Daarnaast schijnen internetcriminelen steeds professioneler te werk te gaan.
Dat is heel erg waar.
Misschien maken ze op dit moment wel een studie van de mogelijkheden van cloud computing.
Kan zijn. Maar voorlopig ben ik er niet van overtuigd dat er cloud computing- onderzoekscentra bestaan in de criminele wereld. Misschien. Hoe dan ook, het is een interessante vraag.
En hoe zit het met virtualisatie?
Dat is precies hetzelfde onderwerp! Dat is alleen maar een ander woord. Binnen of buiten een bedrijf maakt toch geen verschil? Bedrijfsgrenzen zijn hoe dan ook fluïde. Je hebt toeleveranciers, klanten, enzovoort.
Termen als de cloud en virtualisatie zijn marketingtermen. We moeten uitzoeken wat ze werkelijk betekenen. De beveiligingsproblemen die er mee samenhangen klinken in mijn oren als computing in de jaren vijftig. Servervirtualisatie was al werkelijkheid in de jaren vijftig.
Hoe zit het met webmail?
Dat zijn allemaal dezelfde vragen.
Saas?
Hetzelfde.
In uw boek Schneier on Security zegt u dat zodra ict meer en meer een nutsmiddel wordt, gebruikers meer en meer diensten gaan aanschaffen, in plaats van producten. U voorspelt dat ze daardoor in toenemende mate zullen verwachten dat hun ict inherent veilig is. Betekent dat dat cloud computing een stimulans is voor het ontwikkelen van inherent veilige ict-diensten?
Ik denk het wel.
Hoe ver is die ontwikkeling op dit moment?
Een klein eindje op weg. Het is een kip-en-ei probleem. Alle grote outsourcers die diensten leveren in plaats van producten, zoals BT, IBM en EDS, zijn er mee bezig. Misschien gebeurt deze ontwikkeling niet onmiddelijk, misschien pas over twintig jaar, maar uiteindelijk wel. Computing is infrastructuur.
In een artikel uit 2004 adviseerde u thuisgebruikers in een artikel om Windows en Internet Explorer niet te gebruiken. Adviseert u dat nog steeds, en ook aan zakelijke gebruikers?
Het is een goed advies, maar niemand volgt het op, dus het zal wel in orde zijn. Als je af kunt raken van Windows, is dat absoluut veiliger. Maar thuis blijven is ook veiliger dan naar je werk rijden. Dus bedrijven moeten zich niet te druk maken. Hoe onveilig autorijden ook is, je zult toch naar je werk moeten rijden. En dat is jammer, maar zo is het.
Mag ik er even opwijzen dat Cloud computing niets te maken heeft met onderstaande quote uit het stukje
“Het probleem met de cloud is dat je het databezit scheidt van het bezit over het apparaat waarop die gegevens zijn opgeslagen.”
Cloud computing is het aanbieden van een desktop, Applicaties en data vanaf een en dezelfde plek die bereikbaar is van waar dan ook voor gevalideerde mensen.
Met behulp van VirtualStorm bieden we een volledig werkende Cloud oplossing waar gebruikers vanaf elke werkplek waar dan ook ter wereld via authenticatie toegang krijgen tot HUN EIGEN WERKPLEK met daarop HUN EIGEN APPLICATIES die volledig toegang heeft tot HUN DATA.
VirtualStorm integreert een VDI oplossing waarbij met behulp van een Disk IO protocol applicaties vanaf een gecentraliserde harde schijf kunnen worden gelezen.
De desktop is voor de gebruiker identiek waar hij ook zit.
Toegang is mogelijk via een werkplek op kantoor, een thuiswerkplek via een secure gateway en via internet cafe’s via dezelfde secure gateway.
Alnaar gelang de wensen van de klant kan er gekozen worden uit diverse varianten van smartcard authenticate tot RSA authenticatie.
VirtualStorm kan in ieder willekeurig datacenter draaien, maar ook gewoon bij de klant in huis in zijn eigen server ruimte.
VirtualStorm maakt gebruik van de POWER OF ONE technologie die het beheer vereenvoudigd.
1 Desktop word beheerd. Alle gebruikers hebben een volle kopie van deze desktop.
1 Applicatie repository word beheerd. Alle gebruikers hebben een koppeling met deze repository en gebruiken de daarop geplaaste applicaties. Dit door gebruik te maken van een uniek stukje technologie die dit via een in Nederland uitgevonden en geprogrammeerd Disk protocol laat plaatsvinden.
En de repository is geen grote SBC omgeving, maar een fysieke SSD drive.
Mag ik er op wijzen dat het vorige commentaar gewoon schaamteloze spam is ?
I would recommend that Mr. Schneier have a look at Alan Murphy’s white paper, “Security Implications of the Virtual Data Center” (http://www.f5.com/pdf/white-papers/virtual-data-center-security-wp.pdf).
Mr. Murphy has been quoted as saying: “Virtualization (in)security, specifically around the hypervisor and software switching, could be the apocalyptic end to the data center as we know it. ” Rather dramatic, and in stark contrast to the message of Mr. Schneier. The true may lie somewhere in between, but deserves a bit more explanation than the glib answers that as yet Mr. Schneier has provided here.