Wat zijn de gevolgen voor security architectuur doordat steeds meer ict-diensten worden aangeboden in de cloud? Is security zelf als cloud-dienst een optie?
Het volwassen worden van virtualisatie software en de opkomst van Web 2.0 applicaties maken het steeds meer mogelijk om verschillende soorten ict-diensten, zowel infrastructurele (IaaS), platform (PaaS) als software (SaaS) diensten, aan te bieden vanuit de cloud.
Resources delen
Virtualisatie software maakt het hierbij mogelijk om hardware resources te delen en een hoge mate van schaalbaarheid te realiseren. Web 2.0 applicaties gebaseerd op Asynchronous JavaScript and XML (AJAX), Extensible Markup Languate (XML) en OWL Web Ontology Language (OWL) maken het daarnaast mogelijk om effectief, zowel syntactisch als semantisch, data uit te wisselen tussen verschillende cloud-diensten.
Onderzoek heeft aangetoond dat 80 procent van de data binnen organisaties ongestructureerd is en 20 procent gestructureerd. Ongestructureerd wil zeggen dat deze data is opgeslagen op bijvoorbeeld lokale workstations, file shares, usb-sticks en e-mail systemen. Het meest tot de verbeelding sprekend voorbeeld is een e-mail applicatie. Deze bevat ongestructureerde data met verschillende betrouwbaarheidsclassificaties, maar maakt gebruik van een gedeelde onderliggendeict-infrastructuur. Dit maakt het moeilijk om deze data vanuit security oogpunt verschillend te behandelen en moet men de regel toepassen dat de gedeelde onderliggende ict-infrastructuur moet voldoen aan de betrouwbaarheidseisen van de hoogst geclassificeerde data. In ogenschouw genomen dat veelal maximaal 20 procent van de data van een organisatie kritisch is treft men dus voor 80 procent van de data een onnodig kostbare beveiligingsmaatregel.
Met andere woorden er is behoefte aan een autonome security architectuur voor de waarborging van betrouwbaarheid. Tevens een van de fundamenten en specifiek onderkend in het eerste commandment van het Jericho Forum: ‘1. The scope and level of protection should be specific & appropriate to the asset at risk'. De cloud versterkt deze behoefte niet alleen, maar biedt ook een architectuur voor security oplossingen om deze behoefte in te vullen.
Security architectuur
Kenmerkend voor cloud-diensten zijn een hoge mate van deling van resources, niet altijd duidelijke zichtbaarheid in de lagen (infrastructuur, platform, applicatie) waarop deling plaatsvindt en het gedistribueerde karakter van kritische data over verschillende cloud-diensten. Om de betrouwbaarheid van data in een dergelijke omgeving te waarborgen is een security architectuur op data niveau noodzakelijk. Eveneens onderkend in de Jericho commandments: ‘9. Access to data should be controlled by the security attributes of the data itself' en ‘11. By default, data must be appropriately secured when stored, in transit and in use'.
De huidige security oplossingen op data niveau richten zich met name op de betrouwbaarheidseis vertrouwelijkheid, denk hierbij aan Enterprise Rights Management (erm) en Data Loss Prevention (dlp) oplossingen. Het onderbrengen van ict-diensten in de cloud vereist eenzelfde data georiënteerde benadering ten aanzien van de betrouwbaarheidseisen beschikbaarheid en integriteit. Denk hierbij ten aanzien van beschikbaarheid aan een intelligente backup en restore oplossing. Een oplossing die frequenter een reservekopie maakt van hoog geclassificeerde data en deze opslaat op een betrouwbaarder backup medium dan van laag geclassificeerde data (lagere frequentie, minder betrouwbaar medium, lagere kosten).
Het gedistribueerde karakter van kritische data over verschillende cloud-diensten vereist een flexibele security architectuur. Cloud computing biedt kansen om security oplossingen zelf als cloud dienst aan te bieden. Denk aan een cloud backup en restore oplossing, maar ook aan een cloud Identity and Access Management (iam) oplossing t.en gunste van identity federation vraagstukken bij het gebruikmaken van cloud-ict-diensten.
De eerste cloud security oplossingen, zoals cloud anti-malware, zijn in ontwikkeling en bieden interessante mogelijkheden voor het 'verzachten' van risico's van zero day aanvallen. De stap die volgt is integratie van data georiënteerde security oplossingen ten opzichte van punt oplossingen voor iedere betrouwbaarheidseis.
Roy Samson, Senior Security Consultant Capgemini Nederland
Intressante inleiding, voorwaar. Maar na de inleiding houdt het opeens op. Wat moet er nu in de “flexibele security architectuur” komen? Ik lees eigenlijk vooral dat je antivirus en backup moet hebben in de cloud. Dat zijn twee vinkjes bij IaaS/PaaS leverancier, AV speelt vrijwel geen rol voor SaaS. En een backup in de cloud is ook een standaardvoorziening. Terecht noem je IAM en federation – daar wordt het spannend.
Ik zou daarna iets verwachten over SIEM in relatie tot de cloud, sterke authenticatie, pseudonimisatie ivm met mash-up architecturen, micropayment voorzieningen � la XrML, en hoe je koppelvlak van binnen naar buiten en vice versa er uit zo moeten zien. Maar goed, ik mag vaststellen dat dit artikel alleen een teaser is, toch?
Ik wil toch wel even inhaken op de reactie van Peter inzake dat AV vrijwel geen rol speelt in de cloud. Anti Virus van mail is 1 van de meest succesvolle ASP, wat tegenwoordig in gemeengoed SaaS wordt genoemd. Het is gigantisch makkelijk om dit als SaaS dienst af te nemen, van consument tot zeer groot zakelijke gebruikers. Het is ook heel makkelijk om af te nemen, enkel de MX-records van een domein naam hoeven aangepast te worden.
Webscanning als SaaS oplossing vindt ook steeds meer interesse tot en met grote corporates aan toe. Kijk bijvoorbeeld naar het succesvolle bedrijf Scansafe (http://www.scansafe.com) dat recent door Cisco is overgenomen. Dit biedt bedrijven mogelijkheden om 1 security policy toe te passen op alle eindgebruikers of ze binnen danwel buiten de corporate omgeving zich bevinden.