Wie is er verantwoordelijk voor de beveiliging bij cloud computing? Leveranciers van beveiligingssoftware wijzen erop dat er op dit punt nog veel onduidelijkheid bestaat. De verantwoordelijkheid voor data blijft echter bij de eigenaar liggen, ook al gebruikt hij een dienst in de cloud. De uitbestedende partij moet dan ook passende maatregelen treffen om bijvoorbeeld de privacy van zijn klanten te waarborgen.
Hans Doornbosch, directeur en oprichter van Pinewood, en Patrick Dalvinck, directeur Benelux bij Trend Micro, wijzen erop dat de aanpak vanuit de optiek van risicomanagement bij cloud of SaaS hetzelfde is als bij het gebruik van applicaties in de eigen veilige bedrijfsomgeving. "Het gaat dan toch altijd om het vaststellen van de waarde van gegevens en het inschatten van de bedreigingen, om vervolgens passende maatregelen te treffen", zegt Doornbosch. "De fout die wij vaak tegenkomen, is dat de uitbestedende partij denkt tevens de verantwoordelijkheid te kunnen uitbesteden."
Dalvinck haalt ook juist dit punt aan. "Bij het gebruik van een publieke cloud, of bij een mix van cloud en data in het eigen rekencentrum, kun je nooit zeker weten waar jouw data staan. Het is een virtuele omgeving; VMware is zo slim om data automatisch naar een andere fysieke server over te brengen als de server die in gebruik is vol raakt. Dan kun je wel zeggen: dat is de cloud-leverancier die dat doet, maar jij blijft toch verantwoordelijk voor je eigen data. Zelfs al zou het wettelijk niet zo zijn, dan nog wordt jouw bedrijf erop aangekeken als de klantgegevens op straat komen te liggen, en niet de cloud-leverancier. Dat moet je goed beseffen."
Dalvinck brengt nog een punt naar voren: "Wat gebeurt er met jouw gegevens als je van de ene cloud-leverancier overstapt op een andere? Hoe weet je dan zeker dat jouw gegevens worden vernietigd bij de oorspronkelijke dienstverlener? De oplossing is dat je alle beveiligingsparameters moet koppelen aan de virtuele server. Als je overstapt, gaan alle veiligheidsaspecten automatisch mee. Het is niet meer zo dat je een voordeur hebt bij je eigen rekencentrum waar je alle gegevens op een centrale plek kunt beveiligen." Hij voegt er nog aan toe dat hij in de praktijk merkt dat al zijn klanten bezig zijn met virtualisatie en het afnemen van diensten in de cloud.
Ook Willem Boelman, product marketing manager bij CommVault, haalt het punt aan van beschikbaarheid van de data. "Wat gebeurt er bijvoorbeeld als de dienstverlener failliet gaat, of wordt overgenomen? Wat gebeurt er als de dienstverlener een conflict met je heeft over een bepaalde rekening en je zolang de toegang tot de data weigert? Hier moet je goede afspraken over maken. Een mogelijkheid is een back-up van kritieke data te maken; in huis of bij een andere cloud-leverancier."
Ook op desktop
Frank Mulder, pre-sales consultant bij Panda Security, vindt dat – ook al ligt de eindverantwoordelijkheid bij de eigenaar van de data – de dienstverlener zijn oplossing wel voldoende moet beveiligen. "Daarnaast is het soms ook de vraag welke beveiligingen een bedrijf eventueel wil afnemen van de SaaS-provider", vertelt hij. "Neem bijvoorbeeld een hosted e-mailoplossing. Hierbij kun je wel of geen antimalware- of antispam-oplossing afnemen. Dit voorbeeld geeft tevens aan dat een aantal van de huidige beveiligingsoplossingen ook in SaaS-omgeving kan worden toegepast, alleen zal de beveiliging dan fysiek op een andere plaats staan."
Ook antimalware is volgens Mulder bij SaaS-, cloud- of virtuele oplossingen noodzakelijk en toepasbaar. "Een bedrijf kan alle applicaties vanuit de cloud gebruiken, maar het blijft noodzakelijk om ook op de desktop, van waaruit de toepassingen worden aangesproken, een antimalware-oplossing te gebruiken."
Script kiddies
Jan Paul Oosterom, account manager End Point Security Benelux bij Check Point Software Technologies, benadert het vraagstuk van weer een andere kant. Hij wijst op de kwetsbaarheid van bedrijven die SaaS- of cloud-oplossingen aanbieden. "De zichtbaarheid van zulke bedrijven is veel groter dan van een doorsnee organisatie, waardoor de beveiliging veel stringenter moet zijn. De kans dat deze dienstverleners onder vuur komen te liggen van cybercrime-organisaties is veel groter. Daarnaast zullen ze door die grotere zichtbaarheid ook sneller worden aangevallen door script kiddies die vanuit hun eigen huis proberen de infrastructuur of de applicaties aan te vallen. De dienstverleners moeten zich er terdege van bewust zijn dat zij het beheer hebben over data en applicaties die voor hun klanten als bedrijfskritiek gelden. Extra voorzichtigheid is geboden. Zij moeten er in hun beveiligingsstrategie rekening mee houden dat zij externe partijen, waarover zij zelf geen controle kunnen uitoefenen, toelaten tot het hart van hun infrastructuur. Dat brengt risico’s met zich mee", verklaart Oosterom.
Boelman vertelt dat CommVault behalve de standaardprotocollen, ook https/rest ondersteunt (cloud storage en access) en remote install eenvoudig maakt met een unified web access. "Voor de beveiliging gebruiken we naar keuze geïntegreerde encryptie voor toegang, transport en opslag."
Er zijn tal van verschillende SaaS-oplossingen. Dat varieert van een huurlicentie die onsite wordt geleverd tot aan serverbased (Citrix, Terminal Server, VDI) oplossingen. "De beveiliging voor zulke omgevingen is dus net zo divers als de manieren waarop de leveranciers hun diensten aanbieden", zegt Oosterom. Hetzelfde geldt voor cloud-diensten.
"Voor gevirtualiseerde omgevingen gelden andere regels", gaat Oosterom verder. "Dergelijke omgevingen vind je overal terug. In rekencentra, bij de SaaS-aanbieder, bij asp’s, cloud-dienstverleners, maar vooral ook in KA-omgevingen (kantooradministratie) van kleine bedrijven, tot aan de datacenters van de global enterprises. Het beschermen van zulke virtuele platformen vraagt een heel andere aanpak. Het is heel lastig om een hardware appliance in een gevirtualiseerde datastroom te stoppen, want je wilt toch dezelfde segmentatie en bescherming in een gevirtualiseerde omgeving als in een ‘normale’ omgeving. Hier heb je dus producten voor nodig die volledig integreren in de gevirtualiseerde wereld en daar zaken kunnen afdwingen en controleren."
Meer onderzoek nodig
Het spreekt voor zich dat de genoemde partijen alle producten hebben die hun werk kunnen doen in een gevirtualiseerde omgeving of in een mengsel van meerdere platformen. Het grote verschil met de traditionele netwerken is dat er niet één fysieke machine (die de poort vormt tussen bedrijfsnetwerk en de buitenwereld) aan allerlei inspecties wordt onderworpen, maar dat dit voortaan op dataniveau gebeurt. Daarbij ligt de verantwoordelijkheid zowel bij de aanbieder van de diensten, als wel – en vooral – bij de eigenaar van de gegevens.
Christiaan Beek, senior security consultant bij kennisorganisatie TenICT, weet dit fijntjes uit te leggen. "Bij cloud-oplossingen (SaaS, IaaS en PaaS) is het nodig anders te kijken naar beveiligingsstrategieën. Er is meer onderzoek nodig naar het concept van virtualisatie en cloud-technologie in relatie tot beveiliging. Er worden nog steeds beveiligingsproducten op de markt gezet die werken als een soort pleister in plaats van als een constructieve oplossing."
"Bij een virtuele omgeving zijn er zoveel aspecten waarmee je rekening moet houden dat je er wel een boek over kunt schrijven", meldt Beek. "Kort weergegeven: het platform zelf en iedere VM moet worden beschouwd als een op zichzelf staande machine die in staat moet zijn zelf ‘zijn eigen broek op te houden’ als het om beveiliging gaat. De netwerklaag tussen de VM’s, het platform zelf en de communicatie met de andere platformen binnen de cloud, zal grondig moeten worden bestudeerd om er een goede beveiligingsarchitectuur voor te ontwerpen. We zien dat er een verschuiving plaatsvindt van fysieke netwerkapparatuur naar virtuele netwerkapparatuur, met alle gevolgen van dien. Als je specifiek kijkt naar de SaaS-architectuur, komt er de beveiliging van de aangeboden software bij. Heeft men bijvoorbeeld bij het ontwikkelen van de software rekening gehouden met de top tien van OWASP (open web application security project)? De beschikbaarheid van tientallen API’s, cloud-specificaties en standaarden maakt het er niet eenvoudiger op."
TenICT is, behalve leverancier van beveiligingsoplossingen, een kennisorganisatie. De firma neemt deel aan de Cloud Security Alliance en past bij de consultancy-opdrachten de richtlijnen van deze organisatie toe in combinatie met de richtlijnen van Enisa en het Jericho-forum.
Profiteren
De leveranciers van beveiligingsproducten ten slotte zien het SaaS-concept ook als een mogelijkheid om diensten aan te bieden. In de woorden van Mulder: "Uiteraard maken wij dankbaar gebruik van de mogelijkheden van de cloud en van SaaS-oplossingen. Onze klanten en partners kunnen zo optimaal profiteren van onder andere een gehoste management oplossing die direct kosten bespaart op onderhoud en beheer van de antimalware-oplossing. Tevens gebruiken wij de onbeperkte rekenkracht van een cloud-oplossing. Door taken van de beveiligingsoplossing in de cloud te laten uitvoeren en niet op de desktop zelf, kunnen we het resourcegebruik op de desktop tot een minimum beperken en veel sneller reageren op nieuwe bedreigingen."
