Cloud computing is een nieuwe methode (of wellicht: hype) voor het leveren van computer resources aan klanten, maar het is geen nieuwe technologie. Ook de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling.
Cloud computing is geen nieuwe technologie en de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling. Er zij n echter wel productaanpassingen en -ontwikkelingen om een optimale efficiënte bescherming te bieden in deze (virtuele) infrastructuur. De additionele security vraagstukken zijn in principe niet verschillend van de huidige hosting en outsourcing modellen. Ervaring is er dus ook al.
Hoe zit dat eruit?
Er zijn drie functie categorieën in cloud computing:
– Software-as-a-Service (Saas). Voorbeeld: Salesforce.com, Hotmail en Google Docs.
– Platform-as-a-Service (PaaS). Voorbeelden: Microsoft Azure, Force en Google App engine.
– Infrastructuur-as-a-Service. Voorbeelden Amazon EC2 en S3, Terremark Enterprise Cloud en Windows Live Skydrive.
Clouds kunnen daarnaast ook fysiek verdeeld worden in public, private of hybride cloud en een paar afgeleide zoals community of shared cloud.
Zoals gesuggereerd zijn de functionele security controles in cloud computing voor het grootste gedeelte niet anders dan de controles in elke it-omgeving. We vinden ‘gewoon' nog steeds de Firewall (traditioneel en voor virtualisatie), IPS of Patch Management (traditioneel en voor virtualisatie), Antimalware (voor virtualisatie), netwerk segmentatie, 2-factor authenticatie, Identity and Access Management, data encryptie (binnen de guest in een virtuele omgeving) en vulnerability testing of scanning. Er is wel een accentverschuiving te zien naar Identity and Acces Management en data integriteit.
Door het gebruik van cloud service modellen, creëren de operationele activiteiten met technologieën die hieraan onderliggend zijn, andere risico's voor een organisatie dan binnen traditionele it-netwerk omgevingen. Cloud computing is voor de afnemer het uit handen geven van directe controle maar niet van de aansprakelijkheid, ook al vervalt de operationele verantwoordelijkheid naar een derde partij.
Het verschil tussen de operationele en uiteindelijke verantwoordelijkheid zal men willen oplossen door het sluiten van waterdichte security sla's en de aanwezige en beschreven security controles. De controle op de geleverde security, vastgelegd in deze sla's, zal door middel van externe en interne audits uitgevoerd worden.
De houding van zowel een cloud provider en de klant word gekarakteriseerd door de volwassenheid, effectiviteit en compleetheid van de geïmplementeerde security controles. Deze controles zijn geïmplementeerd in meerdere lagen: van de fysieke security naar netwerk en it-systemen. Daarnaast zijn er controles nodig op gebied van organisatie, personeel en processen, zoals het scheiden van functie- en changemanagement. De security verantwoordelijkheden van de provider en klant verschillen tussen de verschillende service modellen.
In IaaS modellen kunnen de providers alleen de fysieke security en virtualisatie security managen. De (operationele) security van de besturingssystemen, applicaties en data is aan de klant zelf.
Bij een SaaS model zal de provider echter ook de verantwoordelijkheid moeten dragen van security management op de infrastructuur, de applicaties en data. De klant zal hierbij minder operationele verantwoordelijkheid dragen.
Afhankelijk van de huidige stand van zaken van het niveau van de security van de klant en de keuze van het cloud-model kan de efficiëntie van de totale security op het gebied van controles verbeteren. Deze verbetering is een serieuze opmerking omdat er bij veel organisaties nog wel wat aan schort en de provider snel een schaalbaarheidsvoordeel heeft, waardoor sommige exotischer beveiligingstooling wellicht toegankelijk wordt. De klant hoeft zich voornamelijk bezig te houden met controle op de nageleefde 'Security'' Level Agreements.
We zien op dit gebied een toename in vragen rond de tool vulnerability scanning als een audit/compliance tool. Een toename ten opzichte van de huidige vraag rond hosting en outsourcing situaties.
Werken in een Cloud-gebaseerd netwerk omgeving creëert veel meer mogelijkheden voor data-infectie of diefstal dan de traditionele IT-netwerken. Beveiligingsmaatregelen moeten daar wel degelijk op aangepast worden. Data die is opgeslagen in de Cloud vereist tevens een heel andere beveiligingsaanpak dan data die heen en weer gestuurd wordt tussen een beveiligd intern netwerk en bijvoorbeeld een mobiele werknemer. Het eerste volstaat met een ‘lock and key’ manier, in de tweede situatie komt er bijvoorbeeld applicatie beheer, encryptie, SSL inspectie, data leakage beveiliging en antivirus bij kijken. Wat bedrijven zich ook moeten realiseren, is dat data die opgeslagen wordt in de Cloud, over het algemeen wel goed beveiligd wordt tegen diefstal, maar wel degelijk al geïnfecteerd kan zijn. Op deze manier kan data die een tijdje opgeslagen was, bij gebruik een veilig intern netwerk besmetten. Conclusie: de Cloud maakt een nieuwe manier van werken mogelijk, dit vereist dus ook een nieuwe manier van omgaan met data én beveiliging.
Providers die een Cloud Dienst bieden aan vele eindgebruikers werken als een magneet voor criminelen die toegang willen hebben tot de data van deze eindgebruikers. Vaak zie je dan ook wie de eindgebruikers zijn die gebruik maken van een dergelijke Cloud Dienst, want ongetwijfeld lezen criminelen ook berichten in de pers en marketing uitlatingen van diverse providers die een dergelijke dienst bieden. Met deze informatie kan er mogelijk ingeschat worden om hoeveel eindgebruikers het gaat en wat het potentieel mogelijk zou kunnen opleveren.
Want ondanks alle lagen van beveiliging zijn er diverse methoden die criminelen inzetten om hun doel te bereiken; als voorbeeld is het voor een criminele organisatie eenvoudig om een zgn ‘uitzendbureau’ op te zetten waarbij er hoog opgeleid personeel wordt aangeboden tegen een lage prijs – de vraag is dan wat voor personeel een provider dan binnen haalt.
Het is onmogelijk dat traditionele netwerk security de complete inter-virtuele communicatie beveiligd, omdat je hiervoor vaak op je ‘eigen’ stukje Cloud zit.
Gelukkig bestaan er ondertussen virtuele oplossingen die een sterke user-based en application-based security kunnen bieden, waarbij je de in het pre-Cloud tijdperk gehanteerde werkwijze gewoon kan aanhouden. Dit bespaart je het aanleren van een nieuwe manier van werken en de bijbehorende kopzorgen. Security vendors doen er goed aan om hierover mee te denken. Daarnaast bieden Cloud oplossingen, zoals virtuele UTM’s met gevirtualiseerde DMZ zones zeker een meerwaarde in de dagelijkse beveiliging.
Ook security experts moeten evolueren in hun denken en implementeren, maar bottom-line blijft in elke situatie van belang dat je je gezond verstand moet gebruiken. Dit zal nooit veranderen, welke platformen, media of applicaties er in de toekomst ook op ons afkomen.
In 23 bovenstaande reacties kom ik 3 aspecten nauwelijks tegen:
– Veel Cloudservices zullen worden aangeschaft door afdelingsmanagers uit de businesskant, met een beperkt IT & Security bewustzijn. Die maken 15 gebruikers en hebben vervolgens minder oog voor de uit dienst procedures.
– Bij het afnemen van Clouddiensten moet je eisen dat loggegevens naar jou worden gestuurd. Anders kun je eea nooit aan je eigen logmonitoring hangen. De Cloud alliance en andere branche initiatieven van cloud aanbieders verplichten leden dit al te doen.
– Er zijn veel kleine Saas aanbieders die grote financiele uitdagingen hebben. De beveiliging moet eerst gekocht worden en de (langzaam toestromende) klanten betalen per maand. Vaak zijn de tarieven ook erg scherp.