Cloud computing is een nieuwe methode (of wellicht: hype) voor het leveren van computer resources aan klanten, maar het is geen nieuwe technologie. Ook de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling.
Cloud computing is geen nieuwe technologie en de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling. Er zij n echter wel productaanpassingen en -ontwikkelingen om een optimale efficiënte bescherming te bieden in deze (virtuele) infrastructuur. De additionele security vraagstukken zijn in principe niet verschillend van de huidige hosting en outsourcing modellen. Ervaring is er dus ook al.
Hoe zit dat eruit?
Er zijn drie functie categorieën in cloud computing:
– Software-as-a-Service (Saas). Voorbeeld: Salesforce.com, Hotmail en Google Docs.
– Platform-as-a-Service (PaaS). Voorbeelden: Microsoft Azure, Force en Google App engine.
– Infrastructuur-as-a-Service. Voorbeelden Amazon EC2 en S3, Terremark Enterprise Cloud en Windows Live Skydrive.
Clouds kunnen daarnaast ook fysiek verdeeld worden in public, private of hybride cloud en een paar afgeleide zoals community of shared cloud.
Zoals gesuggereerd zijn de functionele security controles in cloud computing voor het grootste gedeelte niet anders dan de controles in elke it-omgeving. We vinden ‘gewoon' nog steeds de Firewall (traditioneel en voor virtualisatie), IPS of Patch Management (traditioneel en voor virtualisatie), Antimalware (voor virtualisatie), netwerk segmentatie, 2-factor authenticatie, Identity and Access Management, data encryptie (binnen de guest in een virtuele omgeving) en vulnerability testing of scanning. Er is wel een accentverschuiving te zien naar Identity and Acces Management en data integriteit.
Door het gebruik van cloud service modellen, creëren de operationele activiteiten met technologieën die hieraan onderliggend zijn, andere risico's voor een organisatie dan binnen traditionele it-netwerk omgevingen. Cloud computing is voor de afnemer het uit handen geven van directe controle maar niet van de aansprakelijkheid, ook al vervalt de operationele verantwoordelijkheid naar een derde partij.
Het verschil tussen de operationele en uiteindelijke verantwoordelijkheid zal men willen oplossen door het sluiten van waterdichte security sla's en de aanwezige en beschreven security controles. De controle op de geleverde security, vastgelegd in deze sla's, zal door middel van externe en interne audits uitgevoerd worden.
De houding van zowel een cloud provider en de klant word gekarakteriseerd door de volwassenheid, effectiviteit en compleetheid van de geïmplementeerde security controles. Deze controles zijn geïmplementeerd in meerdere lagen: van de fysieke security naar netwerk en it-systemen. Daarnaast zijn er controles nodig op gebied van organisatie, personeel en processen, zoals het scheiden van functie- en changemanagement. De security verantwoordelijkheden van de provider en klant verschillen tussen de verschillende service modellen.
In IaaS modellen kunnen de providers alleen de fysieke security en virtualisatie security managen. De (operationele) security van de besturingssystemen, applicaties en data is aan de klant zelf.
Bij een SaaS model zal de provider echter ook de verantwoordelijkheid moeten dragen van security management op de infrastructuur, de applicaties en data. De klant zal hierbij minder operationele verantwoordelijkheid dragen.
Afhankelijk van de huidige stand van zaken van het niveau van de security van de klant en de keuze van het cloud-model kan de efficiëntie van de totale security op het gebied van controles verbeteren. Deze verbetering is een serieuze opmerking omdat er bij veel organisaties nog wel wat aan schort en de provider snel een schaalbaarheidsvoordeel heeft, waardoor sommige exotischer beveiligingstooling wellicht toegankelijk wordt. De klant hoeft zich voornamelijk bezig te houden met controle op de nageleefde 'Security'' Level Agreements.
We zien op dit gebied een toename in vragen rond de tool vulnerability scanning als een audit/compliance tool. Een toename ten opzichte van de huidige vraag rond hosting en outsourcing situaties.
Waar moet je over nadenken en op letten bij in de Cloud werken? Een cloudprovider biedt zijn diensten aan voor verschillende gebruikers, wat betekent dat zijn netwerk publiek is. Natuurlijk heeft deze een aantal basisbeveiligingen opgesteld, maar deze zijn voornamelijk bedoeld om de ‘bad guys’ buiten te houden. Meestal zijn er weinig of geen maatregelen getroffen om verkeer binnen het datacenter en zeker al niet binnen de gevirtualiseerde hosts te controleren.
Naast encryptie is authenticatie van de server naar de data toe onontbeerlijk. Enkel jouw servers mogen toegang krijgen tot jouw vertrouwelijke geëncrypte data. In de cloud wordt de gevirtualiseerde server slechts waargenomen als een ‘bestand’, en dit is relatief eenvoudig te kopiëren. Op het moment dat men toegang zoekt tot de data moet de integriteit van jouw server dan ook verzekerd zijn.
Het sleutelbeheer rond de encryptie van je data en de integriteit van je servers, kan je beter onder eigen beheer houden. Zo blijf je op elk ogenblik volledig onafhankelijk van je cloudprovider en behoud je de controle. Verander je van cloudprovider, dan vernietig je gewoon de sleutels. Daardoor kunnen de servers niet langer bij de geëncrypte data. Daarnaast is het essentieel om met je cloudprovider concrete afspraken op papier te zetten. Je wil er tenslotte voor zorgen dat zowel de servers als de data bij je provider vernietigd worden.
Je ziet, met de juiste maatregelen kan je toch volop en veilig gebruikmaken van de vele voordelen van de cloud. Net alsof de servers en data in je eigen datacenter zouden staan. Als je rekening houdt met bovenstaande elementen kan je veilig op wolken lopen.
Security in de cloud is wel degelijk verschillend van on-premise security. De grootste verschillen bestaan bij SAAS. Al eerder genoemd is het probleem van multi-tenancy: meer klanten die gebruik maken van dezelfde databases en waarbij rijen van verschillende klanten misschien in dezelfde tabellen staan. De kans dat de ene klant gegevens van de andere kan zien, is niet ondenkbaar. Ook privacy kan een probleem zijn: welke gegevens zijn zichtbaar voor de beheerder van de SAAS-oplossing?
Wie is eigenaar van de gegevens? Daar moeten expliciet afspraken over gemaakt worden.
Hoe worden backups gemaakt en zitten gegeven van verschillende klanten in dezelfde backup?
Security in de public cloud verschilt essentieel van traditionele security, ook als je hosting en outsourcing meeneemt. Bij de private cloud valt het nog wel mee, maar hetzelfde kan gezegd worden van de voordelen van cloud computing. Veel van de traditionele beveiligingsmaatregelen kom je tegen in een public cloud oplossing, maar de organisatie is essentieel anders.
Bij een public cloud staat er bij de service provider ‘ergens’ een grote omgeving die je deelt met vele anderen. Je hebt de voorwaarden van de leverancier maar te slikken, een waterdichte security SLA zit er zeker niet in. Bij gewone outsourcing kun je op deze aspecten nog invloed uitoefenen. Audits zul je als klant niet kunnen eisen, Salesforce, Microsoft of Google zien je al aankomen! Hier zijn hele nieuwe controlemodellen nodig. Wetten zijn ook nog helemaal niet ingespeeld op clouddiensten. Er zijn eisen aan de geografische locatie van data, en providers worstelen met modellen om hun klanten daarmee van dienst te zijn.
Bij een public cloud is een traditionele inrichting van identity and access management niet mogelijk. Of je moet per cloud meer nieuwe identiteiten maken en beheren, met alle ellende die daarbij hoort, of je gaat werken met federated identity management.
Als het allemaal oude wijn in nieuwe zakken was, dan was er geen Cloud Security Alliance nodig om hierover na te denken. Gelukkig is die er wel en is er ook onlangs een Nederlandse afdeling opgezet.
Een interessante en levendige discussie.
Eens met de auteur dat risico analyse, transparantie van maatregelen, audit en toezicht en contracten geen nieuwe maatregelen zijn.
Toch zijn deze maatregelen in een cloud omgeving niet altijd op de “klassieke” wijze toe te passen. Immers het kan zo zijn dat services in de cloud ook weer zelf gebruik maken van cloud services. Een nauwelijks aan te spreken kluwen; even onontwarbaar als het WWW zelf. Dat kun je niet altijd afdoen met een extra opdracht voor de auditor of exra richtlijnen voor de contractbeheerder van de service levels.
Security of breder “Trusted services” “from” de cloud zullen nodig zijn. Federatieve afspraken van aanbieders van dergelijke services. Een schema of stelsel waar partijen zich aan verplichten. Vandaar uit kunnen deze cloud services op een betrouwbare wijze geleverd worden. Services op het gebied van Identiteit, Authenticatie, Archivering, ondertekening, veilige aflevering van documenten, tijdstempelen, en meer.
De rol van Trustschema’s en de TTP zullen mijninziens toenemen in deze cloudwereld.
Voorbeelden worden gezet door de financiele wereld. Denk aan de betrouwbare “wolk” waarin we pintransacties uitvoeren of europees betalingsverkeer.
Persoonlijk denk ik dat de cloud de verantwoordelijkheid voor beveiliging van de IT afdeling meer naar de eindgebruiker zal verschuiven. Cloud diensten zullen eindgebruikers steeds meer flexibiliteit bieden, zoals self-management van accounts end. De IT afdeling zal minder invloed krijgen over de beveiliging van diensten in de cloud, waardoor een organisatie steeds meer afhankelijker wordt van het gezonde verstand van de eindgebruiker.
Even voor de duidelijkheid: In een cloud omgeving pas je dezelfde SOORT security oplossingen toe, maar dat doe je wel met ANDERE software dan in een traditionele fysieke omgeving.
Mijn vrees is dat de minder gespecialiseerde lezers van dit artikel de verkeerde conclusies te trekken. Zo kan bijvoorbeeld gedacht worden dat een virtuele desktop met dezelfde virusscanner beveiligd kan worden als een fysieke desktop. Dat is in theorie ook waar, maar dat zal wel ten koste gaan van de performance en beheergemak van je complete omgeving. Op het gebied van antimalware zijn oplossingen beschikbaar die gericht zijn op virtuele systemen en die zijn veel geschikter voor een cloud-based omgeving.
De auteur schrijft dit alles precies goed op, ik wilde alleen nog even een korte en duidelijke samenvatting toevoegen om misverstanden te voorkomen.
Fexibele virtualisatie omgevingen – ik neem aan dat dit met een cloud bedoeld wordt – zijn wat mij betreft de toekomst in IT.
Ik heb op het gebied van beveiliging echter wel bedenkingen met cloud services bij providers, en die zijn in zekere zin een versterking van de risico’s die een bedrijf neemt met hosting providers en een gedeelde infrastructuur (in welke vorm dan ook).
Een cloud is een operationeel geoptimaliseerde infrastructuur, die gedeeld wordt tussen klanten van een provider. Er is als zodanig geen sprake van security by design, hooguit van security add-ons om risico’s te verkleinen. Kleine en makkelijk te maken fouten in het achterliggende beheer door de provider kunnen grote gevolgen hebben voor de klant: firewalls komen en gaan met een muis-klik, disk-images verschijnen via een vinkje ineens in een server van een andere klant, virtuele servers kunnen per ongeluk op andere netwerk zichtbaar worden. Alle ‘waterdichte’ SLA’s ten spijt. En wat heb je aan een SLA als de schade als is gedaan.
Een organisatie die zijn eigen security serieus neemt, of moet nemen, zoals de overheid of banken, kunnen uiteindelijk niet vertrouwen op een gedeelde cloud infrastructuur bij een provider. Het kost iets meer, maar een gehoste (echte) private cloud, met goede eigen onderliggende netwerk infra kan in mijn ogen wel. Mits inderdaad alle in het artikel genoemde zaken goed geregeld worden – inclusief die SLA.
Er zijn wel degelijk bijzondere security aspecten aan cloud computing. Zo brengt cloud computing nieuwe veiligheidsrisico’s met zich mee, waaronder mogelijke aanvallen van gedeelde technologieën in cloud-omgevingen en het in gevaar brengen van de compartimentering van de verwerkingen en gegevens van klanten. De risico’s die verbonden zijn aan cloud computing zijn natuurlijk ook afhankelijk van factoren als het type bedrijf, de aard van het computerwerk dat wordt uitbesteed (gegevens, software, platform of infrastructuur) en de gekozen serviceprovider. Toch komen zaken als geografische locatie van opslag van gegevens, gegevensbescherming, naleving van regelgeving voor gegevens, de toegankelijkheid tot de gegevens en gegevensherstel als cruciale punten naar voren. Sommige cloudproviders besteden aspecten van hun beveiligingsverantwoordelijkheden uit aan derden, ook wanneer er geen zekerheid is dat de gegevens en verwerkingen van het bedrijf op de juiste manier worden veiliggesteld. Daarnaast kan ook het permanent en gecertificeerd verwijderen van data in de cloud een technisch moeilijke opgave zijn. Maar denk ook aan availability, in een Multi-tenancy omgeving (IT-middelen gedeeld over verschillende afnemers) is data recovery veel gecompliceerder en daar dient toch echt goed over nagedacht te worden.
Bij het beveiligen van cloud diensten is het even belangrijk om aanvallen van buiten het rekencentrum waar de servers staan te beveiligen evenals vanuit de binnenkant. Ook zul je er voor dienen te zorgen dat indien er meerdere klanten worden gehost op een server dat deze niet bij elkaar kunnen kijken. Ofwel zorgdragen dat virtuele servers in een goed gescheiden netwerk zitten met eventuele firewalls.
Ook voor de klant is het van belang dat er een goed rapport wordt opgeleverd van de testen die gedaan zijn en sluitende SLA’s. Tevens is het wijs zijn om zelf een geaccrediteerd bedrijf in de arm te nemen om de cloud services te testen op beveiliging en toegankelijkheid.
Het artikel gaat voorbij aan een groot probleem van de cloud: vertrouwen. Zolang er geen ‘wereld-body’ is dat toetsingen verricht en certificaten uitgeeft voor clouddiensten, is het moeilijk om een leverancier te vertrouwen. Zelfs als het bedrijf de beste bedoelingen heeft, kunnen er fouten gemaakt worden of onveilige procedures in werking zijn. En het risico van ontevreden werknemers die data lekken uit wraak neemt toe, aangezien er nu meerdere bedrijven toegang hebben tot de data die veilig moeten blijven. Een ander probleem is de authenticatie. Aangezien het product zich in the cloud bevindt, moet het ijzersterk beveiligd worden tegen ‘man in the middle attacks’, die sterk in opkomst zijn.