Met de komst van de cloud wordt het hele ict-landschap op zijn kop gezet. Dat is niet anders voor de beveiliging. Want hoe beveilig je jouw data als deze ergens anders staan? En wie kan er allemaal bij jouw data? Met wat technische foefjes zelfs je concurrent! Verontrustende vragen waar Computable's Security-experts antwoord op geven. Over één ding zijn ze het wel eens: cloudsecurity kan met dezelfde beveiligingsproducten, maar toch is wel een andere aanpak noodzakelijk.
Jan-Paul van Hall, salesmanager, Amitron
Beveiligingscontroles bij cloud computing zijn niet verschillend van de bestaande en gebruikte security tooling. Er zijn echter wel productaanpassingen en -ontwikkelingen om een optimale en efficiënte bescherming te bieden in deze infrastructuur. Door het gebruik van cloud-servicemodellen, creëren de operationele activiteiten met technologieën die hieraan onderliggend zijn, andere risico's voor een organisatie dan binnen traditionele ict-netwerkomgevingen. Cloud computing is voor de afnemer het uit handen geven van directe controle maar niet van de aansprakelijkheid, ook al vervalt de operationele verantwoordelijkheid naar een derde partij. Het verschil tussen de operationele en uiteindelijke verantwoordelijkheid zal men willen oplossen door het sluiten van waterdichte security-sla's en de aanwezige en beschreven beveiligingscontroles. De controle op de geleverde security, vastgelegd in deze sla's, zal door middel van externe en interne audits uitgevoerd worden.
Afhankelijk van de huidige stand van zaken van het niveau van de beveiliging van de klant en de keuze van het cloudmodel kan de efficiëntie van de totale security op het gebied van controles verbeteren. Bij veel organisaties schort er nog wel wat aan en heeft de provider snel een schaalbaarheidsvoordeel, waardoor sommige exotischer beveiligingstooling wellicht toegankelijk wordt. De klant hoeft zich voornamelijk bezig te houden met controle op de nageleefde ‘security' level agreements.
Tini Schuurmans, pricipal security consultant, BT Benelux
Compliant zijn met wet- en regelgeving betekent dat je aantoonbare beveiliging hebt ingericht. Weten dat de beveiliging goed is geregeld, is dus niet voldoende. Heeft de klant met de cloudprovider voldoende afspraken gemaakt over logging, rapportages en kwetsbaarheden- en penetratietesten? Met name de PCI DSS (creditcardtransacties en opslag) is hier erg strikt in en verwacht uitgebreide rapportages die aantonen dat de beveiliging goed is ingeregeld. Daarnaast is het voor zowel de Wet Bescherming Persoonsgegevens als voor PCI DSS van belang dat informatie na de houdbaarheidsdatum adequaat is verwijderd. De cloudprovider zal dus ook hier het bewijs moeten leveren.
Ewald Roodenrijs, senior testmanager, Sogeti Nederland
Het beveiligen van de cloud heeft dezelfde prioriteit als het beveiligen van het huidige applicatielandschap. Er zit een risico dat je zelf niet de volledige controle hebt over je gegevens en applicaties. Maar daarentegen hebben cloudproviders meestal meer en betere beveiligingsmaatregelen genomen dan menig bedrijf zelf. Bij het controleren van de security van de cloud is het vooral van belang dat op alle drie de lagen wordt gecontroleerd. Wanneer er iets mis is op de IaaS-laag heeft dat direct effect op de PaaS- en SaaS-lagen. Ook omdat alle drie de lagen een andere provider kunnen hebben. Let hier op bij het testen van de cloud.
Thimo Keizer, managing en senior consultant, Northwave
Het werken in de cloud kan veilig of onveilig zijn. Net als bij alle ontwikkelingen moet niet geredeneerd worden vanuit de beveiligingsmaatregelen, maar vanuit de operationele risico's. Kijken we naar de bekende onderdelen van informatiebeveiliging, dan zullen we zien dat in veel gevallen de beschikbaarheid toe zal nemen, dat er met name twijfel zal zijn bij de exclusiviteit en dat de integriteit geen probleem hoeft te zijn als er duidelijke afspraken worden gemaakt. Kortom, met de juiste risicoanalyse en beheersingsmaatregelen kan de cloud enorme voordelen opleveren, maar je bent wel afhankelijk van de volwassenheid van de leverancier.
Gert Jan Timmerman, manager Kenniscentrum, Info Support
Security in de cloud is wel degelijk verschillend van on-premise security. De grootste verschillen bestaan bij SaaS. Het probleem is multi-tenancy: meer klanten die gebruikmaken van dezelfde databases en waarbij rijen van verschillende klanten misschien in dezelfde tabellen staan. De kans dat de ene klant gegevens van de andere kan zien, is niet ondenkbaar. Ook privacy kan een probleem zijn: welke gegevens zijn zichtbaar voor de beheerder van de SaaS-oplossing? Wie is eigenaar van de gegevens? Daar moeten expliciet afspraken over gemaakt worden. Hoe worden back-ups gemaakt en zitten gegeven van verschillende klanten in dezelfde back-up?
Erik Remmelzwaal, directeur/eigenaar, Medusoft
Even voor de duidelijkheid: In een cloudomgeving pas je dezelfde soort beveiligingsoplossingen toe, maar dat doe je wel met andere software dan in een traditionele, fysieke omgeving. Mijn vrees is dat de minder gespecialiseerde ict'ers de verkeerde conclusies te trekken. Zo kan bijvoorbeeld gedacht worden dat een virtuele desktop met dezelfde virusscanner beveiligd kan worden als een fysieke desktop. Dat is in theorie ook waar, maar dat zal wel ten koste gaan van de performance en beheergemak van je complete omgeving. Op het gebied van antimalware zijn oplossingen beschikbaar die gericht zijn op virtuele systemen en die zijn veel geschikter voor een op cloud gebaseerde omgeving.
Jack Cobben, specialist, Brunel IT
Bij het beveiligen van clouddiensten is het even belangrijk om aanvallen van buiten het rekencentrum waar de servers staan te beveiligen evenals vanuit de binnenkant. Ook zul je ervoor moeten zorgen dat indien er meerdere klanten worden gehost op een server, dat deze niet bij elkaar kunnen kijken. Ofwel zorgdragen dat virtuele servers in een goed gescheiden netwerk zitten met eventuele firewalls. Ook voor de klant is het van belang dat er een goed rapport wordt opgeleverd van de testen die gedaan zijn en sluitende sla's. Tevens is het wijs zijn om zelf een geaccrediteerd bedrijf in de arm te nemen om de cloudservices te testen op beveiliging en toegankelijkheid.
Jan Van Haver, country manager Benelux, G Data Software
Vaak wordt voorbij gegaan aan een groot probleem van de cloud: vertrouwen. Zolang er geen ‘wereld-body' is dat toetsingen verricht en certificaten uitgeeft voor clouddiensten, is het moeilijk om een leverancier te vertrouwen. Zelfs als het bedrijf de beste bedoelingen heeft, kunnen er fouten gemaakt worden of onveilige procedures in werking zijn. En het risico van ontevreden werknemers die data lekken uit wraak neemt toe, aangezien er nu meerdere bedrijven toegang hebben tot de data die veilig moeten blijven. Een ander probleem is de authenticatie. Aangezien het product zich in the cloud bevindt, moet het ijzersterk beveiligd worden tegen ‘man in the middle attacks'.
Rhett Oudkerk Pool, oprichter en ceo, Kahuna
Veel cloudservices zullen worden aangeschaft door afdelingsmanagers van de businesskant, met een beperkt ict- en securitybewustzijn. Die maken gebruikers aan en hebben vervolgens minder oog voor de uit-dienst-procedures. Bij het afnemen van clouddiensten moet je eisen dat loggegevens naar jou worden gestuurd. Anders kun je een en ander nooit aan je eigen logmonitoring hangen. Er zijn al initiatieven van cloudaanbieders die leden verplichten dit te doen. Er zijn veel kleine SaaS-aanbieders die grote financiële uitdagingen hebben. De beveiliging moet eerst gekocht worden en de (langzaam toestromende) klanten betalen per maand. Vaak zijn de tarieven ook erg scherp.
Maarten Hartsuijker, security consultant, Classity
Hoewel de beveiligingsmaatregelen binnen cloud computing voor een heel groot deel overeen zullen komen met binnen het eigen bedrijf te treffen beveiligingsmaatregelen, zie ik op het gebied van cloud computing wel degelijk grote verschillen. Het belangrijkste verschil is dat je binnen een interne bedrijfsomgeving veelal niet of nauwelijks rekening hoeft te houden met de scheiding van klantdomeinen. Het feit dat binnen het bedrijf de toegang tot systemen reeds op verbindingsniveau is beperkt tot de eigen medewerkers, beperkt de impact van een mogelijke kwetsbaarheid. Deze kwetsbaarheid zal er immers nooit zomaar toe leiden dat een concurrent die toevallig dezelfde infrastructuur, servers of applicaties gebruikt via een paar foefjes bij jouw klantenbestand kan.
Ik test regelmatig SaaS- en PaaS-omgevingen. Dat je bij dergelijke tests op basis van eenvoudige gebruikersrechten toegang krijgt tot vele gigabytes aan data van derden, waaronder soms miljoenen persoonsgegevens, is hierbij geen uitzondering. Om deze reden adviseer ik klanten altijd eerst hun data zorgvuldig te classificeren en de gevoeligheid van de data mee te nemen in het besluit een hostingdienst bij derden af te nemen. Het zijn immers niet alleen kwetsbaarheden en maatregelen die bij beveiliging een rol spelen, maar ook de bedreigingen en de waarde van de te beschermen data. En volgens mij heb je daar meteen ‘het' kenmerk te pakken dat beveiliging in de cloud wel degelijk anders maakt.
Experts gezocht
Computable heeft op al zijn 26 topics een expertpanel. Wij zoeken echter altijd meer experts, op al onze topics, maar voor de komende tijd zoeken wij specifiek naar experts voor de topics Netwerken/Internet, Outsourcing, eHRM, ECM en Besturingssystemen/Mobility.
Ben jij expert op een van deze vakgebieden of een ander Computable-topic en wil je als vraagbaak van de redactie dienen, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar experts@computable.nl.
Wat ik hier mis van deze experts is iemand die zegt dat er eigenlijk helemaal niet zoveel wijzigt.
Het is alleen belangrijk bij Cloud Computing om, net als bij elke reguliere vorm van hosting, een goede business case te hebben en op de hoogte te zijn van ISO 27002.
Tini Schuurmans heeft de klok horen luiden, maar weet niet waar de klepel hangt. Hij gaat er namelijk vanuit dat je zeer gevoelige informatie in een Cloudomgeving gaat plaatsen, dit lijkt me in de eerste plaats al een misvatting.
Jean Paul van Hall heeft het echter wel bij het rechte eind, het gaat om de verantwoordelijkheid van de klant en met deze verantwoordelijkheid om te beslissen wat wel en wat niet in de Cloud komt.
Thimo Keizer heeft een zeer vreemde opvatting over risico-analyse, het lijkt me evident dat het informatiebeveiligingsbeleid juist is gebaseerd op de riscio’s die de bedrijfsvoering draagt. Dat het volgens hem zowel veilig als onveilig kan zijn, geeft al aan dat hij niet zo goed weet waar het over gaat.
Erik Remmelzwaal weet duidelijk wel waar hij het over heeft, in tegenstelling tot Thimo Keizer.
Gert Jan Timmerman en Jack Cobben redeneren nog volgens het idee van ASP en weet niet goed wat Cloud Computing precies inhoud. Het idee van Cloud computing is dat je juist géén rekening houd met de fysieke infrastructuur.
Het maken van backups gebeurt ook niet in een Cloud, hier wordt gebruik gemaakt van replicatie van instances (of dacht je dat Google, Amazon en Microsoft dagelijks tapes wisselen?)
Jan van Haver gaat aan het feit voorbij dat er wel degelijk certificeringen zijn voor Clouddiensten, anders mogen amerikaanse overheden hier niet mee werken. Het zijn dan wel amerikaanse instanties die dit controleren, maar dit is tot nu toe nooit een probleem geweest in de beveiligingswereld waar bijna alles amerikaans is.
Rhett Oudkerk Pool geeft aan dat er gelet moet worden op het verzenden van logfiles. Dit lijkt me niet echt de bedoeling. Wat hij denk ik wilt zeggen is dat de klant toegang tot een dashboard moet hebben om zijn instances te monitoren, of dat er, net als bij Microsoft, een mogelijkheid is om je cloudinstances transparant te monitoren met je eigen monitoringsysteem (zoals System Center Operations Manager). Het handmatig verzenden en doornemen van logfiles is echter ongewenst.
Als laatste nog Maarten Hartsuijker, die wel kennis heeft van hostingsoplossingen, maar die zich niet goed genoeg verdiept heeft in Cloud Computing. Een van de voorwaarden bij Cloud Computing is namelijk dat elke klant een afgescheiden instance heeft. Bij een goede cloudleverancier is het daarmee onmogelijk om bij de informatie van een ander te komen.
Wat is een goede cloudleverancier? Eentje die gecertificeerd is.
@Guido
“Gert Jan Timmerman en Jack Cobben redeneren nog volgens het idee van ASP en weet niet goed wat Cloud Computing precies inhoud. Het idee van Cloud computing is dat je juist géén rekening houd met de fysieke infrastructuur.
Het maken van backups gebeurt ook niet in een Cloud, hier wordt gebruik gemaakt van replicatie van instances (of dacht je dat Google, Amazon en Microsoft dagelijks tapes wisselen?)”
Ik denk dat je het verkeerde uitgangspunt hebt: waar mag je back up (ook al is dat in de vorm van replicatie) wel of niet staan (bijvoorbeeld liever niet in de US) en wil je volledig afhankelijk zijn van Microsoft of ga je zelf (ook) back ups maken.
Verder is iets als multi-tenancy een belangrijk aspect: wil je per klant een database aan bieden of ga je alle klanten gebruik laten maken van één en dezelfde database.
Daarom vind ik je opmerking nogal ongenuanceerd (en lijkt het er zelfs op dat jij niet volledig bekend bent met de materie).
Uiteraard bedoelde ik niet (alleen) Microsoft maar ook andere Cloud aanbieders.
(mijn reactie is wel/ook met een Microsoft-gekleurde bril).
Emiel,
Dat je zelf backups moet maken ligt aan je eigen informatiebeveiligingsbeleid, je blijft namelijk verantwoordelijk voor de data en daarmee dus ook voor de backups.
Bij de meeste cloudproviders kan je een regio opgeven waarbinnen de replicaties mogen plaats vinden, ook dit is weer iets wat je zelf kan aangeven en wat afhankelijk is van je eigen informatiebeveiligingsbeleid.
Bij de SQL cloudproviders die ik ken (waaronder Microsoft SQL Azure), krijg je een eigen instance waarbinnen je de databases kan aanmaken. Er is dan dus geen sprake van multi-tenancy. Dit is een groot verschil met ASP, wat juist ontworpen is voor multi-tenancy.
De reden dat ik ongenuanceerd ben is omdat je van “experts” mag verwachten dat ze op de hoogte zijn van hun vakgebied en dat valt mij tegen.
@Guido:
Mbt jouw opmerking:
“Tini Schuurmans heeft de klok horen luiden, maar weet niet waar de klepel hangt. Hij gaat er namelijk vanuit dat je zeer gevoelige informatie in een Cloudomgeving gaat plaatsen, dit lijkt me in de eerste plaats al een misvatting.”
–> Waarom is dit een misvatting? Een organisatie die bijvoorbeeld Salesforce.com gebruikt plaatst hiermee toch, voor de betreffende organisatie, al zeer gevoelige gegevens in een cloud oplossing (SaaS).