Bij het cloudvraagstuk staat vaak de vraag centraal waar de dat zich bevinden. Uiteraard moet dit goed ingeregeld zijn, maar minstens net zo belangrijk is het regelen van de beveiliging. Want wie is er verantwoordelijk voor jouw gehoste data? Ben je dat zelf of is dat de hoster? In de markt is hier nog veel onduidelijkheid over. Eén ding is echter zeker: bij cloudsecurity is een waterdichte service level agreement (SLA) onontbeerlijk. Onze experts van het topic Security aan het woord.
Lex Borger, principal consultant, Domus Technica
Security in de public cloud verschilt essentieel van traditionele security, ook als je hosting en outsourcing meeneemt. Bij de private cloud valt het nog wel mee, maar hetzelfde kan gezegd worden van de voordelen van cloud computing. Veel van de traditionele beveiligingsmaatregelen kom je tegen in een public cloud-oplossing, maar de organisatie is essentieel anders.
Bij een public cloud staat er bij de service provider ‘ergens' een grote omgeving die je deelt met vele anderen. Je hebt de voorwaarden van de leverancier maar te slikken, een waterdichte security-SLA zit er zeker niet in. Bij gewone outsourcing kun je op deze aspecten nog invloed uitoefenen. Audits zul je als klant niet kunnen eisen, Salesforce, Microsoft of Google zien je al aankomen! Hier zijn hele nieuwe controlemodellen nodig. Wetten zijn ook nog helemaal niet ingespeeld op clouddiensten. Er zijn eisen aan de geografische locatie van data, en providers worstelen met modellen om hun klanten daarmee van dienst te zijn.
Bij een public cloud is een traditionele inrichting van identity and access management niet mogelijk. Of je moet per cloud meer nieuwe identiteiten maken en beheren, met alle ellende die daarbij hoort, of je gaat werken met federated identity management. Als het allemaal oude wijn in nieuwe zakken was, dan was er geen Cloud Security Alliance nodig om hierover na te denken. Gelukkig is die er wel en is er ook onlangs een Nederlandse afdeling opgezet.
Berend van Bemmel, ict-architect, Van Bemmel ICT Management & Advies
Fexibele virtualisatie-omgevingen zijn wat mij betreft de toekomst in ict. Ik heb op het gebied van beveiliging echter wel bedenkingen met cloudservices bij providers, en die zijn in zekere zin een versterking van de risico's die een bedrijf neemt met hosting providers en een gedeelde infrastructuur (in welke vorm dan ook).
Een cloud is een operationeel geoptimaliseerde infrastructuur, die gedeeld wordt tussen klanten van een provider. Er is als zodanig geen sprake van security by design, hooguit van security add-ons om risico's te verkleinen. Kleine en makkelijk te maken fouten in het achterliggende beheer door de provider kunnen grote gevolgen hebben voor de klant: firewalls komen en gaan met een muisklik, disk-images verschijnen via een vinkje ineens in een server van een andere klant, virtuele servers kunnen per ongeluk op andere netwerk zichtbaar worden. Alle ‘waterdichte' SLA's ten spijt. En wat heb je aan een SLA als de schade als is gedaan?
Een organisatie die zijn eigen security serieus neemt, of moet nemen, zoals de overheid of banken, kunnen uiteindelijk niet vertrouwen op een gedeelde cloudinfrastructuur bij een provider. Het kost iets meer, maar een gehoste (echte) private cloud, met goede eigen onderliggende netwerkinfrastructuur kan in mijn ogen wel.
Jaap Jan Visser, country manager, Kroll Ontrack
Er zijn wel degelijk bijzondere securityaspecten aan cloud computing. Zo brengt cloud computing nieuwe veiligheidsrisico's met zich mee, waaronder mogelijke aanvallen van gedeelde technologieën in cloudomgevingen en het in gevaar brengen van de compartimentering van de verwerkingen en gegevens van klanten. De risico's die verbonden zijn aan cloud computing zijn natuurlijk ook afhankelijk van factoren als het type bedrijf, de aard van het computerwerk dat wordt uitbesteed (gegevens, software, platform of infrastructuur) en de gekozen serviceprovider. Toch komen zaken als geografische locatie van opslag van gegevens, gegevensbescherming, naleving van regelgeving voor gegevens, de toegankelijkheid tot de gegevens en gegevensherstel als cruciale punten naar voren.
Sommige cloudproviders besteden aspecten van hun beveiligingsverantwoordelijkheden uit aan derden, ook wanneer er geen zekerheid is dat de gegevens en verwerkingen van het bedrijf op de juiste manier worden veiliggesteld. Daarnaast kan ook het permanent en gecertificeerd verwijderen van data in de cloud een technisch moeilijke opgave zijn. Maar denk ook aan availability, in een multi-tenancy omgeving (ict-middelen gedeeld over verschillende afnemers) is data recovery veel gecompliceerder en daar dient toch echt goed over nagedacht te worden.
Nienke Ryan, product- en strategiemanager, SpicyLemon / NOD32
De term ‘cloud' in het algemeen is te breed om één passende securityoplossing voor te bieden. Het is belangrijker te kijken naar welke vorm van cloud er gebruikt wordt, en hier een passende oplossing voor verzinnen. Bij hosted services als e-mail en dergelijke is het niet zozeer meer noodzakelijk om de e-mailserver zelf te beveiligen, maar de mail al bij binnenkomst van het netwerk te scannen.
Als er gebruik gemaakt wordt van hosted servers (virtueel), dan hebben deze hetzelfde soort beveiliging nodig als de traditionele server (afgezien van de ontwikkelingen op het gebied van hypervisors). Het enige verschil is dan vaak dat je de beveiliging door middel van een SLA uitbesteed aan iemand anders. Het voordeel hiervan is dat het de verantwoordelijkheid is van iemand in de cloud. Het nadeel is dat het de verantwoordelijkheid is van iemand in de cloud. En daar zit gelijk het grootste security/privacy-risico. Want waar ís die data, en wie kan daarbij?
Albert Brouwer, business consultant, Getronics
Zoals er veel clouddefinities zijn, zijn er ook veel securitydefinities. Vaak wordt niet gerept over beschikbaarheid en continuïteit van dienstverlening. Het kan lijken dat cloud (welke versie?) potentieel meer continuiteit biedt dan andere oplossingen, maar welke zekerheid kan worden afgesproken? Als tijd van afname, schaalbaarheid en fysieke lokatie varieren, is zekerheid over continuïteit een mogelijk issue en daadwerkelijk anders dan in de traditionele omgevingen.
Een ander beveiligingsissue waaraan voorbij wordt gegaan en wezenlijk verschil maakt, heeft te maken met de verschillende wetgevingen in de verschillende landen/continenten. Patriot act, Safe harbour overeenkomsten, privacywetgeving, etc. leggen extra nadruk op een weloverwogen (mede op basis van risicoafweging) keus voor scope, provider en landen/continenten. Tot slot: security heeft ook te maken met gedrag en attitude (zo je wilt: normen en waarden). Juist deze aspecten zijn lastig kwantificeerbaar en moeilijk in SLA's vast te leggen, zeker als cultuuraspecten een rol gaan spelen. Securityexperts weten dat dit een boeiend onderdeeel van security is.
Gerrit Post, directeur, G & I Beheer
Feitelijk is cloudsecurity net zo virtueel als de technologie waar het over gaat. Het eindigt namelijk waar het zou moeten beginnen. De cruciale vraag is: wat kan ik als eigenaar van in de cloud opgenomen gegevens eigenlijk controleren? Anders gezegd: bij wie kan een auditor namens mij aankloppen om zijn ‘controleding' te doen? We moeten de onderliggende materie allemaal al wel eens gezien hebben, dat is inderdaad niet zo spannend. Was het maar niet om de cloud een beetje te ‘onthypen'. Wat zeer kan is de suggestie dat het wel mee zal vallen met het securityvraagstuk. Voorlopig lijkt dat nog een paar bruggen te ver omdat het cloudconcept aanbieders de kans geeft zich achter allerlei constructies te verschuilen. Constructies die de afnemers misschien, in hun haast aan te sluiten bij de hype, of de noodzaak een kostenreductie te realiseren, even over het hoofd zien.
Marco Barkmeijer, sales manager, SecureLink
Security en cloud is een mooie discussie. Vanuit de securityofficer worden er vaak zeer terechte vragen gesteld rondom waar staat mijn data, is er ook een iso-certificering, audit-mogelijkheden, failover-scenario's etc. Wat ik in de praktijk zie gebeuren helaas is dat de securityofficer soms ook voor een voldongen feit staat, omdat management na een bezoek aan bijvoorbeeld Microsoft of Google, de druk van deze bedrijven niet aankan. Door het ‘mooie aanbod' van kostenbesparing besluit hij naar de cloud te gaan voor een aantal diensten.
Vaak worden dan uitgebreide rekenmodellen als bewijsmateriaal door deze bedrijven opgevoerd, maar dat wellicht de bandbreedte omhoog moet, de gehele netwerk- en securityinfrastructuur moet worden aangepast, zie je niet terug in deze rekenmodellen. Uiteindelijk heeft de securityofficer dan alsnog de kans en ruimte dit op een gedegen manier in te richten en nog beter dan voorheen, blijft het punt rondom hoe er met de data wordt omgesprongen en welke garanties dan wel SLA's men hierop kan afsluiten bij het gebruik van deze clouddiensten.
Zolang echter nog heel veel bedrijven bijvoorbeeld het wel toestaan om e-mails met bijlagens door te sturen naar de ‘cloud', zoals Gmail en Hotmail, omdat het zo makkelijk is hun e-mail ook op deze manier thuis te lezen of op vakantie en akkoord wordt gegaan met de hierbij geleverde gratis ‘consumentensecurity', dient in mijn optiek de discussie rondom security, hoe dit wordt toegepast, vertaling beleid naar oplossing maar ook de awareness binnen de bedrijven nog steeds veel belangrijker te zijn. En ja, daar hoort nu zeker ook een visie, strategie en bewuste keuzes nemen bij af te nemen clouddiensten bij. Blijft leuk voor ons ict- en securityspecialisten.
Arnoud Hablous, enterprise sales manager, Trend Micro
Waar moet je over nadenken en op letten bij in de cloud werken? Een cloudprovider biedt zijn diensten aan voor verschillende gebruikers, wat betekent dat zijn netwerk publiek is. Natuurlijk heeft deze een aantal basisbeveiligingen opgesteld, maar deze zijn voornamelijk bedoeld om de ‘bad guys' buiten te houden. Meestal zijn er weinig of geen maatregelen getroffen om verkeer binnen het datacenter en zeker al niet binnen de gevirtualiseerde hosts te controleren.
Naast encryptie is authenticatie van de server naar de data toe onontbeerlijk. Enkel jouw servers mogen toegang krijgen tot jouw vertrouwelijke, geëncrypte data. In de cloud wordt de gevirtualiseerde server slechts waargenomen als een ‘bestand' en dit is relatief eenvoudig te kopiëren. Op het moment dat men toegang zoekt tot de data, moet de integriteit van jouw server dan ook verzekerd zijn.
Het sleutelbeheer rond de encryptie van je data en de integriteit van je servers, kan je beter onder eigen beheer houden. Zo blijf je op elk ogenblik volledig onafhankelijk van je cloudprovider en behoud je de controle. Verander je van cloudprovider, dan vernietig je gewoon de sleutels. Daardoor kunnen de servers niet langer bij de geëncrypte data. Daarnaast is het essentieel om met je cloudprovider concrete afspraken op papier te zetten. Je wil er tenslotte voor zorgen dat zowel de servers als de data bij je provider vernietigd worden.
Je ziet, met de juiste maatregelen kan je toch volop en veilig gebruikmaken van de vele voordelen van de cloud. Net alsof de servers en data in je eigen datacenter zouden staan. Als je rekening houdt met bovenstaande elementen kan je veilig op wolken lopen.
Marcel Jak, manager sales en consultancy, DigiNotar
Risicoanalyse, transparantie van maatregelen, audit en toezicht en contracten zijn geen nieuwe maatregelen. Toch zijn deze maatregelen in een cloudomgeving niet altijd op de ‘klassieke' wijze toe te passen. Het kan immers zo zijn dat services in de cloud ook weer zelf gebruikmaken van cloudservices. Een nauwelijks aan te spreken kluwen; even onontwarbaar als het www zelf. Dat kun je niet altijd afdoen met een extra opdracht voor de auditor of exra richtlijnen voor de contractbeheerder van de servicelevels.
Security, of breder ‘trusted services' ‘from' de cloud zullen nodig zijn. Federatieve afspraken van aanbieders van dergelijke services. Een schema of stelsel waar partijen zich aan verplichten. Vandaar uit kunnen deze cloudservices op een betrouwbare wijze geleverd worden. Services op het gebied van identiteit, authenticatie, archivering, ondertekening, veilige aflevering van documenten, tijdstempelen en meer.
De rol van trustschema's en de TTP zullen mijns inziens toenemen in deze cloudwereld. Voorbeelden worden gezet door de financiële wereld. Denk aan de betrouwbare ‘wolk' waarin we pintransacties uitvoeren of Europees betalingsverkeer.
Michiel Broekhuijsen, architecture consultant, Andarr
Persoonlijk denk ik dat de cloud de verantwoordelijkheid voor beveiliging van de ict-afdeling meer naar de eindgebruiker zal verschuiven. Clouddiensten zullen eindgebruikers steeds meer flexibiliteit bieden, zoals self-management van accounts. De ict-afdeling zal minder invloed krijgen over de beveiliging van diensten in de cloud, waardoor een organisatie steeds meer afhankelijker wordt van het gezonde verstand van de eindgebruiker.
Theo Schutte, it-architect, Cerios
Werken in een cloudgebaseerde netwerkomgeving creëert veel meer mogelijkheden voor data-infectie of diefstal dan de traditionele ict-netwerken. Beveiligingsmaatregelen moeten daar wel degelijk op aangepast worden. Data die is opgeslagen in de cloud vereist tevens een heel andere beveiligingsaanpak dan data die heen en weer gestuurd wordt tussen een beveiligd intern netwerk en bijvoorbeeld een mobiele werknemer. Het eerste volstaat met een ‘lock and key'-manier, in de tweede situatie komt er bijvoorbeeld applicatiebeheer, encryptie, ssl-inspectie, data leakage-beveiliging en antivirus bij kijken.
Wat bedrijven zich ook moeten realiseren, is dat data die opgeslagen worden in de cloud, over het algemeen wel goed beveiligd worden tegen diefstal, maar wel degelijk al geïnfecteerd kunnen zijn. Op deze manier kan data die een tijdje opgeslagen waren, bij gebruik een veilig intern netwerk besmetten. Conclusie: de cloud maakt een nieuwe manier van werken mogelijk, dit vereist dus ook een nieuwe manier van omgaan met data én beveiliging.
Etiënne van der Woude, regional sales manager Benelux, Watchguard
Providers die een clouddienst bieden aan vele eindgebruikers werken als een magneet voor criminelen die toegang willen hebben tot de data van deze eindgebruikers. Vaak zie je dan ook wie de eindgebruikers zijn die gebruikmaken van een dergelijke clouddienst, want ongetwijfeld lezen criminelen ook berichten in de pers en marketinguitlatingen van diverse providers die een dergelijke dienst bieden. Met deze informatie kan er mogelijk ingeschat worden om hoeveel eindgebruikers het gaat en wat het potentieel mogelijk zou kunnen opleveren.
Want ondanks alle lagen van beveiliging zijn er diverse methoden die criminelen inzetten om hun doel te bereiken. Als voorbeeld is het voor een criminele organisatie eenvoudig om een zogenaamd ‘uitzendbureau' op te zetten waarbij er hoog opgeleid personeel wordt aangeboden tegen een lage prijs. De vraag is wat voor personeel een provider dan binnen haalt.
Johan van Gestel, presales consultant Benelux & Nordics, Netasq
Het is onmogelijk dat traditionele netwerksecurity de complete inter-virtuele communicatie beveiligd, omdat je hiervoor vaak op je ‘eigen' stukje cloud zit. Gelukkig bestaan er ondertussen virtuele oplossingen die een sterke user-based en application-based security kunnen bieden, waarbij je de in het pre-cloudtijdperk gehanteerde werkwijze gewoon kan aanhouden. Dit bespaart je het aanleren van een nieuwe manier van werken en de bijbehorende kopzorgen. Securityfabrikanten doen er goed aan om hierover mee te denken. Daarnaast bieden cloudoplossingen, zoals virtuele UTM's met gevirtualiseerde DMZ-zones, zeker een meerwaarde in de dagelijkse beveiliging.
Ook securityexperts moeten evolueren in hun denken en implementeren, maar bottom-line blijft in elke situatie van belang dat je je gezond verstand moet gebruiken. Dit zal nooit veranderen, welke platformen, media of applicaties er in de toekomst ook op ons afkomen.
Experts gezocht
Computable heeft op al zijn 26 topics een expertpanel. Wij zoeken echter altijd meer experts, op al onze topics, maar voor de komende tijd zoeken wij specifiek naar experts voor de topics Netwerken/Internet, Outsourcing, eHRM, ECM en Besturingssystemen/Mobility.
Ben jij expert op een van deze vakgebieden of een ander Computable-topic en wil je als vraagbaak van de redactie dienen, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar experts@computable.nl.
@Marcel heeft het bij het juiste eind: een vorm van zelfregulering: vaststellen van normenkaders, die
uitvoeren middels control sets, daarbij keurmerken opzetten voor partijen die aantoonbaar in compliance zijn, en de beloftes die in SLA e.d. worden gedaan laten auditen. Er zijn nu al allerlei bewegingen in die richting, de barche heeft zelf belang bij het borgen van de “trust factor”. Een toenemend aantal providers onderwerpt zich nu al aan een SAS-70 waarmee je kunt aantonen dat een een afdoende set van maatregelen in effect is.
Ik zie ook een andere kant, de reactie van @Berend en die van partijen die zich in hun bestaan bedreigd zien door de cloud: “ik vertrouw die providers voor geen cent, dus ik doe het liever allemaal zelf”. Alsof in de eigen, kleinschalige ICT het allemaal zo super veilig en compliant is. Met dat argument zou je ook je geld in een sok onder je matras moeten opbergen in plaats van bij een bank, want stel dat de rekeningen van mij en mijn buurman doorelkaar worden gehusseld.
Cloud providers van enige omvang hebben t.o.v. de interne IT in elk geval het voordeel van schaalgrootte en de sterke intrinsieke business driver: het borgen van vertrouwen van hun klanten.