Cloud computing is inmiddels de hype-fase voorbij. Steeds meer ondernemingen zien cloud-oplossingen als de beste manier om it-kosten te reduceren. Ze plaatsen dan ook steeds meer bedrijfskritische data in ‘de cloud’. Binnen de eigen organisatie hebben zij vaak de nodige beveiligingsmaatregelen getroffen, maar bij het selecteren van een cloud-oplossing wordt vreemd genoeg zelden gekeken naar het beveiligingsbeleid van de provider.
Het gevolg te weinig aandacht voor het beveiligingsbeleid bij de provider is dat de it-afdeling het gevoel van controle verliest over locatie- en toegangsregels voor de data die zowel binnen als buiten de firewalls gedeeld wordt. Bij de eerste audit blijkt dan al snel dat de implementatie van de cloud-dienst niet voldoet aan het beveiligingsbeleid van de organisatie en compliance-richtlijnen.
Wanneer een organisatie met gevoelige data werkt, draagt zij de verantwoordelijkheid voor de beveiliging, privacy, betrouwbaarheid en integriteit van de gegevens over aan de aanbieder van de cloud-dienst, maar dit betekent niet dat zij zelf geen enkele verantwoordelijkheid meer heeft voor de beveiliging van de data. Bij het selecteren van een cloud-oplossing is het daarom zeer belangrijk om aandacht te besteden aan het beveiligingsniveau dat geboden wordt door de cloud-aanbieder. Organisaties zouden daarom voor cloud-oplossingen moeten kiezen waarbij zij zelf de controle behouden over de beveiliging van de data. In tegenstelling tot de kritiek die vaak gegeven wordt op cloud computing, is het absoluut mogelijk om data goed te beveiligen, maar dan moet de provider hiervoor wel de juiste mogelijkheden bieden.
Waar moet je op letten?
Voordat de selectieprocedure voor een nieuwe cloud-oplossing gestart wordt, is het noodzakelijk om in kaart te brengen welke informatie er wordt uitgewisseld met de nieuwe oplossing en welke beveiligingsniveau hierbij past. Vervolgens kan op basis van deze analyse gecontroleerd worden of een bepaalde oplossing wel veilig genoeg is of niet. De beveiligingsmaatregelen kunnen op verschillende niveaus betrekking hebben.
Een minimale vereiste is dat de applicatie met authentificatie en bijhorende autorisatiesystemen beveiligd wordt. Dit is voor alle bedrijfsdata een vereiste. Authentificatie zorgt ervoor dat alleen de juiste gebruiker toegang krijgt tot de data, terwijl de autorisatiemaatregelen het mogelijk maken om specifieke diensten of data toe te kennen aan een gebruiker. Naast het gebruik van een wachtwoord, is het van belang om bij vertrouwelijke gegevens gebruik te maken van aanvullende authentificatie. Voorbeelden hiervan zijn: controle middels een vingerafdruk, biometrische gegevens of authentificatie op basis van specifieke hardware tokens. Deze extra beveiligingslaag kan met name cruciaal zijn bij het uitwisselen van gevoelige informatie door financiële- en overheidsinstellingen.
Netwerk op orde?
Het succes van cloud-diensten hangt sterk samen met de beschikbaarheid van de diensten. De infrastructuur moet daarom robuust zijn, zodat er geen onderbrekingen zijn. Daarnaast is het uiteraard essentieel dat het netwerk goed beveiligd wordt. Ervaren security experts moeten het netwerk voortdurend monitoren en wanneer zich toch een calamiteit voordoet, is het cruciaal dat de gegevens snel hersteld kunnen worden. Periodiek moeten er daarom disaster recovery-tests worden uitgevoerd om zodoende goed voorbereid te zijn. Vraag hier dan ook naar bij de zoektocht naar een geschikte cloud-oplossing.
Het netwerk van de leverancier moet bovendien de mogelijkheid bieden om data van verschillende klanten volledig te scheiden. Als gegevens niet op dit niveau gescheiden worden, dan is een architectuur nodig die datascheiding mogelijk maakt voor de database- en applicatie-tiers. Een goed design zorgt er bovendien voor dat applicaties onafhankelijk zijn van de datalocatie. Op deze manier kunnen fysieke bestanden worden opgeslagen op iedere door de klant gewenste geografische locatie.
Encryptie
Wanneer een cloud-aanbieder klantdata host, draagt hij ook de verantwoordelijkheid voor het waarborgen van de confidentialiteit en integriteit van gegevens. Hoe goed de beveiligingsmaatregelen ook zijn, de kans dat data uitlekt bestaat altijd. De aanbieder moet daarom ook op dit scenario zijn voorbereid. Er moeten maatregelen zijn getroffen om ‘verloren' data onbruikbaar te maken voor ongeautoriseerde gebruikers. Encryptie van vertrouwelijke data moet zodanig zijn geïmplementeerd dat vertrouwelijke data nooit door één persoon toegankelijk is. Een eventuele infiltrant die de intentie heeft om data te stelen krijgt hierdoor nog steeds geen toegang tot de data. Sterke encryptie algoritmes en multi-tier key management-systemen zijn hiervoor noodzakelijk.
Ook bij uitwisseling moet data volledig beveiligd zijn en is een SSL 3.0 of hoger noodzakelijk. Dit is de encryptie-protocol die communicatie op het internet beveiligt. Alle codes minder dan 128-bit moeten worden uitgeschakeld aan de serverzijde. Dit kan betekenen dat verbindingen vanuit browsers die geen 128-bit-verbinding kunnen maken, moeten worden geweigerd. Alleen dan kan het veiligheidsniveau bij data-uitwisseling gewaarborgd worden.
Interne en externe certificering
De beveiliging van bedrijfsgegevens is een serieuze zaak en het is dan ook niet meer dan normaal dat leveranciers objectief bewijs aandragen waaruit blijkt dat de data bij hen in goede handen is. Beveiligingsprocedures moeten zijn vastgelegd en regelmatig worden gecontroleerd en aangescherpt. Ook externe security-certificering kan als bewijs worden aangedragen, bijvoorbeeld SAS 70 Type II van het American Institute of Certified Public Accountants (AICPA) of de ISO 27001 standaard die toetst of de toegepaste risk management-strategieën juist worden toegepast. Leveranciers van cloud-diensten zouden veel transparanter moeten zijn over hun beveiligingspolicy en de formele rapportages van deze audits op verzoek beschikbaar moeten stellen aan (potentiële) afnemers van cloud-diensten.
Interne risico’s beperken
Het is algemeen bekend dat de mens de zwakste schakel is binnen het beveiligingsbeleid. Het eigen personeel vormt soms een groter risico dan hackers van buiten de organisatie. De toegangsrechten tot bepaalde data moeten daarom goed geregeld zijn. Ook is het van belang om de achtergrond van de medewerkers te controleren en geheimhoudingsclausules in de arbeidscontracten op te nemen. In de meest ideale situatie worden medewerkers die met gevoelige informatie gaan werken eerst getest en eventueel gecertificeerd voordat zij toegang krijgen tot vertrouwelijke klantendata. Binnen het datacenter kunnen fysieke beveiligingsmaatregelen worden genomen, zoals cameratoezicht en toegangscontrole om de activiteiten van medewerkers te controleren.
Transparant zijn over beveiliging
Het security-aspect van cloud computing wordt vaak in twijfel getrokken, maar in feite gelden er voor cloud computing dezelfde principes als voor on-premise oplossingen. Met de juiste maatregelen, kan een veilige uitwisseling van data ook in de cloud plaatsvinden. Bij het selecteren van cloud-diensten moeten ondernemingen zich niet alleen richten op de kostenvoordelen, maar ook aandacht hebben voor de beveiliging. De it-afdeling moet streng toezien op de beveiliging van de bedrijfsgegevens, omdat een gebrekkige beveiliging aanzienlijke schade kan aanrichten aan de onderneming.
Cloud providers moeten op hun beurt transparanter zijn over de beveiligingsmaatregelen die zij treffen. Zij beheren een enorme hoeveelheid data en dienen er alles aan te doen om het beveiligingsniveau te optimaliseren. Het is ook in het belang van de provider dat de klant vertrouwen heeft in de dienstverlening. Door een goede samenwerking kunnen providers en klanten elkaar voortdurend bij de les houden.
Vincent Peters, vice president IntraLinks voor Noord-Europa, Centraal-Europa en het Midden-Oosten
Dat er in het bedrijfsleven zelden wordt gekeken naar het beveiligingsbeleid van de (cloud-)provider is slechts ten dele waar. Er wordt door de IT- en risk-afdelingen juist zeer veel aandacht besteed aan de mate van beveiliging met betrekking tot clouddiensten. Security en privacy scoren dan ook steevast hoog op de lijsten van aandachtspunten van menig CIO inzake de cloud.
Dat de mate van transparantie in sommige gevallen ontoereikend is kan ik wel beamen, evenals het feit dat de aanschaf van clouddiensten vaak buiten de IT-afdeling om gebeurt.
Euhm, vanuit een klant-perspectief is het eerder zo dat inderdaad juist de ondoorzichtigheid van het aanbod op diverse aspecten waaronder beveiliging, klanten huiverig maakt om aan ‘cloud’ (Hm, zullen we eens een eenduidige definitie bedenken? Gaat niet lukken…) te beginnen.
Misschien moeten we eens een keer blij zijn met CIO’s die ons niet hals-over-kop in een nieuwe hype storten maar voor de verandering eens de kat uit de boom kijken…