Als je gevoelige data bewaart in een clouddienst zoals Google Apps, Dropbox of Amazon EC, hoe zeker ben je dan dat alleen bevoegden de gegevens kunnen lezen? Helemaal niet zeker, als de clouddienst op Amerikaanse bodem staat. Want de Patriot Act geeft de Amerikaanse overheid ruime bevoegdheden om gegevens van derden te onderzoeken, zelfs zonder hun medeweten. Encryptie kan dan uitkomst bieden. Maar kun je dat het best aanpakken?
Het kan zeker kostenbesparend werken om allerlei diensten en applicaties niet zelf uit te baten, maar gebruik te maken van een internetdienst. Maar hoe zit het met de beveiliging van private of gevoelige (bedrijfs)data? De Amerikaanse 'Patriot Act' geeft de overheid ruime bevoegdheden om gegevens die op Amerikaanse servers worden bewaard, te onderzoeken, zelfs zonder medeweten van de eigenaren van de gegevens. Daarnaast kunnen ook hackers hun slag slaan en gegevens stelen.
Encryptie
De oplossing is gevoelige gegevens te versleutelen. Encryptie kun je zelf toepassen op een clouddienst. De meeste cloudopslagsystemen kunnen immers aangesproken worden als een virtuele drive onder Windows of andere besturingssystemen. Niets houdt je tegen om software te installeren die alles wat je op zo'n virtuele drive opslaat, zelf versleutelt met sleutels die je zelf aanmaakt, beheert en bewaart. Onbevoegden die toch toegang krijgen tot jouw gegevens, zien alleen maar versleutelde data; de infrastructuurbeheerder zal hen geen sleutel kunnen verschaffen, want die heeft hij niet in zijn bezit. Ook bij e-mailclouddiensten is het mogelijk ze te koppelen aan encryptie, zodat alle mails versleuteld opgeslagen worden. Een IaaS-oplossing zoals Amazon EC werkt doorgaans met een cloudbroker, waarmee je gebruik kunt maken van die virtuele infrastructuur. Ook deze zou je van een interface kunnen voorzien met een extern systeem voor authenticatie, autorisatie en encryptie. Zo kun je via die cloudbroker zelf de volledige controle over de opgeslagen data hebben en houden.
Geteste producten
In dit artikel bekijken we vier encryptieproducten waarmee je een clouddienst kunt beveiligen. Ze zijn onderling niet echt vergelijkbaar. We geven gewoon vier voorbeelden van vier verschillende cloudtoepassingen en hoe die met grote zekerheid te beveiligen zijn tegen onbevoegden. Een onbevoegde is iedereen die je zelf niet expliciet toestemming hebt gegeven om toegang te krijgen tot je data. We beginnen met Trend Micro SecureCloud, een oplossing om IaaS-diensten te beveiligen en van encryptie en bijkomende authenticatie te voorzien. Vervolgens is Symantec aan de beurt, dat met het overgenomen MessageLabs niet alleen een cloudspamfilter in huis heeft, maar ook een cloudencryptiedienst voor e-mail. Dan CloudLock, dat onder meer Google Docs van een versleutelde opslag voorziet. En ten slotte bekijken we TrueCrypt, openbronsoftware die gewone drives én cloudopslag kan versleutelen.
Conclusie
Vertrouw niet op de goodwill van cloudproviders of hun overheid wat de beveiliging van je data betreft. Wat je zelf doet, doe je beter. Zorg dus zelf voor encryptie en bijbehorend sleutelbeheer. Kies daarbij liefst voor een dienst die niet onder de Amerikaanse wetgeving onderworpen is.
De Serie: Data in de cloud versleutelen
Deel 1: Encryptie gevoelige clouddata is noodzakelijk
Deel 2: Trend Micro SecureCloud
Deel 3: Symantec Policy Based Encryption.cloud
Deel 4: CloudLock
Deel 5: TrueCrypt
Ten aanzien van overheidsorganisaties en -diensten moet nog een kanttekening worden geplaatst bij de “archivering in the cloud” in het kader van dit artikel.
Overheidsdiensten dienen hun archieven (ongeacht de vorm van die bescheiden of bestanden)na verloop van tijd over te brengen naar een archiefbewaarplaats. Die archiefbescheiden worden dan in principe openbaar en voor iedereen in te zien. In bijzondere gevallen kan een openbaarheidsbeperking worden aangebracht (bijvoorbeeld privacy of staatsveiligheid) maar die is ook beperkt van duur.
Bij die overbrenging moet de software en informatie om de encryptie direct (of op termijn) ongedaan te maken meegeleverd worden.
Bovendien moeten de software en informatie om encryptie tot stand te brengen en ongedaan te maken bruikbaar en toepasbaar blijven gedurende de periode dat de encryptie effectief is. Dat betekent in sommige gevallen gedurende 75 jaar. Dat vergt een organisatie die voldoende duurzaam is om die periode te overbruggen.