De cloud heeft weinig introductie meer nodig: we stappen steeds meer af van een fysieke infrastructuur ten gunste van hosted services die virtueel geleverd worden. De opkomst van smartphones en tablets heeft een markt gecreëerd op een schaal en in een toenemend tempo dat weinigen hadden verwacht.
De adoptievoordelen worden vrijwel overal besproken. Op afstand werken is zowel een business model als een feit geworden. Echter, dit is slechts het topje van de ijsberg: analistenbureau Gartner heeft onlangs voorspeld dat zakelijke cloud adoptie binnen vier jaar van 3 procent tot 43 procent gaat stijgen (Gartner, 2011 CIO Agenda survey).
Maar wie is verantwoordelijk voor het beveiligen van de toegang tot die enorme hoeveelheid gegevens via de cloud? Alle betrokkenen erkennen de noodzaak van een nieuwe aanpak, maar niemand heeft de oplossing voorhanden.
De redenen hiervoor zijn begrijpelijk. In de praktijk was de technologie er eenvoudig nog niet: bedrijven konden hun it-beveiligingsactiviteiten niet opschalen tegen acceptabele kosten terwijl service-providers en system integrators werden geconfronteerd met hoge implementatiekosten.
Veel bedrijven besloten om te wachten. Er werd gesproken over de 2013 PSI richtlijnen; de belangrijkste aanbeveling van adviesorganen, raden en fora was om te kijken naar Federated ID en SAML. Deze oplossingen liggen nog te ver weg van commerciële invoering om de bedreigingen van dit moment te kunnen stoppen.
Langer uitstellen is gevaarlijk. De cloud heeft bedrijven, dankzij de schaalgrootte en diversiteit aan diensten, de mogelijkheid gegeven om uit te breiden zonder financiële beperkingen. Systeemarchitecturen groeien sneller door de druk van interne en externe vraag. Als gevolg van deze druk worden de noodzakelijke aanpassingen van het veiligheidsbeleid uitgesteld of helemaal vergeten.
Bedrijven hebben niet de capaciteit om rekening te houden met deze snel evoluerende technologie – het gedegen advies van de ene maand lijkt de volgende maand een raadsel. Ondertussen krijgen cio’s te maken met meer apparaten, meer gebruikers en neemt de kwetsbaarheid toe. Kortom, meer zorgen. En de inzet is hoog: het veiligheidsbeleid heeft gevolgen voor de hele bedrijfsvoering; van winstgevendheid tot legal compliance.
Deze strijd wordt moeilijker doordat de financiële voordelen van veiligheidsmaatregelen achteraf lastig in geld zijn uit te drukken. Bedrijven zoeken hierdoor naar automatiseringsoplossingen. Service providers staan onder steeds meer druk om geïntegreerde en gestroomlijnde oplossingen aan te bieden. Dit is een uitgelezen kans om te profiteren van de vraag naar cloud security – maar om dit te doen moet de uitdaging wel goed worden begrepen.
Sterke authenticatie van gebruikersaccounts moet de hoofdprioriteit zijn van cloud security. Het is niet relevant hoe goed de encryptie van de database is als de indringer de juiste credentials hiervoor heeft. Bij cloud computing worden servers geconfronteerd met duizenden logins vanuit honderden verschillende externe apparaten, op alle uren van de dag. Vaak zonder zeker te weten dat de gebruiker is wie die zegt te zijn.
Dit zou geen probleem zijn als iedereen een uniek wachtwoord zou gebruiken, maar we weten dat dit niet het geval is. Er zijn al miljoenen gebruikersnaam/wachtwoord-combinaties vrij beschikbaar. Sterke authenticatie van gebruikersaccounts die verder gaat dan alleen wachtwoorden zal de nieuwe 'antivirus' worden: iets dat alle bedrijven binnenkort nodig zullen hebben, voor zichzelf of voor hun klanten.
Naarmate de vraag stijgt, worden authenticatiemethoden steeds slimmer. De dagen van dure en makkelijk verwisselbare hardwaretokens voor two-factor authenticatie zijn voorbij. De tokens om het probleem op te lossen kunnen nu als commodity, op basis van prijs per gebruiker, via de cloud worden geleverd. Dankzij deze oneindig schaalbare aanpak kunnen service-providers goede cloud security mogelijkheden inbouwen in hun core-diensten.
Zodra enterprises de alles-in-een security oplossingen omarmen is de vraag niet langer wie verantwoordelijk is voor het beveiligen van data in de cloud. De vraag zal zijn: welke service-provider is de eerste?
