Cloud computing: schaalbaar, on-demand computing, goedkoop, maar ook mistig en bepaald niet zonder risico's.
Cloud computing geniet tegenwoordig grote belangstelling van veel organisaties. Niet zo verwondelijk, want met cloud computing kunnen grote kostenreducties en efficiency-winst worden gerealiseerd. Door it-componenten en -diensten af te nemen van een cloud provider kan aanzienlijk worden bespaard op de kosten en inspanning die gemoeid zijn met het aanschaffen van hardware en licenties, het ontwikkelen van software en implementatie en beheer. Investeringen worden op die manier vervangen door operationele kosten, die meestal een stuk lager en transparanter zijn. Ook wordt voorzien in flexibiliteit en schaalbaarheid, want cloud-diensten kunnen op elk gewenst moment worden afgenomen en uitgebreid (‘pay-as-you-go’).
Risico’s
Risico's zijn er echter te over. Omdat bij cloud computing informatie wordt ondergebracht bij derden, buiten de grenzen van de organisatie, brengt dat aanzienlijke risico's met zich mee op het gebied van privacy en security. Gegevens worden, deels of geheel, aan het zicht van de organisatie onttrokken en kunnen, ook zonder dat de organisatie daar weet van heeft, door de cloud provider op een andere locatie worden ondergebracht, zelfs tot ver over de grens. Een cloud provider kan namelijk op zijn beurt gebruikmaken van andere cloud providers. Zo kan een SaaS (software as a service)-provider gebruik maken van providers die PaaS (platform as a service) en IaaS (infrastructure as a service) leveren, met alle risico's van dien op het gebied van beschikbaarheid, verantwoordelijkheden en wet- en regelgeving. Indien gegevens op servers in de Verenigde Staten worden opgeslagen, kan men te maken krijgen met de Amerikaanse Patriot Act die bepaalt dat de Amerikaanse overheid inzage kan krijgen in gegevens, mocht dat nodig zijn in het kader van terrorismebestrijding. Van dit gegeven lijkt de Nederlandse regering zich nog maar zeer onlangs bewust, getuige het antwoord dat de minister van Binnenlandse Zaken heeft gegeven op Kamervragen over dit onderwerp in september van dit jaar. EU-wetgeving bepaalt verder dat persoonlijke en andere gevoelige gegevens niet buiten de grenzen van de EU mogen worden opgeslagen.
Een ander risico is het feit dat in cloud-omgevingen de gegevens van meerdere klanten zich dicht bij elkaar bevinden. Daardoor zijn dergelijke omgevingen aanlokkelijk voor kwaadwillenden. Dat kunnen hackers zijn, maar het is al meermalen gebleken dat ook cloud-omgevingen niet gevrijwaard zijn van insider threat, het plegen van fraude door interne medewerkers. Stafmedewerkers en beheerders van de cloud provider hebben immers toegang tot gegevens van de klant. Behalve als doelwit, zijn er ook al legio gevallen bekend van cloud-omgevingen die gebruikt werden als lanceerplatform voor botnet-aanvallen, DDoS-aanvallen en phishing.
Nog een risico: in cloud-omgevingen wordt veelvuldig gebruikt gemaakt van virtualisatie. Dit brengt veel complexiteit met zich mee, waarmee weer extra beveiligingsissues worden geïntroduceerd. Virtuele machines zijn namelijk niet alleen net zo gevoelig voor kwaadaardige software als gewone computers, maar deze kan ook uit de virtuele omgeving ‘ontsnappen' en andere virtuele machines of de hypervisor ofwel virtual machine manager aantasten.
Bij cloud security ligt de nadruk doorgaans op de cloud provider, maar de client-omgeving brengt evengoed risico's met zich mee. Webbrowsers zijn de belangrijkste applicaties om cloud-services te benaderen, maar zijn berucht om hun beveiligingslekken. Maar ook smartphones en andere mobile devices vormen tegenwoordig een risico. Het gebruik hiervan neemt sterk toe, evenals de diversiteit ervan. Niet zelden worden privé-apparaten gebruikt om gegevens van de organisatie te benaderen. Het is maar de vraag in hoeverre deze apparaten zijn voorzien van adequate security-maatregelen en de laatste beveiligingspatches.
Maatregelen
Het tegengaan van al die risico's is een verantwoordelijkheid van zowel de cloud provider als de klant. De oude vertrouwde firewall is bij lange na niet voldoende meer. De voornaamste maatregel die een organisatie met betrekking tot cloud security moet nemen, is het verkrijgen van volledig inzicht in hoe de cloud provider omgaat met de gegevens van de klant, welke maatregelen zijn ingericht om beveiligingsrisico's af te dekken en hoe er op incidenten wordt gereageerd. Het is hierbij een goed idee om de maatregelen van de cloud provider te evalueren aan de hand van de eigen richtlijnen, standaarden en procedures.
Daarnaast moeten duidelijke afspraken met de cloud provider worden gemaakt over hoe met gevoelige gegevens wordt omgegaan en waar deze wel en niet mogen worden opgeslagen. Indien een organisatie moet kunnen aantonen compliant te zijn met bepaalde wet- en regelgeving, dan kan een audit met bijbehorende verklaring (bijvoorbeeld een SAS 70-verklaring) door een onafhankelijke en gecertificeerde partij uitkomst bieden. Hoe dan ook moeten eigenaarschap van gegevens en intellectueel eigendom vooraf contractueel vastgelegd worden. Ook moeten afspraken worden gemaakt over het grondig en veilig wissen van gegevens, in geval het contract beëindigd wordt.
Gegevens in opslag kunnen onder meer worden beveiligd met versleuteling. Het maakt hierbij echter wel uit hoe de gegevens zijn opgeslagen. Indien een database wordt gedeeld met andere klanten, is versleuteling van gegevens een stuk minder gemakkelijk te realiseren. Gevoelige gegevens die getransporteerd worden, moeten eveneens versleuteld worden. Vaak hebben organisaties al werkende oplossingen paraat voor het genereren, opslaan en beheren van de hiervoor benodigde digitale sleutels, maar het is maar de vraag of die bestaande mechanismen wel geschikt zijn voor cloud-omgevingen. Het opnieuw evalueren hiervan kan dus noodzakelijk zijn.
Aan de client-kant moeten pc's, webbrowsers en smartphones zijn voorzien van adequate beveiligingssoftware en de meest recente patches en bug fixes. Het is raadzaam om voor mobile devices richtlijnen op te stellen zoals beperkingen in het aantal toegestane typen apparaten en apps en mogelijkheden en procedures voor aspecten als remote wipe, backup & restore en logging,
Last but not least moet grote aandacht worden besteed aan het beheer van identiteiten en toegangscontrole. Een organisatie kan hierbij eventueel kiezen voor een private cloud om de benodigde services voor identity & access management onder te brengen of men kan dit aan derde partij overlaten. Moderne standaarden als SAML (security assertion markup language; voorziet in authenticatie), XACML (extended access control markup language; voorziet in het gedetailleerd kunnen regelen van autorisatiebeslissingen) en SPML (service provisioning markup language; voorziet in provisioning van identiteits- en accountinformatie) kunnen hier uitkomst bieden.