Met de opkomst van supersnelle dataverbindingen is het steeds populairder geworden: je kantoorautomatisering volledig uitbesteden aan een it-dienstverlener. Via Citrix of Microsoft Terminal Server (TS) krijg je een opstap aangeboden in een rekencentrum.
Samen met vele andere gebruikers maak je via zo’n opstapserver gebruik van je e-mail, office en je bedrijfsapplicaties. ‘Ontzorgen’ wordt het ook wel genoemd. Maar hoe ver gaat dat ontzorgen eigenlijk? En krijg je voor functionele ontzorging geen beveiligingszorgen terug?
Daar waar it-dienstverleners er voor kiezen om meerdere klanten gebruik te laten maken van hetzelfde domein en/of hetzelfde netwerk, zien we vrijwel zonder uitzondering dat klanten via een aantal slimme trucs elkaars data kunnen benaderen. Deze dienstverlening wordt vaak verkocht als SaaS- of cloud-dienstverlening, maar is in wezen technisch niet anders dan een traditionele bedrijfsomgeving. Daar waar we vroeger in onze bedrijfsomgevingen onze kwetsbaarheden vooral onder collega’s deelden, delen we ze in dit soort cloud/SaaS gelabelde diensten over het algemeen met alle andere klanten.
Veelal hoef je als klant van zo’n SaaS- dienst nauwelijks moeite te doen om data van andere klanten te benaderen. Net als vroeger binnen onze eigen it-omgeving kent ook de gedeelde omgeving vaak open shares, gedeelde print queues of vrij toegankelijk ’temp’-directories. En hoewel de omgeving met een firewall van de boze buitenwereld is afgeschermd, delen we met tientallen andere klanten de sleutels van deze voordeur. Toegang tot de infrastructuur is gewoon te koop.
Omdat we bedrijfsapplicaties hebben die niet zonder administratorrechten werken, verstrekt de leverancier ons (en andere klanten) de mogelijkheid om zelf technisch applicatiebeheer op onze servers uit te kunnen voeren. De rechten die we hiervoor krijgen geeft ons toegang tot geheugenregisters waarin ook gegevens staan waarmee we op andere servers kunnen inloggen (een cadeautje dat we van Microsoft standaard met onze Windows domeinen meegeleverd krijgen). En zo kan elke klant met administrator rechten eenvoudig rondkijken op de servers van de andere ‘cloud’-klanten.
Uiteraard geldt dit niet voor alle diensten die als cloud of SaaS verkocht worden. Maar uit door Classity uitgevoerde onderzoeken blijkt dat bijna alle op basis van Windows of Citrix Terminal Server afgenomen (externe) it met vergelijkbare tekortkomingen te maken heeft. Tekortkomingen die ertoe leiden dat je als afnemer niet alleen bij de data van anderen kunt, maar dat de andere afnemers van de it-leverancier ook bij jouw data kunnen.
Overweeg je je it uit te besteden? Maak goede inhoudelijke afspraken met je leverancier over de beveiligingskwaliteit, inclusief een ‘right to audit’. Ben je al overgestapt? Controleer of de gemaakte afspraken worden nagekomen of voer een algemene kwetsbaarhedenscan uit. Je zult verbaasd staan over wat je tegenkomt.
Maarten,
Ik heb wat problemen met je opinie en wellicht kun je deze oplossen met je antwoorden. Je werkt bij Classity, waarom geen disclaimer hierover. Zo komt het op mij over als een verkapte reclame en dat is precies hetgeen ik juist tegen beschermt wil worden.
Een andere vraag is: Waarom vraagt mijn browser om Java toestemming als ik je site wil benaderen? Is dat een soort meten om te zien hoeveel mensen er mogelijk kwetsbaar zijn voor Java lekken en die de website bezoeken? Mij geeft het direct een onbehagelijk gevoel. Als er iets Java gebruikt op de site, dan is dit voor mij niet zomaar zichtbaar.
Je advies in de laatste paragraaf neem ik ter harte: Goede afspraken en daadwerkelijke onderzoeken in hoeverre die afspraken nagekomen worden lijken mij geen overbodig luxe.
Ik vind ik wel dat je aan bangmakerij doet. “Daar waar it-dienstverleners er voor kiezen om meerdere klanten gebruik te laten maken van hetzelfde domein en/of hetzelfde netwerk, zien we vrijwel zonder uitzondering dat klanten via een aantal slimme trucs elkaars data kunnen benaderen.”
Dit zijn dan de okki-pokkie leveranciers neem ik aan die wat rommelen in de marge, ik kan me niet voorstellen dat goede dienstverleners zich met deze praktijken inlaten.
Je blijft wel erg vaag met de voorbeelden en wellicht dat je toelichting de smaak wat weg kan nemen.
Maarten,
Ik ben het eens met de opmerking en reactie van Henri.
Het probleem dat je in je artikel benoemd hebt heeft niks met MS TS te maken maar wel met ontwerp van je desktop, data, beveiliging en nog meer andere zaken binnen je architectuur.
Ik kan me voorstellen dat je als klant met zo`n leverancier te maken krijgt, dit is niet ondenkbaar in dit cloud-oerwoud. Maar ik ga er ook vanuit dat je je huiswerk goed doet voordat je de stap naar cloud gaat zetten !
P.s. Citrix is maar een laag die op MS TS komt, met Citrix alleen kan je geen desktop bouwen.
Beste Henri en Reza,
Ik ben het met jullie eens dat je met een goede architectuur (bijv. een volledig geisoleerd netwerk en een eigen domein, afgesloten van alle andere klanten van je leverancier) ook op een veilige manier van terminal serveroplossingen gebruik kunt maken. Maar de realiteit is dat veel leveranciers een applicatie of zelfs een volledige KA omgeving in shared netwerken en shared windows domeinen via Citrix of Terminal server aanbieden. En het zijn meestal geen kleine aanbieders in de marge en het is ook geen bangmakerij dat deze omgevingen kwetsbaar zijn. Tot nog toe kan ik tijdens audits zonder uitzondering met de rechten van mijn klanten bij de data van derden en bij financiele administraties waar soms honderden miljoenen in omgaan. Ik vermoed dat velen zich er niet bewust van zijn hoe kwetsbaar hun gegevens en systemen zijn op het moment dat ze outsourcen naar partijen die hun data op dedicated servers in een gedeelde omgeving plaatsen. Dit maakt het onderwerp voor mij een artikel waard: hopelijk hebben anderen er iets aan.
Met het expliciet benoemen van Citrix en Terminal server probeer ik het onderwerp tastbaarder te maken (dit zou mijn werkomgeving kunnen zijn). Want de opstapvorm wordt vaak nog wel herkend, maar de techniek erachter natuurlijk niet.
Classity.nl leest inderdaad al enige jaren de versies van browserplugins uit. Dit geeft interessante statistieken.
Verder snap ik dat specifieke voorbeelden interessant zouden zijn, maar ik kan ze helaas niet geven zonder derden te beschadigen. Maar iedereen die zijn gegevens buiten de deur heeft geplaatst en hier via een terminal server verbinding mee maakt doet er goed aan om zijn IT dienstverlener te vragen hoe de klantscheiding geregeld is.
mvg, maarten
Maarten,
Eerlijk gezegd vertel je niets nieuws omdat er inderdaad nog weleens een ‘flat network’ aan de voor- en/of achterkant is bij de provider omdat dit nu eenmaal eenvoudiger te beheren is. De goedkoop is duurkoop oplossing omdat beveiliging nu eenmaal geld kost en meer is dan een certificaat en hierdoor beperkt probleem zich ook niet alleen tot Citrix en Terminal Server maar gaat soms nog wel wat verder, bijvoorbeeld via managementprotocollen of beheeraccounts. En inderdaad zal een ‘shared nothing’ architectuur helpen om een groot deel van de risico’s te verkleinen maar daarmee worden de voordelen van outsourcen weer grotendeels te niet gedaan waardoor het dus uiteindelijk allemaal simpelweg een afweging wordt.
Nu heb ik eind vorig jaar ook eens wat geschreven over terminal servers in: “Oud maar nog niet vervangen” waarbij ik niet in gegaan ben op aspect van beveiliging, iets wat dus vaak niet geregeld is in de applicaties zelf. Want hoewel de oude desktop applicaties op deze manier vaak eenvoudig ‘multi-tenant’ gemaakt kunnen worden blijft beveiliging hierbij nog vaak buiten beschouwing. Is het daarom dus niet beter om de applicaties in plaats van de infrastructuur aan te passen?