Het beveiligen van publieke en private cloud-omgevingen zorgt voor veel zorgen bij gebruikers. Beveiliging is een erg belangrijk onderwerp dat aandacht verdient en daarom is het goed te weten dat moderne cloud-omgevingen goed beveiligd kunnen worden.
Over deze blogger
Erik is actief in de ICT industrie sinds 1997. Hij heeft diverse rollen gehad in sales, uiteenlopend van sales consulting tot account management en sales management. Na binnen British Telecom verantwoordelijk te zijn geweest voor de outsourcing unit is hij in dienst gegaan van CapGemini, waar hij een security & audit practice heeft opgezet binnen Infrastructure Services. Hierna is hij bij Microsoft verantwoordelijk geweest voor de grote klanten binnen het Financial Services & Insurance segment als Solution Sales Professional Core Infrastructure. Daarna heeft hij de verantwoordelijkheid gehad over de markt “commercial customers” binnen Corporate Accounts. Na Microsoft heeft Erik drie jaar binnen Oracle gewerkt als account manager voor Fusion Middleware voor drie global accounts. Sinds 1 januari 2014 is hij als Business Manager verantwoordelijk voor Cloud, Platform & Virtualization binnen Red Hat Benelux.
Momenteel zien we veel implementaties op OpenStack, een populaire op open source gebaseerde IaaS-oplossing. Organisaties die gebruik willen maken van cloud-oplossingen als OpenStack zitten op het gebied van beveiliging vaak met vragen als:
- Hoe regel ik “tenant isolation”?
- Hoe regel ik user provisioning? Gebruik ik interne of externe directories?
- Hoe houd ik controle over verkeer binnen en buiten de cloud?
Stuk voor stuk goede vragen, waarop meerdere antwoorden mogelijk zijn.
Tenant Isolation
Een cruciale vraag is hoe de diverse tenants in een cloud-omgeving van elkaar te scheiden. Een cloud is immers een geheel van gedeelde IT-resources, net zoals een pand met verschillende huurders dat is. Hoe worden de huurders van elkaar afgescheiden zodat ze geen overlast veroorzaken of, erger nog, toegang kunnen verkrijgen tot andermans data in dezelfde cloud? Dit gaat zowel om de individuele gebruikers van een cloud-gebruikende organisatie, als om de diverse organisaties die capaciteit binnen een cloud benutten. Moderne cloud-systemen hebben voorzieningen ingebouwd voor ‘tenant isolation’ waardoor de risico’s zijn weggenomen. Toch leeft de zorg nog, deels met reden. Het feit dat moderne technologie de risico’s afdekt, ontslaat je niet van de verplichting om er goed over na te denken. Tenant networks in OpenStack worden gerealiseerd vanuit het OS Linux, dat de basis vormt van OpenStack. Hiervoor wordt gebruik gemaakt van “network name spaces” binnen Linux, wat zorgt voor harde isolatie van de verschillende huurders. Aangezien dit diep in het OS gebeurt blijft dit veilig.
User Provisioning
Voor het toegang verlenen van gebruikers tot de applicaties en de data wordt gebruik gemaakt van directory services. De modern cloud-omgevingen, zoals OpenStack, kunnen volledig integreren met de belangrijke bekende directories en identity management -diensten. Het is mogelijk de omgeving te ontsluiten met de bestaande corporate directory. Vanuit deze omgeving zal nooit verandering kunnen worden doorgevoerd in de corporate directory. Dit wordt afgevangen binnen OpenStack. Het is ook mogelijk toegang te verlenen aan derden. Hiervoor is federatie tussen clouds een goed middel. Federatie houdt in dat je binnen je eigen cloud-omgeving gebruikers uit geselecteerde (gefedereerde) andere cloud-omgevingen toelaat. Je vertrouwt daarmee de gebruiker uit de andere omgeving. Dit mechanisme is onmisbaar in grote “multiple cloud” – omgevingen.
Controle over het verkeer in de cloud
Vandaag de dag worden netwerken beveiligd met softwarematige firewalls, beter bekend als Firewall as a Service (FWaaS). Een essentieel onderdeel in OpenStack is Neutron, een controller voor Software Defined Networking. Hiermee kun je strikte controle uitoefenen over alle verkeersstromen in en om jouw eigen cloud-omgeving. Hiermee richt je “security groups” en firewall rules in die ervoor zorgen dat oneigenlijke toegang tot en gebruik van data wordt gecontroleerd. Security Groups zorgt voor gecontroleerde toegang tot specifieke omgevingen. FWaaS beveiligd de gehele cloud-omgeving.