Er zijn teveel onjuiste verhalen over cloud security, bewust en onbewust. Daarom heb ik besloten om hier een artikel over te schrijven. Wat is cloud security en hoe zit het nu echt? In de onderstaande tekst beschrijf ik dit in mijn eigen woorden, waarbij ik hoop dat de lezer achteraf kan zeggen dat hij/zij het nu ook helemaal begrijpt.
De cloud is eigenlijk niets meer dan ‘de computer/server van iemand, die ergens anders staat’. Er wordt echter gesproken van de cloud omdat deze computer/server met meerdere andere computers/servers gebruik maakt van gezamenlijke voorzieningen in een datacenter, zoals rekenkracht, airconditioning, fysieke beveiliging, et cetera. Deze basis is bij de meeste mensen wel bekend. Echter, als wij het hebben over private cloud, public cloud, hybrid cloud, IaaS, PaaS en SaaS, dan wordt het vaak een lastiger onderwerp.
De private cloud kan worden vertaald als het eigen datacenter, waarin de bedrijfscomputers/servers zich bevinden. Dit datacentrum kan zich in of bij het kantoor bevinden, maar ook op een andere locatie. De public cloud verwijst naar de datacentra van andere organisaties zoals Amazon Web Services (AWS), Microsoft Azure, Google, IBM, Leaseweb, et cetera. die de computers/servers in de vorm van diensten aanbiedt (men ‘huurt’ als het ware servers bij die organisaties, ook wel cloud providers genoemd). De hybride cloud is de cloud die gebruik maakt van zowel de private als de public cloud. Tot zover een basale uitleg van de cloud-varianten.
De termen IaaS (infrastructure as a service), PaaS (platform as a service) en SaaS (software as a service) geven vervolgens de vormen van dienstverlening aan die op die public clouds kunnen draaien, waarbij SaaS software diensten zijn vanuit specifieke clouds. Een voorbeeld van SaaS is Office365, waarbij deze software diensten (Sharepoint, Onedrive, et cetera) puur als software worden aangeboden vanuit een Microsoft datacenter. Andere bekende voorbeelden van SaaS zijn: Salesforce.com, Dropbox, Box, Servicenow, Google Gsuite, Exactonline, et cetera.
Shared Responsibility
Een groot aantal organisaties maakt gebruik van vele verschillende clouds, zonder dat ze eigenlijk beseffen hoeveel verschillende clouds er worden gebruikt door hun werknemers. Daarnaast wordt er vaak bij het gebruik van de public cloud uitgegaan dat de meeste zaken worden geregeld door de desbetreffende cloud provider, zo ook security. Nou, daar zit nu juist het probleem, want er is sprake van ‘shared responsibility’. Dit betekent dat de cloud providers verantwoordelijk zijn voor de security van de cloud infrastructuur en de klanten zelf verantwoordelijk zijn voor de security in de cloudinfrastructuur. Het operating system (os), de applicaties en de data, die in de public cloud draaien zijn en blijven de verantwoordelijkheid van de klant, hetgeen niet altijd bekend is bij de klant.
Ondanks het feit dat de meeste cloud providers security wel degelijk heel serieus nemen en steeds actiever worden op dit gebied, ook in de cloud, zal dit nooit hun ‘core competentie’ worden. Security is complex en vereist kennis en vele jaren ervaring. Om security goed te verzorgen moet een in security gespecialiseerd bedrijf ingeschakeld worden, dat alleen maar security doet en het ‘er niet even bij doet’. De samenwerking tussen cloud providers en security-bedrijven is hierbij wel enorm van belang, want ze moeten elkaar versterken in plaats van hinderen. Zeker bij cloud business is agility (‘zakelijke wendbaarheid’) belangrijk, dus mag security nooit een beperkende factor vormen voor deze agility.
Visibility
Zoals aangegeven, is en blijft de klant verantwoordelijk voor zijn/haar data, waar deze data zich ook bevindt. Dit betekent concreet dat de klanten inzicht (visibility) moeten hebben in hun data, ook al staat deze in de verschillende public clouds of SaaS-applicaties. De cloud providers zijn niet verantwoordelijk voor het geven van deze visibility, want hun core business is het aanbieden van het cloud-platform en zorgen dat alles goed blijft werken.
In de huidige tijd en zeker met de komst van Europese regelgeving (GDPR, EU-NIS Directive, et cetera) is het essentieel dat de klanten te allen tijde inzicht hebben in hun data. De uitdaging is dan ook voor iedere organisatie om dit inzicht te verkrijgen en met dit inzicht de data goed te managen en te beveiligen.
Als organisatie heb je inzicht nodig in ‘data in rest’ en ‘data in motion’, hetgeen een serieuze uitdaging is als je geen idee hebt hoe de corporate it-infrastructuur eruit ziet, welke applicaties er draaien en wie er allemaal toegang hebben tot deze infrastructuur. Het is dus essentieel om als eerste dit inzicht te verkrijgen, dus het overzicht van de infrastructuur, inclusief alle clouds.
Holistische security
In de huidige tijd is het belangrijk dat cybersecurity ondersteunend is aan de business en de business niet hindert. Als dit betekent dat deze cybersecurity de bedrijfsdata te allen tijde en op iedere locatie inzichtelijk moet maken en beschermen zonder dat het de business schaadt, dan is een holistische aanpak van security onontbeerlijk. Van belang hierbij is dat deze overkoepelende security-aanpak alle losse security elementen/oplossingen, ook uit de verschillende clouds, automatisch integreert. Als dit niet het geval is, dan zal de security officer namelijk nooit ‘in control’ zijn en blijft de kans op cybersecurity-incidenten bestaan.
Een security-officier is verantwoordelijk voor de security van alle data van de organisatie en moet dus een overzicht eisen van zijn/haar corporate it-afdeling, waarin het gehele corporate network, alle mobiele devices (endpoints) en alle in gebruik zijnde cloud-applicaties worden weergegeven. Alleen dan kan een organisatie adequaat worden beveiligd en is de business in staat om zonder cyber-risico’s te groeien, vooral richting de cloud(s)!
Maar Fred, wat is nu de real story? Je legt uit wat jij ziet als cloud en dat het een shared responsibility is van provider en consumer en dat je een holistische kijk moet hebben. Maar je geeft geen enkel voorbeeld of onderbouwing.
Deze quote ben ik het pertinent oneens.
“Ondanks het feit dat de meeste cloud providers security wel degelijk heel serieus nemen en steeds actiever worden op dit gebied, ook in de cloud, zal dit nooit hun ‘core competentie’ worden”
Security is een core competence in ieder geval van de frightful five cloud providers (Google, Amazon, Microsoft, Apple, Facebook), maar daar kun je makkelijk ook IBM en vele andere bij scharen. Er zijn weinig bedrijven beter in security dan deze namen. In ieder geval veel beter dan het gros van de andere bedrijven.
Maar zoals je schrijft kan een leverancier niet alle beveiliging doen. Als jouw “cloud” gebruikers slappe wachtwoorden gebruiken en deze zonder 2 stap authenticatie laten hengelen en ze bovendien hetzelfde houden bij diverse diensten, dan is er geen beveiliging in de wereld die je hiertegen kan beschermen. De mens – de belangrijkste schakel- komt niet in je artikel terug. Net als met het beschermen van gevoelige data zul je steeds risico analyses moeten doen. Wie beschermt het interne netwerk bij de provider (de provider)? Wat is hun trackrecord? Wie beschermt de applicaties die je laat landen op die provider? Vaak niet de provider zelf, maar de techneut die namens een bedrijf die applicaties in gebruik neemt. Dan moet je je afvragen, is die man of vrouw security aware? Gebruikt die sterke persoonsgebonden admin wachtwoorden? Snapt die het OSI model en dat je per laag na moet denken over security?
Met deze voorbeelden maak ik (cloud) security al heel compleet. Voel je vrij om aan te vullen 🙂 En cybersecurity-incidenten blijven bestaan, ook bij de grote cloud providers.
De real story is dat deze verkoper zijn diensten wil verkopen en aannamelijk wil maken dat je zonder hem gevaarlijk leeft.
Simpel beide beentjes op de grond houden en een beetje logisch denken helpt al een heel eind en/of Henry’s opmerkingen lezen.
Henri, je raakt de kern goed. Volgens mij zitten er ook nog een paar stappen voor, namelijk eerst kijken of je als organisatie uberhaupt wel naar “de Cloud” moet gaan en als je dat dan doet, moet je eens gaan kijken hoe je e.e.a. wilt kunnen gebruiken en hoe het met de veiligheid van je data en apps gesteld is in die cloud. Veel providers doen een basis beveiliging, maar dat betekent niet dat jouw apps en data goed is afgeschermd, dat zul je nog altijd zelf deels moeten regelen.
Enisa heeft er een leuke white paper voor, misschien iets voor ondernemers om eerst even te lezen;
Cloud Computing Security Risk Assessment en het is gratis en voor niets te downloaden van de site van Enisa
fatsoen moet je doen, de maatschappij dat ben jij, dat lossen we samen wel op, shared responsibility.
altijd lastig. Big 5 met America first zeker ?
en dan gaat die data ook nog wendbaar bewegen in de multi cloud… Als we het allemaal niet meer snappen begint er altijd wel iemand over holistisch 🙂
Hans, in mijn laatste zin bedoelde ik in plaats van compleet, concreet.
Enisa rapport komt uit 2009 (!) en is hier te vinden: https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment
Ondanks dat dit bijna 9 jaar oud is, zijn de methodieken voor risk assessment goed bruikbaar. Uiteraard moet je nooit een partij vertrouwen zonder onderzoek.
Wat betreft de stappen of je naar de cloud moet. Daar ben ik wat uitgesproken in. Praktisch iedere organisatie maakt waarschijnlijk een goede keuze door voor Microsoft online office te kiezen of Google G-Suite. Juist uit veiligheid. Ook veel grote organisaties doen het veel slechter als het aankomt op hun kantoor automatisering (generieke saas stack: mail, agenda, documenten).
Ik doe geen migraties meer, dus ik heb er geen belang bij om dit te roepen, het is mijn overtuiging die ik keer op keer bevestigd zie.