Cloud computing is een groeiende trend in alle sectoren. Multi-tenant-oplossingen zijn vaak kostenbesparend en ondersteunen initiatieven voor digitale transformatie. Er worden echter regelmatig vraagtekens geplaatst bij de beveiliging van cloud-architecturen in vergelijking met on premises-systemen. Hoe zit dat precies?
Sommige executives en it-teams zijn nog steeds terughoudend als het gaat om het verhuizen van hun datacenter naar de cloud en denken daarbij vooral aan het risico dat dit met zich meebrengt. Deze risico’s zijn echter niet per se gebonden aan de cloud zelf. Uit onderzoek dat ik zelf heb gedaan blijkt dat ruim de helft van de kwetsbaarheden die kunnen voorkomen in de cloud, zoals geïdentificeerd door het European Union Agency for Network and Information Security (Enisa), ook aanwezig zouden zijn in iedere hedendaagse on-premises-omgeving. Waar komt de gedachte dat de cloud onveiliger zou zijn dan vandaan?
Hoe beoordelen we cloud-risico?
Als we de risico’s, voordelen en geschiktheid van de cloud willen vaststellen, hebben we inzicht nodig in de cloud-implementaties, operationele en service-modellen die vandaag de dag en in de toekomst zullen worden ingezet. Clouds zijn immers net als wegen: ze faciliteren het bereiken van je bestemming. Niemand zou één set vaste regels en voorschriften maken die geldt voor alle wegen. Daarvoor spelen te veel factoren mee: het volume van het verkeer, de kans op ongelukken, veiligheidsmaatregelen, etc. Als alle wegen een snelheidslimiet hadden van 30 km/h zou wellicht de kans op dodelijke ongelukken afnemen, maar het zou snelwegen ook een stuk minder efficiënt maken. Hetzelfde principe geldt wanneer een 80 km/h-limiet zou gelden in een voetgangersgebied; dit zou onnodige veiligheidsrisico’s met zich meebrengen. Context is erg belangrijk, zo niet absoluut noodzakelijk.
Dezelfde vlieger gaat op voor cloud computing. De cloud wordt steeds meer omarmd en naarmate het meer ingezet wordt, is een expliciete afbakening tussen cloud en on-premises niet nodig. Zal commodity computing de traditionele datacentermodellen op een dusdanige manier vervangen dat alle vormen van computing elastisch, gedistribueerd en gebaseerd op virtualisatie zullen zijn? Over het geheel genomen denk ik van wel. Organisaties hebben wellicht specifieke vormen van legacy of wettelijke dan wel performance-vereisten om bepaalde applicaties dichter bij huis te behouden, maar dit zullen eerder uitzonderingen op de regel zijn.
Introduceert de cloud nieuwe risico’s?
Volgens de International Organisation for Standardisation (ISO) is risico ‘het effect van onzekerheid op doelen’. Dus, brengt de cloud nieuwe vormen van risico met zich mee die niet eerder bestonden in voorgaande computing-ecosystemen? Het is belangrijk te begrijpen hoeveel van deze risico’s specifiek cloud-gerelateerd zijn en voortkomen uit de intrinsieke aard van een cloud-architectuur.
Vanuit een ethische en sociologische benadering van risicoperceptie beweert Duitse psycholoog Gerd Gigerenzer dat mensen geneigd zijn te vrezen voor wat men angstrisico’s noemt: lage waarschijnlijkheid, maar grote consequenties wanneer het mis gaat. Met andere woorden, we lijken ons veiliger te voelen met onze servers in het datacenter, ook al zouden we waarschijnlijk beter af zijn wanneer we zaken als security uitbesteden aan hen die er hun core business van hebben gemaakt.
De cloud op zichzelf is niet meer of minder veilig dan een on-premises-architectuur. Er zijn volledige applicatie-ecosystemen die draaien in de public cloud en een diepgaande reeks beveiligingsmaatregelen hebben. Net zoals er een overvloed aan oplossingen bestaat met standaard configuraties en problemen op het gebied van patch-beheer.
Cloudkwetsbaarheden: uniek voor de cloud?
Enisa verdeelt cloud-kwetsbaarheden onder in drie deelgebieden:
-
Beleid en organisatie: vendor lock-in, governance, compliance, reputatie en supply chain.
-
Technisch: uitputting van resources, isolatiefouten, kwaadwillende insiders, interface compromise, onderschepping van data, datalekken, onveilige dataverwijdering, denial of service (DDoS) en verlies van encryptiesleutels.
-
Juridisch:dagvaardingen, e-discovery, verandering van jurisdictie, risico’s op het gebied van databescherming en licenties.
Feit blijft echter dat de meeste van deze kwetsbaarheden niet uniek zijn voor de cloud. Ze zijn het resultaat van een behoefte aan procesverandering en niet zozeer technische kwetsbaarheden. Dreigingen in een on-premises-omgeving zijn redelijk vergelijkbaar met die in een cloud-ecosysteem. Wel is er een aanvullende ‘toevallige’ dreiging bij de cloud service provider in de vorm van de beheerder die de cloud offline kan halen, zoals we zagen bij de beruchte S3-outage bij Amazon.
Makkelijker uit te buiten
Een organisatie is zo sterk als zijn zwakste schakel. Het is alleen maar verstandig om de dreigingen en kwetsbaarheden die verbonden zijn aan cloud computing te erkennen, maar er bestaan ook talloze risico’s op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid in traditionele bedrijfsomgevingen. Slecht gegevensbeheer en ongepatchte systeem- en applicatiekwetsbaarheden zijn aanzienlijk makkelijker om uit te buiten.
Uiteindelijk gaat het erom de risico’s van de cloud in de juiste context te plaatsen. Bedrijven zijn automatisch geneigd om te denken aan high profile-aanvallen zoals Spectre Meltdown, maar de kans dat dit type aanval daadwerkelijk plaatsvindt is extreem klein. Organisaties moeten zonder twijfel de risico’s in kaart brengen en de noodzakelijke aanpassingen maken om ervoor te zorgen dat ze compliant zijn wanneer ze naar de cloud gaan, maar het is een verkeerde aanname dat de cloud meer kwetsbaarheden met zich meebrengt. In veel gevallen maakt de transitie naar de public cloud een organisatie zelfs veiliger.
