De beveiliging van netwerken in de cloud wordt steeds vaker onder vuur genomen. Ruim een op de zes bedrijven (16 procent) had het afgelopen jaar te maken met een lek in de cloud. De belangrijkste aanvalsvectoren die hierbij werden waargenomen, zijn zwakke configuraties, misbruik van inloggegevens en accounts alsmede schaduw-it.
Dit zijn de voornaamste conclusies uit een onderzoek dat Sans Institute (securitytraining en -certificering) deed onder bedrijven en instellingen in Noord-Amerika, Europa en Azië. Het onderzoek richt zich op de vraag hoe cloudbeveiliging de bedrijfsinfrastructuur heeft veranderd. Dit als reactie op Covid-19 en de trend naar thuiswerken. Verder werd bekeken of organisaties de cloud zien als een integraal onderdeel van hun bedrijfsnetwerk. Een andere vraag was hoe netwerkverkeer en metadata worden gebruikt voor opsporing en respons.
Tweederde van de ondernemingen die aan het onderzoek deelnamen, beschouwt saas-, paas- en iaas-platforms voor cloudlevering als onderdeel van hun netwerkperimeter. De belangrijkste netwerk-beveiligingscontroles die in openbare cloudomgevingen worden gebruikt, zijn firewalls voor webtoepassingen (waf’s), netwerktoegangscontroles en detectie en preventie van het binnendringen van netwerken. Sans constateert dat sinds 2019 het aantal kwetsbaarheden binnen de cloud sterk is toegenomen. Gevoelige data kwamen op straat te liggen. Openbare cloudomgevingen bleken niet veilig.
Microsoft Azure
Het rapport noemt als voorbeeld de problemen die Microsoft in 2019 en 2020 met Azure had. In die periode deden zich verschillende storingen voor. In 2019 werd de Azure-database getroffen. Oorzaak waren wijzigingen in de dns-configuratie en enkele fouten in het automatiseringsscript. In december 2019 meldde Microsoft dat het per ongeluk een grote database met customer supportdata binnen Azure had blootgelegd. Hierbij werd de schuld bij ‘verkeerd geconfigureerde securityregels’ gelegd.
In 2020 zorgden tal van Office 365-storingen ervoor dat organisaties hierdoor downtime ondervonden en geen toegang tot hun cloudapplicaties en -data hadden. In april van dit jaar maakte cloud- en hostingprovider DigitalOcean een inbreuk bekend op de factureringsdata van klanten zonder inzicht te geven over hoe dit kon gebeuren.
swa,
Als we het over agenda’s hebben.
Snellius… is dat jouw computer of iemand anders zijn computer? Dus een surfsara computer is anders dan een Google computer? En wat als surfsara door een ransomware aanval wordt platgelegd?
– hoe manage je dan die down-time bij azure/google?
Hoe manage jouw down-time als je on-premises geraakt wordt? Of als de kabel / internetverbinding naar je on-premises geraakt wordt? Het lijkt maar niet tot je door te dringen dat je *altijd* afhankelijkheden hebt van andere partijen.
Als je dan gewoon zegt; ik vertrouw Amerikaanse (cloud) leveranciers niet.
En ik kan **prima** geheimen bewaren op wiens computer dan ook. Dat noem je end-to-end versleuteling. Praktijk is echter dat 99,99% van je data geen relevante bedrijfsgeheimen bevat.
Ik zou met liefde overstappen op een nederlandse of europese clouddienst, ik heb werkelijk geen enkele liefde of loyaliteit naar google / amazon / microsoft.
Ik wil gewoon een business draaien en zoals dit nu is, draait die het eenvoudigst op een cloud provider van amerikaanse afkomst. Ik weeg gewoon business doelen af, manage mijn risico’s en verleen diensten.
Jij laat je verblinden door allemaal zaken, downplayed cloud providers als inferieure keuzes en je zit er gewoon keihard naast. Waarom zit je er keihard naast? Omdat praktisch alle bedrijven kiezen voor Microsoft 365. Maar nee, swa weet het beter dan al die bedrijven. I guess not.
En dat is prima. Je mag doen en zeggen wat je wilt. Dat is vrijheid. Maar ik heb genoeg van je geneuzel en nu ga ik er echt geen tijd meer aan je besteden,
Jan: Dit heeft in mijn ogen niets met geloof te maken. Geloven is niet zeker weten. Ik neem gewoon rationele beslissingen over wat werkt. Als on-premises een betere keuze was, dan had ik daar voor gekozen. Maar on-premises zie je nauwelijks meer. Iedereen besteed dingen uit. Van de verbindingen tot en met de hardware, software en beheer. Eigenlijk triest dat ik na 13 jaar dat ik hierover schrijf, nog steeds deze discussie voer….
De wet dwingt, de tijd dringt maar de praktijk wringt want ik vrees dat het voorbeeld van Will tekenend is voor de verkeerde Hollandse zuinigheid. Veiligheid kost geld dus het eerste waarop bezuinigd wordt is veiligheid omdat velen nog altijd geloven dat ze niks kan gebeuren omdat er al zo lang niks gebeurd is. Dat is – mede door Internet – een misplaatst vertrouwen maar het zorgt er dus wel voor dat de kleine zelfstandige vaak de zwakste schakel in de keten is als we kijken naar het probleem van mijn persoonsgegevens op de computer van een ander. Regel twee, eerste alinea heeft het over lekken en inderdaad geldt er een verplichting aangaande het voorkomen en melden hiervan maar dat geldt dus alleen de persoonsgegevens.
Zoals Will duidelijk maakt kan de leverancier uiteindelijk alleen adviseren en niet dwingen en de vele exoneratieclausules vrijwaren dan ook vooral van (vervolg)schade omdat je sommige verantwoordelijkheden gewoon niet uit kunt besteden. Dat is niet mijn uitspraak maar een uitspraak van het Europese Hof want to cloud or not is niet zo relevant omdat het uiteindelijk gewoon om een vorm van uitbesteding gaat. Het shared responsibility model is prima te gebruiken alleen dan moet je middels een RASCI-matrix wel eerst duidelijk hebben wie dan precies voor welke deel verantwoordelijk is. Het bezint eer ge begint van SWA lijkt me vooral om de boodschap te gaan dat je eerst de governance moet regelen voordat je gaat uitbesteden. Een consistent management met een samenhangend beleid waarin de processen met de beslissingsrechten duidelijk zijn gaat niet om de technische IT maar de bestuurlijke IT welke helaas nog teveel ingevuld wordt met papieren tijgers.
Mijn (onderzoeks)data op de computer van een ander geldt m.i. uiteindelijk ook de hardware waar SWA mee werkt en lijkt me niet de wereld van de slager om de hoek. Ik vermoed eerder een organisatorische gelijkenis met de wereld van providers als ik lees dat de onderzoeksgroepen zelf verantwoordelijk zijn voor hun data, data die helaas daardoor nog weleens rondslingert. Maar zoals gezegd, als er geen persoonsgevens in zitten hoef je er ook geen melding van te doen ook al betreft het gevoelige onderzoeksdata. Misschien moeten we het daarom even hebben over het dreigingsbeeld statelijk actoren, er zijn tenslotte wel wat meer risico’s waar rekening mee gehouden moet worden dan een technische falen.
Swa, om toch nog even formeel te reageren op je vragen in het kader van het artikel:
Iedereen en alles kan downtime veroorzaken en veel van die zaken heb je zelf domweg niet in de hand. Dus als de dienstverlening van Microsoft faalt, dan kan dit gebeuren en is de kans inderdaad laag dat ze jouw schade betalen of jou hoge prioriteit geven. Dit is iets waar je wat moet zeggen in je continuïteitsplan. Maar dat moet je ook met je on-premises zaken. Als iemand jouw kabel eruit graaft, dan is dat gewoon een feit en moet je daarop een plan maken.
Nu heeft bijvoorbeeld Microsoft een prima trackrecord en een enorm belang om deze in stand te houden. Maken ze fouten? Jazeker. Hebben ze incidenten? Absoluut. Maar als ik kijk naar mijn /onze skills om deze risico’s te managen en die van Microsoft, dan zijn die van Microsoft veel beter en bepaalde verantwoordelijkheid zoals intrusion detection, back-ups maken en recoveren, dat kan ik zelf. Maar rampen kan ik niet voorkomen. Je kan de beste zorgverzekering ter wereld hebben, als je geraakt wordt door een auto is die verzekering geen garantie dat je er bovenop komt. Dus beter kijk je uit bij het oversteken.
En dit geldt voor al je punten. Ja, er is een risico, ook bijvoorbeeld als blijk dat de gehele MS cloud zich niet aan de AVG kan houden en de wet verbiedt nog verder zaken met ze te doen. Dan moet je aanpassen en daarnaar schikken.
De geschiedenis tot nu toe blijkt echter gunstig uit te vallen ten voordele van Microsoft. Wat je daarvan ook mag vinden. En men kiest massaal voor de oplossing. Het kan zijn dat al die bedrijven roekeloos en onwetend deze keuzes maken.
Waar ik niet in meega is al dat sentiment daarover, want dat is een glijdende schaal. Als je zo doorredeneert mag je geen kinderen meer krijgen, niet meer op reis en liefst haal je helemaal geen adem meer, want dat is ook CO2 uitstoot.
En nu heb ik er echt alles over gezegd wat ik erover wil zeggen en mijn standpunten onderbouwd, waarin ik in ieder geval de moeite heb ondernomen mijn keuzes en gedachten toe te lichten.
Het is niet alleen een kwestie van geloof in eigen of andermans kunnen, betrouwbaarheid, enz. Steeds meer MKB-ers zijn de laatste jaren sterk afhankelijk geworden van grote bedrijven als hun leverancier en/of afnemer. Daardoor worden de MKB-ers onderdeel van een sterk geautomatiseerde supply chain. De MKB-er moet steeds vaker gebruik maken van een cloud dienst naar keuze van hun leverancier en/of afnemer, onder gebruiksvoorwaarden waar zij doorgaans weinig of geen inspraak in hebben gehad. Voor franchisenemers geldt dit in nog grotere mate. Die MKB-ers moeten hopen dat hun leverancier, afnemer, franchisegever ook voor hen de beste keuzes hebben gemaakt en dat kan uitleggen.
@henri
sjeezus, keep your hair on!
een heel verhaal, maar nog steeds niet de erkenning dat de reductie ‘cloud = andermans computer met jou data’ een beeld blootlegt vwb cloud waar je even stil bij moet staan vwb bedrijfsrisico’s.
daarnaast is je antwoord dat het on-prem OOK mis kan gaan eerder een ‘whataboutism’ type antwoord. natuurlijk is het zo dat er on-prem ook risico’s heeft, maar over het algemeen werk je dan samen met lokale kleinere partijen die jouw prioriteiten ook hoger op de agenda hebben staan dan een Amazon / Microsoft. die zijn beter bereikbaar, handelen in dezelfde tijdzone, zien jouw als een grotere belangrijke partij, minder kleine lettertjes in zware contracten. etc. etc. etc.
maar goed, ik lees nog steeds niet hoe jij dit soort dingen daadwerkelijk in de praktijk op gaat pakken als het bij MS mis gaat [en de kans dat het bij MS een keer mis gaat? tja, lees oorspronkelijke artikel nogmaals. mensen grappen wel eens ‘office 364, office 363…’].
dan als het mis gaat met MS vwb AVG/GDRP is jouw antwoord simpeltjes ” Dan moet je aanpassen en daarnaar schikken.”?
ha ha ha weer zo een onderschatting van jewelste: doe eens een rekensommetje op een papiertje wat er allemaal moet gaan gebeuren om over te schakelen van bijv MS naar AWS/Google (als daar dan niet dezelfde AVG/GDPR of ransom ellende is). check eens waar de ‘pijn punten’ nu toch zo kunnen liggen? hint: data transfer kosten en vendor lockin issues. en de oplossing met hybride cloud? katching…. had je het net zo goed allemaal on-prem weer kunnen doen stel ik dan! terug on-prem? ik vermoed dat dat nooit never als optie door henri serieus bekeken zal worden (variantje op sunken cost fallacy).
laten we eerlijk, de garantie/verantwoordelijkheden die je aan Azure/AWS/Google kunt overlaten, beperken zich voornamelijk tot een server voor jouw ‘up, up to date and running’ te houden met enkele redundantie. dat is nu net het eenvoudige werk. maar… en hier is again the main point… als je dat aan een partij hebt overgelaten waar je geen enkele grip meer op gaat hebben, ook uiteindelijk niet meer via een rechter, dan ga je uiteindelijk een keertje voor de bijl! je hebt alles maar te slikken en te accepteren!
nou, nu dan nog wat ‘pareren’ op enkele van die goedkope, op de man spelende, opmerkingen van je (dit is dus een bijzaak en niet de inhoudelijk main point van deze post voordat je dat weer niet door hebt):
– snellius andermans computer? ja. onze essentiële bedrijfsdata op die machine? nee. afhankelijk? nope, snellius niet werkend, dan overschakelen op een tier-0 machine voor het grotere werk en een deel dan op onze eigen lokale HPC clusters. data transfer kosten? met 1Gb in 10 min gedaan! mijn motivatie om snellius te noemen? je deed (weer) een ongefundeerde conclusie over mijn kennis en begrip vwb schaalbaarheid: https://en.wikipedia.org/wiki/Parallel_computing#Amdahl's_law_and_Gustafson's_law
– die vlugge ‘ik niets zinnigs te melden’ conclusie (weer)? ha je hebt ook nog de bijdrage van de ‘ontvanger’ van de bi directionele informatie stroom. je hebt het zelfs niet eens door dat andere ook scherpe opmerkingen maken over je beliefde cloud en wel erkennen wat de clue van mijn ‘platgeslagen statement’ nu was.
– “Jij laat je verblinden door allemaal zaken, downplayed cloud providers als inferieure keuzes en je zit er gewoon keihard naast. Waarom zit je er keihard naast? Omdat praktisch alle bedrijven kiezen voor Microsoft 365. Maar nee, swa weet het beter dan al die bedrijven. I guess not.”
het is nu wel een beetje gênant aan het worden hoor…
1) het is duidelijk hoor. ik ben alleen maar bezig mijn geponeerde stelling “cloud = andermans computer met jouw data” aan het verdedigen met argumenten en inhoud omdat dit de main point van het oorspronkelijke artikel is. de stelling die jij ‘ongezien’ als ‘onzin’ ongefundeerd wegwuifde en daarbij dan mij persoonlijk ongefundeerd weg zet. ik haal daarbij enkele extra voorbeelden bij ter illustratie, niet zo zeer meteen als argument. als argumenten gebruik vooral retorische vragen waarop vooralsnog maar geen sterke antwoorden op terug komen.
2) ook hier, in je gênante zooi die ik citeer, is je logica eerder een ‘whataboutism’/’iedereen doet het’ dingetje dat je vooral bij kinderen ook ziet. mensen hebben met z’n allen eeuwen gedacht dat de aarde plat was en er is genoeg historie vwb zaken die en-masse bij bedrijven een mislukking waren. je hoeft maar naar management en al die ‘deze manier van agile is het antwoord op alles’ methodieken te kijken 😛 [noot: het woord agile is hier ook te vervangen voor een andere methodiek waar men heilig in geloofd (heeft) en dient slechts ter illustratie]. advies: leer zelf denken ipv bewilderd achter anderen aan te lopen als een knudde dier [puns intended]!
het ga je goed henri, met je roze brilletje, je te rappe conclusies, het op de man spelen en daarbij het ontwijken van inhoud. het is iedereen nu wel duidelijk, de stelling blijft overeind. “cloud = andermans computer met jouw data” en daar moet je echt even bij stil staan voordat je ‘vol in zee’ gaat met ‘de wolk’ [en hou daarbij dan je kosten plaatje goed in het oog]. dus wederom: bezint eer ge begint! laten de voorbeelden [en de gebrekkige antwoorden op de kritische (retorische) vragen] die hier in alle posts en in het originele artikel de revu gepaseerd zijn daarvoor als illustraties gelden!
Q.E.D. over en uit nu!
=====
@swa
“is het niet meteen gezegd dat mijn slager net zo is als jouw transport bedrijfje”
Eens – de stelling was erg algemeen. Maar wel illustratief voor MKB-land tot (pak-hem-beet) 10 werkplekken.
“er zijn ook omgevingen die al veel beter ‘fire and forget’ en goedkoper in remote beheer in te richten zijn, niet in de cloud en niet met die consumenten software pakketten van MS”
Ik weet het niet – de prijs/prestatie van MS365 (zowel prive als zakelijk tot 300 werkplekken) is wel erg goed. Ik heb redelijk wat combinaties bekeken en uitgewerkt. Maar heb hier tot nu toe geen alternatief voor gevonden = dus als je nog suggesties hebt hou ik me aanbevolen
Ook een paar keer beroep moeten doen op MS365 support & backup – in alle gevallen laat in de avond en in het weekend. Binnen een half uur een ter zake kundig iemand aan de telefoon. En in alle gevallen binnen 3 uur opgelost – ook met gegevens waarvan ik zelf geen backup had. Als ik dat via een dienstverlener wil organiseren loop ik helemaal leeg – want overuren/toeslagen/blablabla.
“MS systemen zijn nu altijd al meer ‘beheer belastend’ geweest om te onderhouden”
Even met de topics remote beheer, beveiliging en continuiteit van werkplekken en lokaal opgeslagen gegevens als referentiekader:
Ik heb medio 2020 de nodig PoC’s en pilots gedaan met Windows (mits Professional of Enterprise), macOS en Linux . En ben tot de conclusie gekomen dat het bij een functionele like-for-like allemaal niet zoveel uitmaakt – de nuances schuiven wat.
Vanaf 300 werkplekken wordt allemaal anders – dan begint het bij MS365 serieus in de papieren te lopen doordat de prijs per werkplek ineens verdubbeld; o.a. door de kosten voor een (min-of-meer) gedwongen instap in Azure-AD op het onderdeel identity management.
Aan de andere kant: je merkt wel dat organisaties van die grootte hier vrijwel blind instappen. En die paar die dat niet doen stappen in bij Google Workspace. Waardoor er weinig of geen alternatieven zijn – zeker niet in combinatie met macOS of Linux. Maar ook hier: als je nog suggesties hebt hou ik me aanbevolen.
En tot slot downtime (ongeacht oorzaak en vorm): als je hier serieus wat mee wil zit er niet veel anders op dan alles dubbel uit te voeren – een paar voorbeelden(!):
– de combi MS365 en Google Workspace voor je KA-omgeving
– Internet via KPN en Ziggo zodat je verschillende dragers hebt (of een van twee i.c.m. 4G/5G)
– Op kantoor alles dubbel uitgevoerd; waaronder een paar reserve werkplekken
– Een 3-2-2-backup beleid (of beter – mits eventuele herstel-procedures daarin kunnen volgen)
– … wat-dies-meer-zij …
Wellicht technisch allemaal te doen – maar dan begint het toch wel erg in de papieren te lopen = je risico profiel en je risk appetite zijn hier leidend… toch?
=====
@Henri
Ik denk dat SWA het wel snapt. Maar dat hij/zij vooral reageert vanuit een stukje frustratie(?) rondom die cloud leveranciers. Immers, als een van die besmet raakt en daardoor ook zijn gegevens verloren gaan, dan zullen die niet per definitie in mea-culpa modus gaan draaien door alles-op-alles te zetten om zijn gegevens terug te halen. Immers, je bent zelf verantwoordelijk voor een goede backup – zo is dan de stelling.
Aan de andere kant – om vertrouwen te winnen in de aanloop naar een mogelijke opdracht hebben vooral SaaS-leveranciers in de folders (en wellicht later ook in de overeenkomst) “iets” opgenomen over een “dagelijkse backup”. Maar waarvan precies staat er niet bij. En in hoeverre je als afnemer zelf nog iets moet regelen staat er ook niet bij; laat staan hoe je dat voor elkaar moet krijgen.
Bij een calamiteit (in welke vorm dan ook) wordt het vervolgens een steekspel annex trial-on-error om e.e.a. weer operationeel te krijgen. Waarbij betrokken SaaS-partijen zoveel mogelijk hun straatje schoonvegen door te gaan wapperen met bepalingen in contracten en leveringsvoorwaarden. Een MKB-er heeft niet die bijbehorende financiele/juridische slagkracht en delft dan uiteindelijk het onderspit.
Het zou al helpen als SaaS-leveranciers expliciet(er) zouden zijn in de reikwijdte van hun dienstverlening bij een calamiteit. Liefst door de klant (eventueel i.s.m. met zijn huisleverancier) erop te wijzen wat ie toch echt zelf moet regelen; aangevuld met concrete voorbeelden over hoe dat dan te regelen.
=====
@Jaap van Belkum
Ook waar – en ook daar geldt backup-is-king. En voor zover dat niet via die “geautomatiseerde supply chain” kan: dan zit er niet veel anders op dan zelf vastleggen wat en wanner er iets ingestopt is. Kan allemaal wel – ook geautomatiseerd – maar is niet iets wat je “eventjes” regelt.
=====
@Jan
Mijn geloof zit niet in on-prem of cloud; enkel in mijn GBV-certificaat… en dan nog… 😉
=====
swa, we praten in cirkels. Ik ben de makkelijkst te vinden persoon online. Ik sta je met liefde te woord en kan eventueel mijn scherm delen waarin ik stap voor stap laat zien hoe ik mijn zaken regel. En als je dat kan/wil kan ik ook met jou meekijken.
Die uitnodiging staat in ieder geval.
QED? Hold my beer 🙂
@swa
voor het geval je het nog niet begrepen hebt, Henri heeft een andere mening als jij en jouw mening is niet de heilige graal waarvoor je hem houdt.