De beveiliging van netwerken in de cloud wordt steeds vaker onder vuur genomen. Ruim een op de zes bedrijven (16 procent) had het afgelopen jaar te maken met een lek in de cloud. De belangrijkste aanvalsvectoren die hierbij werden waargenomen, zijn zwakke configuraties, misbruik van inloggegevens en accounts alsmede schaduw-it.
Dit zijn de voornaamste conclusies uit een onderzoek dat Sans Institute (securitytraining en -certificering) deed onder bedrijven en instellingen in Noord-Amerika, Europa en Azië. Het onderzoek richt zich op de vraag hoe cloudbeveiliging de bedrijfsinfrastructuur heeft veranderd. Dit als reactie op Covid-19 en de trend naar thuiswerken. Verder werd bekeken of organisaties de cloud zien als een integraal onderdeel van hun bedrijfsnetwerk. Een andere vraag was hoe netwerkverkeer en metadata worden gebruikt voor opsporing en respons.
Tweederde van de ondernemingen die aan het onderzoek deelnamen, beschouwt saas-, paas- en iaas-platforms voor cloudlevering als onderdeel van hun netwerkperimeter. De belangrijkste netwerk-beveiligingscontroles die in openbare cloudomgevingen worden gebruikt, zijn firewalls voor webtoepassingen (waf’s), netwerktoegangscontroles en detectie en preventie van het binnendringen van netwerken. Sans constateert dat sinds 2019 het aantal kwetsbaarheden binnen de cloud sterk is toegenomen. Gevoelige data kwamen op straat te liggen. Openbare cloudomgevingen bleken niet veilig.
Microsoft Azure
Het rapport noemt als voorbeeld de problemen die Microsoft in 2019 en 2020 met Azure had. In die periode deden zich verschillende storingen voor. In 2019 werd de Azure-database getroffen. Oorzaak waren wijzigingen in de dns-configuratie en enkele fouten in het automatiseringsscript. In december 2019 meldde Microsoft dat het per ongeluk een grote database met customer supportdata binnen Azure had blootgelegd. Hierbij werd de schuld bij ‘verkeerd geconfigureerde securityregels’ gelegd.
In 2020 zorgden tal van Office 365-storingen ervoor dat organisaties hierdoor downtime ondervonden en geen toegang tot hun cloudapplicaties en -data hadden. In april van dit jaar maakte cloud- en hostingprovider DigitalOcean een inbreuk bekend op de factureringsdata van klanten zonder inzicht te geven over hoe dit kon gebeuren.
@will
– “Even los van allerhande technische en niet-technische invalshoeken: dit is toch helemaal *niet* relevant?!”
Ik denk dat je je daarin vergist. Als het niet jouw computer is, dan is je enige en laatste escalatie red middel naar een rechter gaan en dat punt bereik je vrij snel als jij een kleine partij bij een grote Big Tech bent. Zij bepalen hun business model en jij past je daarbij maar naar hun aan. Als het dan mis gaat, dan zullen zij HUN belangen voorop stellen. Voorbeelden genoeg inmiddels. Succes met MS of Google of Oracle of IBM voor de rechter te dagen…
Daarentegen, is het jouw computer, dan heb je heel rap door dat JIJ ook verantwoordelijk voor dingen bent en je kunt de ‘schuld’ niet (fictief) weg managen naar een ander. Je zult dingen zelf moeten regelen zoals steevast blijkt dat je eigenlijk ook bij vele off premise cloud oplossingen moet doen. Maar ja dat gaat inderdaad tegen de verkooppraatjes in… Types genoeg die daar wel in instinken, net als bij phishing mails of whatsapp fraudes etc.
Risicomanagement is veel meer dan ‘hup lift & shift’ naar de cloud ‘want glossy folders’ en je doet jezelf meer dienst als je daarbij goed blijft onthouden dat “off premise cloud = andermans kompjoeter met jouw data, wat als dat mis gaat?”. Dat dwingt je dan even stil te staan bij de techno euforie die je dan op dat moment hebt in de algemene digidrang. Bezint eer ge begint!
@Will
“Met die invalshoek heeft een “eigen” kompjoeter nog altijd de voorkeur… ;-)”
Even een voorbeeld.
Het zoontje wist per ongeluk en grondig het gehele e-mail-programma waar met POP alle emails fijn op de eigen computer staan.
Backup? Wat backup, ik kopier mijn bestanden toch op de externe schijf!
Met Imap en de e-mails op de server installeer je de klient nieuw, zet de login-gegevens er in en je hebt alle emails weer.
Dit is 1 zeer simpel voorbeeld maar illustratief en voor iedereen begrijpelijk.
Dat is geen “cloud” maar gewoon internet dat vaak als “cloud” betiteld wordt.
“Nieuwe” techniek van slechts 40 jaar oud kan ook voordelen hebben.
@swa en @jan:
Dat is wat ik bedoelde. Oftewel: de leeftijd, naam en omschrijving van het cloud-beestje in de glossy folders (of waar dan ook) lijkt me niet of nauwelijks relevant. Je hebt te handelen alsof alles op je “eigen” kompjoeter staat. Dat is dus inclusief passende beschermingsmaatregelen; waaronder een calamiteiten plan.
Een vergelijkbare situatie is er ook voor de meta-gegevens en AVG: formeel is er een stok om mee te slaan. Maar voor tech-giganten is dat vooral een papieren, tandenloze en juridische tijger = mocht het al tot een boete komen, dan is die paar duizend euro hooguit een druppel op de gloeiende-miljarden-plaat die winstgevendheid heet.
Hier is verder weinig aan te doen – anders dan terug naar “eigen” kompjoeters (en zelfs dan…).
@wil
– “Dat is wat ik bedoelde. Oftewel: de leeftijd, naam en omschrijving van het cloud-beestje in de glossy folders (of waar dan ook) lijkt me niet of nauwelijks relevant. Je hebt te handelen alsof alles op je “eigen” kompjoeter staat. Dat is dus inclusief passende beschermingsmaatregelen; waaronder een calamiteiten plan.”
met dien verstande, met het onder deze voorwaarden gaan naar die externe cloud, je introduceert dan daarbij wel nog steeds extra complexiteit en risico’s door het bij een grote partij op een kompjoeter te zetten die je negeert of weg managed in geval daar iets mis gaat. je point is: ’there is no such thing as a free lunch’ en die is well taken, maar je point zet dan ook meteen grote vraagtekens bij welke motivaties en redenen je wel nog zou kunnen hebben om dingen bij een 3e partij te plaatsten en die te betalen als je toch zelf weer alle zooi in de gaten zult moet houden. kijk als de wetgeving nu zo was dat je overduidelijk in je recht staat (en er geen tandeloze AP was) dan heb je een kans nog bij Big Tech in geval van een calamiteit aan hun zijde, maar dat is nu gewoonweg nog niet zo en zal ook altijd fundamenteel in andere wetgevingen blijven ‘bijten’ zoals GDPR en AVG. Die laatste dingen passen gewoon niet in hun buisnes model en ‘if push comes to shove’ delf jij weer het onderspit als eenvoudige NLer.
we hebben het hier dus niet over zoontjes en diskjes en POP e-mail enzo, we hebben het over MKBers en bedrijven wiens bestaansrecht in gevaar gaan komen bij een malware uitbraak of een cloud hick/f-up. daar zitten dan ook weer (enkele) gezinnen achter.
lees het laatste paragraafje van de originele post nog maar weer een keer.
bezint eer ge begint!
Oke swa,
In het verleden heb ik veel artikelen geschreven over cloud computing en wat dit is en betekent. Vaak krijg ik dan veel weerstand van mensen die vasthouden aan on-premises en denken dat ze het zelf beter kunnen dan een cloud provider zoals Microsoft met Azure, Amazon met AWS, Google met GCP, etc.
Niet alleen hebben de cloud providers hun security vaak veel beter op orde dan bedrijven die hun serverpark zelf beheren, maar zijn de dienst veel meer dan iets wat op een computer draait. Als ik een bestandje opsla in een CDN, dan staat het niet op een computer, maar op honderden computers, redudant en met een API gateway zodat het nagenoeg niet ge-DDOS-ed kan worden. Met piekbelasting schakelt de dienst automatisch bij en krimpt weer op basis van andere regels.
Ik kan nagenoeg op ieder device overal ter wereld werken. Dat is niet alleen gemak, maar ook redundantie, veerkracht en flexibiliteit.
Als jij denkt dat je het beter en veiliger kan met jouw computer dan is de kans heel groot dat je aan zelfoverschatting doet. En als jij je verdiept in wat ik doe (ik ben bepaald niet anoniem), dan weet je dat ik er geen belang bij heb om cloud computing te verkopen en dus niets daarin te verbergen heb. Ik praat dus over dit onderwerp vanuit een volledig onafhankelijke positie.
Als jij cloud computing vergelijkt met wat “jouw computer” kan, dan ben ik snel uitgepraat.
Voor de risico’s die ik beschrijf is er dus ook een plan.. en voor de verandering.. die testen wij ook.
Naturlijk; als AWS ons toegang tot de infrastructuur ontzegt, dan heb ik inderdaad een probleem, alleen al omdat ik mijn DNS daar ook beheer en als ik die wil overzetten zonder hun medewerking dan is dat een probleem, maar niet onoverkomelijk. Als ik alles wil doen wat ik doe zonder cloud computing… dan is dat nagenoeg onmogelijk en/of verschrikkelijk duur.
Maar goed… muziek luisteren doe ik via Spotify, series kijken via Netflix, kantoorautomatisering via Google, support leveren via Atlassian, GIT via Bitbucket, content creëren via Adobe Creative Cloud, backups maken via een back-up provider, en ja wij maken ook offsite offline back-ups. Niet alleen van data, maar ook van configuraties, code, etc.
Als we de great reset er maar even bijsleuren met build back better… we own nothing and we are happy 🙂
Maar ik respecteer het hoor dat jij liever blijft bij jouw computer. Ik vind mensen die helemaal zelf sustainable leven ook heel knap, maar je moet er heel wat voor laten…
Heb je nu voldoende antwoord?
Het valt me op dat er vanuit zoveel verschillende standpunten gekeken wordt en zoveel verschillende zwaartes toegekend worden aan diverse aspecten (beveiliging/continuïteit, afhankelijkheid / beheer, rechten/privacy, financiën). Daarbij worden veel zinnige opmerkingen geplaatst, maar de visies botsen behoorlijk. Desondanks vinden sommigen dat men hun keuze maar beter kan opvolgen. Voor niet-ICT-ers is dat niet te volgen. Maar het gaat niet alleen om mijn computer vs. jouw computer, maar ook om mijn situatie vs. jouw situatie.
Jaap, ik snap wat je schrijft, maar als je naar de praktijk kijkt kiest de overgrote meerderheid voor Microsoft 365 en de rest voor Google Workspace. Ergo, situaties schelen niet zoveel van elkaar en als je het niet weet is het antwoord in ieder geval niet “jouw computer”.
@swa
“maar je point zet dan ook meteen grote vraagtekens bij welke motivaties en redenen je wel nog zou kunnen hebben om dingen bij een 3e partij te plaatsten en die te betalen als je toch zelf weer alle zooi in de gaten zult moet houden”
“we hebben het over MKBers en bedrijven wiens bestaansrecht in gevaar gaan komen bij een malware uitbraak of een cloud hick/f-up. daar zitten dan ook weer (enkele) gezinnen achter.”
Die zitten doorgaans op laag 8, 9 en 10 van het OSI-model = politiek, geloof en geld (niet noodzakelijkerwijs in die volgorde).
* Geld: zoveel mogelijk schuldenvrij maken van de balans (d.w.z. van CAPEX naar OPEX)
* Geloof: iets aan “innovatie” te kunnen doen zonder hoge aanloopkosten/voorinvesteringen/schulden
* Politiek: gebrek aan vertrouwen in de eigen IT-teams (en ook niet de bereidheid hebben om hier wat aan te doen)
Er wordt vaak ook iets geroepen over voordelen in termen van schaalgrootte, kennis en continuiteit. Maar dat blijkt in de praktijk allemaal wel mee te vallen = het is meer een geschuif met taken en kosten.
@Will: haha die lagen van OSI model kende ik nog niet, maar wel prikkelende reactie! 🙂
Henri, ik ben ervan overtuigd dat je voor jouw bedrijf een goede keuze hebt gemaakt, ook voor de support en de development activiteiten. Kantoorautomatisering in de vorm van Microsoft 365 en Google Workspace is voor velen handig. Ze hebben het door COVID-19 dan ook extra goed gedaan. De Amerikaanse bedrijven kunnen bovendien beter belasting ontwijken/ontduiken en dus goedkoper kantoorautomatisering leveren. Als bedrijf moet je wel scherp onderhandelen omdat 24*7 anders duurder kan uitvallen. (Wie meet het interne gebruik voorafgaande aan de contractonderhandelingen met de cloud leverancier?)
Maar ik weet ook dat er bedrijven zijn die voor hun kantoorautomatisering niet voor Microsoft Corporation of Alphabet Inc kiezen vanwege juridische implicatie of klanteisen, zoals bedrijven in de juridische dienstverlening. Zo ken ik vele uitzonderingen. In de maakindustrie / industriële automatisering is men vaak nog niet zover om naar de cloud te kunnen. Te grote stappen daar kunnen grote uitglijders worden. De bestaande grote banken zijn voor hun kernactiviteiten ook geen early adopters van publieke cloud-first- of (multi) cloud-only-strategie. Ze weten dat nog geen betrouwbaar verhuis- of rollback-scenario hebben. Natuurlijk zie je ook sterke verschuivingen naar de cloud, zoals in de agrarische sector, althans daar waar betaalbare internetverbindingen mogelijk zijn. Kleine financiële dienstverleners zien ook meer heil in de multi-cloud, dan in zelf doen. Gevaren zoals hacking en DDoS het hoofd moeten bieden, heeft bij hen juist voor meer belangstelling voor de publieke cloud gezorgd.