Beveiliging SaaS uit de cloud is discutabel

13-02-2012 10:50 | Door Maarten Hartsuijker | Lees meer artikelen over: IT-auditing, Hacking, ADSL, Consulting, SaaS | Er zijn 10 reacties op dit artikel | Permalink
Computable Expert
Maarten Hartsuijker
Maarten Hartsuijker

Security Consultant

Expert van Computable voor het topic Security

Meer

Op het moment van schrijven staat KPN volop in het nieuws met een inbraak in de it-omgeving die wordt gebruikt voor haar DSL en internet-beldiensten. Voor veel mensen is het onvoorstelbaar om te lezen hoeveel er op het beveiligingsvlak mis blijkt te zijn bij een partij als KPN, die naast het bedienen van miljoenen klanten tevens verantwoordelijk is voor een stuk vitale infrastructuur. Voor de meeste informatiebeveiligers is het een hoop herkenning.

Het is het geen verrassing dat KPN niet anders blijkt te zijn dan de rest van corporate Nederland en de rest van de wereld. Wat wel bijzonder is ten opzichte van een inbraak bij de meeste andere bedrijven, is de impact die een inbraak bij KPN heeft op andere bedrijven en consumenten. Door de enorme hoeveelheid klanten heeft een enkele fout grote consequenties.

Ditzelfde zien we terug bij cloud-diensten. Ook in de cloud verzamelen grote groepen klanten zich in een centrale omgeving. Op basis van de aanname dat een grote service provider in staat is om een betrouwbare dienst te leveren, worden vertrouwelijke persoonsgegevens, bedrijfsgegevens en transactionele gegevens ondergebracht bij een derde. Op het moment dat de beveiliging ter sprake komt is een vaak gehoorde opmerking: 'het bedrijf schermt met veel grote klanten. Als het voor hen goed genoeg is, is dat het voor ons toch ook?' En hiermee schuiven we de noodzaak om eens goed naar de inhoudelijke kwaliteit van de dienst te kijken het liefst van ons af. De keuze voor SaaS uit de cloud komt regelmatig niet vanuit een functionele behoefte, maar vanuit onvrede over snelheid en kosten van de eigen afdeling. En over 'the next best thing' moet je natuurlijk niet te kritisch zijn.

Als informatiebeveiliger test ik regelmatig 'software uit een cloud'. Met name een goede scheiding van klantdata bij zakelijke software uit de cloud blijkt een ondergeschoven kindje. Dit geldt vooral voor legacy-pakketten die voorheen altijd op de klantlocatie draaiden en nu snel centraal aangeboden moeten worden om aan een klantvraag te voldoen. Omdat de vraag naar SaaS-diensten uit de cloud toeneemt, haasten veel leveranciers zich om hier een oplossing voor te verzinnen. De makkelijkste oplossing is dan om snel een paar servers in een datacenter neer te zetten, er een 'cloud'-label op te plakken, en klanten uit te nodigen om er gebruik van te maken. Vervolgens wordt vergeten dat er een compleet ander beveiligingsmodel nodig is om meerdere klanten veilig vanuit één cloud te bedienen.

Binnen een multi-customer cloud gaan traditionele beveiligingsconcepten over het algemeen niet meer op. Hierdoor is het resultaat van de audits die ik op dit soort omgevingen uitvoer vaak zo bedroevend dat je vanuit je klantrol eenvoudig bij de data van alle andere klanten kunt. Omdat de impact van een inbraak in zo’n cloud de optelsom van de waarde van alle klantdata is, zijn op dat moment miljoenen persoonsgegevens of administraties van honderden miljoenen feitelijk toegankelijk voor iedereen die voor een klein bedrag toegang tot de cloud wil kopen.

En hier zit ook meteen het grote verschil met het voorbeeld van KPN waar ik in de introductie mee begon. Om connectiviteitspartijen als KPN kun je als klant niet heen, maar consolidatie in een cloud is een keuze. Je bepaalt als bedrijf zelf of de impact van misbruik van beveiligingsfouten in software en infrastructuur beperkt blijft tot het eigen personeel, of zich uitstrekt naar iedereen die voor een paar euro toegang tot het platform aanschaft.

Klein beginnen

Als we de berichten mogen geloven kunnen we niet meer om de cloud heen. De industrie doet ons geloven dat we als we kosten willen besparen en schaalgrootte willen creëren alleen de Cloud nog een oplossing is. Maar het kan verstandig zijn om deze nieuwe hype eerst eens uit te proberen met data met een beperkte vertrouwelijkheid en een niet al te hoge integriteitsclassificatie.

Soms komt de keuze voor SaaS voort uit onvrede over de it-afdeling. De interne ict-afdeling is vaak druk of heeft geen prioriteit voor aandachtspunten die de business op dat moment erg belangrijk vindt. Hoewel business en it-alignment vaak wel plaatsvindt en de basis is voor jaarbudgetteringen, is er op nieuwe initiatieven gedurende het jaar vaak slecht in te spelen (de pot met geld is verdeeld). De business besluit de it-afdeling te passeren omdat er zich een goed alternatief aandient en financiert dit vervolgens uit andere potjes. Software uit de cloud lijkt dan vaak te zorgen voor een goed beheersbare investering. De it lijkt nog steeds goedkoop, omdat het niet uit het centrale budget wordt gefinancierd, maar de feitelijke stijging van it-kosten blijft bestaan.

Maar besparen we op dat moment echt investerings- en exploitatiekosten? Als je een bedrijfsapplicatie zonder veel interfaces in een SaaS-omgeving kunt onderbrengen, is de kans groot dat de leverancier goedkoper kan leveren dan je it-afdeling. De aanschafkosten van een applicatie in de cloud ligt vaak veel lager dan de traditionele 'on-premise' installatie van dezelfde of vergelijkbare software. Veel bedrijven verslikken zich vervolgens echter in de interfaces die nodig zijn om de software te laten integreren met andere bedrijfsapplicaties. 'Zakelijke software uit de cloud' wordt vaak verkocht als eenvoudig en voordelig, maar pas op dat je met alle consultancy uren, het maatwerk aan de interfaces en nieuwe functionaliteit waarbij je als 'launching customer' optreedt niet toch een grotere investering moet doen dan je vooraf had verwacht.

Om de beveiliging bij SaaS uit de cloud enigszins onder controle te krijgen, is het verstandig om al voor de contractering een goed, op SaaS uit de cloud toegespitst, beveiligingskader af te stemmen. Vaak resulteert alleen de discussie over dit kader al in verbeteringen van de dienst omdat er aspecten besproken worden waar de leverancier van de dienst nog niet aan had gedacht. En op het moment dat we als afnemers hier allemaal aandacht voor vragen wordt dat effect natuurlijk nog verder versterkt. Geïnteresseerden in specifieke aandachtspunten nodig ik uit om contact op te nemen. Daarnaast is het belangrijk om tijdens de acceptatietest dit kader mee te nemen in een beveiligingscontrole. Op deze manier heb je meer zekerheid over de beveiliging van je data, voordat je dit naar de cloud van een derde kopieert.

Jurdisch

Naast de feitelijke kwetsbaarheden die in meer dan de helft van de geteste omgevingen wordt aangetroffen, zitten er belangrijke juridische consequenties aan het gebruik van de cloud. De WBP staat het immers niet toe om persoonsgegevens zonder meer te exporteren naar derden landen (landen die niet op de lijst van het CBP staan). Dit geldt voor de plaatsing van data op servers in die landen, maar ook voor beheertoegang vanuit die landen. Als bedrijf weet je vaak niet waar de cloud-servers zich bevinden of waar de beheerders van de cloud zich bevinden. Ik vermoed dat de cloud-ontwikkelingen er momenteel voor zorgen dat veel bedrijven zonder het zich te beseffen in strijd met de privacy wet handelen.

In control blijven

Software uit de cloud wordt te makkelijk gezien als het uitbesteden van je problemen. Gelet op de risico's zou je bijna kunnen stellen dat de cloud alleen geschikt is voor bedrijven met een grote mate van volwassenheid, waardoor ze de impact van de cloud keuzes goed kunnen overzien. Zoek je een nieuwe applicatie en overweeg je de cloud? Beoordeel dan nog eens goed of je als organisatie voor de data in deze specifieke omgeving de extra risico's wilt lopen. En vergeet niet om tevens te beoordelen hoe de software gaat integreren in de rest van de it-omgeving en hoe de data (en indien van toepassing, de processen) waar nodig weer terug naar de eigen organisatie gehaald kan worden.

Maarten Hartsuijker is ethisch hacker en security consultant bij classity en audit voor klanten regelmatig SaaS-oplossingen uit de cloud.

Reacties op dit artikel
De redactie vindt deze reactie: GoedReza Sarshar, 13-02-2012 12:22
Zeer interessante artikel met de juiste opbouw en inhoud. Mijn dank hiervoor.
Dit artikel geeft me hetzelfde gevoel voor Cloud als het gevoel dat ik over een restaurant krijg nadat ik een aflevering van Smaakpolitie over dat restaurant gezien heb!
 
Ik heb al eerder en vaak gezegd dat ik de cloud NOG niet als een oplossing ervaar! Op dit moment ontbreken veel zaken zoals standaardisatie, definitiekader, security (op verschillende niveau`s), regels en nog meer aan deze oplossing. Cloud moet voor de klant “ontzorging” zijn! Het feit dat de klant zelf veel zaken moet (laten) onderzoeken om vervolgens meer zekerheid in de provider en de oplossing te krijgen zegt genoeg over de betrouwbaarheid van deze zaak. Het implementeren van een Cloud-oplossing vereist een visie en brede kijk op gehele keten. Kortzichtig besluitnemen en alleen naar de lage kosten van de oplossing kijken (wat niet altijd waar blijkt te zijn) zal je zeker later tot andere inzichten brengen waar je niet blij van wordt!
 
Ter zijde en voor de cloud liefhebbers: gisteren in een telefonisch gesprek met iemand uit VS heb ik vernomen dat Amazon als Cloud provider weigert je data te verwijderen wanneer je je contract met hen opzegt! De betrouwbaarheid van dit bericht ga ik binnenkort uitzoeken.
De redactie vindt deze reactie: OKedekkinga, 13-02-2012 14:49
In dit stuk worden veel terechte zorgpunten aangehaald maar worden ook wel wat makkelijk de problemen bij een ander gelegd. De lessen van KPN leren ons dat je niet kunt vertrouwen op de beveiliging van een ander en dus zelf je maatregelen moet nemen om schade en verlies te voorkomen. Inderdaad is het verstandig om een goed beveiligingskader neer te leggen voordat je de cloud in gaat. Maar dat kader dient alle facetten van informatieverwerking te omvatten en zich niet alleen te beperken tot de middelen en incidenten. Ook juist is de opmerking over volwassenheid maar ligt daar nu juist niet het probleem met de nieuwigheid van Cloud Computing?
De redactie vindt deze reactie: OKAndre Salomons, 13-02-2012 15:11
Heel herkenbaar als motivator om een cloud dienst af te nemen: "Soms komt de keuze voor SaaS voort uit onvrede over de it-afdeling. De interne ict-afdeling is vaak druk of heeft geen prioriteit voor aandachtspunten die de business op dat moment erg belangrijk vindt". M.i. Ligt er dan ook een belangrijke taak bij directie en IT om de interne klanten voor te lichten over te richting die de bedrijfsleiding met de It uit wil en waarom. Openstaan voor tegenspraak is ook heel goed.
 
Maar omdat dit nog heel veel ontbreekt(vaak ook door gebrek aan kennis over IT aan de top) wordt hiermaar al te vaak voor de weg van de minste weerstand gekozen.
 
We moeten met zijn allen onderkennen dat cloud niet meer verdwijnt, maar dat keuze van een cloud oplossing weloverwogen moet gebeuren.(zie vorige artikelen)
 
De enige remedie : voorlichting, informatie, transparantie, kaders/certificeringen en frequent toetsen hierop etc. etc, totdat de beslissers de keuze op de juiste gronden kunnen nemen.
 
Hacken is op zich goed om aan te tonen dat er iets mis is, maar publiceren is echt een stap te ver en zeker als publiceren anoniem gebeurt(maar dat zal wel niet te veranderen zijn).
 

De redactie vindt deze reactie: GoedHenri Koppen, 14-02-2012 12:58
Er is een verschil tussen cloud en cloud computing. Cloud is een synoniem voor internet, cloud computing gaat over het automatiseren van servers en serverbronnen losgetrokken van fysieke apparaten.
 
Deze verwarring vind ik erg vervelend omdat hiermee de kracht van cloud computing besmet raakt.
 
Elke computer met verbinding tot het internet is gewoon een potentieel kwetsbaarheid.
 
De bedrijven die aan cloud computing doen zijn veel minder kwetsbaar dan reguliere bedrijven die aangesloten zijn op het internet. Juist omdat klanten van cloud computing putten uit dezelfde bron is het versleutelen en isoleren van data zo belangrijk.
 
Een reguliere SaaS aanbieder (welke niet gebaseerd is op cloud computing) is echter wel weer kwetsbaar of zal praktisch gezien kwetsbaarder zijn. Dit zijn ook vaak kleinere partijen waarover ook in dit artikel gesproken word. Die zijn de kennis niet machtig om veel van security te weten en data ook nog eens per klant te versleutelen.
 
Als Maarten Hartsuijker in zijn titel Cloud als synoniem voor Internet bedoeld kan ik het deels met hem eens zijn. Als hij cloud computing bedoeld ben ik het volstrekt niet met hem eens. Kom dan eens met voorbeelden waaruit blijkt dat die bedrijven gehackt zijn.
 
De redactie vindt deze reactie: GoedReza Sarshar, 14-02-2012 14:09
Beste Henri:
Cloud computing gaat NIET over het automatiseren van servers en serverbronnen, losgetrokken van fysieke apparaten! Dit is iets wat we al met virtualisatie gerealiseerd hebben!
Cloud computing gaat WEL over het veranderen van traditionele ICT in “dienstvormen” en het afnemen daarvan (delivery modellen)

Een bedrijf met eigen ICT (In House) is zeker minder kwetsbaar dan een bedrijf in de Cloud. Als ik in de cloud zit dan heb ik niet alleen kwetsbaarheden die ik in “ In House” model heb maar ook de kwetsbaarheden die door de cloudprovider aan mij opgelegd worden. Bijvoorbeeld de klant naast mij die op dezelfde database server/ fysieke hardware/ virtuele server/ zelfde IP netwerk/ FireWall gebruik maakt, kan een criminele organisatie zijn die zich als een bedrijf voor doet. Dit probleem heb ik zeker in mijn eigen ICT In House niet! Ik kan nog meer punten noemen waar de beveiliging in de cloud kwetsbaarder is dan in je eigen DC!
 
Het feit dat je een onderscheiding maakt tussen verschillende SaaS providers zegt me dat Cloud nog geen standaardisatie kent, m.a.w. Cloud is NIET klaar voor wat hij moet zijn!
 
Bovendien als een grote speler zoals Amazon zo`n blunder maakt (zie mijn link hierboven) dan vind ik je bewering rondom reguliere providers minder reëel!
De redactie vindt deze reactie: OKMartin van Heyningen, 14-02-2012 17:08
Wat is er mis met data in de cloud? Stel dat mijn ziel en zaligheid voor een ieder ter inzage staat in een database in de Oekraïne met als enige beveiliging dat mijn persoonsgegevens er niet bijstaan, wat kan een onverlaat er dan mee behalve puin schoppen? Natuurlijk moet je databases beveiligen en de grote aanbieders/datawarehouses doen dat ook en het allerbeste want het is namelijk hun handel maar, beveiliging van data gaat niet alleen over techniek maar vooral om de organisatie eromheen. Dat iedere organisatie zelf de toegangsbeveiliging van haar databases doet is weliswaar gegroeid maar niet meer van deze tijd. Het is daarom dat elke bank zijn eigen methode hanteert. Cloud computing is een niet meer te stoppen fenomeen en gelukkig maar want iedereen kan afnemen wat hem/haar uitkomt zonder standaardpakketten waar je 80% niet van gebruikt. Het enige is dat niet iedereen zijn eigen toegangsbeveiliging moet bedenken want je wordt horendol van al die wachtwoorden en codes. Bovendien wordt het daardoor steeds onveiliger want je kunt geen 15 moeilijke wachtwoorden onthouden. Met als gevolg dat je kiest voor de voornaam van je kind of je geboortedatum. Bovendien zoeken ook criminelen net als water naar het laagste punt. Toegangsbeveiliging moet geregeld worden door een onafhankelijke gespecialiseerde organisatie met slechts een methode en als een nutsvoorziening worden aangeboden. Je kunt dan altijd gebruikmaken van het hoogste beveiligingsniveau want dat is namelijk de specialiteit van zo'n organisatie. En ook dit kan via de cloud worden geregeld. Bovendien kan dan elke aanbieder hiervan gebruikmaken ook degene die nu niet in staat zijn te investeren in een eigen inhouse oplossing.
De redactie vindt deze reactie: GoedHenri Koppen, 14-02-2012 17:23
Reza, ik ben het met al je punten oneens.
 
Virtualisatie is het loskoppelen van Servers en fysieke apparaten. Cloud computing doet daar iets mee door middel van verregaande automatisering. Cloud computing wordt wel aangedreven door virtualisatie maar gaat een stuk verder. Je vergist je namelijk door cloud computing aan dienstvormen te koppelen. SaaS, PaaS en IaaS zijn geen cloud computing. Gewoon niet. Het zijn modellen die *eventueel* gebruik maken van cloud computing. Dit is een belangrijk inzicht en maakt het meteen ook mogelijk om cloud computing scherper te definiëren.
 
Ook in de twee paragraaf klopt je stelling in mijn ogen niet. Je hebt een deel van je IT op twee plekken. In House en bij een cloud provider. Wordt je cloud provider gehackt dan blijft dit geïsoleerd tot dat stukje, omgekeerd geldt het ook zo: Is je netwerk gehackt kan je cloud gedeelte nog steeds "veilig" zijn.
 
In House IT wordt vaak als "veilig" ervaren. Databases zijn daar zelden versleuteld. Op een echt cloud computing provider (SalesForce, Amazon, Microsoft Azure) is in principe elk element versleuteld.
 
Daarnaast hebben veel bedrijven hun IN house IT in een datacenter staan. Ook daar kun je slecht zien wie er nu toegang hebben omdat het datacenter vaak gedeeld wordt met andere partijen als MKB bedrijf.
 
SaaS is software aanbieden over het internet. Het zegt werkelijk NIETS over waarop deze draait.
 
Dus Cloud is niet klaar? Stop dan direct met je Hotmail, Gmail, of Yahoo account. Waarom accepteren we die diensten dan wel? Cloud computing doet het prima, het gedoe er omheen zoals Patriot Act en bepaalde business modellen en de wet maken dat de werkelijk adoptie nog op zich laat wachten.
 
Amazon een grote blunder? Je gaat in mijn ogen te kort door de bocht gezien de werkelijk geleden schade... die is zeer beperkt danwel nihil.
 
Ik ben het met veel dingen met je eens, maar hierin sla je in mijn ogen de plank mis.
De redactie vindt deze reactie: OKKlant, 15-02-2012 13:24
Dankjewel voor jullie heldere uitleg van wat cloud en cloud computing nu eigenlijk is. Ik ben als klant enorm opgeschoten door jullie informatie en kan met een gerust hart met een van jullie zaken gaan doen...:-(
De redactie vindt deze reactie: GoedMaarten Hartsuijker, 16-02-2012 16:21
Als we het (om het niet al te veel een definitiekwestie te laten worden) lostrekken van het SAAS en Cloud gaat de kern van het artikel uiteraard over het delen van IT voorzieningen. Of we dat nou op applicatief of infrastructureel niveau doen, doet wat mij betreft niet zozeer ter zake. Wat ik heb proberen uit te drukken is dat er bij een veranderend servicemodel ook een gewijzigd beveiligingslandschap hoort. En mijn ervaring is dat aanbieders en afnemers hier nog een grote maturityslag moeten maken. Dit geldt ook voor de grote cloud aanbieders. We herinneren ons vast nog wel de vele lekken in Dropbox of het adresboeklek in Microsoft BPOS (Exchange uit de cloud). Dat Dropbox zijn data in de cloud versleuteld is uiteraard niet effectief op het moment dat er een fout in de authenticatievoorziening zit.
Maar eerlijkheid gebied te zeggen dat dit niet de diensten zijn die ik tijdens het schrijven van het artikel in mijn achterhoofd had. Mijn persoonlijke ervaring ligt meer op het vlak van bedrijfssoftware die vroeger los werd aangeschaft, maar waarvan nu iedereen roept "we hebben het ook als SAAS oplossing" of "natuurlijk leveren we dit ook vanuit de cloud".
3 vacatures
Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Senior ICT-Beheerder

Gemeente Breda , Breda

Systeembeheerder Kantoorautomatisering

SURFsara , Amsterdam

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1556 6.2
Klik voor meer info2 1288 6.0
Klik voor meer info3 1262 6.2
Klik voor meer info4 1065 6.2
Klik voor meer info5 973 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 516 6.1
Klik voor meer info9 394 6.0
Klik voor meer info10 391 6.2