Weg met die term 'public cloud'! Het is niet meer van deze tijd. Een publieke cloud is een cloud waarbij resources eenvoudig geschaald kunnen worden en je alleen voor daadwerkelijk gebruik betaalt. Meerdere klanten maken hierbij gebruik van dezelfde infrastructuur.
Mijn probleem met de term ‘public cloud’ is dat het woord publiek voor veel mensen een hogere toegankelijkheid voor hackers impliceert. De aanname is hier dat een private cloudomgeving, op basis van eigen hardware, veel meer veiligheid biedt. Dit is echter onjuist. Hackers komen vrijwel altijd via de eigen website of applicatie binnen en niet via de cloudinfrastructuur. Of data nu in een publieke of private cloud staat, in beide gevallen geldt het volgende: Een hacker die over jouw data wil beschikken, infiltreert vrijwel altijd via jouw eigen systemen en niet via het datacenter of de cloudsystemen. Het is in een goed opgezette publieke cloud nagenoeg onmogelijk om via de cloud infrastructuur van server naar server te springen.
Een hacker die via de cloud infrastructuur binnen wil komen, zal het extreem moeilijk hebben. Een aanval zou via de virtualisatiesoftware, de storagelaag of het netwerk plaats moeten vinden. De virtualisatiesoftware zorgt ervoor dat een fysieke server in verschillende ‘virtuele servers’ onderverdeeld wordt. Deze software is vanuit een virtuele server buitengewoon moeilijk te hacken. Er worden af en toe ingewikkelde theoretische vulnerabilities gevonden, maar die worden vervolgens razendsnel weer afgedicht. De andere gedeelde resource is de storagelaag. Hier wordt doorgaans technologie gebruikt die jaren oud is, waarbij de kans dat er van de ene naar de andere disk kan worden overgesprongen zelfs in theorie nihil is. Op netwerkniveau kunnen verschillende klanten dankzij eigen vlan’s volledig van elkaar worden afgeschermd. Hiermee worden ‘virtual private clouds’ gecreëerd.
Cloud en security zullen altijd een issue blijven. Want datacriminaliteit is net als gewone misdaad, een doorlopende wapenwetloop waarbij misdadigers en de controlerende macht elkaar altijd blijven aftroeven. Beveiligingstechnologieën worden elke dag aangescherpt om hackers voor te kunnen blijven. Dit geldt voor publieke clouds, maar ook voor private clouds en ‘bare bone’ hardware.
Iedereen in de flexibele cloud
Wanneer cloud management en cloud security meer geaccepteerd worden, zullen meer mensen vertrouwd raken met de mogelijkheden van de publieke cloud. Dat zal nog een paar jaar gaan duren, maar ik ben van mening dat uiteindelijk vrijwel alles in de publieke cloud komt te staan. Waarom? Eenvoudigweg omdat bedrijven altijd een zo flexibel mogelijke bedrijfsvoering willen hanteren.
Honderd jaar geleden investeerden bedrijven nog in onroerend goed, tegenwoordig huren ze alleen nog maar. De behoefte aan meer flexibiliteit zie je ook terug in de nog altijd groeiende detacheringsmarkt, het succes van softwarelicenties en sinds een aantal jaar het leasen van hardware, zoals pheripherals, laptops en telefoons. Als dit de trend is, waarom zou je dan wel een eigen server willen hebben, of je vast willen leggen met een lange termijn contract? Over een paar jaar zit naar mijn mening dan ook iedereen in de flexibele cloud.
Ik wil niet bot over komen. Maar wat is je boodschap Lennard? Dit is namelijk echt al tig keer eerder en met meer diepgang en inhoud beschreven.
Lennard,
Zoals je aangaf, in een public cloud hebben we het over een shared-omgeving. Hoe weet ik dat mijn buurman met wie ik samen gebruik maak van dezelfde virtualisatielaag (laag-0), gezamenlijke DB-server etc geen crimineel is?
Een aanval hoeft niet altijd van buitenaf te zijn, het kan ook van binnenuit zijn.
Het gaat inderdaad primair om het vertrouwen in de mate van isolatie. Ben met je eens dat cloud leveranciers dat behoorlijk op orde hebben. De public versus private discussie gaat dan ook vaak over de privacy issues, en niet zozeer over de security.
Klanten van een cloud service willen graag voelen hoe ‘private’ hun gegevens zijn en hoe ze dat kunnen monitoren. Misschien iets om expliciet in de Cloudcontrols op te nemen die jij hebt opgesteld. dus niet alleen audit-baar maar ook continu te monitoren.
Het klinkt allemaal wat naief te stellen dat de techniek zeer zeker is en dat iedereen daar in de toekomst gebruik van maakt.
De zwake plek is natuurlijk nauwelijks de techniek maar zoals altijd de gebruiker, met behulp van phishing mails, social engineering etc. wordt de toegang verkregen, daar helpt geen enkele technische oplossing.
Dat er met geen woord over de samenhang met NSA/PRISM/etc. gesproken wordt is opvallend, volgens de duitsers wordt vlijtig bedrijfsspionage bedreven door de usa, of je met jouw bedrijf dat risiko wil nemen moet ieder voor zich bepalen.
Lennard,
Ik denk dat ik Ruud gelijk moet geven omdat er weinig nieuwe dingen geschreven worden en sommige niet volledig zijn. Want bij een private cloud hoef je de resources niet te bezitten, je deelt ze alleen niet (volledig) met anderen. Vaak worden opslag, netwerk en management interfaces namelijk nog steeds gedeeld. Drie interessante lagen welke je kunt aanvallen:
1. Netwerk – intern een ongesegmenteerd netwerk zonder versleutelde communicatie.
2. Opslag – data wordt nog niet altijd encrypted opgeslagen en is makkelijk te tappen.
3. Management – beheer accounts zijn altijd interessant, net als de interfaces (API’s).
Stellen dat de cloud (publiek of prive) een betere bescherming biedt is twijfelachtig omdat de transparantie over ‘security breaches’ nog mist. Vaak worden deze namelijk niet aan de grote klok gehangen, responsive disclosure is nog steeds een vies woord.
Dat huren boekhoudkundig voor veel bedrijven interessanter is lijkt me meer een korte termijn oplossing. En betreffende de vastgoed fraude is de belastingbetaler momenteel de dupe.
In dit duitse artikel wordt nog een en ander verder uit de doeken gedaan:
http://www.heise.de/newsticker/meldung/Kronjuwelen-Helfershelfer-der-Internetueberwacher-enthuellt-1928683.html
Citaat:
In den Folien finde sich außerdem die Formulierung, die Arbeit des britischen Geheimdiensts GCHQ diene auch dem Wohl der britischen Wirtschaft. Das scheint auf Wirtschaftsspionage hinzudeuten.
in het nederlands: In de Folien (van Snowden) bevinden zich formuleringen dat het werk van de britse geheime dienst ook het belang van de britse bedrijven dient. Dat lijkt op bedrijfsspionage te duiden.
Goed artikel en mee eens dat publieke cloud niet een handige term is (dat is overigens het punt Ruud). Men denkt dat als Google gehacked wordt een hacker meteen bij alle mailboxen kan. Zo is de architectuur bij Google niet opgebouwd en maar goed ook, want een aanval die uiteindelijk slaagde was inderdaad door laptops van ontwikkelaars te besmetten middels spear-phising, ofwel zeer gericht iemand verleiden onveilige bestanden te opnenen. Elke node met toegang tot het internet is bijna per definitie de zwakke schakel in de beveiliging. Er is overigens wel een onderscheid, als je servers virtualiseert in een private cloud en dit zijn servers voor intern gebruik zal laat patchen minder snel misbruikt worden dan een server die “outbound” gericht is, ofwel een dienst over het internet aanbied.
Ik ben niet zozeer tegen de term public cloud als dat ik tegen de term private cloud ben. Want private kan zoveel dingen betekenen. En zowel eigen beheer zijn als worden uitbesteed.
Laten we blij zijn met hackers omdat die het eco systeem sterker maken door middel van evolutie. Stel dat er geen hackers waren dan zou het systeem zeer kwetsbaar zijn voor als er ineens wel hackers zouden komen. Zie het als virussen in het echte leven. Onze weerstand van het menselijk lichaam is ontstaan uit evolutie. De term cloud en wat het betekent is ook onderhevig aan evolutie.
@ Henri
ook viri en bacterien evolueren, daarom werken heel veel antibiotika niet meer. Zoek nu maar een paralel met “de cloud” . . . .
Henri,
Betreffende hackers moet je wel onderscheidt maken tussen de ‘bloedgroepen’ omdat net als met cloud computing er verschil zit tussen motivatie. Hoewel ik eigenlijk het woord hackers sowieso verkeerd gekozen vind. Tenslotte was hacken vroeger gewoon het systeem aanpassen naar je behoefte…
Betreffende je opmerking over patchen ben ik het trouwens niet met je eens omdat je hier dus een ‘intern’ risico mee introduceert. Dat is als de achterdeur niet op slot doen waarmee je het toezicht aan de voorkant dus te niet doet. Niet zelden zorgen de niet up-to-date testsystemen dan ook voor het dataverlies. En afhankelijk van de inrichting zijn het ‘stepping stones’ naar de productie;-)
@Jan
Effect van antibiotica wordt natuurlijk ook aangetast door het overmatige gebruik ervan in de pluimveehouderij. Maar dat is dus een afweging tussen goedkope plofkip en de volksgezondheid. Kip het meest veelzijdige stukje vlees…
Ewout, laat patchen is vaak onhandig, alleen in een private omgeving is de kans kleiner dat deze wordt uitgebuit.
Haha, hacken volgens jouw definitie gaat dus perfect op. Mensen buiten je organisatie passen jouw systeem aan naar hun behoefte. Dus hacken is in mijn ogen nog steeds de definitie met als verschil tussen eigen spullen en andermans spullen. En de definitie is wel erg ruim, een server inrichten zou dan ook al hacken zijn. Hacken is meer aanpassen naar jou behoefte buiten de door de bouwers “bedoelde” methoden. Een beetje het systeem “verslaan”.
En Jan, precies. Als we de anti-cloud mensen nu als antibiotica zien… 😉