Cloud computing levert nieuwe beveiligingsproblemen op. Dat zegt Dan Kaminsky, de beveiligingsonderzoeker die vorig jaar een gevaarlijk DNS-lek ontdekte. Bedrijven doen er voorlopig verstandig aan uit te wijken naar een ‘privé-cloud’.
De cloud levert grote beveiligingsproblemen op, zegt Dan Kaminsky. De baas van de hackafdeling van computerbeveilingsbedrijf IOActive, die vorig jaar een gevaarlijk DNS-lek ontdekte, sprak zaterdag 28 februari 2009 tijdens ‘Cloudcamp' in Seattle, een conferentie over cloud computing-technologie.
Kenmerkend aan clouds is volgens Kaminsky dat bedrijven hun gegevensbeheer overlaten aan anderen. Het grootste beveiligingsprobleem ligt daarbij volgens Kaminsky juist binnen de beheerlaag. Kwaadwillenden kunnen die ontduiken of, nog erger, overnemen.
Bedrijven weten meestal niet op welke locatie hun gegevens zich exact bevinden, omdat clouds krimpen en uitdijen naar gelang de behoefte aan hardware. Diezelfde eigenschap biedt mogelijkheden voor aanvallers. Wanneer zij zich als klant aanmelden, kunnen ze proberen malware achter te laten op de cloudhardware, bedrijfsapplicaties realtime aanvallen, of achteraf proberen sporen te vinden van bedrijfsgegevens.
Hardware voor ‘multitenacy’
Volgens Kaminsky betekent dat alles niet dat bedrijven cloud computing moeten mijden. Kaminsky vindt clouds een aantrekkelijke mogelijkheid om pieken in het gebruik van software niet te laten beperken door een tekort aan hardware.
De beveiligingsonderzoeker denkt dat de oplossing ligt in het ontwerpen van hardware voor ‘multitenacy'. Die zou fysieke barrières moeten hebben tussen de stukjes hardware die verschillende bedrijven ‘pachten'. Softwarematig is het probleem volgens Kaminsky namelijk moeilijk op te lossen, omdat elke virtualisatielaag zijn eigen zwakke plekken zou hebben.
Privé-cloud
Tot deze hardware voor 'multitenacy' beschikbaar komt doen bedrijven er volgens Kaminsky verstandig aan voorlopig uit te wijken naar een privé-cloud. Dat is een cloud die draait binnen het eigen datacenter, of op eigen servers binnen andermans datacenter. Daarbij beheren bedrijven hun eigen servers met behulp van cloudtechnologie.
Serverversie 9.10 van Ubuntu, die in oktober wordt verwacht, biedt bijvoorbeeld uitgebreide cloud-computing functionaliteit. Bovenop de serverversie ‘Karmic Koala', zoals de nieuwe versie is gedoopt, kunnen bedrijven cloudgebaseerde applicaties bouwen binnen hun eigen datacenter op eigen hardware. Ze kunnen daarbij gebruik maken van application programming interfaces (API) van Amazon's Elastic Compute Cloud (EC2)-platform.
Ontwikkelingen zoals cloud computing en SaaS laten zien dat beveiliging van data steeds belangrijker wordt, aangezien je steeds minder controle krijgt over je infrastructuur. Er zullen oplossingen moeten worden ontwikkeld die het mogelijk maken om je data te beveiligen, ongeacht waar deze zich bevindt. Huidige beveiligingsoplossingen richten zich op het beschermen van de infrastructuur en niet zozeer de data zelf. Versleuteling alleen is niet voldoende, aangezien data alleen onversleuteld verwerkt kan worden. Ik denk aan DRM-achtige oplossingen, waarbij de eigenaar van de data bepaald wie, waar, wanneer en wat er met de data gedaan kan worden.
In het artikel wordt er van uitgegaan dat klanten de cloud uitbesteden. Maar dat is vaak helemaal niet nodig.
Met het concept van VirtualStorm (www.virtualstorm.org) hebben we reeds aangetoond dat het heel erg betaalbaar is om een cloud omgeving in te richten in het eigen datacenter onder eigen beheer.
Bij VirtualStorm is de basis dat ALLEEN beeldscherm informatie het datacenter verlaat. De gebruikers kunnen dan een connectie maken van overal ter wereld via de Sunray client of een computer met internet toegang zonder dat daarop additionele software benodigd is.
Jammer dat Windows Azure nog geen mogelijkheid zoals een prive-cloud aanbiedt. Of dat je bijvoorbeeld je eigen VM kan uploaden. Hoewel je met een prive-cloud niet de schaalgrootte (en lagere kosten?) hebt, zou het wel een mooie opstap zijn waarbij de eerste directe zorgen (data, veiligheid, beschikbaar etc) wegvallen.
“Jammer dat Windows Azure nog geen mogelijkheid zoals een prive-cloud aanbiedt.”
@Leon.. daar gaat het ze nu juist om… Zoveel mogelijk van jouw eigen ict resources en business in de macht en controle van HUN cloud… Zodat jij als icter en business owner voor eeuwig AFHANKELIJK blijft van de Cloud Leverancier..
Once you are sucked in the cloud, your head remains in the fog ans mist and you never get out!
Doe mij maar gewoon mijn ict-business, gemanaged door eigen ict afdelingen, draaiende op eigen hardware, in eigen gebouwen, 100% onder eigen controle..
Dat geeft mij een veiliger gevoel das alle cloudservices bij elkaar op deze planeet.
Cloud computing komt er wel, maar net als ieder nieuw product, zal er goed gekeken moeten worden naar alle aspecten die het raakt. Beveiliging is inderdaad een “hot topic” met betrekking tot cloud computing.
Ik ben het met Dan Kaminsky eens dat een prive cloud op dit moment de enige optie is. Maar komt tijd, komt innovatie. Er is dus blijkbaar een markt op het gebied van cloud computing en beveiliging. Je zult op termijn zien dat er producten komen die inspelen op deze behoefte. In mijn ogen een normale gang van zaken voor ieder nieuw product. Bekijk het zo, Windows is op het gebied van beveiliging ook stukken vooruitgegaan ten opzichte van Windows 95 😉
Kortom, het komt allemaal wel goed met cloud computing, alleen heeft het tijd nodig. Op dit moment is het is het misschien geen optie, maar ook dat zal op termijn veranderen.