De cloud vraagt om een ander beveiligingsmodel. Traditioneel wordt het datacenter van buiten naar binnen beveiligd, vanaf de firewall in lagen tot aan het hart van het netwerk. Doordat afnemers van clouddiensten binnen publieke clouds het netwerkverkeer, de opslagbronnen en de fysieke servers delen met andere klanten, hebben ze beveiliging van binnen naar buiten nodig. Dat zegt beveiligingsadviseur Rik Ferguson van antivirusleverancier Trend Micro.
‘Traditioneel wordt het datacenter van buiten naar binnen beveiligd, vanaf de firewall in lagen tot aan het hart van het netwerk’, legt Ferguson uit. ‘In cloudomgevingen werkt dat model niet meer. Klanten hebben geen controle meer over de rand van het netwerk. Bovendien delen het netwerkverkeer, de opslagbronnen en de servers met andere klanten.’
De enige oplossing volgens Ferguson is om ‘van binnenuit’ te beveiligen, waarbij de firewall aan de rand van de virtuele machine wordt geplaatst. En data moet standaard worden versleuteld, ‘zodat de beveiliging mee reist, waar die dat ook heen gaat.’
Virtualisatierisico’s
Veel organisaties zijn volgens Ferguson al overgegaan tot servervirtualisatie, overwegen nu de overstap naar desktopvirtualisatie en in een later stadium naar de publieke cloud. Al die stappen brengen nieuwe beveiligingsrisico’s met zich mee. Servervirtualisatie creëert onder meer het risico dat langdurig inactieve virtuele machines niet gepatcht worden. ‘Dat gebeurt minder in een fysieke omgeving, waar machines meestal continu aanstaan.’
De overgang naar desktopvirtualisatie creërt het probleem dat virtuele machines die verschillende beveiligingsniveau’s vereisen op dezelfde fysieke machine kunnen draaien. De overgang naar de publieke cloud brengt een scala aan nieuwe problemen, omdat klanten alle infrastructuur delen, van het netwerkverkeer, de opslagbronnen tot aan de fysieke servers. ‘Als ik klant word van dezelfde cloudprovider als jij, ben ik al binnen op jouw netwerk. Service providers zouden die beveiligingsproblemen kunnen oplossen op de fysieke laag, maar daarmee zou het kostenvoordeel van virtualisering verdwijnen. Dus moet het op de logische laag.’
Aansprakelijkheid
‘Afnemers van SaaS, IaaS en PaaS besteden de controle over hun data uit aan service providers, maar hun aansprakelijkheid kunnen ze niet uitbesteden.’ Dat valt volgens Ferguson ook duidelijk af te lezen uit de leveringsvoorwaarden van cloud providers, waarin elke vorm van aansprakelijkheid als gevolg van beveiligingsproblemen bij voorbaat wordt afgewezen.
Dit is echt een unieke oplossing, wij maken gebruik van zeer veel hosting capaciteiten en je weet vandaag de dag gewoon niet wat er met je data gebeurt. Ook al heeft de hostingspartij sas70