Security in de cloud is beter dan wat bedrijven op eigen houtje kunnen. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Cloudkritiek is niks nieuws en cloudvrees leeft ook nog altijd. Bijvoorbeeld de vrees dat gebruik van cloud computing kan zorgen voor onveiligheid. Er is immers minder eigen grip op de gebruikte ict-omgeving en een aanvaller die toegang krijgt tot de cloudsystemen van een organisatie zou volledig zijn gang kunnen gaan. Het punt van beveiliging geldt volgens Amazon-cto Werner Vogels echter juist in het voordeel van de cloud.
De van origine Nederlandse cloudtopman zei dit op de AWS Summit die onlangs plaatsvond in Nieuwegein. Vogels stelt dat het niveau van cloudsecurity vele malen hoger ligt dan wat bedrijven zelf kunnen bereiken in hun eigen datacenters. Dit dankzij de schaalgrootte van cloudaanbieders als Amazon, en de daar geconcentreerde expertise van schaarse experts. Wat vind jij?
De stelling “Security in de cloud is beter dan wat bedrijven op eigen houtje kunnen” gaat wel op als daar aan toegevoegd wordt “tegen vergelijkbare kosten”. In veel gevallen – zeker in het MKB segment – kan niet het (infrastructurele) beveiligingsniveau gehaald worden dat de cloudleveranciers kunnen bieden omdat simpelweg de middelen (hardware, software en (externe) kennis) ervoor ontbreken. Voor grote bedrijven, zeker die met traditioneel een sterke focus op security als banken, is het antwoord niet zo simpel.
Daarnaast is het wel goed een verschil te maken tussen cloud security op IaaS, PaaS en SaaS niveau. Met name op SaaS niveau is het bieden van adequate en controleerbare beveiliging een complex vraagstuk.
Ik hou er niet van om te zeggen dat “Security in de cloud” beter of slechter is dan on-premises of in een hosted omgeving. Want er zijn genoeg aanbieders van infrastructuur, platformen en software as a service die *slecht* zijn in security.
Wat je wel kunt zeggen is dat bijvoorbeeld Microsoft met Azure, Amazon met AWS en Google met Google Cloud Platform erg goed zijn in security. Zij moeten daar wel sterk in zijn anders is de diens ten dode opgeschreven. Unisys, KPN, Equinix zijn ook erg goed in beveiliging en zijn niet sec cloud providers.
Dus ja, cloud providers kunnen goed zijn in security, maar je kunt het niet als algemene stelling poneren zonder man en paard te noemen…
@Henri
Ik denk dat je bedoelt te zeggen dat de attack vectors van het platform (operating system en netwerk) redelijk zijn afgeschermd. Een applicatie als SAP in de Amazon cloud bijvoorbeeld kent behoorlijk wat kwetsbaarheden. (XSS, Command Injectie, DOS, zwakheden in de authorisatie matrix, OS breakout etc.etc.). Het is aan de eigenaar van de applicatie om die dicht te zetten, want de cloud provider doet daar in de regel niets aan.
Vanuit een puur netwerk technisch SOA perspectief zal de cloud waarschijnlijk veiliger zijn, vanuit een data perspectief is dit echter hoogst twijfelachtig als we kijken naar zwakste schakel in de keten. Op zowel het IaaS, PaaS als Saas gebied wordt dus nog opmerkelijk vaak de back-up vergeten terwijl deze ‘storage sprawl’ steeds vaker voor interessante onthullingen zorgt als we kijken naar de digitale deksels van de doofpot binnen het SOA denken.
De marketing machine van Microsoft roept wat over ‘homomorphic encryption’ maar pragmatisch lijkt het me sterk als je data kunt bewerken welke tot onbegrijpbare informatie is versleuteld. Klinkt als Russische roulette wanneer je een ‘ínject’ in een datastream doet zonder te weten waarover het spel gaat. De 3 Amerikaanse ‘schreeuwlelijkerds’ op de cloud markt vergeten even dat zij de MiTM waren van het Snowden schandaal dat uiteindelijk leidde tot herziening van Safe Harbor waarbij een specifieke paragraaf over het landen van de data interessant is als we kijken naar de nog altijd open staande backdoor van replicatie van ‘geografische’ datadomeinen binnen secundaire perspectief op data.
Voor alle duidelijkheid, encrypted data valt niet te dedupliceren of te comprimeren en levert dus een probleem op voor het delivery model van de cloud als we kijken naar de ‘chain of custody’ met een principe zoals ‘non-repudiation’ van de datasstream in de cloud. En de onweerlegbaarheid van een transactie met webservices blijkt dus steeds vaker voor problemen te zorgen als we kijken naar de ‘ímpersonatation’ van webservices die nog altijd het triple-A model missen van ‘privay-by-design’ omdat bepaalde metadata zo veel interessanter is dan de services.
Niemand weet dat ik Repelsteeltje heet……..
Het voordeel van de cloud is dat je vanuit een green field situatie kan gaan werken. Dus wachtwoorden direct op het juiste niveau, scheiding van users en systemen, encryptie bepalen, lines of defense, security by design….En wie weet er nu exact hoe dat in zijn eigen datacenters is geregeld?
Voordeel is ook dat je 1 dashboard hebt op een cloud dienst en eenvoudiger kunt ontdekken wat eventuele security problemen zijn of kunnen worden.