Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Zo ga je veilig om met ongestructureerde clouddata

Vier aandachtspunten

Dit artikel delen:

Bedrijven hebben te maken met een explosieve groei van ongestructureerde data. Om hier mee om te gaan, gebruiken ze de cloud om data kosten-effectiever op te slaan en wereldwijd te kunnen gebruiken. Maar ook al bieden publieke en private clouds krachtige nieuwe mogelijkheden en hebben ze een groot potentieel voor financiële en operationele efficiëntie, ze vergroten ook het risicoprofiel.

Ja, de cloud biedt een betere beveiliging van data dan traditionele opslag. Tenminste, als deze beveiliging correct wordt uitgevoerd. Om ongestructureerde data veilig en goed beschikbaar te houden, moeten it-teams aandacht besteden aan de volgende vier punten.

1. Versleutel het

"Zouten (salting) voegt willekeurige bits toe aan de hash-functie, waardoor een extra beveiligingslaag ontstaat"

Versleuteling (encryptie) is een krachtige basis voor beveiliging. En of het nu gaat om het transport of de opgeslagen vorm, bestandsgegevens en metadata dienen te worden behandeld volgens de Advanced Encryption Standard (AES)-256. Waarom? Dit is de eerste open encryptiestandaard goedgekeurd door de Amerikaanse National Security Agency (NSA). En als deze standaard genoeg is voor gevoelige overheidsinformatie, is het ook genoeg om hem te gebruiken voor bedrijven. Bovendien is AES-256 geschikt voor symmetrische codering.

Verder dient it er op toe te zien dat sleutels en wachtwoorden worden ‘gezouten’ (salted). Wachtwoorden worden doorgaans beschermd door ze te versleutelen met behulp van een eenrichtings-hashfunctie waarvoor een cryptografische sleutel nodig is om ze weer te ontsleutelen. Zouten (salting) voegt willekeurige bits toe aan de hash-functie, waardoor een extra beveiligingslaag ontstaat. Bovendien blijven de wachtwoorden en sleutels die ze beschermen, zelfs als de cryptografische sleutels worden gecompromitteerd, daarmee onbruikbaar. 



2. Opensource-versleuteling met openbare sleutel

Overweeg het gebruik van het open-pgp (pretty good privacy)-protocol voor versleuteling en ontsleuteling die op openbare sleutels gebaseerd is. Open-pgp combineert snelle symmetrische versleuteling om data te beschermen met langzamere asymmetrische versleuteling om sleutels te versleutelen. Dit werkt niet alleen optimale gegevensbeveiliging in de hand, en dat op een hoger niveau van granulariteit, maar het voorkomt ook dat de prestaties worden beïnvloed. Bovendien specificeert open-pgp details zoals de juiste zoutings- en coderingsmodi, en biedt het een coderingsfeedbackmodus die de zwakheden van alternatieve technieken, zoals een elektronisch codeboek, pareert.

Verder mag it de versleuteling van metadata niet verwaarlozen. Als deze informatie in het openbaar wordt verzonden of opgeslagen, kunnen hackers deze gemakkelijk bemachtigen en gebruiken om geavanceerde, gerichte aanvallen uit te voeren.

3. Scheid de paden

"Bestandsgegevens mogen nooit buiten de beveiligingsperimeter van het bedrijf worden verzonden."

Scheiding van de gegevens- en controlepaden is essentieel. Voor de meeste bedrijven wordt het besturingspad voor databeheer- en orkestratiefuncties afgehandeld door een component zoals een operations center, dat moet worden gescheiden van het gegevenspad dat alle functies omvat die worden gebruikt voor opslag in openbare en private-cloud-omgevingen. Door deze paden gescheiden te houden, voorkomt it dat malware in de cloud opgeslagen data kan aantasten.

Als u een private cloud gebruikt, dienen alle bestandsgegevens en metadata van het bestandssysteem te worden gecodeerd en uitsluitend te worden opgeslagen in de objectopslag van de privé-cloud. Het besturingspad kan gebruikmaken van openbare cloudservices om op grote schaal orkestratie- en beheerfuncties aan te bieden, maar het gegevenspad moet volledig binnen de private cloud worden gehouden; bestandsgegevens mogen nooit buiten de beveiligingsperimeter van het bedrijf worden verzonden.

In een hybride situatie, waar on-premises apparaten worden geïmplementeerd om gegevens lokaal in de cache te plaatsen ten einde de prestaties te garanderen, strekt het gegevenspad zich uit buiten de beveiligingsperimeter van het bedrijf. Zolang bestanden en metadata echter correct worden versleuteld en de sleutels en wachtwoorden worden versleuteld en gezouten, zijn de data veilig. 

4. Beveiliging van cloud instances en buckets dubbel controleren

Bedrijven stappen vaker over naar de drie grote aanbieders van publieke-cloudopslag – Amazon Web Services, Google Cloud Platform en Microsoft Azure – en om geldige redenen. Deze entiteiten hebben miljarden geïnvesteerd in hun datacenters om de betrouwbaarheid, beschikbaarheid, beveiliging en prestaties van data te garanderen. Daardoor kunnen bedrijven investeringen en onderhoud terugbrengen terwijl ze altijd up-to-date blijven met betrekking tot relevante updates en nieuwe functionaliteiten.

Dat betekent echter niet dat it eventuele beveiligingsproblemen kan vergeten. Publieke-cloudproviders werken op basis van een gedeeld verantwoordelijkheidsmodel, wat betekent dat ze de algehele infrastructuur beschermen. Individuele klanten zijn echter verantwoordelijk voor het beveiligen van de toegang tot de cloudopslagcontainers en instances, voor het waarborgen van de data die daar is opgeslagen, als ook voor een bescherming tegen het verlies van data. Doublecheck alle configuraties en loop ze regelmatig na om u ervan te verzekeren dat ze in orde zijn.

Ruimte om te groeien

"Veel bedrijven hebben bijna geen opslagruimte meer"

Ongestructureerde data zullen blijven groeien. Het is duidelijk dat traditionele, on-premises network-attached storage (nas) en de infrastructuur van de file server geen gelijke tred houden met de vraag om bestanden wereldwijd op te slaan, te beschermen, te synchroniseren en eraan te kunnen werken. Simpel gezegd, veel bedrijven hebben bijna geen opslagruimte meer. Maar nu organisaties hun infrastructuur voor file-opslag naar de publieke cloud verplaatsen, is het van cruciaal belang dat de beveiliging niet in gevaar komt.

Door de bovenstaande vier punten goed in de gaten te houden bij het plannen en uitvoeren van cloudopslagmigraties, kunnen data veilig en beschermd zijn, is er sprake van goede prestaties en blijven de budgetten beheersbaar. Voor bedrijven betekent dit dat ze de ruimte hebben om kostenefficiënt te groeien en dat ze een nog betere toekomst voor zichzelf in kunnen plannen en nastreven.

(Auteur Jacco Gunsing is regiomanager Nederland en België bij Nasuni.)

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Fijn dat er aandacht is voor de metadata welke natuurlijk niet alleen door hackers misbruikt kan worden want de waarde van deze data wordt veelal onderschat terwijl deze commerciële waarde heeft doordat deze inzicht geeft in hoe de hazen lopen. Wat betreft de paden is de cloud namelijk een pad dat veelal buiten de beveiligingsperimeter van het bedrijf loopt doordat het delen van bestandsgegevens tussen verschillende organisaties het nieuwe normaal is geworden. En ga je buiten de beveiligingsperimeter van het bedrijf dan heb je dus 'pottenkijkers' die misschien niet in de pot zelf kunnen kijken maar ze kunnen veelal wel alle stickers op de pot lezen om zodoende te kijken wie met wie communiceert. De bekende Amerikaanse leveranciers zou je daarom misschien willen vermijden want die zijn dus erg geïnteresseerd in bepaalde samenwerkingen en de reden waarom je bepaalde vesleutelingen niet mag gebruiken als je zaken doet met organisaties in bepaalde landen heeft dan ook alles te maken met spionage. De vraag om bestanden wereldwijd op te slaan, te beschermen, te synchroniseren en eraan te kunnen werken gaat als eerste dan ook om een organisatorische screening. Het hele verhaal van 'geofencing' betreffende de landingsrechten van data geldt namelijk niet alleen voor persoonsgegevens, de 'pottenkijkers' op een buitenlands hoofdkantoor kunnen namelijk weleens schadelijk zijn voor plaatselijke relaties.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-08-16T15:08:00.000Z Jacco Gunsing
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.