Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Security in cloud computing is niet anders

 

Computable Expert

ir. Jan-Paul van Hall
Sales Manager, AMITRON. Expert van Computable voor het topic Security.

Cloud computing is een nieuwe methode (of wellicht: hype) voor het leveren van computer resources aan klanten, maar het is geen nieuwe technologie. Ook de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling.

Cloud computing is geen nieuwe technologie en de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling. Er zij n echter wel productaanpassingen en -ontwikkelingen om een optimale efficiënte bescherming te bieden in deze (virtuele) infrastructuur. De additionele security vraagstukken zijn in principe niet verschillend van de huidige hosting en outsourcing modellen. Ervaring is er dus ook al.

Hoe zit dat eruit?

Er zijn drie functie categorieën in cloud computing:
- Software-as-a-Service (Saas). Voorbeeld: Salesforce.com, Hotmail en Google Docs.
- Platform-as-a-Service (PaaS). Voorbeelden: Microsoft Azure, Force en Google App engine.
- Infrastructuur-as-a-Service. Voorbeelden Amazon EC2 en S3, Terremark Enterprise Cloud en Windows Live Skydrive.

Clouds kunnen daarnaast ook fysiek verdeeld worden in public, private of hybride cloud en een paar afgeleide zoals community of shared cloud.

Zoals gesuggereerd zijn de functionele security controles in cloud computing voor het grootste gedeelte niet anders dan de controles in elke it-omgeving. We vinden ‘gewoon' nog steeds de Firewall (traditioneel en voor virtualisatie), IPS of Patch Management (traditioneel en voor virtualisatie), Antimalware (voor virtualisatie), netwerk segmentatie, 2-factor authenticatie, Identity and Access Management, data encryptie (binnen de guest in een virtuele omgeving) en vulnerability testing of scanning. Er is wel een accentverschuiving te zien naar Identity and Acces Management en data integriteit.

Door het gebruik van cloud service modellen, creëren de operationele activiteiten met technologieën die hieraan onderliggend zijn, andere risico's voor een organisatie dan binnen traditionele it-netwerk omgevingen. Cloud computing is voor de afnemer het uit handen geven van directe controle maar niet van de aansprakelijkheid, ook al vervalt de operationele verantwoordelijkheid naar een derde partij.

Het verschil tussen de operationele en uiteindelijke verantwoordelijkheid zal men willen oplossen door het sluiten van waterdichte security sla's en de aanwezige en beschreven security controles. De controle op de geleverde security, vastgelegd in deze sla's, zal door middel van externe en interne audits uitgevoerd worden.

De houding van zowel een cloud provider en de klant word gekarakteriseerd door de volwassenheid, effectiviteit en compleetheid van de geïmplementeerde security controles. Deze controles zijn geïmplementeerd in meerdere lagen: van de fysieke security naar netwerk en it-systemen. Daarnaast zijn er controles nodig op gebied van organisatie, personeel en processen, zoals het scheiden van functie- en changemanagement. De security verantwoordelijkheden van de provider en klant verschillen tussen de verschillende service modellen.

In IaaS modellen kunnen de providers alleen de fysieke security en virtualisatie security managen. De (operationele) security van de besturingssystemen, applicaties en data is aan de klant zelf.

Bij een SaaS model zal de provider echter ook de verantwoordelijkheid moeten dragen van security management op de infrastructuur, de applicaties en data. De klant zal hierbij minder operationele verantwoordelijkheid dragen.

Afhankelijk van de huidige stand van zaken van het niveau van de security van de klant en de keuze van het cloud-model kan de efficiëntie van de totale security op het gebied van controles verbeteren. Deze verbetering is een serieuze opmerking omdat er bij veel organisaties nog wel wat aan schort en de provider snel een schaalbaarheidsvoordeel heeft, waardoor sommige exotischer beveiligingstooling wellicht toegankelijk wordt. De klant hoeft zich voornamelijk bezig te houden met controle op de nageleefde 'Security'' Level Agreements.

We zien op dit gebied een toename in vragen rond de tool vulnerability scanning als een audit/compliance tool. Een toename ten opzichte van de huidige vraag rond hosting en outsourcing situaties.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/3816045). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Als client heb je geen controle over de onderliggende hardware en hypervisor.

Je bent wel aansprakelijk.

Een virtuele infrastructuur, service of applicatie is zo veilig als de hardware en hypervisor waar op of onder deze draait.

Daar zou ik wel rekening mee houden als het gaat om risicobeoordeling en mitigatie.

De term “Cloud” in het algemeen is te breed om één passende security oplossing voor te bieden. Het is belangrijker te kijken naar welke vorm van cloud er gebruikt wordt, en hier een passende oplossing voor verzinnen. Bij hosted services als e-mail en dergelijke is het niet zozeer meer noodzakelijk om de e-mail server zelf te beveiligen, maar de mail al bij binnenkomst van het netwerk te scannen.

Als er gebruik gemaakt wordt van hosted servers (virtueel), dan hebben deze hetzelfde soort beveiliging nodig als de traditionele server (Afgezien van de ontwikkelingen op het gebied van Hypervisors). Het enige verschil is dan vaak dat je de beveiliging door middel van een SLA uitbesteed aan iemand anders. Het voordeel hiervan is dat het de verantwoordelijkheid is van iemand in de cloud. Het nadeel is dat het de verantwoordelijkheid is van iemand in de cloud. En gelijk daar zit het grootste security / privacy risico. Want waar IS die data, en wie kan daarbij? In mijn blog http://spicynienke.blogspot.com is dat de centrale vraag.

Zoals er veel cloud definities zijn, zijn er ook veel security definities. Het artikel rept bijvoorbeeld niet over beschikbaarheid en continuiteit van dienstverlening. Het kan lijken dat cloud (welke versie?) potentieel meer continuiteit biedt dan andere oplossingen, maar welke zekerheid kan worden afgesproken? Als tijd van afname, schaalbaarheid en fysieke lokatie varieren, is zekerheid over continuiteit een mogelijk issue en daadwerkelijk anders dan in de traditionele omgevingen.
Een ander security issue waaraan het artikel voorbij gaat en wezenlijk verschil maakt, heeft te maken met de verschillende wetgevingen in de verschillende landen/continenten. Patriot act, Safe harbour overeenkomsten, Privacywetgeving etc. leggen extra nadruk op een weloverwogen (mede op basis van risicoafweging) keus voor scope, provider en landen/continenten. Tot slot: security heeft ook te maken met gedrag en attitude (zo u wilt: normen en waarden. Juist deze aspecten zijn lastig kwantificeerbaar en moeilijk in SLA's vast te leggen, zeker als cultuuraspecten een rol gaan spelen. Security experts weten dat dit een boeiend onderdeeel van security is!

Hoewel de beveiligingsmaatregelen binnen cloud computing voor een heel groot deel overeen zullen komen met binnen het eigen bedrijf te treffen beveiligingsmaatregelen, zie ik op het gebied van cloud computing wel degelijk grote verschillen. Het belangrijkste verschil is dat je binnen een interne bedrijfsomgeving veelal niet of nauwelijks rekening hoeft te houden met de scheiding van klantdomeinen. Het feit dat binnen het bedrijf de toegang tot systemen reeds op verbindingsniveau is beperkt tot de eigen medewerkers, beperkt de impact van een mogelijke kwetsbaarheid. Deze kwetsbaarheid zal er immers nooit zomaar toe leiden dat een concurrent die toevallig de zelfde infrastructuur, servers of applicaties gebruikt via een paar foefjes bij jouw klantenbestand kan.
Ik test regelmatig Saas en Paas omgevingen. Dat je bij dergelijke tests op basis van eenvoudige gebruikersrechten toegang krijgt tot vele gigabytes aan data van derden waaronder soms miljoenen persoonsgegevens is hierbij geen uitzondering. Om deze reden adviseer ik klanten altijd eerst hun data zorgvuldig te classificeren en de gevoeligheid van de data mee te nemen in het besluit een hostingdienst bij derden af te nemen. Het zijn immers niet alleen kwetsbaarheden en maatregelen die bij beveiliging een rol spelen, maar ook de bedreigingen en de waarde van de te beschermen data. En volgens mij heb je daar meteen een belangrijk verschil te pakken dat beveiliging in de cloud wel degelijk anders maakt.

Feitelijk is dit verhaal net zo virtueel als de technologie waar het over gaat. Het eindigt namelijk waar het zou moeten beginnen. De cruciale vraag is: wat kan ik als eigenaar van in de cloud opgenomen gegevens eigenlijk controleren? Anders gezegd: bij wie kan een auditor namens mij aankloppen om zijn "controle ding" te doen? Eens met de stelling dat we de onderliggende materie allemaal al wel eens gezien hebben, dat is inderdaad niet zo spannend. Was het al niet maar het kan geen kwaad cloud een beetje te "onthypen". Wat zeer kan doen in dit verhaal is de suggestie dat het wel mee zal vallen met het security vraagstuk. Voorlopig lijkt dat nog een paar bruggen te ver omdat het cloud concept aanbieders de kans geeft zich achter allerlei constructies te verschuilen. Constructies die de afnemers misschien, in hun haast aan te sluiten bij de hype, of de noodzaak een kostenreductie te realiseren, even over het hoofd zien.

Compliant zijn met wet- en regelgeving betekent dat je aantoonbare beveiliging hebt ingericht. Weten dat de beveiliging goed is geregeld is dus niet voldoende. Heeft de klant met de cloud-provider voldoende afspraken gemaakt over logging, rapportages en kwetsbaarheden- en penetratietesten? Met name de PCI DSS (credit-card transacties en opslag) is hier erg strikt in en verwacht uitgebreide rapportages die aantonen dat de beveiliging goed is ingeregeld. Daarnaast is het voor zowel de Wet Bescherming Persoonsgegevens als voor PCI DSS van belang dat informatie na de houdbaarheidsdatum adekwaat is verwijderd. De cloud-provider zal dus ook hier het bewijs moeten leveren.

Security en cloud is een mooie discussie. Vanuit de security officer worden er vaak zeer terechte vragen gesteld rondom waar staat mijn data, is er ook een iso certificering, audit mogelijkheden, failover scenario's etc.

Nu wat wij in de praktijk zien gebeuren is dat helaas soms de security officer ook voor een voldongen feit staat, omdat management na een bezoek aan bijvoorbeeld Microsoft of Google en de druk van deze bedrijven zich voor het mooie aanbod van kostenbesparing besluit naar de Cloud te gaan voor een aantal diensten en de security officer dit ook niet tegenhoud.

Vaak worden dan uitgebreide rekenmodellen als bewijs materiaal door deze bedrijven opgevoerd, maar dat wellicht de bandbreedte omhoog moet, de gehele netwerk en security infrastructuur moet worden aangepast zie je niet terug in deze rekenmodellen. Uiteindelijk heeft de security officer dan alsnog de kans en ruimte dit op een gedegen manier in te richten en nog beter dan voorheen, blijft het punt rondom hoe er met de data wordt omgesprongen en welke garanties dan wel SLA's men hierop kan afsluiten. bij het gebruik van deze Cloud diensten.

Echter zolang nog heel veel bedrijven bijvoorbeeld het wel toestaan om emails met bijlagens door te sturen naar de "Cloud" zoals gmail, hotmail omdat het zo makkelijk is hun email ook op deze manier thuis te lezen of op vakantie en akkoord wordt gegaan met de hierbij geleverde gratis "consumenten security" dient in mijn optiek de discussie rondom Security, hoe dit wordt toegepast, vertaling beleid naar oplossing maar ook de awareness binnen de bedrijven nog steeds veel belangrijker te zijn en ja daar hoort nu zeker ook een visie, strategie en bewuste keuzes nemen bij af te nemen Cloud diensten. Blijft leuk voor ons IT's en security specialisten!

Bits blijven bits, code blijft code, data blijft data... op welk platform je zo ook loslaat of opslaat..simpel!

Dus geloof niet in domme verkoop-praatjes en blijf je eigen nuchtere verstand gebruiken en blijf lekker met je voeten in de realiteit staan.

Het beveiligen van de Cloud heeft inderdaad dezelfde prioriteit als het beveiligen van het huidige applicatielandschap. Er zit inderdaad een risico dat je zelf niet de volledige controle hebt over je gegevens en applicaties. Maar daarentegen hebben Cloud providers meestal meer en betere security maatregelen genomen dan menig bedrijf zelf.

Bij het controleren van de security van de Cloud is het vooral van belang dat op alle 3 de lagen wordt gecontroleerd. Wanneer er iets mis is op de IaaS laag heeft dat direct effect op de PaaS en SaaS lagen. Ook omdat alle 3 de lagen een andere provider kunnen hebben. Let hierbij om met het testen van de Cloud!

Het werken in “the cloud” kan veilig of onveilig zijn. Net als bij alle ontwikkelingen moet niet geredeneerd worden vanuit de beveiligingsmaatregelen maar vanuit de operationele risico’s. Kijken we naar de bekende onderdelen van informatiebeveiliging dan zullen we zien dat in veel gevallen de beschikbaarheid toe zal nemen, dat er met name twijfel zal zijn bij de exclusiviteit en dat de integriteit geen probleem hoeft te zijn als er duidelijke afspraken worden gemaakt. Kortom: met de juiste risico analyse en beheersingsmaatregelen kan “the cloud” enorme voordelen opleveren maar je bent wel afhankelijk van de volwassenheid van de leverancier.

Waar moet je over nadenken en op letten bij in de Cloud werken? Een cloudprovider biedt zijn diensten aan voor verschillende gebruikers, wat betekent dat zijn netwerk publiek is. Natuurlijk heeft deze een aantal basisbeveiligingen opgesteld, maar deze zijn voornamelijk bedoeld om de ‘bad guys’ buiten te houden. Meestal zijn er weinig of geen maatregelen getroffen om verkeer binnen het datacenter en zeker al niet binnen de gevirtualiseerde hosts te controleren.

Naast encryptie is authenticatie van de server naar de data toe onontbeerlijk. Enkel jouw servers mogen toegang krijgen tot jouw vertrouwelijke geëncrypte data. In de cloud wordt de gevirtualiseerde server slechts waargenomen als een ‘bestand’, en dit is relatief eenvoudig te kopiëren. Op het moment dat men toegang zoekt tot de data moet de integriteit van jouw server dan ook verzekerd zijn.

Het sleutelbeheer rond de encryptie van je data en de integriteit van je servers, kan je beter onder eigen beheer houden. Zo blijf je op elk ogenblik volledig onafhankelijk van je cloudprovider en behoud je de controle. Verander je van cloudprovider, dan vernietig je gewoon de sleutels. Daardoor kunnen de servers niet langer bij de geëncrypte data. Daarnaast is het essentieel om met je cloudprovider concrete afspraken op papier te zetten. Je wil er tenslotte voor zorgen dat zowel de servers als de data bij je provider vernietigd worden.

Je ziet, met de juiste maatregelen kan je toch volop en veilig gebruikmaken van de vele voordelen van de cloud. Net alsof de servers en data in je eigen datacenter zouden staan. Als je rekening houdt met bovenstaande elementen kan je veilig op wolken lopen.

Security in de cloud is wel degelijk verschillend van on-premise security. De grootste verschillen bestaan bij SAAS. Al eerder genoemd is het probleem van multi-tenancy: meer klanten die gebruik maken van dezelfde databases en waarbij rijen van verschillende klanten misschien in dezelfde tabellen staan. De kans dat de ene klant gegevens van de andere kan zien, is niet ondenkbaar. Ook privacy kan een probleem zijn: welke gegevens zijn zichtbaar voor de beheerder van de SAAS-oplossing?
Wie is eigenaar van de gegevens? Daar moeten expliciet afspraken over gemaakt worden.
Hoe worden backups gemaakt en zitten gegeven van verschillende klanten in dezelfde backup?

Security in de public cloud verschilt essentieel van traditionele security, ook als je hosting en outsourcing meeneemt. Bij de private cloud valt het nog wel mee, maar hetzelfde kan gezegd worden van de voordelen van cloud computing. Veel van de traditionele beveiligingsmaatregelen kom je tegen in een public cloud oplossing, maar de organisatie is essentieel anders.

Bij een public cloud staat er bij de service provider 'ergens' een grote omgeving die je deelt met vele anderen. Je hebt de voorwaarden van de leverancier maar te slikken, een waterdichte security SLA zit er zeker niet in. Bij gewone outsourcing kun je op deze aspecten nog invloed uitoefenen. Audits zul je als klant niet kunnen eisen, Salesforce, Microsoft of Google zien je al aankomen! Hier zijn hele nieuwe controlemodellen nodig. Wetten zijn ook nog helemaal niet ingespeeld op clouddiensten. Er zijn eisen aan de geografische locatie van data, en providers worstelen met modellen om hun klanten daarmee van dienst te zijn.

Bij een public cloud is een traditionele inrichting van identity and access management niet mogelijk. Of je moet per cloud meer nieuwe identiteiten maken en beheren, met alle ellende die daarbij hoort, of je gaat werken met federated identity management.

Als het allemaal oude wijn in nieuwe zakken was, dan was er geen Cloud Security Alliance nodig om hierover na te denken. Gelukkig is die er wel en is er ook onlangs een Nederlandse afdeling opgezet.

Een interessante en levendige discussie.
Eens met de auteur dat risico analyse, transparantie van maatregelen, audit en toezicht en contracten geen nieuwe maatregelen zijn.
Toch zijn deze maatregelen in een cloud omgeving niet altijd op de "klassieke" wijze toe te passen. Immers het kan zo zijn dat services in de cloud ook weer zelf gebruik maken van cloud services. Een nauwelijks aan te spreken kluwen; even onontwarbaar als het WWW zelf. Dat kun je niet altijd afdoen met een extra opdracht voor de auditor of exra richtlijnen voor de contractbeheerder van de service levels.

Security of breder "Trusted services" "from" de cloud zullen nodig zijn. Federatieve afspraken van aanbieders van dergelijke services. Een schema of stelsel waar partijen zich aan verplichten. Vandaar uit kunnen deze cloud services op een betrouwbare wijze geleverd worden. Services op het gebied van Identiteit, Authenticatie, Archivering, ondertekening, veilige aflevering van documenten, tijdstempelen, en meer.
De rol van Trustschema's en de TTP zullen mijninziens toenemen in deze cloudwereld.
Voorbeelden worden gezet door de financiele wereld. Denk aan de betrouwbare "wolk" waarin we pintransacties uitvoeren of europees betalingsverkeer.

Persoonlijk denk ik dat de cloud de verantwoordelijkheid voor beveiliging van de IT afdeling meer naar de eindgebruiker zal verschuiven. Cloud diensten zullen eindgebruikers steeds meer flexibiliteit bieden, zoals self-management van accounts end. De IT afdeling zal minder invloed krijgen over de beveiliging van diensten in de cloud, waardoor een organisatie steeds meer afhankelijker wordt van het gezonde verstand van de eindgebruiker.

Even voor de duidelijkheid: In een cloud omgeving pas je dezelfde SOORT security oplossingen toe, maar dat doe je wel met ANDERE software dan in een traditionele fysieke omgeving.

Mijn vrees is dat de minder gespecialiseerde lezers van dit artikel de verkeerde conclusies te trekken. Zo kan bijvoorbeeld gedacht worden dat een virtuele desktop met dezelfde virusscanner beveiligd kan worden als een fysieke desktop. Dat is in theorie ook waar, maar dat zal wel ten koste gaan van de performance en beheergemak van je complete omgeving. Op het gebied van antimalware zijn oplossingen beschikbaar die gericht zijn op virtuele systemen en die zijn veel geschikter voor een cloud-based omgeving.

De auteur schrijft dit alles precies goed op, ik wilde alleen nog even een korte en duidelijke samenvatting toevoegen om misverstanden te voorkomen.

Fexibele virtualisatie omgevingen – ik neem aan dat dit met een cloud bedoeld wordt – zijn wat mij betreft de toekomst in IT.

Ik heb op het gebied van beveiliging echter wel bedenkingen met cloud services bij providers, en die zijn in zekere zin een versterking van de risico’s die een bedrijf neemt met hosting providers en een gedeelde infrastructuur (in welke vorm dan ook).

Een cloud is een operationeel geoptimaliseerde infrastructuur, die gedeeld wordt tussen klanten van een provider. Er is als zodanig geen sprake van security by design, hooguit van security add-ons om risico’s te verkleinen. Kleine en makkelijk te maken fouten in het achterliggende beheer door de provider kunnen grote gevolgen hebben voor de klant: firewalls komen en gaan met een muis-klik, disk-images verschijnen via een vinkje ineens in een server van een andere klant, virtuele servers kunnen per ongeluk op andere netwerk zichtbaar worden. Alle ‘waterdichte’ SLA’s ten spijt. En wat heb je aan een SLA als de schade als is gedaan.

Een organisatie die zijn eigen security serieus neemt, of moet nemen, zoals de overheid of banken, kunnen uiteindelijk niet vertrouwen op een gedeelde cloud infrastructuur bij een provider. Het kost iets meer, maar een gehoste (echte) private cloud, met goede eigen onderliggende netwerk infra kan in mijn ogen wel. Mits inderdaad alle in het artikel genoemde zaken goed geregeld worden – inclusief die SLA.

Er zijn wel degelijk bijzondere security aspecten aan cloud computing. Zo brengt cloud computing nieuwe veiligheidsrisico’s met zich mee, waaronder mogelijke aanvallen van gedeelde technologieën in cloud-omgevingen en het in gevaar brengen van de compartimentering van de verwerkingen en gegevens van klanten. De risico’s die verbonden zijn aan cloud computing zijn natuurlijk ook afhankelijk van factoren als het type bedrijf, de aard van het computerwerk dat wordt uitbesteed (gegevens, software, platform of infrastructuur) en de gekozen serviceprovider. Toch komen zaken als geografische locatie van opslag van gegevens, gegevensbescherming, naleving van regelgeving voor gegevens, de toegankelijkheid tot de gegevens en gegevensherstel als cruciale punten naar voren. Sommige cloudproviders besteden aspecten van hun beveiligingsverantwoordelijkheden uit aan derden, ook wanneer er geen zekerheid is dat de gegevens en verwerkingen van het bedrijf op de juiste manier worden veiliggesteld. Daarnaast kan ook het permanent en gecertificeerd verwijderen van data in de cloud een technisch moeilijke opgave zijn. Maar denk ook aan availability, in een Multi-tenancy omgeving (IT-middelen gedeeld over verschillende afnemers) is data recovery veel gecompliceerder en daar dient toch echt goed over nagedacht te worden.

Bij het beveiligen van cloud diensten is het even belangrijk om aanvallen van buiten het rekencentrum waar de servers staan te beveiligen evenals vanuit de binnenkant. Ook zul je er voor dienen te zorgen dat indien er meerdere klanten worden gehost op een server dat deze niet bij elkaar kunnen kijken. Ofwel zorgdragen dat virtuele servers in een goed gescheiden netwerk zitten met eventuele firewalls.
Ook voor de klant is het van belang dat er een goed rapport wordt opgeleverd van de testen die gedaan zijn en sluitende SLA’s. Tevens is het wijs zijn om zelf een geaccrediteerd bedrijf in de arm te nemen om de cloud services te testen op beveiliging en toegankelijkheid.

Het artikel gaat voorbij aan een groot probleem van de cloud: vertrouwen. Zolang er geen ‘wereld-body’ is dat toetsingen verricht en certificaten uitgeeft voor clouddiensten, is het moeilijk om een leverancier te vertrouwen. Zelfs als het bedrijf de beste bedoelingen heeft, kunnen er fouten gemaakt worden of onveilige procedures in werking zijn. En het risico van ontevreden werknemers die data lekken uit wraak neemt toe, aangezien er nu meerdere bedrijven toegang hebben tot de data die veilig moeten blijven. Een ander probleem is de authenticatie. Aangezien het product zich in the cloud bevindt, moet het ijzersterk beveiligd worden tegen ‘man in the middle attacks’, die sterk in opkomst zijn.

Werken in een Cloud-gebaseerd netwerk omgeving creëert veel meer mogelijkheden voor data-infectie of diefstal dan de traditionele IT-netwerken. Beveiligingsmaatregelen moeten daar wel degelijk op aangepast worden. Data die is opgeslagen in de Cloud vereist tevens een heel andere beveiligingsaanpak dan data die heen en weer gestuurd wordt tussen een beveiligd intern netwerk en bijvoorbeeld een mobiele werknemer. Het eerste volstaat met een ‘lock and key’ manier, in de tweede situatie komt er bijvoorbeeld applicatie beheer, encryptie, SSL inspectie, data leakage beveiliging en antivirus bij kijken. Wat bedrijven zich ook moeten realiseren, is dat data die opgeslagen wordt in de Cloud, over het algemeen wel goed beveiligd wordt tegen diefstal, maar wel degelijk al geïnfecteerd kan zijn. Op deze manier kan data die een tijdje opgeslagen was, bij gebruik een veilig intern netwerk besmetten. Conclusie: de Cloud maakt een nieuwe manier van werken mogelijk, dit vereist dus ook een nieuwe manier van omgaan met data én beveiliging.

Providers die een Cloud Dienst bieden aan vele eindgebruikers werken als een magneet voor criminelen die toegang willen hebben tot de data van deze eindgebruikers. Vaak zie je dan ook wie de eindgebruikers zijn die gebruik maken van een dergelijke Cloud Dienst, want ongetwijfeld lezen criminelen ook berichten in de pers en marketing uitlatingen van diverse providers die een dergelijke dienst bieden. Met deze informatie kan er mogelijk ingeschat worden om hoeveel eindgebruikers het gaat en wat het potentieel mogelijk zou kunnen opleveren.
Want ondanks alle lagen van beveiliging zijn er diverse methoden die criminelen inzetten om hun doel te bereiken; als voorbeeld is het voor een criminele organisatie eenvoudig om een zgn ‘uitzendbureau’ op te zetten waarbij er hoog opgeleid personeel wordt aangeboden tegen een lage prijs – de vraag is dan wat voor personeel een provider dan binnen haalt.

Het is onmogelijk dat traditionele netwerk security de complete inter-virtuele communicatie beveiligd, omdat je hiervoor vaak op je ‘eigen’ stukje Cloud zit.

Gelukkig bestaan er ondertussen virtuele oplossingen die een sterke user-based en application-based security kunnen bieden, waarbij je de in het pre-Cloud tijdperk gehanteerde werkwijze gewoon kan aanhouden. Dit bespaart je het aanleren van een nieuwe manier van werken en de bijbehorende kopzorgen. Security vendors doen er goed aan om hierover mee te denken. Daarnaast bieden Cloud oplossingen, zoals virtuele UTM’s met gevirtualiseerde DMZ zones zeker een meerwaarde in de dagelijkse beveiliging.

Ook security experts moeten evolueren in hun denken en implementeren, maar bottom-line blijft in elke situatie van belang dat je je gezond verstand moet gebruiken. Dit zal nooit veranderen, welke platformen, media of applicaties er in de toekomst ook op ons afkomen.

In 23 bovenstaande reacties kom ik 3 aspecten nauwelijks tegen:

- Veel Cloudservices zullen worden aangeschaft door afdelingsmanagers uit de businesskant, met een beperkt IT & Security bewustzijn. Die maken 15 gebruikers en hebben vervolgens minder oog voor de uit dienst procedures.
- Bij het afnemen van Clouddiensten moet je eisen dat loggegevens naar jou worden gestuurd. Anders kun je eea nooit aan je eigen logmonitoring hangen. De Cloud alliance en andere branche initiatieven van cloud aanbieders verplichten leden dit al te doen.
- Er zijn veel kleine Saas aanbieders die grote financiele uitdagingen hebben. De beveiliging moet eerst gekocht worden en de (langzaam toestromende) klanten betalen per maand. Vaak zijn de tarieven ook erg scherp.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×