DE REALITEIT VAN CLOUD SECURITY De beveiliging van cloud computing in perspectief
Introductie Cloud computing groeit onverstoorbaar door maar zorgen rondom security blijven zeer actueel. Is de cloud wel veilig genoeg voor mijn data? Biedt een omgeving in eigen beheer niet meer zekerheden? In deze whitepaper analyseren we de feiten en (voor)oordelen rondom beveiligingsaspecten van cloud computing.
DE REALITEIT VAN CLOUD SECURITY De afgelopen decennia zagen we een beweging van ICT binnen het kantoorpand, naar externe datacenters en vandaag de dag naar cloud services. De overstap van het kantoorpand naar externe datacenters verloopt vaak zonder al teveel vragen rondom beveiliging. Maar de overstap naar de cloud daarentegen geeft veel (ICT)managers een oncomfortabel gevoel. In deze whitepaper plaatsen we de beveiliging van cloud computing in perspectief door de (voor)oordelen van overgang naar de cloud te vergelijken met on-premises oplossingen in eigen beheer. Maar eerst gaan we in op de diverse security aspecten in relatie tot de cloud.
Security
Vanuit security wordt er altijd gekeken naar de informatie: is beschikbaarheid, integriteit en vertrouwelijkheid geborgd? Beschouw je beschikbaarheid door de tijd, dan was informatie vroeger op een enkelvoudig systeem opgeslagen op vaak nog onbetrouwbare opslagmedia. Met goede maatregelen is beschikbaarheid tegenwoordig geen issue meer. Vaak is het zo dat on-premises oplossingen uitval van een enkel apparaat wel kunnen opvangen. Binnen een fatsoenlijke cloud oplossing worden gegevens en systemen redundant en verspreid over meerdere fysieke locaties opgeslagen, waarbij zelfs de uitval van een compleet datacenter kan worden ondervangen.
Het tweede aspect is integriteit. Is de informatie juist en actueel? In de opslag en transport van data zijn dermate veel controles aanwezig dat hier weinig meer fout kan gaan. Kijkend naar de cloud, dan is er op dit vlak een extra uitdaging. De cloud communiceert online en er kan mogelijk worden gemanipuleerd of afgeluisterd. Bijvoorbeeld via een man-in-the-middle aanval, waarbij een hacker gebruikers- en serververkeer afluistert. Om deze reden moet encryptie, afhankelijk van het soort data, weloverwogen worden bij com-
municatie van en naar de cloud.
En dan speelt nog het aspect van de vertrouwelijkheid van informatie. Wie kan er wel of niet bij de gegevens. Vroeger was dit puur een fysiek vraagstuk. Kon je het gebouw niet in, dan kon je niet bij de informatie. Het vraagstuk van de fysieke locatie van informatie blijft. Servers die op kantoor ergens in een serverruimte staan of in een extern datacenter vonden we veilig. De beheerder kon jouw server met jouw data aanwijzen, welke vervolgens weer achter slot en grendel stond. In de cloud kan data fysiek gezien overal staan. Uiteraard wel in een beschermd datacenter, maar toch ervaren we het als minder veilig.
Het gevoel van onveiligheid in de cloud zit hem in dit laatste aspect van security: waar staat mijn data en wie kan er bij.
DE ZORG RONDOM HACKERS IS TERECHT
(Voor)oordelen over security in de cloud
In dit hoofdstuk vergelijken we de diverse (voor)oordelen die leven rondom de cloud ten opzichte van een on-premise infrastructuur: een lokaal datacenter in een eigen bedrijfspand. We doen dit aan de hand van de cloud diensten van Amazon Web Services (AWS), de cloud marktleider op dit moment.
De cloud is onveilig, want de locatie van mijn gegevens is onbekend Niet waar. Tegenwoordig wordt vaak gebruik gemaakt van virtualisatie technieken, waardoor het enige moeite kost om het exacte fysieke apparaat aan te wijzen waarop de gegevens staan opgeslagen. Dat geldt zowel voor on-premises oplossingen als in de cloud. Wel is het bijna altijd mogelijk om bij een cloud provider aan te geven in welk datacenter gegevens moeten worden opgeslagen. Daarmee is de fysieke locatie van gegevens net zo duidelijk als bij een on-premises oplossing. Zo hanteert AWS regio’s met daarbinnen Availability Zones (AZ’s) die elkaar kunnen opvangen. Dat betekent dat als één AZ wegvalt, de andere AZ de continuïteit borgt. De Europese AZ van AWS staat in Ierland. Daarnaast heeft AWS ook AZ’s op andere continenten, zoals de USA, Azië en Zuid-Amerika.
Door de juiste AZ te kiezen is het mogelijk te sturen op waar gegevens staan en daarmee controle te krijgen over de locatie van data.
De cloud is onveiliger, want de USA kan mijn gegevens opvragen Gedeeltelijk waar. Vanwege 9/11 heeft de USA de bevoegdheden van de opsporingsinstanties sterk vergroot. Zo is er de Patriot Act, die de mogelijkheid geeft gegevens op te vragen. Sindsdien leeft de bezorgdheid dat de USA te pas en te onpas gegevens kan opvragen. De vraag is of dit nieuw is. Als er voldoende reden toe is, kunnen opsporingsorganisaties altijd het verzoek doen om gegevensoverdracht. En dan maakt het niet uit waar gegevens zijn opgeslagen: on-premises of in de cloud. Kanttekening hierbij is dat de Patriot Act het makkelijker maakt om gegevens op te vragen, omdat de meeste hostingbedrijven op een of andere manier wel onder de jurisdictie vallen van de USA en daarom ook onder de Patriot Act. Een veelgehoord probleem met de Patriot Act is dat (cloud) providers gegevens moeten overdragen aan de NSA zonder dat te laten weten aan hun klanten. Om op de hoogte te blijven wat er met gegevens gebeurt, is het toepassen van encryptie bij opslag van gevoelige gegevens verstandig. Daarbij moet het beheer van de encryptiesleutels niet bij de cloud provider worden belegd, aangezien opsporingsinstanties deze sleutels kunnen opvragen. Dit moet door de klant zelf worden uitgevoerd.
De cloud is onveiliger, want gegevens worden op Internet onderschept Gedeeltelijk waar. Internet is een openbaar medium. In theorie zijn gegevens die over
publieke netwerken worden verstuurd af te luisteren. Om dat tegen te gaan wordt encryptie gebruikt. Mits goed geïmplementeerd wordt afluisteren daarmee lastig tot onmogelijk. Toch lijkt het erop dat geheime diensten als NSA of GCHQ tegenwoordig encrypted verkeer mee kunnen lezen. Dat is een zorgelijk punt voor partijen die de geheime diensten niet (kunnen of willen) vertrouwen. De oplossing tegen afluisteren is via een risicoanalyse te bepalen wat de impact is als een (buitenlandse) regering, een concurrent of hackersgroep meeleest. Indien dit een serieus risico is voor de bedrijfsvoering, dan moet overwogen worden die data intern te houden en is te hopen dat personeel deze gegevens niet lekt via e-mail of plaatst in cloud services als Dropbox. Het gebruik van encryptie (uiteraard met afdoende sleutellengte en betrouwbare protocollen) is in ieder geval essentieel als gevoelige gegevens (zoals persoonsgegevens of beheerverkeer) over publieke infrastructuren worden verstuurd.
De cloud is onveiliger, want hackers kunnen inbreken op de cloud Gedeeltelijk waar. Bij hackers is onderscheid te maken in goedwillende hackers, kwaadwillende hackers en scriptkiddies. De goedwillende hackers zullen een gevonden lek melden en pogen daarmee de veiligheid op internet te verbeteren. De scriptkiddies hanteren bekende hack tools en kunnen worden tegengehouden door goede security implementatie en regelmatige controles. De kwaadwillende hackers daarentegen zijn lastig te stoppen, zeker als ze voor een overheid werken. Daarnaast is het goed om onderscheid te maken tussen het hacken van infrastructuur (zoals netwerkapparatuur of operating systems) en
het hacken van applicaties. In principe kunnen hostingpartijen bescherming bieden op het niveau van infrastructuur, maar is de klant of de beheerpartij verantwoordelijk voor de beveiliging van applicaties. Denk hierbij aan het veilig programmeren conform OWASP top-10 richtlijnen. Dit geldt voor alle online applicaties, of ze nu op on-premises infrastructuur staan of in de cloud. De zorg rondom hackers is terecht. Maar: alle systemen die via openbare netwerken zijn verbonden, zijn voor hun aanvallen gevoelig.
De cloud is onveiliger, want beheerders kunnen bij mijn data Niet waar. Overal waar ICT wordt beheerd, kunnen beheerders bij de beheerde data. En dan maakt het niet uit of het eigen personeelsleden of externe beheerders zijn. Wel heeft u zelf controle over eigen personeel. Daar staat tegenover dat beheerders van externe partijen gescreend (zouden moeten) zijn. Ook is het mogelijk encryptie toe te passen om het meelezen van beheerders tegen te gaan. Vaak zijn externe hostingpartijen en cloud-providers ook gecertificeerd, waardoor een externe partij toezicht houdt op screening, fysieke beveiliging en dergelijke. Deze certificeringen zijn voor (grote) hostingpartijen vaak eenvoudiger te behalen en te handhaven dan de eigen interne ICT afdeling. AWS datacenters zijn veelal ISAE3402 (SAS70), PCI-DSS én ISO-27001 gecertificeerd.
De cloud is onveiliger, want ik loop meer juridische risico’s Mogelijk waar. Althans, als u niet de juiste afspraken maakt met uw cloud provider. Veel
cloud-providers bieden wel degelijk een keuze waar data mag worden opgeslagen. En deze locatie kan bepalend zijn voor de wetgeving die te maken heeft met bijvoorbeeld het opvragen van data. Gegevens die onder de jurisprudentie van de USA vallen, zullen onder de Patriot Act makkelijker opvraagbaar zijn dan gegevens van een Nederlands bedrijf zonder banden met de USA. Andersom kunnen lokale wetten ook verplichtingen opleggen, zoals de bescherming van persoonsgegevens (Wbp). De Wbp verplicht Nederlandse bedrijven die iets doen met persoonsgegevens om deze gegevens adequaat te beveiligen. Dat betekent dat gegevens niet zomaar overal opgeslagen kunnen worden. Denk ook aan de betrouwbaarheid van de te kiezen hostingprovider: weet wat er gebeurt met uw gegevens als de hosting provider onverhoopt failliet gaat (met name van toepassing bij kleinere hostingpartijen).
Voor persoonsgegevens die worden opgeslagen buiten Europa moet bijvoorbeeld rekening worden gehouden met een Safe Harbour verklaring voor persoonsgegevens. AWS bijvoorbeeld is in het bezit van zo’n Safe Harbour verklaring.
De cloud is onveiliger, want ik loop DDoS risico’s. Niet waar. Een Denial of Service (DoS) aanval is een aanval die een computersysteem overlaadt met informatie of het zo zwaar belast dat het niet meer normaal te gebruiken is. Een Distributed Denial of Service (DDoS) aanval komt ook nog eens van vele kanten, zodat het moeilijker is deze tegen te houden. Dit risico bestaat wanneer uw ICT infrastructuur gekoppeld is via internet. Dat geldt niet specifiek voor de cloud, maar ook voor eigen
infrastructuur binnen een extern datacenters. Grote cloud providers hebben een infrastructuur die is opgebouwd uit meerdere zones, (beschikbaarheids)regio’s en vele eindpunten (edges). Daarmee zijn triviale DoS aanvallen tegen te gaan, gewoonweg vanwege de beschikbare gedistribueerde capaciteit van de infrastructuur. Daarnaast bieden veel cloud hosting providers specifieke DDoS bescherming services. Dat maakt het risico op DDoS aanvallen in de cloud kleiner dan bij on-premises oplossingen.
AWS biedt vanwege de grootte en enorme capaciteit van haar infrastructuur al een basale vorm van DDoS bescherming. DDoS aanvallen op netwerkniveau moeten substantieel groot zijn wil AWS daar echt last van krijgen. Bij AWS zijn diverse oplossingen beschikbaar op AWS Marketplace die bescherming bieden op het niveau van platform en/of applicatie. Onafhankelijk van de gekozen hosting variant is het ook mogelijk om te werken met externe cloud (!) services die DDoS bescherming bieden.
DE CLOUD BIEDT MEER BEVEILIGING
© 2014 MIRABEAU
13
Conclusie Cloud oplossingen zijn wezenlijk niet veel veiliger of onveiliger dan meer traditionele hosting oplossingen. Op het gebied van geboden redundantie, schaalbaarheid en fouttolerantie scoort cloud vaak beter dan externe hosting oplossingen. En ten opzichte van on-premises oplossingen scoren cloud oplossingen vaak beter op het gebied van redundantie, fysieke bescherming van apparatuur en personeel. Daarnaast biedt cloud vanwege de flexibiliteit meer beveiliging als gekeken wordt naar (dynamisch aan en uit schakelen) security services als IDS of DDoS bescherming. De zorgen over de cloud beveiliging lijken dan ook eerder emotioneel dan rationeel.
Wel is er een aantal belangrijke aandachtspunten voordat bedrijfsgegevens of klantgegevens in de cloud worden gezet. Sta altijd stil bij het in de cloud plaatsen van gegevens: wat zijn de gevolgen als deze gegevens in handen komen van een (buitenlandse) regering, concurrent of serieuze hackersgroep? Als het gaat om écht kritische bedrijfsgeheimen, moet overwogen worden deze gegevens alleen lokaal op te slaan. Dat wil zeggen binnen het bedrijf op computers die niet verbonden zijn met een extern netwerk. Als de gegevens wel naar de cloud mogen, kijk dan waar die gegevens terecht kunnen komen. Maak indien nodig aanvullende afspraken met de cloud provider over te gebruiken locaties. Bijvoorbeeld alleen binnen Europa opslaan of alleen als er een safe harbour verklaring is.
Let op juridische aspecten. Kijk ook goed naar de technische (on)mogelijkheden van de gekozen cloud oplossing en besteed nadrukkelijk aandacht aan het encrypten van (beheer) verbindingen. En kijk bovendien goed naar de gebruiksvoorwaarden van de cloud provider met betrekking tot beheer en security garanties.
Kortom, security in de cloud is minimaal net zo veilig als on-premises oplossingen en in bepaalde situaties zelfs veiliger. Bedenk ook dat beveiliging in de cloud ten opzichte van on-premises oplossingen vaak (veel) goedkoper is te realiseren, gezien de schaalvoordelen die een cloud provider heeft. Alert blijven op security risico’s blijft een belangrijk gegeven, ongeacht of er gebruik wordt gemaakt van de cloud. Dat lijkt een open deur, maar is toch vaak een onderbelicht aspect. Relativeer de risico’s van de cloud ten opzichte van de andere mogelijkheden; veilige oplossingen met cloud zijn namelijk zeer goed mogelijk.
Wij zijn Mirabeau Over de auteur Hayo Rubingh is Director Application Management bij Mirabeau en houdt zich bezig met strategische ontwikkelingen zoals cloud computing. Marco ter Horst is technisch architect bij Mirabeau en verantwoordelijk voor het ontwerp van online architecturen.
Over Mirabeau Managed Services, onderdeel van Mirabeau, heeft jarenlange ervaring met het 24x7 exploiteren van high-performance online omgevingen. Met onze kennis van cloud oplossingen en automation, de basis van iedere omgeving, kunnen we kosteneffectief en snel online omgevingen realiseren, web oplossingen ‘on-demand’ online brengen en schalen op basis van performance en gebruik. We ontzorgen onze klanten door vanuit een centrale regie rol de gehele exploitatie van het online landschap te faciliteren.
We hebben bewezen ervaring in het bouwen, ondersteunen en exploiteren van high-volume web en e-commerce platformen, zoals V&D, Intergamma, Maxeda DIY Group, Jumbo Supermarkten, transavia.com, de NVM en Warmteservice. Mirabeau is Advanced Consulting Partner van Amazon Web Services (AWS).
Telefoon: 020-5950550 | E-mail:
[email protected] | Website: www.mirabeau.nl © 2014 MIRABEAU
17