De realiteit van cloud security De beveiliging van cloud computing in perspectief
De realiteit van cloud security Cloud computing groeit onverstoorbaar door maar zorgen rondom security blijven zeer actueel. Is de cloud wel veilig genoeg voor mijn data? Biedt een omgeving in eigen beheer niet meer zekerheden? In deze whitepaper analyseren we de feiten en (voor)oordelen rondom beveiligingsaspecten van cloud computing.
De afgelopen decennia zagen we een beweging van ICT binnen het kantoorpand, naar externe da-
Security
tacenters en vandaag de dag naar cloud services. Vanuit security wordt er altijd gekeken naar de De overstap van het kantoorpand naar externe
informatie: is beschikbaarheid, integriteit en
datacenters verloopt vaak zonder al teveel vra-
vertrouwelijkheid geborgd? Beschouw je bes-
gen rondom beveiliging. Maar de overstap naar
chikbaarheid door de tijd, dan was in- formatie
de cloud daarentegen geeft veel (ICT)managers
vroeger op een enkelvoudig systeem opgeslagen
een on- comfortabel gevoel. In deze whitepaper
op vaak nog onbetrouwbare opslagmedia. Met
plaatsen we de beveiliging van cloud computing
goede maatregelen is beschikbaarheid tegenwoor-
in perspec- tief door de (voor)oordelen van over-
dig geen issue meer. Vaak is het zo dat on-premis-
gang naar de cloud te vergelijken met on-premis-
es oplossingen uitval van een enkel apparaat wel
es oplossingen in eigen beheer.
kunnen opvangen. Binnen een fatsoenlijke cloud
Heeft u behoefte aan een advies toegesneden op
oplossing worden gegevens en systemen redun-
uw specifieke situatie? Laat het ons dan gerust
dant en verspreid over meerdere fysieke locaties
weten. Wij komen dit graag eens persoonlijk toe-
opgeslagen, waarbij zelfs de uitval van een com-
lichten. Neem voor meer informatie contact op
pleet datacenter kan worden ondervangen.
met Hayo Rubingh via 020 595 0550 of
[email protected].
Het tweede aspect is integriteit. Is de informatie
kantoor ergens in een serverruimte staan of in een
juist en actueel? In de opslag en transport van
extern datacenter vonden we veilig. De beheerder
data zijn dermate veel controles aanwezig dat
kon jouw server met jouw data aanwijzen, welke
hier weinig meer fout kan gaan. Kijkend naar de
vervol- gens weer achter slot en grendel stond.
cloud, dan is er op dit vlak een extra uitdaging.
In de cloud kan data fysiek gezien overal staan.
De cloud communiceert online en er kan mogelijk
Uiteraard wel in een beschermd datacenter, maar
worden gemanipuleerd of afgeluisterd. Bijvoor-
toch ervaren we het als minder veilig.
beeld via een man-in-the-middle aanval, waarbij een hacker gebruikers- en serververkeer afluistert.
Het gevoel van onveiligheid in de cloud zit hem
Om deze reden moet encryptie, afhankelijk van
in dit laatste aspect van security: waar staat mijn
het soort data, weloverwogen worden bij commu-
data en wie kan er bij.
nicatie van en naar de cloud. En dan speelt nog het aspect van de vertrouwelijkheid van informatie. Wie kan er wel of niet bij de gegevens. Vroeger was dit puur een fysiek vraagstuk. Kon je het gebouw niet in, dan kon je niet bij de informatie. Het vraagstuk van de fysieke locatie van informatie blijft. Servers die op
DE ZORG RONDOM HACKERS IS TERECHT
(Voor)oordelen over security in de cloud
gen als in de cloud. Wel is het bijna altijd mogelijk om bij een cloud provider aan te geven in welk datacenter gegevens moeten worden opgeslagen. Daarmee is de fysieke locatie van gegevens net
In dit hoofdstuk vergelijken we de diverse (voor)
zo duidelijk als bij een on-premises oplossing.
oordelen die leven rondom de cloud ten opzichte
Zo hanteert AWS regio’s met daarbinnen Availa-
van een on-premise infrastructuur: een lokaal da-
bility Zones (AZ’s) die elkaar kunnen opvangen.
tacenter in een eigen bedrijf- spand. We doen dit
Dat betekent dat als één AZ weg- valt, de andere
aan de hand van de cloud diensten van Amazon
AZ de continuïteit borgt. De Europese AZ van
Web Services (AWS), de cloud marktleider op dit
AWS staat in Ierland. Daar- naast heeft AWS ook
moment.
AZ’s op andere continenten, zoals de USA, Azië en Zuid-Amerika. Door de juiste AZ te kiezen is
De cloud is onveilig, want de locatie van mijn gegevens is onbekend
het mogelijk te sturen op waar gegevens staan en
Niet waar. Tegenwoordig wordt vaak gebruik ge-
data.
maakt van virtualisatie technieken, waardoor het enige moeite kost om het exacte fysieke apparaat aan te wijzen waarop de gegevens staan opgeslagen. Dat geldt zowel voor on-premises oplossin-
daarmee controle te krijgen over de locatie van
De cloud is onveiliger, want de USA kan mijn gegevens opvragen
aan de NSA zonder dat te laten weten aan hun
Gedeeltelijk waar. Vanwege 9/11 heeft de USA de
gegevens gebeurt, is het toepassen van encryptie
bevoegdheden van de opsporings- instanties sterk
bij opslag van gevoelige gegevens verstandig.
vergroot. Zo is er de Patriot Act, die de mogelijk-
Daarbij moet het beheer van de encryptiesleutels
heid geeft gegevens op te vragen. Sindsdien leeft
niet bij de cloud provider worden belegd, aangez-
de bezorgdheid dat de USA te pas en te onpas
ien opsporingsinstan- ties deze sleutels kunnen
gegevens kan opvragen. De vraag is of dit nieuw
opvragen. Dit moet door de klant zelf worden
is. Als er voldoende reden toe is, kunnen opspor-
uitgevoerd.
klanten. Om op de hoogte te blijven wat er met
ings- organisaties altijd het verzoek doen om ge-
cloud. Kanttekening hierbij is dat de Patriot Act
De cloud is onveiliger, want gegevens worden op Internet onderschept
het makkelijker maakt om gegevens op te vragen,
Gedeeltelijk waar. Internet is een openbaar
omdat de meeste host- ingbedrijven op een of
medium. In theorie zijn gegevens die over pub-
andere manier wel onder de jurisdictie vallen van
lieke netwerken worden verstuurd af te luisteren.
de USA en daar- om ook onder de Patriot Act. Een
Om dat tegen te gaan wordt encryptie gebruikt.
veelgehoord probleem met de Patriot Act is dat
Mits goed geïmplementeerd wordt afluisteren
(cloud) providers gegevens moeten overdragen
daarmee lastig tot onmogelijk. Toch lijkt het erop
gevensoverdracht. En dan maakt het niet uit waar gegevens zijn opgeslagen: on-premises of in de
woordig en- crypted verkeer mee kunnen lezen.
De cloud is onveiliger, want hackers kunnen inbreken op de cloud
Dat is een zorgelijk punt voor partijen die de
Gedeeltelijk waar. Bij hackers is onderscheid te
geheime diensten niet (kunnen of willen) ver-
maken in goedwillende hackers, kwaad- willende
trouwen. De oplossing tegen afluisteren is via een
hackers en scriptkiddies. De goedwillende hack-
risicoanalyse te bepalen wat de impact is als een
ers zullen een gevonden lek mel- den en pogen
(buitenlandse) regering, een concurrent of hack-
daarmee de veiligheid op internet te verbeteren.
ersgroep meeleest. Indien dit een serieus risico
De scriptkiddies hanteren bekende hack tools en
is voor de bedrijfsvoering, dan moet overwogen
kunnen worden tegengehouden door goede secu-
worden die data intern te houden en is te hopen
rity implementatie en regelmatige controles. De
dat personeel deze gegevens niet lekt via e-mail
kwaadwillende hackers daarentegen zijn lastig te
of plaatst in cloud services als Dropbox. Het
stoppen, zeker als ze voor een overheid werken.
gebruik van encryptie (uiteraard met afdoende
Daarnaast is het goed om onderscheid te mak-
sleutellengte en betrouwbare protocollen) is in
en tussen het hacken van infrastructuur (zoals
ieder geval essentieel als gevoelige gegevens
netwerkapparatuur of operating systems) en het
(zoals persoonsgegevens of beheerverkeer) over
hacken van applicaties. In principe kunnen host-
publieke infrastructuren worden verstuurd.
ingpartijen bescherming bieden op het niveau van
dat geheime diensten als NSA of GCHQ tegen-
infrastructuur, maar is de klant of de beheerpartij verantwoordelijk voor de beveiliging van
applicaties. Denk hierbij aan het veilig program-
Vaak zijn externe hostingpartijen en cloud-provid-
meren conform OWASP top-10 richtlijnen. Dit
ers ook gecertificeerd, waardoor een externe partij
geldt voor alle online applicaties, of ze nu op
toezicht houdt op screening, fysieke beveiliging
on-premises infrastruc- tuur staan of in de cloud.
en dergelijke. Deze certificeringen zijn voor
De zorg rondom hackers is terecht. Maar: alle
(grote) hostingpartijen vaak eenvoudiger te be-
systemen die via openbare netwerken zijn ver-
halen en te hand- haven dan de eigen interne ICT
bonden, zijn voor hun aanvallen gevoelig.
afdeling. AWS datacenters zijn veelal ISAE3402 (SAS70), PCI-DSS én ISO-27001 gecertificeerd.
De cloud is onveiliger, want beheerders kunnen bij mijn data Niet waar. Overal waar ICT wordt beheerd,
De cloud is onveiliger, want ik loop meer juridische risico’s
kunnen beheerders bij de beheerde data. En dan
Mogelijk waar. Althans, als u niet de juiste af-
maakt het niet uit of het eigen personeelsleden of
spraken maakt met uw cloud provider. Veel
externe beheerders zijn. Wel heeft u zelf controle
cloud-providers bieden wel degelijk een keuze
over eigen personeel. Daar staat tegenover dat be-
waar data mag worden opgeslagen. En deze
heerders van externe par- tijen gescreend (zouden
locatie kan bepalend zijn voor de wetgeving die
moeten) zijn. Ook is het mogelijk encryptie toe te
te maken heeft met bijvoorbeeld het opvragen
passen om het meelezen van beheerders tegen te
van data. Gegevens die onder de jurisprudentie
gaan.
van de USA vallen, zullen onder de Patriot Act
makkelijker opvraagbaar zijn dan gegevens van
worden gehouden met een Safe Harbour verklar-
een Nederlands bedrijf zonder banden met de
ing voor persoonsgegevens. AWS bijvoor- beeld is
USA.
in het bezit van zo’n Safe Harbour verklaring.
Andersom kunnen lokale wetten ook verplichtingen opleggen, zoals de bescherming van
De cloud is onveiliger, want ik loop DDoS risico’s.
persoonsgegevens (Wbp). De Wbp verplicht
Niet waar. Een Denial of Service (DoS) aanval is
Nederlandse bedrijven die iets doen met per-
een aanval die een computersysteem overlaadt
soonsgegevens om deze gegevens adequaat te
met informatie of het zo zwaar belast dat het niet
beveiligen. Dat betekent dat gegevens niet zom-
meer normaal te gebruiken is. Een Distributed
aar overal opgeslagen kunnen worden. Denk ook
Denial of Service (DDoS) aanval komt ook nog
aan de betrouwbaarheid van de te kiezen hosting-
eens van vele kanten, zodat het moeilijker is deze
provider: weet wat er gebeurt met uw gegevens
tegen te houden. Dit risico bestaat wanneer uw
als de hosting provider onverhoopt failliet gaat
ICT infrastruc- tuur gekoppeld is via internet.
(met name van toepassing bij kleinere hosting-
Dat geldt niet specifiek voor de cloud, maar ook
partijen).
voor eigen infrastructuur binnen een extern datacenters.
Voor persoonsgegevens die worden opgeslagen buiten Europa moet bijvoorbeeld rekening
Grote cloud providers hebben een infrastructuur
gekozen hosting variant is het ook mogelijk om te
die is opgebouwd uit meerdere zones, (beschik-
werken met externe cloud (!) services die DDoS
baarheids)regio’s en vele eindpunten (edges).
bescherming bieden.
Daarmee zijn triviale DoS aanvallen tegen te gaan, gewoonweg vanwege de beschikbare gedistribueerde capaciteit van de in- frastructuur. Daarnaast bieden veel cloud hosting providers specifieke DDoS bescherming services. Dat maakt het risico op DDoS aanvallen in de cloud kleiner dan bij on-premises oplossingen. AWS biedt vanwege de grootte en enorme capaciteit van haar infrastructuur al een basale vorm van DDoS bescherming. DDoS aanvallen op netwerkniveau moeten substantieel groot zijn wil AWS daar echt last van krijgen. Bij AWS zijn diverse oplossingen beschik- baar op AWS Marketplace die bescherming bieden op het niveau van platform en/of ap- plicatie. Onafhankelijk van de
DE CLOUD BIEDT MEER BEVEILIGING
Conclusie
de cloud worden gezet. Sta altijd stil bij het in de cloud plaatsen van gegevens: wat zijn de gevol-
Cloud oplossingen zijn wezenlijk niet veel
gen als deze gegevens in handen komen van een
veiliger of onveiliger dan meer traditionele host-
(buitenlandse) regering, concurrent of serieuze
ing oplossingen. Op het gebied van geboden
hackersgroep? Als het gaat om écht kritische
redundantie, schaalbaarheid en fout- toleran-
bedrijfsgeheimen, moet overwogen worden deze
tie scoort cloud vaak beter dan externe hosting
gegevens alleen lokaal op te slaan. Dat wil zeg-
oplossingen. En ten opzichte van on-premises
gen binnen het bedrijf op computers die niet
oplossingen scoren cloud oplossingen vaak beter
verbonden zijn met een extern netwerk. Als de
op het gebied van redun- dantie, fysieke bescher-
gegevens wel naar de cloud mogen, kijk dan waar
ming van apparatuur en personeel. Daarnaast
die gegevens terecht kunnen komen. Maak in-
biedt cloud vanwege de flexibiliteit meer beveilig-
dien nodig aanvullende afspraken met de cloud
ing als gekeken wordt naar (dynamisch aan en
provider over te gebruiken locaties. Bijvoorbeeld
uit schakelen) security services als IDS of DDoS
alleen binnen Europa opslaan of alleen als er een
bescherming. De zorgen over de cloud beveiliging
safe harbour verklaring is.
lijken dan ook eerder emotioneel dan rationeel. Let op juridische aspecten. Kijk ook goed naar de Wel is er een aantal belangrijke aandachtspunten
technische (on)mogelijkheden van de gekozen
voordat bedrijfsgegevens of klantge- gevens in
cloud oplossing en besteed nadrukkelijk aandacht
aan het encrypten van (beheer) verbindingen.
Heeft u na het lezen van deze whitepaper vragen
En kijk bovendien goed naar de gebruiksvoor-
of behoefte aan een advies toegesneden op uw
waarden van de cloud pro- vider met betrekking
specifieke situatie? Laat het ons dan gerust weten.
tot beheer en security garanties.
Wij komen dit graag eens persoonlijk toelichten. Neem voor meer informatie contact op met Hayo
Kortom, security in de cloud is minimaal net zo
Rubingh via 020 595 0550 of via
veilig als on-premises oplossingen en in bepaalde
[email protected].
situaties zelfs veiliger. Bedenk ook dat beveiliging in de cloud ten opzichte van on-premises oplossingen vaak (veel) goedkoper is te realiseren, gezien de schaalvoordelen die een cloud provider heeft. Alert blijven op security risico’s blijft een belangrijk gegeven, ongeacht of er gebruik wordt gemaakt van de cloud. Dat lijkt een open deur, maar is toch vaak een onderbelicht aspect. Relativeer de risico’s van de cloud ten opzichte van de an- dere mogelijkheden; veilige oplossingen met cloud zijn namelijk zeer goed mogelijk.
Wij zijn Mirabeau
centrale regie rol de gehele exploitatie van het online landschap te faciliteren.
Over de auteur Hayo Rubingh is Director Application Manage-
We hebben bewezen ervaring in het bouwen,
ment bij Mirabeau en houdt zich bezig met strat-
ondersteunen en exploiteren van high-volume
egische ontwikkelingen zoals cloud computing.
web en e-commerce platformen, zoals V&D,
Sander Nieuwenhuis is Security Manager en
Gamma, Karwei, Praxis, Jumbo Supermarkten,
Consultant bij Mirabeau.
transavia.com, de NVM en Warmteservice. Mirabeau is Advanced Consulting Partner van Ama-
Over Mirabeau Managed Services, onderdeel van Mirabeau, heeft jarenlange ervaring met het 24x7 exploiteren van high-performance online omgevingen. Met onze kennis van cloud oplossingen en automation, de basis van iedere omgeving, kunnen we kosteneffectief en snel online omgevingen realiseren, web oplossingen ‘on-demand’ online brengen en schalen op basis van performance en gebruik. We ontzorgen onze klanten door vanuit een
zon Web Services (AWS).
AHEAD IN A DIGITAL WORLD
Telefoon: 020-5950550 | E-mail:
[email protected] | Website: www.mirabeau.nl
