Whitepaper •••
Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten • deel 1
www.traxion.com
Whitepaper •••
Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties beginnen met het gebruik van clouddiensten, zonder voldoende te hebben nagedacht over informatie integratie, beveiliging, gebruikers- en toegangsbeheer en niet onbelangrijk gebruikersgemak. Het ‘snelle’, ‘eenvoudige’ en ‘goedkope’ aspect van clouddiensten wordt hierdoor op de lange termijn al snel een zeer kostbare en vervelende integratie activiteit. Ook hier geldt dus: voorkomen is beter dan genezen.
De pijn: Out of control Het afnemen van een clouddienst is eenvoudig. Een regelmatig voorkomende situatie is de volgende: • Een persoon beslist welke clouddienst(en) hij wil gebruiken; • Hij sluit zelf een contract af, immers is hij verantwoordelijk voor zijn unit; • Hij ontvangt een URL; • Vervolgens voert hij zijn (al dan niet gevoelige) bedrijfsinformatie in; • Als laatste stap voert hij z’n collega’s op als gebruikers en stuurt ze de URL en account informatie. • Et voilà, Hij is klaar en iedereen kan aan de slag. Heerlijk: het is snel, gemakkelijk en het werkt. Maar dat is slechts het begin. Het gebruik van clouddienst vereist niet alleen bedrijfsinformatie, maar ook (uiteraard) de informatie die nodig is om effectief met de clouddienst te kunnen werken. In het begin: weinig gebruikers, weinig informatie, weinig tot geen support problemen. Maar hoe zit dat na een jaar of nog later? Een aantal praktijkvoorbeelden van vraagstukken die kunnen ontstaan: • Waar wordt onze informatie ook al weer opgeslagen? • Wie hebben er op dit moment allemaal toegang? • Wie heeft toegang gehad en tot wat? • Wie is er eigenlijk verantwoordelijk voor de informatie die wordt gebruikt binnen de clouddienst? • Welke garanties hadden we ook al weer dat de informatie die is opgeslagen binnen de clouddienst alleen gebruikt wordt door onze organisatie? • Welke mogelijkheden zijn er om over te stappen naar een andere aanbieder en hoe kunnen we dan migreren? • Wie kunnen we bellen wanneer er problemen zijn? • Hoe komen we weer uit de cloud? Hoe eenvoudig de ingebruikname van clouddiensten ook is, op lange termijn zijn er veel aspecten die er toe kunnen leiden dat je ‘out of control’ raakt wanneer je daar vooraf niet voldoende over hebt nagedacht.
Groei Organisaties nemen steeds vaker clouddiensten af en de verwachte groei is dan ook enorm. Zo verwacht 1 Gartner dat de markt van clouddiensten groeit van $68.3 miljard in 2010 naar $148,8 miljard in 2014 . Wanneer deze verwachting inderdaad uitkomt, betekent dit dat organisaties die nu 5 tot 10 clouddiensten afnemen, straks gemiddeld tussen de 15 en 25 clouddiensten gebruiken. Wij voorzien dat, zonder de juiste voorbereidingen, problemen zullen ontstaan in de beheersbaarheid, beveiliging en integratie van de clouddiensten. Organisaties zullen in dat geval opnieuw met een consolidatieslag worden geconfronteerd, dit keer voor clouddiensten. Een ander aspect dat aan deze groei bijdraagt, is dat eigen (of maatwerk) ontwikkeling van applicaties meer vanuit een service provider model en in de cloud zal gaan plaatsvinden. Daarnaast kan nu al het gebruikersbeheer en de authenticatievoorziening (bewijzen dat je bent wie je zegt dat je bent) buiten de
IAM4Cloud – Veilig de cloud in
2
Whitepaper ••• applicatie worden gehouden. Doordat organisaties steeds meer zogenaamde identity providers implementeren, wordt het relatief eenvoudig dergelijke eigen service providers te gebruiken.
1
De beheerlast Door het toenemende gebruik van clouddiensten neemt de beheerlast toe. Tot nu toe vindt binnen organisaties nog een consolidatie van applicatielandschappen plaats, onder andere op het vlak van identity management, security management en door vergaande integratie. Het toenemende gebruik van clouddiensten zorgt juist voor het tegenovergestelde effect. En niet alleen binnen de ICT organisatie, maar met name ook binnen de business organisatie. Een toenemende versnippering van beheerwerkzaamheden is het gevolg.
Proces integratie Een andere ontwikkeling is het integreren en efficiënter maken van bedrijfsprocessen, Business Proces Management (BPM). BPM zorgt voor het stroomlijnen en integreren van primaire business processen. Wat clouddiensten hierin bijzonder maakt is het feit dat integratie van clouddiensten niet altijd mogelijk is, simpelweg omdat de interfaces niet geboden worden.
Weer een account met een wachtwoord Wanneer een organisatie geen maatregelen heeft genomen om de authenticatie voor gebruikers van clouddiensten centraal te regelen, krijgen gebruikers voor iedere clouddienst een account. Single Sign-on is daarbij niet geregeld.
Anytime, Anywhere, Any device Het grote voordeel van (publieke) clouddiensten is dat deze via het Internet benaderd kunnen worden. Hierdoor zijn deze diensten – mits de gebruiker online is – altijd en overal beschikbaar. Vrijwel alle clouddiensten maken daarbij gebruik van standaard authenticatiemiddelen. Multi factor of sterke authenticatie is in lang niet alle gevallen standaard mogelijk. Eén van de nadelen daarvan is dat het voor organisaties vrijwel onmogelijk is de toegang tot dergelijke clouddiensten afdoende te kunnen reguleren, bijvoorbeeld op basis van het risicoprofiel van de informatie die de gebruiker wil gebruiken.
Samengevat Samenvattend zorgen Cloud applicaties voor: • Stijgende kosten op het gebied van beheer en compliance. • Stijgende kosten rondom cloud applicatie-integratie in de enterprise. • Introductie van nieuwe silo’s van identiteiten, groeiende gebruikerslast en nieuwe accounts met bijbehorende wachtwoorden. • Gevoelige data buiten de perimeter.
1
Identity Provider: verantwoordelijk voor authenticatie van een gebruiker.
IAM4Cloud – Veilig de cloud in
3
Whitepaper •••
Richtingen Stellen van strategische beleidsregels Organisaties gebruiken clouddiensten in toenemende mate als middel om strategische doelstellingen te halen. Cloud wordt dus meer en meer ‘common sense’. Deze organisaties moeten daarbij een cloudstrategie inclusief strategische bedrijfsregels ontwikkelen. Dit helpt er bij, te zorgen dat ze een duidelijke route bewandelen wanneer het om het gebruik van clouddiensten gaat. Gebaseerd op onze expertise en ervaring, adviseert Traxion minimaal de volgende strategische beleidsregels te hanteren voor clouddiensten: 1. Het gebruik van clouddiensten mag niet leiden tot een verslechterde compliancy; 2. het gebruik van clouddiensten mag eindgebruikers geen extra login stap geven; 3. het gebruik van clouddiensten moet flexibiliteit geven, dit betekent onder andere dat bedrijfsinformatie ook weer probleemloos uit de clouddienst moet kunnen worden gehaald bij een eventueel afscheid; 4. het gebruik van clouddiensten mag geen verhoogde beheerlast geven voor wat betreft gebruikers- en 5. toegangsbeheer; 6. het gebruik van clouddiensten moet kunnen worden gerealiseerd onder dezelfde beleidsregels die een organisatie reeds heeft c.q. nastreeft. Wat opvalt is dat deze regels niet gerelateerd zijn aan de functionaliteit van de clouddienst, maar uitsluitend aan gebruikers, toegang, informatie en het afdwingen van gestelde beleidsregels. Dit zijn dan ook typisch regels die vanuit een security-, compliance- en beheerorganisatie worden opgelegd. Een veel voorkomend uitgangspunt van een cloudstrategie is dat het gebruik van clouddiensten is toegestaan, echter pas wanneer wordt voldaan aan dergelijke beleidsregels. Om het afnemen van clouddiensten beter te kunnen reguleren zijn een aantal standaard voorwaarden gedefinieerd die helpen bij het opzetten van beleid rondom clouddiensten.
Strategic Direction
Contracts and SLAs
Dealing with Threats & Attacks
Identity & Access
Control of Information
Audit & Compliance
Dealing with the Providers
Connectivity
Working Practices
Exit & Termination
Integration
Figuur 1. Beleid Cloud-diensten
In een zogenaamd aansluit voorwaarde document kunnen de volgende vragen worden gesteld: Strategische richting: Voldoet de kandidaat Cloud-dienst aan de bepaalde strategische richting? Identity & Access: Kan de Cloud-dienst (eenvoudig) worden aangesloten op de bestaande identity & access infrastructuur? Control of Information: Heeft de afnemer volledige controle over wie welke informatie mag gebruiken en wie welke informatie gebruikt heeft? Working practices: Past de dienst binnen de huidige werkmethode? Zijn mensen opgeleid? Etc. IAM4Cloud – Veilig de cloud in
4
Whitepaper ••• Contracten en SLA’s: Zijn de juiste contracten en SLA’s afgesloten? Is duidelijk wie kan worden benaderd bij calamiteiten? Audit & Compliance: Voldoet de Cloud-dienst aan de gestelde audit en compliance eisen? Exit & Termination: Is er een procedure afgesproken in het geval er afscheid wordt genomen van de Clouddienst? Omgaan met Threats & Attacks: Zijn er procedures afgesproken in het geval van dreigingen en aanvallen? Omgaan met providers: Zijn er procedures afgesproken tussen organisatie en provider? Connectivity: Is de connectiviteit geregeld tussen de dienst en de organisatie infrastructuur? Kan de dienst ook vanaf het Internet worden benaderd? Integration: Zijn de juiste integratie activiteiten doorlopen in het geval dat de dienst onderdeel is van een groter business proces?
Conclusies en samenvatting Het gebruik van clouddiensten komt meer en meer voor. Vooraf goed nadenken over het gebruik van clouddiensten is essentieel en het opstellen van regulering helpt bij een succesvol gebruik van clouddiensten. Tot slot is het stellen van aansluitvoorwaarden voorwaardelijk om de voordelen van clouddiensten niet (deels) te niet te doen door integratie-, gebruik- en compliancy-problemen. Traxion IAM4Cloud helpt organisaties volledige controle te houden over de clouddiensten die zij afnemen en tegelijkertijd de complexiteit van systeemintegratie te minimaliseren. Neem voor meer informatie over Identity & Access management voor clouddiensten contact op
[email protected] of telefoonnummer +31 418-653 883.
Additionele informatie Voor meer informatie neem contact op met: Traxion Services
[email protected] Telefoon NL: +31 418 653 883 Telefoon BE: +32 15 28 50 70
Voor meer informatie over IAM4Cloud zie onze website: www.iam4cloud.com
IAM4Cloud – Veilig de cloud in
5
