Is de cloud veiliger dan fysieke servers en datacenters?

  1. 16 mei 2017
  2. 0 reacties
corey-nachreiner

Bij de keuze tussen on-premise of de cloud hoor je vaak de bekende vooroordelen. On-premise geeft controle en veiligheid, de cloud vooral flexibiliteit en schaalbaarheid. Het voordeel van de een is daarbij het nadeel van de ander: on-premise is niet flexibel en de cloud onveilig. Maar klopt dat nog wel?

Met een eigen datacenter of fysieke servers heb jij de touwtjes volledig in handen. Je installeert de software, hardware en het netwerk zelf, dus je weet precies hoe alles in elkaar steekt. Ook aspecten als het beheer, de configuraties, de security en de logging vul je exact naar eigen inzicht in. Kortom, je laat niets aan het toeval over en behoudt altijd de regie over je data en systemen.

Complexiteit van on-premise

Klinkt goed, toch? Helaas is de praktijk weerbarstiger. Veel bedrijven hebben namelijk niet de kennis in huis om zelfstandig hun infrastructuur te beveiligen, servers te onderhouden en datacenters draaiende te houden. Zelfs als die kennis wél aanwezig is, kost het implementeren en testen van complexe, gelaagde securityvoorzieningen veel tijd en moeite.

En dan bestaat er nog het risico dat werknemers zelf onveilig handelen. Ze omzeilen bijvoorbeeld controlemechanismen als deze voor vertraging zorgen, passen op eigen houtje belangrijke instellingen aan of gaan onzorgvuldig om met encryptiesleutels en logbestanden. Het is zelfs niet uitgesloten dat werknemers met uitgebreide rechten - per ongeluk of bewust - cruciale systemen platleggen.

Cloudplatform als alternatief

Een cloudplatform verkleint de kans op dergelijke incidenten. Security wordt een gedeelde verantwoordelijkheid van de klant en de provider, die hoogstwaarschijnlijk meer middelen en expertise heeft om data en systemen goed te kunnen beveiligen. Zo’n cloudplatform is bovendien voorzien van allerlei functionaliteit waarmee je je security naar een nog hoger niveau kunt tillen. Zes voorbeelden:

  1. Overzicht Cloudplatforms registreren automatisch welke systemen wanneer worden geïmplementeerd en gebruikt. Hierdoor heeft de gebruiker altijd een actueel inzicht in de status van de IT-omgeving. Er zijn diverse mechanismen voor het classificeren van de inventaris, zoals Tags in AWS. Bij fysieke on-premise servers zou je deze informatie handmatig moeten invoeren.
  2. Automatisering Een cloudplatform bevat tools waarmee bedrijven implementaties sneller kunnen automatiseren. Dit helpt menselijke fouten te voorkomen. Je kunt er natuurlijk voor kiezen om deze automatisering in te bouwen in je eigen omgeving. Ook hier geldt echter dat de meeste bedrijven niet over de middelen beschikken om dit net zo snel en grondig te doen als met een cloudplatform mogelijk is.
  3. Auditing Cloudplatforms zijn optimaal ingericht voor auditing. Zo logt AWS na het inschakelen van Cloud Trail automatisch alle acties die in het AWS-systeem worden uitgevoerd. Als je de gebruikersaccounts en -rechten goed instelt, kan AWS elke handeling herleiden naar de persoon die erachter zit. En omdat AWS deze dienst beheert, weten bedrijven dat hun eigen werknemers de systeemrapportages niet kunnen wijzigen. Op deze manier kunnen kleine bedrijven functiescheidingen en auditing door een derde partij handhaven zonder extra mensen aan te nemen.
  4. Veilige opslag van logbestanden Niet alleen wordt elke actie op het cloudplatform gelogd, maar ook kunnen alle systemen logbestanden van alle acties naar het cloudplatform versturen. Door middel van rechten voorkom je dat systemen of werknemers die deze acties uitvoeren de logs wijzigen of wissen. De opslag is bovendien schaalbaar en kosteneffectief, waardoor je grotere hoeveelheden logbestanden langer kunt bewaren.
  5. Encryptiesleutelbeheer Een aantal cloudplatforms bevat ook functionaliteit voor het beheer van encryptiesleutels. Je kunt bijvoorbeeld encryptiesleutels toewijzen die door een derde partij worden beheerd of een eigen encryptiesleutel. In het tweede geval moet je er wel voor zorgen dat de sleutel goed beveiligd is en nooit kwijtraakt. Daarnaast bieden sommige clouds HSM’s (hardware security modules), geautomatiseerd sleutelbeheer en de mogelijkheid om databases en opslag met één muisklik te versleutelen.
  6. ‘Event-driven’ securitycontroles Met sommige cloudplatforms kun je securitycontroles en auditing inzetten om ongewenste wijzigingen in de IT-omgeving te signaleren, blokkeren en terug te draaien. Het is bijvoorbeeld mogelijk om te voorkomen dat onversleutelde bestanden worden geüpload of dat er te soepele netwerkregels worden aangemaakt. Securityteams hoeven niet elke verandering handmatig te controleren, maar ze kunnen regels opstellen die specifieke acties automatisch toestaan of juist verbieden.

Providerkeuze

Kun je erop vertrouwen dat een cloudplatform veilig omgaat met je data? Jazeker, maar dan is het wel cruciaal om een leverancier te kiezen die hoge eisen stelt aan security. Wat staat er bijvoorbeeld in de service level agreement en contracten? Welke certificeringen heeft de provider? En hoe is het gesteld met zijn reputatie? Deze vragen helpen je bij het selecteren van de juiste oplossing.

Hoe je je IT-omgeving ook inricht, je beveiliging is nooit helemaal waterdicht. Maar één ding staat vast: fysieke servers en eigen datacenters zijn zeker niet per definitie veiliger dan de cloud. In veel gevallen is dat zelfs andersom.

Corey Nachreiner, CTO bij WatchGuard Technologies

Dossiers