Cloudsecurity: licht tot half bewolkt

Cloud en security zijn twee onderwerpen die momenteel volop in de aandacht staan. De eerste is tegenwoordig wel geaccepteerd, maar in combinatie met de tweede heerst er nog angst, onzekerheid en twijfel. Niet geheel ongegrond, overigens. Werk aan de winkel!

Wim van Campen 3 Wim van Campen

Organisaties vertrouwen voor hun zakelijke toepassingen meer en meer op de cloud, geleverd door diverse partijen die flexibele onlinediensten aanbieden. Uit onderzoek van Intel Security blijkt dat het merendeel van zakelijke IT-budgetten de komende twaalf tot achttien maanden zal worden besteed aan publieke clouddiensten. Beveiliging moet een integraal onderdeel zijn van dit soort plannen, want het vertrouwen in de cloud moet meegroeien met onze groeiende afhankelijkheid van de cloud.

De cloud is al dagelijkse realiteit voor veel toepassingen, maar de omslag naar kritieke applicaties en diensten is nabij, volgens Intel Security. Het bedrijf biedt inzicht in de zakelijke adoptie van de cloud in het rapport ‘Blue Skies Ahead? The state of cloud adoption’ en werpt daarbij ook een blik vooruit. Er gloort een tijdperk waarin de cloud standaard de eerste stap is voor ICT, als het datacenter van de toekomst.

Maar is de cloud wel ‘veilig’? Wim van Campen, vice president Noord- en Oost Europa voor Intel Security: “Over het algemeen kunnen we wel stellen dat de cloud redelijk veilig is, zeker voor wat betreft de fysieke beveiliging van de datacenters en de beveiliging van het netwerk. De grotere aanbieders van clouddiensten schenken veel aandacht aan securitymaatregelen. En dat is ook nodig, want ‘de cloud’ is een aantrekkelijk doelwit, die cybercriminelen veel kan opleveren.”

Meer vertrouwen nodig

Bedrijven worstelen nog met het vertrouwen in de beveiliging van de cloud, zo wijst het onderzoek van Intel Security onder 1200 IT-beslissers uit. Zorgen om security zijn zelfs de voornaamste barrière voor cloudadoptie. Dat was in 2010 al zo, volgens onderzoek van IDC. En dat is het nu dus nog steeds. Deels blijkt security ook een imagoprobleem. Want uit de bevraging van IT-beslissers komt naar voren dat hun zorg weliswaar security is, maar dat hun problemen daar niet mee van doen hebben. De uitdagingen waar zij voor staan bij het gebruik van de cloud, betreffen vooral het migreren van diensten of data. Zijn securityzorgen rond de cloud dan een geval van FUD (‘Fear, Uncertainty and Doubt’)? Nee, het is een zaak van vertrouwen. En vertrouwen komt neer op transparantie.

Sommige critici bestempelen de cloud wel eens als een nieuwe vorm van ‘vendor lock-in’. Gebruik van open standaarden plus eventueel van open source kan dat risico verminderen of zelfs wegnemen. Wederom: een kwestie van vertrouwen, gebaseerd op inzichtelijkheid. Eenzelfde aanpak van openheid kan ook helpen om securityzorgen weg te nemen. De uitdaging is om inzicht te krijgen in wat cloudproviders zelf doen aan security en wat ze aan klanten bieden qua beveiligingsmogelijkheden.

Volgens Van Campen is er een aantal valkuilen voor wat betreft cloudsecurity: “Sommige organisaties plaatsen teveel vertrouwen in de cloudprovider. Je mag er als bedrijf niet spoorslags vanuit gaan dat die provider alles voor je regelt op securitygebied. Bedrijven moeten zich ervan bewust zijn dat de eindverantwoordelijkheid voor de beveiliging van informatie altijd bij hen ligt, niet bij de cloudprovider. En afhankelijk van het soort clouddienst, verschillen de beveiligingsmaatregelen die een bedrijf zelf moet nemen. Bij Infrastructure-as-a-Service moet je natuurlijk veel meer zelf regelen dan bij Software-as-a-Service, hoewel je ook bij deze laatste effectieve beveiligingsmaatregelen kan afdwingen, zoals tweefactor authenticatie.”

Kwestie van afhankelijkheid

Security is altijd al een heikel punt geweest voor ICT. Dit geldt zowel voor de eigen automatisering als voor afname elders. Immers, organisaties zijn voor hun ICT-beveiliging afhankelijk van wat hardware- en softwareleveranciers, dienstverleners, outsourcers en ook cloudproviders bieden.

E-commerce gigant Amazon, pionier met het aanbieden van cloud computing, acht de tijd rijp om af te rekenen met verhalen over de vermeende onveiligheid van de cloud. Volgens Amazon-CTO Werner Vogels biedt de cloud zelfs betere security dan wat bedrijven op eigen houtje voor elkaar kunnen krijgen. Dit hield hij zijn publiek voor op de grote cloudbijeenkomst AWS Summit, die in mei dit jaar plaatsvond in Nederland. De schaalgrootte en expertise die geldt voor het AWS-cloudportfolio (Amazon Cloud Services) overtreft dat van individuele organisaties, luidt de argumentatie.

Duivel zit in de details

Er geldt wel een belangrijke nuance bij de voorgehouden betere security. “De cloud kan goede security bieden, mits goed geïmplementeerd”, volgens Van Campen. “De duivel zit - zoals wel vaker bij complexe zaken - in de details. Indien een cloudprovider bepaalde securityfuncties biedt, is het aan de afnemer om die mogelijkheden ook daadwerkelijk te benutten en zo nodig af te dwingen bij de eindgebruikers.”

Er zijn ook beveiligingsmaatregelen waar de eindklant actief aan moet bijdragen. Neem een mogelijkheid om log-ins te monitoren op verdachte toegangspogingen of datadownloads. Voor effectieve toepassing daarvan is het nodig dat er per klant, per accountsoort en misschien zelfs wel per account wordt gedefinieerd wat ‘normaal’ is. Zodat afwijkingen van die norm zijn te detecteren en volgens bepaalde criteria als verdacht of kwaadaardig zijn te bestempelen.

De afnemer blijft verantwoordelijk

Cloud-Security Naast het kennen en benutten van de beveiligingsmiddelen die cloudproviders bieden, is er nog een securityvereiste voor cloudklanten: eigen monitoring. De cloud is immers geen totale overdracht van ICT-taken en zeker niet een afwenteling van verantwoordelijkheden. Dit lijkt een open deur, maar in de praktijk blijken veel organisaties cloudgebruik te interpreteren als een volledige ontzorging. Volgens Van Campen is dat een misvatting: “Organisaties blijven zelf verantwoordelijk voor goede beveiligingsmaatregelen, ook al worden die uiteindelijk geleverd door een cloudprovider. Dat betekent dat bedrijven moeten weten welke beveiligingsmaatregelen er door de cloudprovider zijn genomen en hoe die zijn ingericht. Aan de hand van SLA’s kan je dit soort zaken precies vastleggen.”

Microsoft acht het bijvoorbeeld noodzakelijk om hier expliciet op te wijzen. Klanten worden gewezen op de grenzen - en waar die exact liggen - van IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) en SaaS (Software-as-a-Service).

Grenzen, behoeften en zorgen

IaaS is een basale ICT-infrastructuur waarop de gebruiker zelf platformsoftware, applicaties en services kan draaien. PaaS biedt al een functionele basis: een framework waar applicaties op draaien. SaaS is de meest bekende cloudvorm, met de functionaliteit van traditionele applicaties maar dan als flexibele internetdienst. Alle drie deze cloudsoorten, plus andere varianten van online en on-demand ICT, kennen verschillende grenzen van de verantwoordelijkheden.

Daarnaast kent iedere cloudsoort weer andere gebruiksscenario’s, beheervereisten en securityuitdagingen. Denk aan kritieke zaken zoals client- en endpointbescherming, identity en access management, securitycontrols op applicatieniveau, netwerktoegang en meer. Cloudaanbieders en gebruikers kunnen daar ieder apart voorzieningen voor hebben. Vaak zijn dat echter gescheiden werelden, waarbij de eigen securitymiddelen niet aansluiten op die van de cloudaanbieder. Voor meer vertrouwen en betere beveiliging is zijn inzichtelijkheid en betere koppelingen nodig. Koppelingen van bestaande security- en controlemiddelen met de wereld van de cloud.

Van Campen heeft nog enkele tips voor bedrijven die de beveiliging van hun cloud willen versterken: “Een van de belangrijkste voorwaarden voor goede cloudsecurity is inzicht in de toegepaste beveiliging en de actuele status. Om dat voor elkaar te krijgen is een geïntegreerde beveiligingsaanpak nodig, waarbij servers in de cloud worden gekoppeld met de bestaande beveiligingsmiddelen. Zo ontstaat één overkoepelend beeld. Een andere effectieve maatregel is de implementatie van Single Sign-On in combinatie met 2-factor authenticatie. Daarmee voorkom je dat gebruikers voor verschillende clouddiensten en -applicaties verschillende wachtwoorden moeten onthouden, wat vaak resulteert in makkelijke en dus onveilige wachtwoorden. Met alle risico’s van dien.”

Jasper Bakker is freelance tech- en internetjournalist