Privacy & security in de cloud

Maat: px
Weergave met pagina beginnen:

Download "Privacy & security in de cloud"

Transcriptie

1 1 Privacy & security in de cloud een verkenning van tools en technieken

2 2 3 Samenvatting Dit document beschrijft een verkenning van tools en technieken die de beveiliging en privacy van clouddiensten ondersteunen. Het betreft hier zowel tools en technieken Inhoudsopgave die vandaag de dag al toepasbaar zijn, als onderwerpen die in de (nabije) toekomst relevant kunnen worden. Dit rapport gaat in op onderwerpen als, 1. Inleiding x en account manaqement. Standaarden spelen hierbij een belangrijk rol. Dit rapport biedt instellingen voor hoger onderwijs en onderzoek handvatten om op 2. Achtergrond x een veilige wijze diensten uit de cloud af te nemen 3. Tools, technieken en standaarden x 3.1 Authenticatie x 6 Dingen die je moet weten over Privacy & security in de cloud een verkenning van tools en technieken Federatieve x Social login x Betrouwbaarheidsniveaus en sterke x Context 3.2 Autorisatie x Het uitbesteden van diensten naar de cloud biedt allerlei risico s rond veiligheid Policies x en privacy. Juridische maatregelen dekken een deel van het probleem. Technische Oplossingen x maatregelen zijn echter ook mogelijk en noodzakelijk. 3.3 Gebruikersbeheer x (De-)Provisioning standaarden x Wat is het? 3.4 Privacy x Een verkenning van tools, technieken en standaarden die de veiligheid en privacy van Encryptie x clouddiensten kunnen ondersteunen Anonieme credentials x 3.5 As-a-Services x Voor wie is het? 3.6 De volgende generatie: Personal (Storage) Clouds x Onderwijs- en onderzoekstinstellingen die al dan niet via SURFconext clouddiensten willen afnemen. 4. Samenvatting x Hoe werkt het? Hoofdstuk 2 schetst de achtergrond op basis waarvan de focus van deze verkenning wordt gekozen:,, gebruikersbeheer, services en personal clouds. Deze onderwerpen worden in hoofdstuk 3 beschreven. Hoofdstuk 4 vat de belangrijkste punten samen. Appendix A. CSA s 14 domains involved in governing or operating the cloud Appendix B. Maturity models, Richtlijnen, Certificaten en Standaarden x x Wat kan je ermee? Onderwijsinstellingen krijgen inzicht in de problemen die bij het uitbesteden van cloud diensten kunnen ontstaan, op het gebied van, en gebruikersbeheer. Om deze problemen op te lossen worden in dit rapport tools, technieken en standaarden beschreven die door de instellingen of cloud leveranciers toegepast kunnen worden. Extra (Bijlagen, Thema, Gerelateerde thema s)

3 Inleiding Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing: studenten maken gebruik van webmail, onderzoekers ontmoeten elkaar op een samenwerkingsplatform, wetenschappelijke data worden gedeeld via opslagruimte in de cloud en administratieve medewerkers houden gegevens bij met een tool in de cloud. Gegevens die in de cloud worden opgeslagen, zijn niet meer onder volledige controle van de instelling. Cloud Computing roept bij veel onderwijsinstellingen de vraag op hoe de beveiliging van gegevens en de bescherming van de privacy geregeld kan worden. Deze vraag kan bekeken worden vanuit juridisch oogpunt, maar onderwijsinstellingen kunnen ook op technisch vlak zelf regelen of eisen van leveranciers van clouddiensten. Dit rapport verkent tools en technieken die de beveiliging van cloud services ondersteunen, met name op het gebied van,, gebruikersbeheer en privacy. Hierbij wordt een onderscheid gemaakt tussen tools en technieken die op dit moment reeds beschikbaar en toepasbaar zijn en tools en technieken die in de (nabije) toekomst relevant zouden kunnen worden. SURFnet biedt SURFconext aan, een infrastructuur die online samenwerking mogelijk maakt. Via SURFconext zijn allerlei clouddiensten (zoals Google Apps for Education) aangesloten. SURFconext gebruikt diverse van de in dit document beschreven tools en technieken om het voor onderwijsinstellingen mogelijk te maken om op een veiligere en betrouwbaardere manier diensten in de cloud af te nemen. Niet alle clouddiensten zijn via SURFconext beschikbaar, en niet alle instellingen maken gebruik van SURFconext. Dit document biedt een overzicht van tools en technieken ten aanzien van beveiliging en privacy waar onderwijsinstellingen rekening mee moeten houden op het moment dat zij een dienst in de cloud afnemen. Deze verkenning geeft de instellingen daarmee handvatten om te bepalen of leveranciers van clouddiensten de benodigde bescherming van gegevens en privacy bieden. Daar waar SURFconext gebruik maakt van de genoemde tools en technieken, wordt dit aangegeven. Naast deze noodzakelijke contractuele maatregelen is het ook nodig om technische maatregelen te nemen. Maatregelen voor de bescherming van gegevens en privacy bij clouddiensten kunnen op een aantal verschillende fronten worden genomen. De Cloud Security Alliance (CSA 2 ) verdeelt Cloud Computing over 14 verschillende domeinen [zie Appendix A] op drie verschillende terreinen: 1. cloudarchitectuur; 2. cloudbeleid en toezicht; 3. operationele zaken. Ook andere organisaties, zoals Microsoft 3, de Duitse BSI 4 (Federal Office for Information Security) en ENISA 5 maken vergelijkbare onderverdelingen in cloud focus gebieden. Binnen het eerder genoemde innovatieprogramma zijn richtlijnen opgesteld over afspraken die met cloud leveranciers gemaakt moeten worden over beleid en toezicht. Binnen het operationele domein komen vanzelfsprekend onderwerpen met betrekking tot digitale identiteiten, toegangscontrole en encryptie aan bod. Dit rapport focust zich op de volgende operationele aspecten, waarbij het onderwerp van digitale identiteiten en toegangscontrole wordt beschreven volgens drie van de vier A s van Cloud Identity 6 : 1. ; 2. ; 3. account management; 4. audit logging. De vierde A, Audit logging, blijft grotendeels buiten beschouwing. Appendix B geeft wel een overzicht van enkele voor clouddiensten relevante auditkaders, richtlijnen, standaarden en certificaten. Daarbij wordt in de rapport aandacht besteed aan encryptie. Encryptie wordt toegepast om de confidentialiteit en integriteit van gegevens te garanderen en wordt beschreven als onderdeel van de maatregelen die genomen kunnen worden om de privacy van gebruikers te beschermen. Ook de gegevens die in de cloud worden opgeslagen kunnen beschermd worden met behulp van encryptie. 2. Achtergrond Dit rapport besteedt ook aandacht aan de trend dat beveiligingstools zelf als clouddienst afgenomen worden. Tenslotte wordt kort ingegaan op de volgende stap waarin ook de data uit de clouddienst wordt gehaald middels personal clouds, personal data stores, etc. Het gebruik maken van clouddiensten heeft allerlei voordelen, zowel voor onderwijsinstellingen als voor studenten, onderzoekers en medewerkers. Deze voordelen zitten vaak in de schaalbaarheid, flexibiliteit, beschikbaarheid en de kosten van cloudiensten. Daar tegenover staat een aantal uitdagingen en onzekerheden, zowel op technisch, operationeel als juridisch vlak. In het SURFnet/Kennisnet Innovatieprogramma Cloud Computing Project zijn veel van deze juridische en operationele uitdagingen beschreven 1. Dit rapport beperkt zich tot het beschrijven van zaken die relevant zijn voor Software-as-a-Service (Saas) die afgenomen wordt uit een publieke cloud. Het rapport gaat dus niet in op de overige cloudleveringsmodellen als Infrastructure-as-a-Service (IaaS) en Platform-as-a-Service (PaaS), of op afnamemodellen, zoals private, hybrid of communityclouds. Er wordt geen onderscheid gemaakt naar de verschillende diensten die een onderwijsinstelling af zou kunnen nemen, zoals beschreven in de Functionaliteitenkaart voor clouddiensten die ontwikkeld is binnen het SURFnet/ Kennisnet Innovatieprogramma.. Twee belangrijke aspecten die steeds naar voren komen, zijn de beveiliging van clouddiensten en de mate waarin persoonsgegevens beschermd kunnen worden. Binnen de muren van een onderwijsinstelling worden allerlei maatregelen genomen die ongeautoriseerde toegang tot diensten en (persoonlijke) gegevens moeilijk maken. Zodra deze diensten en de gegevens in de cloud worden geplaatst, moet de instelling erop vertrouwen dat de cloud leverancier middels certificaten, audits door derden en contracten ervoor zorgt dat de gegevens veilig zijn. 2 https://cloudsecurityalliance.org/research/security-guidance/ 3 Securing Microsoft s Cloud Infrastructure, mei Security Recommendations for Cloud Computing Providers, juni ENISA, cloud computing, Dit rapport is een verkenning, en pretendeert niet compleet of in detail alle tools en technieken te beschrijven. Er is bewust gekozen voor leesbaarheid en bondigheid boven compleetheid of nuance Ping Identity, The 4 A s of Cloud Identity, https://www.pingidentity.com/resource-center/authentication-authorization-audit-logging-account-management.cfm

4 tools, technieken en standaarden Figuur 1. Decentraal (links) en centraal (rechts) beheer van, en gebruikersbeheer Dit hoofdstuk beschrijft tools en technieken voor,, gebruikers beheer en privacy die de beveiliging en privacy van clouddiensten ondersteunen. Bij elk onderwerp worden de belangrijkste standaarden genoemd en wordt aangegeven of deze nu al beschikbaar en toepasbaar zijn, dan wel mogelijk in de (nabije) toekomst relevant zullen worden. In een enkel geval wordt een standaard beschreven die op dit moment wel beschikbaar is, maar niet meer relevant lijkt te zijn. Instellingen zullen met veel verschillende cloudleveranciers zaken doen. Het is daarom van groot belang dat deze leveranciers allemaal gebruik maken van dezelfde (open) standaarden op het gebied van,, gebruikersbeheer en privacy. Het gebruik van open standaarden zorgt ervoor dat diensten snel en eenvoudig aangesloten kunnen worden. Ook draagt het gebruik van open standaarden bij aan het voorkomen van een lock-in bij een specifieke cloudprovider. In dit hoofdstuk worden de volgende iconen gebruikt om de relevantie en actualiteit van de verschillende standaarden weer te geven. yesterday tomorrow 3.1 Authenticatie Voor veel clouddiensten is het noodzakelijk dat bekend is wie de gebruiker is, zodat de dienst aangepast kan worden aan de voorkeur of de rol van de gebruiker. Authenticatie is het proces waarbij gecontroleerd wordt of de gebruiker daadwerkelijk is wie deze zegt te zijn. Een gebruikelijke manier om dit te verifiëren is door een gebruikers naam en wachtwoord uit te delen aan de gebruiker en deze combinatie te laten opgeven voordat toegang wordt verleend tot de dienst. De wordt in dit voorbeeld gebaseerd op wat iemand weet. Authenticatie kan ook plaats vinden op wat iemand heeft (bijvoorbeeld een smartcard) of wat iemand is (bijvoorbeeld gebaseerd op een vingerafdruk). De term tomorrow moet hierbij breed worden geïnterpreteerd en is zowel van toepassing op onderwerpen die in de nabije toekomst als onderwerpen die in de verdere toekomst relevant worden. De term yesterday wordt gebruikt bij onderwerpen die niet meer actueel zijn of lijken te zijn. Deze indeling is onder andere gebaseerd op de lijst van open standaarden die door het Forum Standaardisatie 8 wordt beheerd en die voor overheidsinstellingen leidend is. De beschreven onderwerpen, en gebruikersbeheer passen in een concept waarin onderwijsinstellingen gebruik willen maken van diensten in de cloud, maar waarin zij de controle over bepaalde aspecten (zoals, en gebruikersbeheer) niet bij de cloud leveranciers willen onderbrengen (bijvoorbeeld om efficiëntie-, flexibiliteits-, veiligheids- of privacyredenen). De volgende figuur illustreert het onderbrengen van, en gebruikersbeheer vanuit de cloud provider bij de instelling. De linker illustratie toont de situatie waarin een instelling gebruik maakt van twee clouddiensten. Als beide clouddiensten hun eigen processen organiseren, betekent dat dat op drie verschillende plaatsen toegangsrechten gedefinieerd moeten worden en op drie verschillende plaatsen de gebruikers aangemaakt (en gewijzigd en verwijderd) moeten worden en dat een gebruiker drie verschillende middelen krijgt om toegang te krijgen tot de verschillende diensten. De rechter illustratie toont de situatie waarin deze zaken alleen centraal geregeld worden en de clouddiensten gebruik maken van de processen en systemen van de instelling. Security cloud provider (s) Als een gebruiker voor elke dienst een apart wachtwoord heeft, wordt gesproken van een digitale sleutelbos. Een dergelijke digitale sleutelbos biedt niet alleen een slecht gebruikersgemak, maar is ook onwenselijk vanuit een beveiligingperspectief aangezien dit het hergebruik van wachtwoorden stimuleert, wat weer kan leiden tot onacceptabele beveiligingsrisico s. Als deze gebruikersaccounts door de clouddienst worden beheerd, brengt dit dus niet alleen extra beheerslast (o.a. in de vorm van extra gebruikersbeheer) met zich mee, maar ook extra veiligheids- en privacyrisico s Federatieve SURFfederatie De SURFfederatie van SURFnet is opgezet volgens een hub-and-spokearchitectuur waarbij zowel dienstverleners als instellingen aansluiten op de SURFfederatie hub. Deze hub verzorgt de communicatie tussen de dienstverleners en de instellingen waarbij de -infrastructuur van de instellingen gebruikt kan worden om toegang te verlenen tot de diensten. Hierdoor hoeven medewerkers en studenten van de instellingen dus niet voor elke dienst een aparte gebruikersnaam en wachtwoord aan te vragen, maar hergebruiken ze hun instellingsaccount op een veilige manier. De SURFfederatie biedt een technische infrastructuur met verschillende koppelvlakken voor federatieve : SAML 2.0. WS-Federation en A-Select. De dienst SURFfederatie is onderdeel van SURFconext. Een veel gebruikte oplossing om deze problemen te voorkomen is federatieve. Door gebruik te maken van een bestaande infrastructuur moeten gebruikers zich met één identiteit kunnen authenticeren voor verschillende diensten, ook in de cloud. 8

5 8 9 De SURFfederatie ondersteunt de mogelijkheid om de -infrastructuur van een onderwijsinstelling te hergebruiken (zie kader) en gebruikers zich met hun instellingsidentiteit te laten authenticeren bij verschillende aangesloten cloud leveranciers, die via SURFconext zijn ontsloten. Ook als onderwijsinstellingen clouddiensten willen afnemen die nog niet zijn aangesloten via SURFconext zijn er verschillende mogelijkheden voor federatieve. In de eerste plaats kan de onderwijsinstelling de dienstverlener doorverwijzen naar SURFnet om zich aan te sluiten op de SURFconext, maar daarnaast kan de SURFconext (dan wordt alleen SURFfederatie deel gebruikt) ook alleen gebruikt worden voor de zonder dat de dienst volledig is aangesloten. Als alternatief kan ook de bestaande -infrastructuur van een instelling zelf hergebruikt worden door de dienst te laten koppelen met een koppelvlak voor dat door zowel de instelling als de dienstverlener wordt ondersteund Betrouwbaarheidsniveaus en sterke Onderwijsinstellingen doen er goed aan om een risicoanalyse uit te voeren om te bepalen welke eisen gesteld moeten worden bij het uitbesteden van diensten in de cloud. Die eisen kunnen invloed hebben op het gewenste niveau van. Waar een combinatie van gebruikersnaam en wachtwoord voor toegang tot een HRM-pakket binnen het relatief veilige eigen netwerk van de instelling wellicht voldoende veilig is, kan het voor een clouddienst de voorkeur hebben om meer zekerheid te hebben over de identiteit van de gebruiker en is een twee-factor vereist. Ook bij toegang tot clouddiensten vanaf smartphones of tablets moeten wellicht andere eisen gesteld worden aan de (mobiele). Ook de trend dat deze apparaten ook nog eens eigendom van de eindgebruikers zelf zijn (Bring Your Own Device) en de instelling dus geen controle meer heeft over de veiligheid van het apparaat, is relevant voor de. SAML Een federatie maakt niet alleen veilige en gebruikersvriendelijk hergebruik van middelen mogelijk, maar maakt het ook mogelijk attributen door te geven, bijvoorbeeld de naam en het adres van een student. Federatieve opent ook de deur voor SSO (Single Sign On), de mogelijkheid om gebruik te maken van verschillende online diensten zonder opnieuw in te loggen als dit eenmaal is gebeurd. De belangrijkste techniek voor federatieve is SAML 2.0 (Security Assertion Markup Language 9 ). Daarnaast kan ook gebruikt worden van social-loginstandaarden, die hieronder besproken worden. OATH Op het gebied van sterke heeft OATH 13,14 (Initiative for Open Authentication) zich tot doel gesteld om oplossingen te leveren die het mogelijk moet maken dat gebruikers zich op alle apparaten en binnen alle netwerken op een betrouwbare manier kunnen authenticeren middels sterke. Hiermee kan op een standaard manier bijvoorbeeld een extra of andere factor (bijvoorbeeld iets wat iemand heeft in de vorm van een token) worden geïntroduceerd in het proces. Google Apps for Education Instellingen die gebruik maken van Google Apps kunnen gebruik maken van federatieve op basis van SAML 2.0 om toegang te krijgen tot persoonlijke , documenten en agenda s. Google Apps for Education is één van de clouddiensten die beschikbaar is via SURFconext en waarvoor een instelling dus geen additionele maatregelen hoeft te nemen om gebruik te kunnen maken de bestaande -infrastructuur. OpenID OAuth Facebook Connect Of de nieuwe versie van OpenID, genaamd OpenID Connect 12 Niet te verwarren met OATH Social login Naast traditionele federatieve kan ook plaatsvinden op basis van de identiteitsinfrastructuur van sociale netwerken. Er zijn verschillende oplossingen in gebruik door de verschillende sociale netwerken. De identiteitsinfrastructuur van Google, Yahoo en Hyves kan gebruikt worden voor naar clouddiensten door gebruik te maken van OpenID 10,11. OpenID is een protocol dat decentrale mogelijk maakt. De gebruiker kan met OpenID een bestaand account hergebruiken om toegang te krijgen tot andere diensten. Afhankelijk van de OpenID provider kunnen onder controle van de gebruiker verschillende attributen worden meegegeven tijdens het proces. Facebook maakt gebruik van Facebook Connect, een eigen oplossing. Twitter en LinkedIn maken gebruik van OAuth 12 (Open Authorization). OAuth is oorspronkelijk ontwikkeld voor, maar is ook zeer goed bruikbaar voor. tiqr tiqr 1, ontwikkeld door SURFnet en beschikbaar als open source, maakt het mogelijk om zonder codes over te typen toch een extra factor te introduceren in het proces. Door tijdens het inlogproces een QR-code te scannen met een smartphone (die wel eerst gekoppeld moet worden aan de gebruiker), te bevestigen dat inderdaad ingelogd gaat worden en door een persoonlijke pincode in te toetsen, wordt meer zekerheid verkregen over de identiteit van de gebruiker (de gebruiker heeft namelijk toegang tot de mobiele telefoon en kent de pincode). tiqr maakt onder andere gebruik van OATH Niet te verwarren met OAuth 3.2 Autorisatie Autorisatie behelst het bepalen wat een gebruiker binnen een applicatie of dienst allemaal wel en niet mag doen. Om de privacy en de veiligheid te beschermen is het van belang dat de toegangsrechten dusdanig kunnen worden gedefinieerd dat gebruikers gedurende de kortst mogelijke tijd zo min mogelijk rechten hebben om hun taak uit te voeren (least privilege). Hiervoor moet het mogelijk zijn om gedetailleerde policies op te stellen. Een ander principe relevant voor de beveiliging van clouddiensten en de privacy van betrokkenen is functiescheiding (separation/segregation of duties). Autorisaties kunnen op verschillende niveaus worden bekeken: op hoog niveau kunnen policies beschreven worden die bepalen wie wanneer waar toegang toe krijgt. Op laag niveau kan beschreven worden hoe deze policies kunnen worden geïmplementeerd en toegepast SURFnet, Federated Authorisation and Group Management in e-science, 2010

6 Policies Aangezien het niet schaalbaar is om voor elke clouddienst opnieuw policies te definiëren, is het handig als beslissingen over s centraal (buiten deze clouddienst) gedefinieerd of gehandhaafd kunnen worden. Om het beheer van toegangsrechten te vereenvoudigen worden s vaak niet direct aan gebruikers gekoppeld, maar worden policies gedefinieerd. Policies worden soms gedefinieerd op basis van rollen, waarbij s gekoppeld worden aan een bepaalde functionele rol binnen de instelling (RBAC; Role Based Access Control). Binnen federatieve omgevingen worden policies vaak op basis van attributen gedefinieerd (ABAC; Attribute Based Access Control), waarbij s worden verleend op basis van bepaalde kenmerken. SURFconext SURFconext is ontwikkeld op basis van open standaarden, waaronder SAML en OpenSocial. Om toegang te krijgen tot de API van SURFconext maakt een clouddienst ook gebruik van OAuth. De gebruiker wordt gevraagd om toestemming te geven en weet welke informatie door de dienst opgevraagd kan worden. Het gaat hier onder andere om de volgende attributen: voornaam, achternaam, adres, user-id en (onderwijs) instelling. tomorrow XACML SAML OAuth 16 SURFnet, Federated Authorisation and Group Management in e-science, https://www.oasis-open.org/committees/xacml Niet te verwarren met OATH (zie sectie 3.1.3) Het definiëren van rollen, zoals in RBAC, maakt het aan de ene kant mogelijk om makkelijker functiescheiding en het principe van least privilege te implementeren en dus de veiligheid te vergroten. Aan de andere kant blijkt RBAC te leiden tot interoperabiliteits- en beheersproblemen: rollen kunnen in verschillende domeinen, tussen en binnen bedrijven, afdelingen of toepassingen een andere betekenis hebben. Doordat functies binnen een organisatie vaak slecht gedefinieerd en afgebakend zijn, neemt het aantal rollen snel toe. ABAC is daarentegen minder statisch en laat het toe om op een dynamische manier s te definiëren op basis van attributen. Attributen kunnen eenvoudiger worden hergebruikt bij verschillende clouddiensten, maar vereisen wel een bepaalde betrouwbaarheid van deze attributen. SURFfederatie Binnen de SURFfederatie zijn afspraken gemaakt over de semantiek en het gebruik van attributen en wordt de eduperson-standaard gebruikt. Op basis van deze attributen (is de gebruiker student of medewerker? Bij welke instelling zit deze gebruiker?) kunnen beslissingen worden genomen Oplossingen Voor de technische implementatie van het communiceren van policies en beslissingen in de cloud bestaan verschillende standaarden 16. XACML 17 (extensible Access Control Markup Language) is een OASIS standaard die ontwikkeld is als taal om policies voor toegangscontrole te beschrijven en als protocol voor beslissingen over toegang. SAML (Security Assertion Markup Language) kan gebruikt worden om XACML berichten te transporteren. XACML wordt nog op beperkte schaal gebruikt, maar het gebruik en de volwassenheid lijken toe te nemen. SAML zelf kan ook gebruikt worden om tijdens het proces attributen uit te wisselen, op basis waarvan de applicatie beslissingen kan nemen. De gebruiker kan met behulp van OAuth 18,19 toegangstokens verstrekken aan clouddiensten, waarmee toegang tot API s kan worden verkregen. Met behulp van deze API s worden vervolgens gegevens opgehaald. De toegangstokens geven toegang tot specifieke API s en zijn slechts voor beperkte tijd geldig en kunnen ook door de gebruiker zelf worden ingetrokken. LinkedIn Om nieuwe connecties toe te voegen aan LinkedIn kan gebruik worden gemaakt van de functionaliteit waarbij een gebruiker kan kijken of mensen met wie al eens per contact is geweest ook lid zijn van deze netwerksite. De traditionele wijze om dit te doen is een export te doen van contactgegevens uit de client en vervolgens een import van die gegevens in LinkedIn, danwel door de logingegevens voor de te delen met het desbetreffende sociale netwerk. Er is echter ook een methode die gebruik maakt van OAuth. Deze is handiger en veiliger. Middels OAuth kan LinkedIn (tijdelijk) toegang krijgen tot de contactgegevens van de webmail (bijvoorbeeld Gmail) zonder dat de inloggegevens voor Gmail worden gedeeld met LinkedIn en zonder dat LinkedIn toegang krijgt tot , agenda of andere gegevens die aan dit account zijn verbonden. tomorrow UMA 20 Bouwend op OAuth (versie 2) maakt UMA (User Managed Access 20 ) het mogelijk om de daadwerkelijke beslissing te centraliseren bij een derde partij die de gebruiker hiervoor heeft gekozen. Dit zorgt ervoor dat de niet meer gefragmenteerd is over de vele cloud providers waar een gebruiker mee te maken heeft. Als een gebruiker een bepaalde partij niet meer vertrouwt, kan deze op één plek alle s intrekken die in verleden aan die partij gegeven zijn. 3.3 Gebruikersbeheer Een belangrijk aspect van het werken in de cloud is het beheer van gebruikers en gebruikersgroepen. Met name het toevoegen van nieuwe gebruikers (provisioning) en het verwijderen van oude gebruikers (deprovisioning) kan voor beheerders een groot probleem opleveren als dit niet op een gestandaardiseerde manier gedaan wordt. Het proces van (de)provisioning is erg gecompliceerd doordat informatie over gebruikers (in de vorm van attributen) door verschillende diensten anders wordt opgeslagen. Ook ontbreekt het aan (het gebruik van) standaarden om deze attributen uit te wisselen. Deze attributen zijn ook niet statisch, maar kunnen veranderen op het moment dat een gebruiker een andere rol krijgt, in een ander team komt te werken of zelfs verandert van werkgever. Elke verandering kan leiden tot een wijziging van de rechten van een gebruiker voor wat betreft het gebruik maken van een clouddienst. Hierbij is het belangrijk te beseffen dat gebruikers nieuwe rechten kunnen krijgen, maar ook bestaande rechten moeten kunnen inleveren. Vanuit het oogpunt van de veiligheid en privacy is het verwijderen van (rechten van) gebruikers belangrijker dan het toevoegen daarvan, omdat gebruikers die geen rechten hebben nu eenmaal geen toegang hebben tot persoonlijke gegevens en weinig schade kunnen toebrengen. Het is daarom van groot belang dat attributen

7 12 13 yesterday SPML tomorrow SCIM op een eenvoudige wijze up-to-date gehouden kunnen worden. Voor deprovisioning is het overigens niet triviaal welke actie ondernomen moet worden op het moment dat een gebruiker wordt verwijderd uit een bronbestand: bij sommige diensten kan de gebruiker inclusief alle opgeslagen gegevens van deze gebruiker volledig worden verwijderd, terwijl in andere gevallen de data moet blijven bestaan, maar de gebruiker daar geen toegang meer toe mag hebben (of misschien wel toegang, maar geen schrijfrechten) (De-)Provisioning standaarden Voor de (de-)provisioning van gebruikers bestaat een aantal standaarden 21. Daarnaast is er ook een aantal grote cloud leveranciers die eigen oplossingen hebben gedefinieerd. De laatste versie van SPML 22 (OASIS Service Provision Markup Language), versie 2.0, is een open standaard opgesteld in 2006 en expliciet bedoeld voor het uitwisselen van gebruikers informatie tussen organisaties. Ondanks het feit dat SPML jarenlang de enige open standaard op dit gebied is geweest, is SPML nooit een groot succes geworden en zal dat nu waarschijnlijk ook niet meer worden. De (vermeende) complexiteit van de standaard en het gebrek aan producten die de standaard geïmplementeerd hebben, zijn hier mede debet aan. Een recente ontwikkeling op het gebied van provisioning is SCIM (Simple Cloud Identity Management 23 ), een standaard die gesteund wordt door onder andere cloud leveranciers (Google, SalesForce.com, VMWare, Cisco) en software leveranciers (Cisco, Ping Identity). Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen. Op dit moment zijn de eerste interoperabiliteitstesten (op basis van versie 1.0 van de specificatie) tussen verschillende partijen achter de rug. Deze testen hebben veel verbeterpunten opgeleverd die in de komende tijd worden verwerkt. Het lijkt er echter op dat SCIM een standaard is geworden om rekening mee te houden. Filesender Filesender 1 is een dienst waarmee gebruikers (grote) bestanden kunnen versturen naar andere gebruikers. Om gebruik te maken van deze dienst moeten gebruikers wel geauthentiseerd worden. SURFnet heeft deze dienst experimenteel beschikbaar gemaakt waarbij de SURFfederatie gebruikt kan worden voor de 2. De provisioning gebeurt hier just-in-time. Oftewel tijdens de wordt met behulp van SAML de benodigde attributen opgevraagd om een nieuw account aan te maken. Deprovisioning vindt automatisch plaats na verloop van tijd. Als deze dienst via SURFconext wordt gebruikt, moet de gebruiker eerst toestemming geven, voordat de attributen die door de instelling worden beheerd, vrijgegeven worden aan de dienst. Als deze toestemming niet wordt gegeven, kan de gebruiker geen gebruik maken van de dienst https://filesender.surfnet.nl cloud provider dan bovenstaande methodes. Ten slotte zal de verbinding met en de toegang tot de LDAP-server goed beveiligd moeten worden, waarbij het geen triviale taak is om dit voor ieder van de aangesloten clouddiensten in te stellen en te onderhouden. Zoals in de introductie van deze paragraaf geschreven, is vanuit veiligheidsoogpunt deprovisioning belangrijker dan provisioning, omdat gebruikers zonder rechten nu eenmaal minder schade kunnen berokkenen dan gebruikers die om wat reden dan ook eigenlijk geen toegang meer zouden mogen hebben tot gegevens. LDAP, SAML, OpenID en OAuth bieden helaas geen goede oplossing voor het deprovisionen van gebruikers. SPML en SCIM 25 ondersteunen wel deprovisioning. SAML OAuth LDAP Terwijl Google en SalesForce.com zich actief bezig houden met de ontwikkeling van SCIM hebben beide reuzen ook nog hun eigen oplossing voor provisioning. Ook SAML, OpenID en OAuth kunnen gebruikt worden voor de provisioning. Zo bevatten de informatie verkregen uit SAML-s (zie sectie 3.1.1) vaak voldoende attributen om (just-in-time) provisioning (en ) te verzorgen. Daarnaast is het met SAML ook mogelijk om deze attributen los van de apart op te vragen. Ook OAuth (zie sectie 3.1.1) kan gebruikt worden om een API bedoeld voor provisioning te implementeren. Het is afhankelijk van de specifieke clouddienst of provisioning via bovenstaande manier kan werken. Naast de reeds genoemde methoden voor provisioning bestaat natuurlijk ook nog de meer traditionele oplossing die gebaseerd is op een centraal register (of directory) met identiteiten en bijbehorende attributen: LDAP (Light-Weight Directory Access Protocol) en de XML variant DSML 24 (Directory Service Markup Language). Deze methode gaat ervan uit dat clouddiensten rechtstreeks toegang hebben tot zo n register en de relevante informatie over gebruikers. Deze methode heeft wel enkele schaalbaarheids- en veiligheidsproblemen. Als de LDAP-server slecht of niet beschikbaar is, heeft dit direct impact op de aangesloten clouddiensten. Bovendien vereist het gebruik van een LDAP-server voor clouddiensten goede afspraken over schema s en hiërarchieën, en meer vertrouwen in de Een gerelateerd onderwerp is dataretentie. Als een gebruiker wordt verwijderd en daarmee ook de gegevens die over een gebruiker door de clouddienst zijn opgeslagen verwijderd mogen (of moeten) worden, moet de cloud leverancier een oplossing beschikbaar hebben die deze informatie ook verwijdert uit back-ups. Hetzelfde geldt overigens voor gegevens die door een gebruiker verwijderd worden. Google Apps for education Een onderwijsinstelling die aan wil sluiten bij Google Apps kan met behulp van de applicatie Google Apps Directory Sync (GADS) gebruikers toevoegen, aanpassen en verwijderen op basis van een LDAP-directory. GADS zorgt ervoor dat aanpassingen in de LDAP-directory automatisch worden doorgevoerd voor Google Apps. Dat wil zeggen dat nieuwe gebruikers binnen een instelling automatisch worden aangemaakt als gebruiker van Google Apps, wijzigingen automatisch worden doorgevoerd en verwijderde mede werkers geen toegang meer hebben tot Google Apps of zelfs dat alle gegevens van een uit de LDAP verwijderde medewerker direct worden verwijderd. GADS biedt tevens de mogelijkheid om attributen te synchroniseren en biedt daarvoor ook een tool om attributen te mappen. 21 Provisioning scenarios in identity federations, SURFnet, juli Hernoemd (31 mei 2012) door de IETF naar

8 Privacy Een goede schriftelijke overeenkomst 26 met de leverancier van een clouddienst kan de zorg voor privacyproblemen voor een deel al wegnemen. Daarnaast kan een goed proces rond gebruikersbeheer, en ervoor zorgen dat persoonlijke informatie niet toegankelijk is voor onbevoegden. Het kan echter noodzakelijk zijn om nog additionele maatregelen te nemen, bijvoorbeeld door het versleutelen van (persoonlijke) gegevens of door gebruik te maken van anonimisatie of pseudonomisatie. Het is goed om te beseffen dat het zowel kan gaan om de bescherming van de privacy van de gebruikers van de clouddiensten (bijvoorbeeld bij het gebruik maken van Gmail) als om de bescherming van de privacy van personen van wie informatie door een clouddienst wordt opgeslagen of verwerkt (bijvoorbeeld bij het gebruik maken van SalesForce.com) Encryptie Versleuteling van gegevens heeft als doel de confidentialiteit en integriteit van gegevens te borgen. Bij de versleuteling van gegevens zijn drie fasen relevant: 1. De versleuteling van gegevens tijdens transport (van de gebruiker naar de clouddienst en omgekeerd of tussen twee clouddiensten) 2. De versleuteling van gegevens bij de clouddienst 3. De versleuteling van gegevens tijdens de bewerking door de clouddienst. Functiescheiding is hier een voorwaarde: (super) gebruikers die toegang hebben tot encryptiesleutels moeten geen toegang hebben tot de gegevens, waarop deze sleutels van toepassing zijn. Dit geldt zowel voor de beheerders van de clouddienst als voor de beheerders van de onderwijsinstelling die de clouddienst gebruiken. Een ander aspect van sleutelbeheer zijn de gevolgen van het verlies van sleutels. In dat geval zijn vaak ook de beschermde gegevens niet meer toegankelijk. Sleutelbeheer is een belangrijk onderdeel van de encryptie. Voor clouddiensten die gegevens moeten bewerken, is het meestal niet mogelijk om de gegevens versleuteld op te slaan. Er zijn echter wel alternatieven die de privacy van betrokkenen kunnen beschermen: Middels integratie van een publieke cloud met een private cloud kan ervoor gezorgd worden dat de gevoelige informatie in de private cloud wordt opgeslagen, terwijl de publieke cloud alleen een referentie naar deze gegevens bevat. Als de clouddienst voldoende fijnmazige toegangscontrole toelaat, kan door functiescheiding worden voorkomen dat gebruikers ongewenst toegang krijgen tot teveel informatie. Hiervoor is het natuurlijk ook noodzakelijk om persoonlijke gegevens te scheiden van de overige inhoud. Door het anonimiseren (of pseudonimiseren) van persoonlijke gegevens wordt de privacygevoeligheid van de gegevens beperkt en daarmee de privacy van betrokkenen beter beschermd. De versleuteling van gegevens tijdens het transport is voor gevoelige (persoonlijke) gegevens altijd belangrijk, maar versleuteling bij de clouddienst en tijdens de verwerking van gegevens is gecompliceerder, bijvoorbeeld als andere clouddiensten gebruik moeten maken van de opgeslagen gegevens of als er gecompliceerde bewerking uitgevoerd moeten worden met de opgeslagen gegevens. Overigens is het voor de bescherming van de privacy niet alleen noodzakelijk om de (persoonlijke) gegevens goed te versleutelen, maar moeten ook logbestanden, metagegevens, tijdelijke bestanden en back-ups worden versleuteld en waar mogelijk geanonimiseerd worden door de clouddienst. yesterday SSL TLS De internetverbinding waarover (persoonlijke) gegevens van of naar een clouddienst worden gecommuniceerd moet altijd beschermd worden om te voorkomen dat kwaadaardige software de gegevens onderschept, tijdens het transport aanpast of kan doen alsof het zelf de verzender is. TLS 27 (Transport Layer Security) is de opvolger van SSL 28 (Secure Socket Layers). TLS maakt meestal gebruik van certificaten gebaseerd op PKI (Public Key Infrastructure), waarbij een certificaatautoriteit de certificaten uitgeeft en beheert. TLS verzorgt op deze manier een veilig communicatiekanaal. Daarnaast kunnen de gegevens die over dit kanaal worden gecommuniceerd ook zelf versleuteld worden. Hiervoor is een voldoende sterke versleuteling nodig, bijvoorbeeld AES-256. Versleuteling moet in ieder geval altijd plaatsvinden volgens open, gevalideerde methoden. Eigen methoden moeten worden vermeden. Voor zover de toepassing het toestaat, is versleuteling van de gegevens die worden opgeslagen bij de clouddienst ook aan te bevelen. Deze versleuteling kan enerzijds gedaan worden door de clouddienst en anderzijds door de gebruiker zelf. Als de gebruiker de gegevens zelf versleuteld én de sleutel zelf beheert, kan alleen de gebruiker toegang krijgen tot de onversleutelde gegevens. Als de versleuteling door de clouddiensten wordt uitgevoerd, heeft deze dienst vaak ook toegang tot de sleutels. Dit zorgt ervoor dat er een risico blijft bestaan dat beheerders van de clouddienst (of hackers) toegang krijgen tot de opgeslagen gegevens. Dropbox in combinatie met TrueCrypt Dropbox was de eerste veelgebruikte clouddienst waarmee gebruikers bestanden in de cloud kunnen opslaan en delen. Dropbox slaat bestanden echter niet versleuteld op, waardoor het voor medewerkers 1 en bij een incident in 2011 onbekenden 2 ook toegang hebben tot deze gegevens. Dropbox kan echter ook gebruikt worden in combinatie met TrueCrypt 3, een gratis open-source encryptie oplossing, die bestanden of folders on-the-fly versleutelt. Door zo n versleutelde folder in de Dropbox te plaatsen, wordt het beveiligingsprobleem opgelost, maar is het niet meer mogelijk om op individuele basis bestanden uit deze versleutelde folder te delen met anderen. Er verschijnen de laatste tijd steeds meer oplossingen die net als Dropbox cloud opslag aanbieden, maar waarbij de gegevens standaard versleuteld worden Cloud Computing & Privacy : Checklist privacy afspraken, SURFnet/Kennisnet innovatieprogramma Cloud Computing,

9 16 17 Filesender Filesender (zie ook sectie 3.3.1) kan gebruikt worden om (grote) bestanden te versturen van de ene gebruiker naar de andere gebruiker. Tijdens het transport kunnen deze bestanden beveiligd worden door gebruik te maken van TLS/SSL, maar om de gegevens optimaal te beschermen zal de gebruiker de bestanden vooraf moeten versleutelen (met bijvoorbeeld TrueCrypt). Als de ontvangende partij de juiste sleutel heeft, kan deze de bestanden achteraf weer ontcijferen. Een versleutelfunctionaliteit is overigens wel gepland voor een toekomstige versie. Security cloud provider (s) Figuur 2. Authenticatie, en gebruikersbeheer-as-a-service tomorrow U-Prove tomorrow Idemix Stemmen Anonieme credentials kunnen bijvoorbeeld goed worden gebruikt bij het uitvoeren van een anonieme stemming in de cloud. In een dergelijk scenario is het belangrijk om te weten dat iemand niet al eens eerder heeft gestemd, maar aan de andere kant is het van belang dat niet bekend is (of kan worden) wie waarop heeft gestemd. Anonieme credentials kunnen hier goed voor zorgen. Nieuwe ontwikkelingen op het gebied van encryptie maken het mogelijk om in versleutelde gegevens te zoeken (searchable encryption) of zelfs bewerkingen uit te voeren met versleutelde gegevens (homomorphic encryption) Anonieme credentials Zoals beschreven in de vorige paragraaf kan anonimisatie van gegevens gebruikt worden om de privacy te beschermen van betrokkenen, bijvoorbeeld van studenten in een studentenadministratie. Daarnaast kan anonimisatie ook gebruikt worden om anoniem toegang te krijgen tot gegevens en zo de privacy van de gebruiker te beschermen. Met behulp van anonieme credentials kan een gebruiker toegang krijgen zonder z n identiteit vrij te geven. Idemix 29 en U-Prove 30 zijn de twee belangrijkste technieken om anonieme credentials te realiseren waarbij, met behulp van IBM s Idemix bewezen kan worden dat er credential is zonder deze te laten zien en met behulp van Microsofts U-Prove telkens een nieuw credential wordt gebruikt. Beide oplossingen hebben voor- en nadelen 31 op het gebied van privacy en performance. De huidige toepasbaarheid van beide standaarden is nog beperkt. 3.5 As-a-Services Behalve het afnemen van diensten in de cloud is het ook mogelijk om de veiligheid en privacy van clouddiensten te ondersteunen door andere clouddiensten te gebruiken. Het gaat hier om onderwerpen, zoals beschreven in de eerdere paragrafen van dit rapport die zelf als clouddienst worden aangeboden, zoals Identity-as-a-Service. De volgende figuur geeft weer hoe de situatie er uit zou zien als clouddiensten gebruik maken van een centrale, en accountmanagement oplossing, die zelf als clouddienst aangeboden wordt. In de praktijk zal dit wellicht door verschillende clouddiensten gedaan kunnen worden Zie en The Growing Adoption of Cloud-Based Security Services, Gartner, 3 mei 2012 Cloud / personal storage Gartner 32 voorspelt een sterke toename van dergelijke cloud-gebaseerde diensten, maar laat tevens zien dat deze diensten op dit moment nog maar beperkt beschikbaar zijn. Beveiligingstools die nu wel al afgenomen worden als dienst in de cloud zijn onder andere gateways die en webverkeer beveiligen door middel van malware detectie en spamfilters en diensten die kwetsbaarheden in het netwerk detecteren en bescherming bieden tegen DDoS-aanvallen. Security-as-a-Service (SecaaS) is een term die gebruikt wordt voor clouddiensten die zich richten op de veiligheid van clouddiensten en de gegevens die in de cloud worden opgeslagen, bijvoorbeeld in de vorm van een virusscanner of spamfilter. SecaaS kent vele mogelijke verschijningsvormen, bijvoorbeeld op het gebied van identiteiten en toegangscontrole, web- en beveiliging, encryptie en netwerkbeveiliging. Identity-as-a-Service (IDaaS) is de naam voor een dienst die het proces van het beheren van identiteiten en het authenticeren van gebruikers op zich neemt. Voorbeelden van dienstverleners die deze dienst aanbieden zijn iwelcome en Digidentity. Ook providers van sociale logins (vaak gebaseerd op OpenID of OAuth), zoals Google, Facebook en Hyves kunnen gezien worden als Identity-as-a-Service providers, hoewel de betrouwbaarheid van de identiteiten beperkt is (dat wil zeggen, er is weinig zekerheid over de identiteit van de gebruiker die geauthentiseerd wordt) en dus eigenlijk over Authentication-as-a-Service gesproken zou moeten worden. Key-management-as-a-Service neemt een belangrijke zorg uit handen op het gebied van versleuteling, namelijk het beheer van de sleutels. Als de versleuteling in de cloud wordt uitgevoerd, is het verstandig om het sleutelbeheer daar niet plaats te laten vinden. Het zelf beheren van sleutels levert voor een instelling echter ook nieuwe uitdagingen op om dit op een voldoende veilige manier uit te voeren. Er zijn echter ook cloudleveranciers die diensten aanbieden om deze zorg uit handen te nemen. Porticor is één voorbeeld van een dienstverleners die Keymanagement als een clouddienst aanbiedt. Voor het ontsleutelen van gegevens die in de cloud zijn opgeslagen, maakt het gebruik van een hoofdsleutel die in het bezit is van een beheerder en sleutels per dataobject die door de dienst van Porticor worden beheerd. Homomorphische versleuteling zorgt ervoor dat de hoofdsleutel ook tijdens het gebruik niet ontcijferd of gestolen kan worden. Door diensten ten behoeve van security en privacy uit te besteden aan de cloud worden instellingen verder ontzorgd van de complexe problemen. Een cloudgebaseerde dienst kan - en internetverkeer filteren op spam, phishing s, virussen en malware en er zo voor zorgen dat beveiligingsrisico s worden beperkt. Instellingen hoeven zich op deze manier geen zorgen meer te maken over het up-to-date zijn van virusdefinities of het feit dat gebruikers de lokale beveilingsmaatregelen omzeilen.

10 18 19 Cloud Dienst Security cloud Security cloud provider (s) provider (s) Cloud Dienst Spotify met Facebook Spotify is een clouddienst gebruikers toegang geeft tot muziek en (eigen) afspeellijsten en die het mogelijk maakt deze muziek en lijsten te delen met vrienden. Spotify heeft besloten om geen eigen identiteiten te beheren, maar volledig gebruik te maken van de identiteiten die Facebook als dienst beschikbaar stelt. Facebook wordt hier dus gebruikt als Identity-as-a-Service provider. Het is ook mogelijk om clouddiensten te koppelen aan de personal cloud 33. Gebruikers van de personal cloud kunnen dan expliciet toegang verlenen aan deze diensten tot bepaalde (persoonlijke) gegevens die opgeslagen zijn binnen een personal data store. De dienst mag deze data verwerken (maar niet opslaan) en de resultaten terugkoppelen aan de gebruiker. Op deze manier houdt de gebruiker de volledige controle over z n persoonlijke gegevens (als de personal data store en de clouddienst tenminste te vertrouwen zijn). Cloud Dienst 3.6 De volgende generatie: Personal (Storage) Clouds Bij de huidige generatie clouddiensten (SaaS) wordt software als een dienst aangeboden en kan deze software data verwerken die binnen deze dienst beschikbaar wordt gemaakt. Er is een ontwikkeling die het mogelijk maakt dat de data niet meer door de cloud leverancier worden beheerd, maar dat de gebruiker (of de onderwijsinstelling) zelf kiest waar de data worden beheerd. De volgende figuren tonen dit schematisch aan, waarbij de data overigens ook bij de instelling (of gebruiker) zelf kunnen staan. Unhosted Unhosted 1 biedt een platform, waarin webapplicaties en de data die ze nodig hebben en gebruiken gescheiden worden. Zo wordt het mogelijk om als gebruiker zelf aan te geven welke databron gebruikt moet worden bij een bepaalde dienst. Diensten kunnen transparant gebruik maken van de opslagruimte die door de gebruiker wordt aangewezen. De opslagruimte kan geleverd worden door cloud providers, maar instellingen (of gebruikers) kunnen ook hun bestaande opslagruimte geschikt maken voor Unhosted-toepassingen. SURFnet voert een pilot uit met Unhosted. Binnen deze pilot wordt een clouddienst gebruikt waarbij gebruikers zelf opslagruimte meenemen in de vorm van een Unhosted Personal Cloud. Gebruikers hebben zelf volledige controle over toegang tot gegevens die hier worden opgeslagen. De opslagruimte wordt geleverd door SARA. 1 Cloud Dienst Cloud Dienst Cloud Dienst Cloud / personal Cloud personal storage storage Figuur 3. Gegevens worden opgeslagen bij de clouddienst Figuur 4. Gegevens worden opgeslagen onder controle van de instelling / gebruiker Met de introductie van Data Vaults zoals Dropbox, Microsoft Skydrive, Apple icloud, Acers AcerCloud en recent Google Drive kunnen gebruikers toegang krijgen tot hun persoonlijke bestanden die in de cloud staan. Deze oplossingen zijn dus feitelijk implementaties van de Personal (Storage) Cloud. Gebruikers kunnen hun persoonlijke bestanden zelf beheren en in sommige gevallen anderen toegang verlenen tot deze bestanden. Uitdagingen van de publieke cloud (zoals beschreven in dit rapport) zijn zeker van toepassing op de persoonlijke cloud en oplossingen zijn nog minder beschikbaar. Personal Data Stores zijn vergelijkbaar met een Personal Cloud en hebben betrekking op de opslag, het beheer en het delen van persoonlijke gegevens. Qiy Ook binnen het platform van Qiy 1 worden de web applicaties gescheiden van de gegevens, maar Qiy beheert zelf de (trusted) personal data store. Qiy biedt daarnaast een interface aan waarmee de opgeslagen gegevens toegankelijk gemaakt kunnen worden voor dienstverleners. De gegevens zelf worden aangeleverd door andere dienstverleners waarbij er vanzelfsprekend semantische eisen worden gesteld. De gebruiker is zelf altijd in controle en moet toestemming verlenen voordat data beschikbaar wordt gesteld aan derden. Een concrete toepassing van Qiy mis het digitaal beschikbaar stellen van salarisstrookjes aan een medewerker door (een dienstverlener die ingehuurd is door) de werkgever. De medewerker kan vervolgens een verzekeraar toegang verlenen tot deze gegevens om een passende offerte aan te vragen voor bijvoorbeeld een levensverzekering. De verzekeraar krijgt dus tijdelijk toegang tot de gegevens, maar hoeft de persoonlijke informatie van de gebruiker niet op te slaan om antwoord te kunnen geven op de vraag van de gebruiker Door Kuppinger Cole wordt zo n platform een Life Management Platform genoemd.

11 Samenvatting Dit rapport laat zien dat het mogelijk en noodzakelijk is om naast juridische maatregelen, ook technische maatregelen te nemen om de privacy en beveiliging van clouddiensten te ondersteunen. Deze technische maatregelen zorgen ervoor dat de risico s van het afnemen van diensten in de cloud beperkt worden. Tevens zorgen zij dat de beheerstaken efficiënter gedaan kunnen worden en zorgen ook voor meer gemak bij Appendix A. CSA s 14 domains involved in governing or operating the cloud de gebruiker. De beschreven maatregelen richten zich met name op manieren waarop gebruik gemaakt kan worden van binnen de onderwijsinstelling gebruikte oplossingen De Cloud Security Alliance (CSA 34 ) definieert 14 domeinen met betrekking tot cloud en processen rondom, en gebruikersbeheer. computing. Deze domeinen zijn verdeeld over drie gebieden: architectuur, toezicht en operatie. Hergebruik van infrastructuren voorkomt een digitale sleutelbos, beperkt daarmee de risico s van het hergebruik van wachtwoorden en zorgt voor Cloud Architecture meer gemak bij gebruikers. 1. Cloud Computing Architectural Framework Als de rechten van gebruikers binnen een clouddienst bepaald kunnen worden op basis van reeds bestaande kenmerken van deze gebruikers (bv. ik ben student ) Governing in the Cloud kunnen s gemakkelijker toegewezen, aangepast en ingetrokken worden. 2. Governance and Enterprise Risk Management Hierdoor wordt het vervolgens eenvoudiger om een scheiding van functies te reali- 3. Legal Issues: Contracts and Electronic Discovery seren en om te voorkomen dat bijvoorbeeld oud-medewerkers toegang krijgen tot 4. Compliance and Audit Management gevoelige (persoonlijke) gegevens. 5. Information Management and Data Security Het aanmaken en actueel houden van gebruikersaccounts voor alle mogelijke cloud- 6. Interoperability and Portability diensten geeft een hoge beheerslast. Op standaarden gebaseerde tools die zorgen voor de provisioning en deprovisioning kunnen deze last minimaliseren. Operating in the Cloud De privacy van studenten en medewerkers die gebruik maken van clouddienst wordt 7. Traditional Security, Business Continuity and Disaster Recovery deels beschermd door bovengenoemde zaken te realiseren binnen de onderwijsin- 8. Data Center Operations stelling. Daarnaast zorgt de versleuteling van gegevens (tijdens transport, opgesla- 9. Incident Response gen en tijdens verwerking) ervoor dat de privacy verder wordt beschermd. 10. Application Security 11. Encryption and Key Management Als clouddiensten afgenomen worden via SURFconext, de samenwerkingsinfrastruc- 12. Identity, Entitlement, and Access Management tuur van SURFnet, zijn veel van deze zaken al geregeld. Als onderwijsinstellingen zelf 13. Virtualization clouddiensten afnemen, doen ze er goed aan deze onderwerpen te bespreken met de 14. Security as a Service cloudleverancier. Tools die de cloudleverancier beschikbaar stelt moeten waar mogelijk gebaseerd zijn op (open) standaarden om vendorlock-in en overbodig maatwerk te voorkomen, interoperabiliteit te verbeteren, en implementatietijd te verkorten. Dit rapport beschrijft tenslotte twee nieuwe ontwikkelingen op het gebied van cloud computing, namelijk as-a-services en Personal Clouds. As-a-Services maken het mogelijk om bovengenoemde tools en diensten in de cloud af te nemen. Identityas-a-Service maakt het bijvoorbeeld mogelijk om gebruikers in de cloud te laten authenticeren en ook het beheer van s in de cloud te verzorgen, waarbij deze dienst kan worden gebruikt voor alle diensten die in de cloud gebruikt worden. Het gebruik van Personal Clouds zorgt er onder meer voor dat gegevens niet langer onder beheer van de cloud leveranciers gebeurt, maar onder beheer van de gebruiker. De gebruiker kan zelf aangeven welke opslagruimte gebruikt wordt en wie daar toestemming toe heeft. 34 https://cloudsecurityalliance.org/research/security-guidance/

12 22 23 Appendix B. Maturity models, Richtlijnen, Certificaten en Standaarden Colofon Auteurs: Wouter Bokhove, Maarten Wegdam, Jocelyn Manderveld, Joost van Dijk Ontwerp en opmaak: Vrije Stijl Utrecht Maturity Models en richtlijnen Datum: September 2012 In navolging van CMM (Capability Maturity Model), een model dat aangeeft op welk niveau de software-ontwikkeling van een organisatie zich bevindt, zijn er allerlei Copyright: Creative Commons Naamsvermelding 3.0 Nederland licentie. modellen ontwikkeld om de volwassenheid van andere processen te meten. Op het Zie ook gebied van de beveiliging van software kunnen onder andere de volgende modellen worden gebruikt: Programma: SURFworks Building Security in Maturity Model (BSIMM2) Software Assurance Maturity Model (SAMM) Dit rapport is tot stand gekomen met steun van SURF, de organisatie die ICT Security Maturity Model (SMM) vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert Systems Security Engineering Capability Maturity Model (SSE-CMM) door onder meer het financieren van projecten. Meer informatie over SURF is te (is gelijk aan ISO 21827) vinden op de website (www.surf.nl). Information Security Management Maturity Model (ISM3 of ISM-cubed) Overige richtlijnen voor het ontwikkelen van veilige software zijn onder andere: Fundamental Practices for Secure Software Development 35 van SAFECode (Software Assurance Forum for Excellence in Code) Secure Coding Standards van CERT FISMA (Federal Information Security Management Act of 2002) van de Amerikaanse overheid Privacy Audit Proof gebaseerd op richtlijn 3600 Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (Privacy-audits) van NIVRA (Koninklijk Nederlands Instituut van Registeraccountants) en NOREA (de beroepsorganisatie van IT-auditors) Certificaten en standaarden Voor de beveiliging van clouddiensten kunnen door verschillende (onafhankelijke) instanties certificaten worden uitgereikt voor het voldoen aan verschillende standaarden. Cloudleveranciers moeten in sommige gevallen aan deze standaarden voldoen om in aanmerking te komen als leverancier voor organisaties met strikte richtlijnen rond de beveiliging van (persoons)gegevens. Noemenswaardig zijn: SOx (Sarbanes-Oxley), de wet van de Amerikaanse overhead die het besturen van bedrijven en de financiële verslaggeving regelt. SSAE 16, gebouwd op basis van ISAE 3402 als vervanger van SAS 70 HIPAA (Health Insurance Portability and Accountability Act) van de Amerikaanse overheid ISO en (Norm voor informatiebeveiliging) PCI-DSS (Data Security Standard van de PCI [Payment Card Industry] Security Standards Council) 35

13 24 SURF Graadt van Roggenweg 340 Postbus GG Utrecht T +31 (0) F +31 (0)

Privacy & security in de cloud een verkenning van tools en technieken

Privacy & security in de cloud een verkenning van tools en technieken Privacy & security in de cloud een verkenning van tools en technieken Project : SURFworks Projectjaar : 2012 Projectmanager : Jocelyn Manderveld Auteur(s) : Wouter Bokhove, Maarten Wegdam Reviewer(s) Opleverdatum

Nadere informatie

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE versie 2.0, 14 april 2010 SURFNET BV, R ADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA U TRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET. NL INHOUD 1.

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Implementatiekosten en baten van SURFconext Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Dit document geeft een antwoord op de vraag hoeveel een aansluiting op SURFconext kost. Introductie... 1

Nadere informatie

Dienstbeschrijving SURFconext

Dienstbeschrijving SURFconext Auteur(s): S. Veeke Versie: 1.0 Datum: 1 augustus 2015 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht +31 88 787 3000 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht

Nadere informatie

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12 Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12 Algemene ontwikkelingen Authenticatie en autorisatie buiten applicaties Onderscheid in micro-

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van LimeSurvey aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 4 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Wordpress aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 7 november 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

owncloud centraliseren, synchroniseren & delen van bestanden

owncloud centraliseren, synchroniseren & delen van bestanden owncloud centraliseren, synchroniseren & delen van bestanden official Solution Partner of owncloud Jouw bestanden in de cloud Thuiswerken, mobiel werken en flexwerken neemt binnen organisaties steeds grotere

Nadere informatie

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

SAML & FEDERATED IDENTITIES. The Single Sign-on provider SAML & FEDERATED IDENTITIES The Single Sign-on provider Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van BigBlueButton aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 1 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305

Nadere informatie

(Door)ontwikkeling van de applicatie en functionaliteiten

(Door)ontwikkeling van de applicatie en functionaliteiten Hieronder is een aantal belangrijke zaken uitgewerkt rondom het Saas/Cloudmodel op basis waarvan InCtrl haar internetsoftware-omgevingen aanbiedt. Dit document is bedoeld om een algemeen beeld te krijgen

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure Asset 1 van 7 Over het bouwen van cloudoplossingen Gepubliceerd op 24 february 2015 Praktische handleiding voor ontwikkelaars die aan de slag willen met het maken van applicaties voor de cloud. Zij vinden

Nadere informatie

Het gebruik van OSB ebms contracten in complexe infrastructuren

Het gebruik van OSB ebms contracten in complexe infrastructuren Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Kenmerken Nomadesk Software

Kenmerken Nomadesk Software Kenmerken Nomadesk Software DATABEVEILIGING Versleutelde lokale schijf Nomadesk creëert een veilige virtuele omgeving, een Vault, op uw lokale harde schijf. Alle mappen en bestanden opgeslagen op de Vault

Nadere informatie

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY Hans Breukhoven BlinkLane Consulting 18 September 2012 2 Wie ben ik? Partner bij BlinkLane Consulting Interim IT-manager & adviseur

Nadere informatie

CLOUD COMPUTING. Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best

CLOUD COMPUTING. Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best CLOUD COMPUTING Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best Wat is Cloud computing? Computer proces op basis van gegevens opslag ergens in de wolken. Online

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper Naar de cloud: drie praktische scenario s Zet een applicatiegerichte cloudinfrastructuur op whitepaper Naar de cloud: drie praktische scenario s Veel bedrijven maken of overwegen een transitie naar de

Nadere informatie

Autorisatierollen beheren

Autorisatierollen beheren Handleiding en autorisatiemodel Auteur: SURFnet Versie: 3.2 Datum: Juli 2015 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088 7873000 admin@surfnet.nl www.surf.nl ING Bank NL54INGB0005936709

Nadere informatie

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de

Nadere informatie

Handleiding. Opslag Online. voor Android. Versie februari 2014

Handleiding. Opslag Online. voor Android. Versie februari 2014 Handleiding Opslag Online voor Android Versie februari 2014 Inhoudsopgave Hoofdstuk 1. Inleiding 3 Hoofdstuk 2. Installatie 4 2.1 Opslag Online downloaden via QR-code 4 2.2 Opslag Online downloaden via

Nadere informatie

Handleiding. Opslag Online voor Windows Phone 8. Versie augustus 2014

Handleiding. Opslag Online voor Windows Phone 8. Versie augustus 2014 Handleiding Opslag Online voor Windows Phone 8 Versie augustus 2014 Inhoudsopgave Hoofdstuk 1. Inleiding 3 Hoofdstuk 2. Installatie 4 2.1 Downloaden van KPN Opslag Online QR Code 4 2.2 Downloaden van KPN

Nadere informatie

Handleiding voor beheerders SesamID

Handleiding voor beheerders SesamID Handleiding voor beheerders SesamID Versie 3.0 Mei 2013 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit

Nadere informatie

Analyse groepsmanagement

Analyse groepsmanagement Analyse groepsmanagement Bob Hulsebosch & Arnout van Velzen 28-9-2015 @ SURFnet Utrecht Research based advice Identity software Value through innovation digitalization in networks of organizations Identity,

Nadere informatie

Hoe veilig is de cloud?

Hoe veilig is de cloud? Hoe veilig is de cloud? Auteur: Miranda van Elswijk en Jan-Willem van Elk Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Onderwijs-

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Dé cloud bestaat niet. maakt cloud concreet

Dé cloud bestaat niet. maakt cloud concreet Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Technologieverkenning

Technologieverkenning Technologieverkenning Videocontent in the cloud door de koppeling van MediaMosa installaties Versie 1.0 14 oktober 2010 Auteur: Herman van Dompseler SURFnet/Kennisnet Innovatieprogramma Het SURFnet/ Kennisnet

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Strategisch omgaan met de cloud

Strategisch omgaan met de cloud http://www.flickr.com/photos/mseckington/ Strategisch omgaan met de cloud Floor Jas, Hoofd Advanced Services, SURFnet bv Floor.Jas@SURFnet.nl Issues met cloud Privacy Dataportabiliteit Beveiliging Koppelbaarheid

Nadere informatie

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases Martiris 2011 Secure Private Data Gegevensbescherming in Oracle Databases Inhoudsopgave INTRODUCTIE... 3 HISTORIE... 4 SECURE PRIVATE DATA: FUNCTIONEEL... 4 A) ROW LEVEL SECURITY... 4 B) COLUMN MASKING...

Nadere informatie

Zakelijk gebruik van je smartphone, tablet en PC. Marcel Maspaitella tools2work Cybersoek, 25 juni 2013

Zakelijk gebruik van je smartphone, tablet en PC. Marcel Maspaitella tools2work Cybersoek, 25 juni 2013 Zakelijk gebruik van je smartphone, tablet en PC Marcel Maspaitella tools2 Cybersoek, 25 juni 2013 Onderwerpen n Synchronisatie n Email systemen n Outlook n Gmail IMAP in de praktijk n Overzetten van gegevens

Nadere informatie

Register Your Own Device

Register Your Own Device Register Your Own Device Peter Jurg m7 12-3- 13 Even voorstellen security en IAM expert > 20 jaar ervaring bedrijfsleven, onderwijs en overheid co- auteur van een boek over idennty management ik heb meerdere

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Wat is de cloud? Cloud computing Cloud

Wat is de cloud? Cloud computing Cloud The Cloud Agenda Wat is de cloud? Ontwikkelingen en trends in de markt Bedrijfsstrategie Voordelen en vraagtekens Werken in de cloud: Hoe? Veiligheid & privacy Toepasbaarheid in breder verband Demo Borrel

Nadere informatie

Federatief Identity Management in de Zorg

Federatief Identity Management in de Zorg Federatief Identity Management in de Zorg Thema middag EZDA Jaap Kuipers Id Network Amstelveen 31 januari 2013 Identiteit: wie is iemand administratieve identiteit: naam, nummer, code Verpleegster Wijkverpleegkundige,

Nadere informatie

AGDLP. ~ maar waarom eigenlijk?

AGDLP. ~ maar waarom eigenlijk? AGDLP ~ maar waarom eigenlijk? Edward Willemsen, [em'bed], 2011 Algemeen Wie ooit beheer heeft gedaan binnen een Microsoft omgeving is bekend met de diverse typen groepen. In de loop der jaren zijn hier

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Samen in het onderwijs draadloos koppelen met de cloud

Samen in het onderwijs draadloos koppelen met de cloud Samen in het onderwijs draadloos koppelen met de cloud Remco Rutten 20 september 2012 Naam Functie Cloud cloud cloud dat a explosion Mobile mobile mobile device explosion Go go go st udy + w ork + play

Nadere informatie

Dienstbeschrijving Cloud. Een dienst van KPN ÉÉN

Dienstbeschrijving Cloud. Een dienst van KPN ÉÉN Dienstbeschrijving Cloud Een dienst van KPN ÉÉN Versie : 1.0 Datum : 12 april 2016 Inhoud 1 Dit is Cloud 3 2 Dit is Office 365 4 3 Specificatie Domeinnamen 7 4 Technische voorwaarden en service 8 Blad

Nadere informatie

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting RACKBOOST Hosted Exchange Mobiel, veilig en eenvoudig hosting support consulting RACKBOOST Hosted Exchange RACKBOOST, SINDS 1999 TOONAANGEVEND RACKBOOST is sinds 1999 een toonaangevende Belgische leverancier

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint

De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint Impact Cloud Computing staat volop in de belangstelling Low High Augmented

Nadere informatie

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver. Privacy Policy Wij respecteren jouw privacy. Jouw gegevens worden niet ongevraagd met derden gedeeld en je kunt zelf beslissen welke gegevens je wel of juist niet online wilt delen. Benieuwd naar alle

Nadere informatie

Neptune. Het complete integratieplatform voor uw organisatie! BROCHURE OPTIMALISEREN VAN INFORMATIE EN PROCESSEN

Neptune. Het complete integratieplatform voor uw organisatie! BROCHURE OPTIMALISEREN VAN INFORMATIE EN PROCESSEN BROCHURE Neptune Het complete integratieplatform voor uw organisatie! OPTIMALISEREN VAN INFORMATIE EN PROCESSEN Axians Rivium Boulevard 41 2909 LK Capelle aan den IJssel Tel: +31 88 988 96 00 - www.axians.nl

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

Cloud werkplek anno 2014. Cloud werkplek anno 2014

Cloud werkplek anno 2014. Cloud werkplek anno 2014 Introductie Peter Klix Infrastructuurarchitect Specialisatie networking en desktop concepts Peter.klix@eic.nl Cloud desktop Introductie Desktop concepten door de jaren Infrastructuur Cloud concepten Focus

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015 Introductie iwelcome Paul Eertink product marketing lustrum e-herkenning 2015 Voorstelrondje o Naam o Functie o Bedrijf o Waar hoop je antwoord op te krijgen in deze sessie 2 iwelcome BV 2015 Confidential

Nadere informatie

Het Nieuwe Werken in de praktijk

Het Nieuwe Werken in de praktijk Het Nieuwe Werken in de praktijk Business cases en ervaringen Jan van der Meij Geert Wirken 4 april 2012 Inhoud Wat is Het Nieuwe Werken? Bring Your Own Device Cloud Computing Business cases Afronding

Nadere informatie

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Bijlage 2 bij Privacyreglement NIVEL Zorgregistraties eerste lijn Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Pseudonimisatie Onder 'pseudonimisatie'

Nadere informatie

Patiënt Intelligence Panel Limited ("wij", "ons" of "onze") is toegewijd aan het beschermen en respecteren van uw privacy.

Patiënt Intelligence Panel Limited (wij, ons of onze) is toegewijd aan het beschermen en respecteren van uw privacy. Patiënt Intelligence Panel Limited, Privacy Policy 1 Inleiding Patiënt Intelligence Panel Limited ("wij", "ons" of "onze") is toegewijd aan het beschermen en respecteren van uw privacy. Dit privacy-beleid

Nadere informatie

Handleiding voor gebruikers

Handleiding voor gebruikers Handleiding voor gebruikers September 2012 Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Wat is KennisID... 3 Wat is een profiel... 3 Rollen... 3 Helpdeskprocedure... 5 Profiel valideren... 6 Stap 1

Nadere informatie

Doel is, dat dit document uiteindelijk een visie formuleert, waar de volgende partijen achter kunnen staan:

Doel is, dat dit document uiteindelijk een visie formuleert, waar de volgende partijen achter kunnen staan: User Profile Repository Art Recommender Visie document Versie 2.0 1 juli 2011 Auteurs Hennie Brugman, technisch coordator CATCHPlus hennie.brugman@meertens.knaw.nl Doel is, dat dit document uiteindelijk

Nadere informatie

Gebruik tweefactorauthenticatie

Gebruik tweefactorauthenticatie Gebruik tweefactorauthenticatie Overweeg een wachtwoordmanager, simpele wachtwoorden zijn onveilig Factsheet FS-2015-02 versie 1.0 24 maart 2015 Accounts worden beveiligd door middel van een gebruikersnaam

Nadere informatie

Hosted Exchange. Uw kantoor en gegevens altijd binnen handbereik.

Hosted Exchange. Uw kantoor en gegevens altijd binnen handbereik. Hosted Exchange Uw kantoor en gegevens altijd binnen handbereik. HOSTED EXCHANGE Hosted Exchange is een zakelijke oplossing waarmee u altijd beschikking heeft over uw e-mail, agenda en contactpersonen.

Nadere informatie

Verkenning functionaliteit voor ontsluiting (cloud)diensten en leermateriaal in het MBO Samenwerking SURF, Kennisnet en

Verkenning functionaliteit voor ontsluiting (cloud)diensten en leermateriaal in het MBO Samenwerking SURF, Kennisnet en Verkenning functionaliteit voor ontsluiting (cloud) en leermateriaal in het MBO Samenwerking SURF, Kennisnet en sambo-ict Bas Kruiswijk V1.0, [datum: 18 maart 2013] Inhoudsopgave 1. Inleiding... 3 1.1.

Nadere informatie

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Alstublieft, een cadeautje van uw gemeente! Maak gebruik van het Nieuwe Internet en geef uw burgers een eigen veilige plek in de

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Welkom. Christophe Limpens. Solution Consultancy Manager

Welkom. Christophe Limpens. Solution Consultancy Manager Welkom Christophe Limpens Solution Consultancy Manager Veranderende tijden For internal use only. Select your 'R' level. De huidige taal van onze klanten CLOUD Disaster Recovery MAART OKTOBER DECEMBER

Nadere informatie

Enkele handige tips bij het beoordelen van clouddienstvoorwaarden. en Service Level Agreements

Enkele handige tips bij het beoordelen van clouddienstvoorwaarden. en Service Level Agreements Service Level Agreement tips Enkele handige tips bij het beoordelen van clouddienstvoorwaarden en Service Level Agreements Service Level Agreements SLA s komen onder meer voor als basis van veel clouddiensten.

Nadere informatie

De volgende MTA s installeren in een groepje van 4 studenten: Onderzoek van vorig jaar naar gebruikte mail software evalueren.

De volgende MTA s installeren in een groepje van 4 studenten: Onderzoek van vorig jaar naar gebruikte mail software evalueren. Hoofdstuk 4 Mail Transfer Agents Email is een van de belangrijkste services die je als systeembeheer voor je gebruikers moet verzorgen. Als er geen mail verstuurd of ontvangen kan worden, kunnen de gebruikers

Nadere informatie

Authentication is the key

Authentication is the key inhoud Authentication is the key en Control en IAM - oplossing Een klantvoorbeeld www.thauco.com Versie 5 6-12-2010 The Authentication Company 1 Soorten: Identificatie: Wie ben jij? Verificatie: ben je

Nadere informatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau

Nadere informatie

Handleiding OwnCloud voor SG de Overlaat

Handleiding OwnCloud voor SG de Overlaat Handleiding OwnCloud voor SG de Overlaat Je eigen wolk binnen de Overlaat Geschreven door: Maurice Heeren Datum: 10-12-2014 Versie 2.0 Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Toegang krijgen tot

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Enabling Enterprise Mobility. Chantal Smelik csmelik@microsoft.com

Enabling Enterprise Mobility. Chantal Smelik csmelik@microsoft.com Enabling Enterprise Mobility Chantal Smelik csmelik@microsoft.com Nieuwe werkplek & digitaal toetsen Hanzehogeschool Groningen Agenda 1. Introductie Chantal Smelik Microsoft Maaike van Mourik project

Nadere informatie

ENTERPRISE LINKED DATA INTRODUCTIE

ENTERPRISE LINKED DATA INTRODUCTIE Vandaag te gast bij PLDN Werksessie 12 februari 2015 ENTERPRISE LINKED DATA INTRODUCTIE Joep Creusen, Pieter van Everdingen, Richard Nagelmaeker Agenda introductie Slide 1 Aanleidingen Vraagstukken Deelnemers

Nadere informatie

Hoe kunt u profiteren van de cloud? Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper Hoe kunt u profiteren van de cloud? Whitepaper Auteur: Roy Scholten Datum: woensdag 16 september, 2015 Versie: 1.1 Hoe u kunt profiteren van de Cloud Met de komst van moderne technieken en de opmars van

Nadere informatie

Special Interest Group Cloud implementaties

Special Interest Group Cloud implementaties Special Interest Group Cloud implementaties Welkom! 13:00 Office365 authenticatie / provisioning vanuit TU Delft (Joost van Dijk, Bas van Atteveldt, Hans Nouwens) 13:45 Universiteit Utrecht, twee jaar

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

HET E-MAILADRES ALS TOEGANGSCODE

HET E-MAILADRES ALS TOEGANGSCODE HET E-MAILADRES ALS TOEGANGSCODE Is het je ook al opgevallen dat alles en iedereen je e-mailadres nodig heeft? Koop je iets online dan moet je jezelf registreren. En ook al wil je geen nieuwsbrief of andersoortige

Nadere informatie

3. Mappen en bestanden in de cloud

3. Mappen en bestanden in de cloud 75 3. Mappen en bestanden in de cloud U heeft tot nu toe gewerkt met het opslaan van uw bestanden op de harde schijf van uw computer. Echter er zijn ook diverse programma s en diensten waarmee u uw bestanden

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

2/06/14. Collaboration Tools. Hulp Bij Samen-Werken. Wie zijn wij?

2/06/14. Collaboration Tools. Hulp Bij Samen-Werken. Wie zijn wij? Collaboration Tools Hulp Bij Samen-Werken Wie zijn wij? 1 1 Wie bent u? Professional Samen werken met Collega s (Onder-) Aannemers Leveranciers Klanten om productiever te werken 2 Agenda Scope Communicatie

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

Claims-based authenticatie in SharePoint 2010

Claims-based authenticatie in SharePoint 2010 Claims-based authenticatie in SharePoint 2010 MAAKT HET REALISEREN VAN DIVERSE SCENARIO S MAKKELIJKER Mirjam van Olst SharePoint 2010 maakt gebruik van claims-based authenticatie. Omdat claims-based authenticatie

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

Zarafa Email en Agenda

Zarafa Email en Agenda Pagina 1 van 6 Zarafa Email en Agenda Altijd en overal kunnen beschikken over je email, een up-to-date agenda en al je contactpersonen? Direct een mailtje terug kunnen sturen? Een nieuwe afspraak kunnen

Nadere informatie

Bring Your Own Device onder controle. Tanja de Vrede

Bring Your Own Device onder controle. Tanja de Vrede Bring Your Own Device onder controle Tanja de Vrede Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

1 Dienstbeschrijving Lancom Workspace 365

1 Dienstbeschrijving Lancom Workspace 365 1 Dienstbeschrijving Lancom Workspace 365 2 Inleiding Lancom biedt haar klanten reeds sinds 2007 de mogelijkheid om te gaan werken van uit een Cloud model waarbij de servers in een datacenter van Lancom

Nadere informatie