Public the way we see it Trends in cloudcomputing Veilig in de cloud; een kwestie van regie
Public the way we see it Trends in cloudcomputing Veilig in de cloud; een kwestie van regie Auteurs: Zsolt Szabo, Hans F. Scholten, Pieter Hörchner Advisering, vormgeving & productie: Marketing & communicatie Utrecht, februari 2011
Public the way we see it Inleiding De introductie van cloudcomputing betekent een cruciale transformatie op het gebied van bedrijfsvoering met de inzet van ICT. De komende jaren zal niets meer hetzelfde zijn. Computers onder bureaus van ambtenaren verdwijnen, fysieke overheidsloketten worden overbodig of digitaal gemaakt, datacenters worden samengevoegd en ICT-afdelingen bij overheden en zbo s worden deels of helemaal opgeheven. Tegelijkertijd zullen steeds meer gegevens die bij overheden zijn opgeslagen beschikbaar worden gesteld aan burgers en bedrijven voor hergebruik. Onder invloed van ontwikkelingen rond social media, eisen burgers en bedrijven dat de overheid ook die kanalen gebruikt voor haar dienstverlening. Dit alles moet plaatsvinden in een door de overheid gewaarborgde veilige omgeving. Een nieuwe visie op de inrichting en het gebruik van ICT bij en door de overheden en een daarmee samenhangend beveiligingsbeleid is hard nodig. Recente ontwikkelingen rond Wiki- Leaks en dan met name de succesvolle Denial-of-Service aanvallen op de websites van meerdere overheden, laten dat duidelijk zien. Deze aanvallen hadden opgevangen kunnen worden door cloudleveranciers als cloudcomputing nu al zou zijn geïmplementeerd. Dit geldt ook voor overheidssites die recent door piekbelasting tijdelijk waren gesneuveld. De adoptie van cloudcomputing is alleen maar succesvol te realiseren als het verkeer op de digitale snelweg veilig doorstroomt. In discussies rond cloudcomputing is veiligheid dan ook vaak een belangrijk onderwerp van zorg. Het is van essentieel belang dat beveiliging in het kader van het maatschappelijk belang goed geregeld is. De vraag is welke acties de overheid moet nemen op het gebied van beveiliging zodat een goede introductie van cloudcomputing gewaarborgd is. Deze eerste editie van Trends in cloudcomputing, met als thema, Veilig in de cloud; een kwestie van regie geeft politici, bestuurders en anderen die zich bezighouden met, of verantwoordelijk zijn voor, de implementatie van cloudoplossingen binnen het overheidsdomein antwoord op deze vraag. Vanwege de actuele ontwikkelingen rondom cloudcomputing publiceert Capgemini de komende tijd meerdere Trends in cloudcomputing. Deze rapporten zullen aansluiten op actuele vragen vanuit de markt over de trend en daarmee de langetermijnbeweging die cloudcomputing heet. De rapporten reiken daarmee handvatten aan voor een succesvolle implementatie van cloudcomputing bij Nederlandse overheidsinstellingen. Initiatieven op dit onderwerp vanuit de Tweede Kamer, zoals de aangenomen motie over cloudcomputing (mei 2010) zijn daarom ten zeerste toe te juichen. 3
Inhoudsopgave 1 Cloudcomputing als onomkeerbare trend 05 2 De cloud in zonder zorgen 07 3 Cloudbeveiligingscontext 09 4 Cloudbeveiligingsconcept 11 5 Cloudbeveiligingsdiensten 15 6 Conclusies en aanbevelingen 19
Public the way we see it 1 Cloudcomputing als onomkeerbare trend Cloudcomputing en de verschijningsvormen Met cloudcomputing kunt u op een slimme manier gebruikmaken van de mogelijkheden die het internet biedt. Zowel bedrijven als overheden zien het als een nuttige en niet te stuiten ontwikkeling in de informatie- en communicatietechnologie (ICT) die de dienstverlening en de bedrijfsvoering moderniseert en verbetert. Deze eerste Trends in cloudcomputing richt zich in het bijzonder op beveiligingsvraagstukken van de overheid bij het implementeren van cloudcomputingoplossingen. Implementaties slagen namelijk alleen als vanaf dag één op een zorgvuldige en een goed geregisseerde wijze met data, databeveiliging en dataverkeer via het internet wordt omgegaan. Cloudcomputing is qua concept anders dan de huidige wijze waarop met ICT wordt omgegaan. Een in het oog springend verschil is dat gebruikers gegevens niet op informatiedragers als pc s en USB-sticks hoeven op te slaan. Een groot voordeel. Uit onderzoek blijkt namelijk dat op meer dan 60% van alle werkstations en laptops bedrijfsgevoelige informatie onbeveiligd op de harde schijf staat. En op 66% van alle USB-sticks is bedrijfsgevoelige informatie niet versleuteld (bron: http://www.cloudworks.nu/uploads/ cloudworks05.pdf, november 2010). Cloudcomputing heeft meerdere verschijningsvormen. Het meest bekend zijn de social media. Op Hyves, LinkedIn en Facebook maken wereldwijd vele miljoenen mensen dagelijks gebruik van social apps; applicaties die in de cloud staan. Gebruikers slaan gegevens niet meer op de eigen pc op, maar ergens in de cloud. Een ander voorbeeld is het toenemend gebruik van thin client computers. Dit zijn computers met zeer beperkte opslag en verwerkingscapaciteit. Deze apparaten bieden via een (web) browser toegang tot applicaties en opslag elders. Een thin client is in feite dus niets anders dan een informatieviewer die verbinding zoekt met het wereldwijde web. U leest uw e-mail, download video s of maakt gebruik van tekstverwerkingsapplicaties direct op het internet. Een derde concreet voorbeeld van de impact van cloudcomputing is de vermindering van het aantal datacenters. Cloudcomputing maakt het namelijk mogelijk om servercapaciteit efficiënter aan te spreken en alleen als dat echt nodig is. Wat levert cloudcomputing u op? De voordelen van het gebruik van cloudoplossingen zijn legio: n Acteren als één overheid De dienstverlening van de overheid vindt steeds meer plaats via het internet, het gevirtualiseerde overheidsloket. De overheid is hierbij 7 dagen per week 24 uur per dag bereikbaar. Burgers en bedrijven verwachten dat ook steeds meer. Ze vinden het ook minder relevant op welke wijze overheden zich achter het computerscherm hebben georganiseerd. Of het nu gaat om een belastingaangifte, aanvraag van een vergunning of een uitkering; de klant verwacht dat de overheid hem kent en relevante bestanden aan elkaar koppelt, zodat het aantal transacties tot een minimum wordt beperkt. Dit is allemaal mogelijk met cloud als voorwaardenstellend instrument. Na het creëren van één overheid is het verrijken van beschikbare informatie via social n n media en het communiceren via social media door overheden, burgers en bedrijven de volgende stap in de modernisering van de dienstverlening. Lagere kosten/minder ICTinvesteringen voor de werkplek Logge computers onder of op het bureau worden vervangen door een kastje dat het verkeer via het internet regelt. Voordeel: lagere kosten in de investerings- en exploitatiefase voor hardware en licenties die niet meer op de werkplek nodig, maar via de cloud benaderbaar zijn. Er is ook minder ICT-personeel op de werkvloer aanwezig om computers draaiende te houden. Alleen al de besparingen op werkplekvoorzieningen zijn aanzienlijk. Zo streeft de federale overheid van de Verenigde Staten naar een besparing van meer dan 60% op bijvoorbeeld licentiekosten voor het gebruik van e-mail (bron: CIO.GOV). Het aanbod aan beschikbare en bewezen applicaties en services in de cloud groeit dagelijks, ook voor de ondersteuning van de bedrijfsvoeringsfuncties (PIOFACH). Dit maakt het mogelijk om de implementatietijd van nieuwe ICT-systemen flink in te korten. Niet meer maken of kopen, maar op het internet selecteren en betalen naar gebruik. Consistente aansturing van leveranciers De inkoop en het gebruik van ICTmiddelen kan bij de introductie van cloudcomputing meer gecoördineerd en in samenhang gebeuren. Op dit moment zijn er vele verschillende plekken binnen de overheid waar ICT-beslissingen worden genomen. De relatie met het bedrijfsle- Cloudcomputing als onomkeerbare trend 5
n n ven verandert. Overheden kunnen het aantal commerciële relaties sterk reduceren door met partners contracten aan te gaan in een one-stopshop model. Ze zetten daarmee de ICT-hardware en -software in grote mate op afstand. Het model helpt de overheid om zich te concentreren op haar kerntaken. De CIO Rijk heeft in dit hele proces een prominente, kaderstellende rol. Consolidatie van datacenters De consolidatie van datacenters zorgt voor significant lagere kosten. Doordat de overheid meer services als cloudservice afneemt, is er minder capaciteit nodig dan in de huidige situatie. Ook wordt het duurzaam gebruik van ICT versterkt. Het gemiddelde gebruik ligt bij cloudoplossingen tussen de 60 en 70%. Nu is dat gemiddeld nog tussen de 10 en 15%. blemen zoals hierboven beschreven voorkomen. De beveiliging, inclusief de versleuteling van data, wordt voor alle gebruikers centraal geregeld. Het blijft echter wel mensenwerk, ook binnen de cloudomgeving. Er moeten dus checks en balances worden ingericht die de risico s op menselijke fouten tot een minimum beperken. Cloudcomputing vereist een consistente regie Een veilige en efficiënte implementatie van cloudcomputingoplossingen door ministeries en lagere overheden vergt een consistente aanpak met een centrale regie vanuit de rijksoverheid. De spelregels rond de regievoering moeten helder zijn om te voorkomen dat ieder zijn eigen cloudwiel uitvindt en implementeert. Eisen rond de beveiliging moeten door alle overheidsinstellingen worden gedragen. Is dit niet het geval? Dan worden alle voordelen tenietgedaan, sterker nog de chaos en complexiteit zal alleen maar groter worden. Ter illustratie: stel bedrijf X levert aan 500 overheidsinstellingen clouddiensten. Dan kan het niet zo zijn dat 500 overheidsinstellingen afzonderlijk van elkaar een jaarlijkse audit uitvoeren op de solvabiliteit, naleving van beveiligingseisen, privacy en datacontroles van bedrijf X. Er moet dus een centrale regie zijn op meerdere fronten: n één opdrachtgever, uniform programma van eisen vanuit een vraaggerichte organisatie en op basis van consensus tussen alle overheidslagen; n een uniforme ICT-architectuur, beleid en organisatie voor departementen, lagere overheden en zbo s; n het voorschrijven en naleven van beschikbare en open standaarden; Schaalvoordelen en beveiliging Door de schaalvoordelen die cloudcomputing biedt, is het mogelijk om beveiliging en privacy beter in te regelen dan op dit moment gebeurt. Dit lijkt op het eerste gezicht misschien niet logisch, maar stelt u zich de huidige beveiligingssituatie eens voor. Losse computers op de werkplek zijn vaak onvoldoende beveiligd. Er kan van alles gebeuren tijdens afwezigheid: uitlezen van gegevens, kopiëren via USB-sticks, meelezen via softwaremanipulaties, installatie van virussen enzovoort. En hoe wordt er met wachtwoorden omgegaan? Bestaat er zicht op datainbreuk op de lokale opslag van data? Als men gebruikmaakt van cloudcomputing hoeft men geen data op te slaan op de informatiedrager of lokale pc en worden pron het naleven van het cloud Firstprincipe; n het toegankelijk maken van basisregisters voor toepassing in cloudoplossingen voor overheid en bedrijfsleven; n het inrichten en beheren van de overheid Apps Store (onlinewinkel) waar cloudoplossingen kunnen worden aangeboden; n internationale ontwikkelingen/regelgeving (EU en daarbuiten); n een consistent en effectief beveiligingsbeleid en heldere service level agreements (SLA s) vanuit de overheid richting providers van cloudproducten en -diensten. In het hierna volgende deel van dit rapport wordt dieper ingegaan op het beveiligingsbeleid, de context, risico s en beschikbare clouddiensten. Het doel is om handvatten aan te reiken om de cloud zonder zorgen in te kunnen gaan. Hiervoor zijn zeer strenge niveaus van beveiliging noodzakelijk: een Nederlands WikiLeaks mag immers niet kunnen, het need to know -principe moet worden toegepast en de cloudleverancier moet waar nodig aan de ABDO-eisen (Algemene Beveiligingseisen Defensieopdrachten) voldoen. Kortom, er moet een limitatieve set van randvoorwaarden voor de overheden worden opgezet en gehandhaafd. Voorop staat dat de continuïteit van de dienstverlening verzekerd moet worden. Dit wordt door sommigen ook wel beschouwd als een integraal onderdeel van beveiliging. 6
Public the way we see it 2 De cloud in zonder zorgen Welk beleid kunt u formuleren? Cloudcomputing brengt vanzelfsprekend vele ICT-gerelateerde uitdagingen met zich mee die continu aandacht verdienen. De meest genoemde zorgen in de ogen van zowel senior business als ICT-management zijn: 1. beveiliging en privacy van data in de cloud (44%); 2. beschikbaarheid van clouddiensten voor bedrijfsprocessen (41%); 3. integratie met andere diensten (39%). Het goed inregelen van de beveiliging is dus topprioriteit! Waarom angst voor beveiliging in de cloud? Beveiliging wordt als grootste zorg gezien. Waarom? Omdat de cloud een beetje vaag lijkt op het gebied van beveiliging en hoe je beveiliging kunt inzetten om businessinitiatieven te bevorderen of kunt voldoen aan regelgeving. Dit komt vooral omdat we niet meer de kamer, server of tape kunnen aanwijzen waar(op) onze informatie staat. Veel mensen denken onwillekeurig dat als ze dingen kunnen zien en aanraken, ze er meer controle over hebben. Je kunt het vergelijken met iemand die op de motor (het meest onveilige vervoermiddel) naar het vliegveld rijdt om het vliegtuig (het een-na-veiligste vervoermiddel) te nemen. Bij de meeste mensen is de angst om te verongelukken met het vliegtuig vele malen groter dan met de motor. De statistieken geven echter aan dat het precies omgekeerd zou moeten zijn. Dit komt omdat men bij een motor zelf het stuur vast heeft en bij een vliegtuig niet. Maar, weer terug naar veiligheid in de organisatie, is er ooit gekeken naar het huidige beveiligingsniveau van het eigen datacenter of het datacenter van de outsourcingpartner? Ze hebben misschien een SAS70-verklaring en een ISO27000-certificaat, maar wat is de scope en het werkelijke risico daarvan? Hoe goed zijn uw data op dit moment werkelijk beveiligd? Weet u wie s avonds na het werk de vloer aanveegt in het serverhok? Zit alles fysiek en digitaal goed achter slot en grendel? De overheid heeft om die reden in diverse contracten third party -mededelingen geëist en zaken als ABDOcertificering in contracten opgenomen. Die eisen zijn echter toegesneden op conventionele ICT-dienstverlening. Cloudarchitecturen vragen om aanvullingen en wijzigingen daarop in de cloud. Risicomanagement De angst voor het nieuwe fenomeen cloud is begrijpelijk, maar clouddiensten kunnen het huidige informatiebeveiligingsniveau helpen verbeteren. Steeds meer partijen worden betrokken en, zoals eerder aangegeven, menselijk falen ligt op de loer. Het managen van risico s is daarom vereist. Bij risicomanagement zijn de volgende vijf punten van groot belang: 1. inventarisatie van informatie die van belang is voor de overheid; 2. inventarisatie van mogelijke bedreigingen ten aanzien van die informatie; 3. bepaling van mate van waarschijnlijkheid van het optreden van bedreigingen; 4. bepaling van de impact van een gematerialiseerde bedreiging; 5. bepaling van de maatregelen ter bescherming/minimalisatie van de impact. Beveiliging is een van de mogelijke maatregelen die voortkomt uit punt 5. De cloud in zonder zorgen 7
Nieuwe manier van ontwikkelen van beveiligingsbeleid Risicomanagement is een balans vinden tussen kansen op het gebied van bedrijfsvoering en financiële overwegingen of regelgeving. Het gaat om het mogelijk maken van flexibele dienstverlening, niet om nieuwe initiatieven te beperken. Als de overheid succesvol zonder zorgen de cloud in wil, moet ze dus op een andere wijze beleid ontwikkelen op het gebied van beveiliging en aansturing onder invloed van veranderingen door schaalvergroting en standaardisatie. Het basisprincipe is in feite kinderlijk eenvoudig. Nu worden op vele plekken binnen de overheid nog zelfstandig besluiten over beveiligingsvraagstukken genomen. Bij de introductie van cloudcomputing moet dit gecoördineerd en in samenhang gebeuren. De CIO Rijk heeft hierin een prominente, kaderstellende rol. Daarnaast moeten clouddiensten op basis van standaardprotocollen ontsloten kunnen worden, zodat informatie binnen de overheid op een eenvoudige wijze kan worden hergebruikt. Er moet immers voorkomen worden dat er weer silo s van informatie worden opgebouwd, ditmaal binnen de cloud. Een voorstel voor een zorgarme migratie naar de cloud zou kunnen zijn dat de overheid een migratiestrategie ontwikkelt, waarbij in eerste instantie de minder gevoelige ICTdiensten met lagere beveiligingseisen onder de loep worden genomen. Vervolgens, en alleen bij voldoende resultaat en bekende leereffecten, worden de volgende niveaus aangepakt. Verschuiving van verantwoordelijkheid Met het verschuiven van ICT-diensten naar de cloud, neemt de overheid ook afscheid van de verantwoordelijkheid voor de uitvoering van een deel van de diensten. Hoe deze diensten zijn opgebouwd in termen van hard- en software maakt de overheid niet meer uit, wel blijft de verantwoordelijkheid bestaan voor de functionaliteit, inclusief de beveiligingseisen. Deze moeten in heldere SLA s worden vastgelegd. De CIO Rijk zal hier kaderstellend in moeten optreden. De overheid moet dus regie houden over de standaarden die gebruikt worden om de informatie te beveiligen. De redenen hiervoor zijn divers: n de overheid moet voorkomen dat er cloudsilo s ontstaan die niet met elkaar kunnen communiceren; n de overheid moet voorkomen dat elke cloudleverancier zijn eigen authenticatie en autorisatie onafhankelijk van elkaar gaat inregelen; n de overheid moet de regie houden over eventueel gebruikte encryptie en vooral het beheer van de sleutels over cloudleveranciers heen; n de overheid moet afspraken maken over hoe cloudleveranciers onderling met elkaar beveiligd moeten communiceren; n de overheid moet ervoor zorgen dat cloudleveranciers hun afspraken naleven door hierop integraal te monitoren over leveranciers heen. Conclusie De overheid moet een overheidsbrede proces- en ICT-architectuur ontwikkelen, die optimaal gebruikmaakt van de mogelijkheden die de moderne cloudfaciliteiten haar bieden. Ook moet zij maatregelen opstellen en implementeren om de architectuur (binnen de overheid en zich uitstrekkend tot en met de cloudtoeleveranciers) te kunnen handhaven. 8
Public the way we see it 3 Cloudbeveiligingscontext Wat zijn de risico s? De ogenschijnlijk nieuwe risico s door het gebruik van clouddiensten wegen ruimschoots op tegen bestaande risico s. Denk hierbij aan het risico van verlies of diefstal dat u loopt door het fysiek transport van informatie via laptops, USB-sticks of een papieren dossier. Bij het gebruik van de cloud is dat transport niet meer nodig. Je kunt immers overal bij je beveiligde informatie. De belangrijkste risico s van het gebruik van clouddiensten zijn: n Onbeschikbaarheid Data die een cloudserviceprovider beheert, zouden op de een of andere manier minder goed beschikbaar zijn dan data die binnen de eigen organisatie zijn opgeslagen. Als een overheidsorganisatie geen stappen neemt om de betrouwbaarheid van de clouddienst te borgen, kunnen diensten onbeschikbaar raken. Dit resulteert in uitval van bedrijfsprocessen. Een interessant voorbeeld is de recente ontwikkeling rondom WikiLeaks. Deze organisatie had een groot aantal documenten ondergebracht bij een Amerikaanse cloudprovider. Ondanks het gebruik van het Save Harbor-model (een model waarbij de regels en wetten gelden van het land van de data-eigenaar en niet van de VS) heeft de Amerikaanse overheid toch de stekker uit de organisatie kunnen trekken. n Datalekken U weet niet welke personen naast uw eigen medewerkers toegang hebben tot uw data. De gegevens bevinden zich immers buiten het gezichtsveld en de grenzen van uw organisatie. Er bestaat een risico dat uw data, zonder afdoende toegangsbeveiliging, ook door criminelen of beheerders van de clouddienst worden gebruikt. De impact van dit soort datalekken hangt af van het type data die opgeslagen zijn in de cloud. Bij de gevallen die zijn geregistreerd, ging het voor zover bekend steeds om een fout van een systeembeheerder die bijvoorbeeld vergeten was het default password aan te passen. Andere gebruikers binnen die organisaties hebben hier misbruik van kunnen maken. Dit soort datalekken is echter niet toe te schrijven aan het concept van de cloudprovider. n Privacy-overtredingen Vrijwel alle overheidsorganisaties houden zich bezig met privacygevoelige data. Dit soort gegevens mag niet in verkeerde handen vallen. Privacy heeft ook te maken met het type informatie dat u opslaat en de periode dat u het op mag slaan. Deze aspecten zijn echter niet specifiek voor de cloud. Het is wel interessant om te weten waar privacygevoelige informatie in de cloud is opgeslagen. Binnen Europa gelden nu eenmaal andere privacywetten dan daarbuiten. De meeste cloudproviders kunnen op dit moment waarborgen dat informatie binnen de EU blijft. De verwachting is dat een aantal cloudproviders nog een stap verder zullen gaan en zelfs landgaranties zullen geven. Dit hangt af van de spreiding van de diverse clouddatacentra en de economische haalbaarheid hiervan. Voor beide voorbeelden geldt dat deze waarborgen zowel juridisch als technisch sluitend moeten zijn. Cloudbeveiligingscontext 9
n Compliance-kwesties Compliance met interne en - belangrijker - externe regelgeving vereist soms dat organisaties moeten weten op welke fysieke locatie hun data opgeslagen zijn. Afhankelijk van het type regelgeving kan het een vereiste zijn dat u precies weet wie er toegang heeft tot welke data, wie welke wijzigingen doorgevoerd heeft enzovoort. Clouddiensten zijn niet altijd uitgerust met de functionaliteit om klanten van dergelijke informatie te voorzien. Bij gebruik van clouddiensten voor dat soort compliance zal men zelf met aanvullende logging-tools en toegangscontrole aan de gang moeten. Het moge duidelijk zijn dat een aantal leveranciers in de cloud ook al voorziet in deze dienstverlening. n Integratie over meerdere organisaties Als overheidsorganisaties beginnen met het overzetten van diensten naar de cloud moeten de clouddiensten kunnen communiceren met diensten die nog in de eigen datacenters staan. Ook moeten ze kunnen integreren met partners in de logistieke dienstverleningsketen. Twee soorten risico s zijn dus van belang. Ten eerste moet de clouddienst in staat zijn om, gebaseerd op standaarden, te communiceren met andere diensten binnen en buiten de grenzen van de klantorganisatie. Ten tweede moet de dienst in staat zijn om deze communicatie naar behoefte van de overheidsorganisatie te beveiligen.
Public the way we see it 4 Cloudbeveiligingsconcept Aan welke beveiligingsaspecten moet u voldoen? Wat moeten overheidsorganisaties doen om op basis van aanvaardbare risico s op een betrouwbare wijze over te stappen naar de cloud? Hiervoor moeten enkele basisbeveiligingsaspecten worden geregeld. Hieronder staan de belangrijkste aspecten beschreven. Bescherming De informatie- en toegangsrechten van een gebruiker moeten worden beschermd tegen misbruik door ongeautoriseerde gebruikers en indringers. Doordat informatie en applicaties in de cloud staan, werken beveiligingsmaatregelen als het slot op de deur of beveiliger in uniform niet meer. Zowel opslag, transport als gebruik van informatie moeten digitaal worden beschermd. Dit kan met technologieën als PGP, SSL, FTPS en HTTPS. Maar cloudproviders gaan verder. De meeste vullen de bestaande beveiligingsmaatregelen aan met specifieke maatregelen die de onbekendheid en angst van cloudgebruikers met clouddatacenters kunnen wegnemen. Data moeten in cloudomgevingen nog meer beschermd worden dan in uw eigen bedrijfsomgeving. De overheidsinstanties moeten uiteraard wel zelf vaststellen of een cloudprovider voldoende beveiligingstechnieken toepast in de datacenter. Hiervoor is specifieke expertise nodig binnen de overheid. Aan het transportgedeelte moet apart aandacht worden gegeven. Denk aan aspecten als het virtueel binnendringen (penetratietesten blijken erg nuttig), het tijdens het datatransport ontvreemden of compromitteren (kopietje stelen), het onderscheppen en een vervalst bericht doorsturen. Kortom het datacenter is vanzelfsprekend maar een deel van de te beschermen zaken en aspecten. Privacy Privacymaatregelen beschermen persoonlijke informatie zodanig dat anderen er niet bij kunnen komen. Verschillende identity- en access-managementsystemen ondersteunen clouddiensten met een breed assortiment aan privacy- en beveiligingsmaatregelen. Van een laag beveiligingsniveau met op wachtwoordgebaseerde authenticatie, tot een hoog beveiligingsniveau met op attribuutgebaseerde authenticatiesystemen. Deze laatste systemen maken gebruik van state-of-the-art privacy ondersteunende certificaten. Een efficiënte inrichting van de processen is eveneens van belang als er vragen vanuit overheden worden gesteld. Wat doet de provider bijvoorbeeld als een officier van justitie gegevens opvraagt? Hoe kan de overheid aan haar burgers en bedrijven aantonen dat de relevante wetten ook inhoudelijk zijn geborgd? Herstelbaar Data die in de cloud zijn opgeslagen, ondergaan regelmatig integriteitsvalidatie om herstelbaarheid te waarborgen. De meeste cloudserviceproviders slaan data drie à vier keer redundant op, verdeeld over hun datacenters. Hierdoor kunnen ze herstellen van disk crashes en grotere rampen. Waar de meeste serviceproviders niet standaard in voorzien, is back-up en recovery van data die per ongeluk door eindgebruikers zelf zijn verwijderd. Een overheidsinstantie moet dus zelf back-ups (laten) regelen, bijvoorbeeld door snapshots te maken en deze te downloaden en op te slaan binnen het eigen bedrijf of bij een andere cloudprovider. Een ander probleem is dat Cloudbeveiligingsconcept 11
data in clouds onbeperkt opgeslagen kunnen blijven. Afhankelijk van het type data en de van toepassing zijnde wetgeving is dit wellicht niet toegestaan. Serviceproviders verwerken en bewaren slechts data. Ze hebben zo mogelijk onvoldoende kennis over verplichte bewaartijden of verplichte opruimacties. Overheden hebben hierin zelf dus een belangrijke rol te spelen. Cloudproviders kunnen wel de garantie geven dat informatie daadwerkelijk is vernietigd. De eigenaar van de data moet het in gang zetten van de vernietiging echter zelf regelen. ITIL heeft al jaren een set van afdoende processen voor incident- en probleemmanagement, back-up en recovery geformuleerd. De overheid moet die eisen afdwingen en door een TMP laten borgen. In een SLA kan men alle randvoorwaarden als bewaartijd, minimale performance, opslagomvang op gestandaardiseerde wijze vastleggen en achteraf via standaardrapportages controleren. Toegang en vertrouwelijkheid Toegang tot informatie en het bewerken van data-items moeten overeenstemmen met de toegestane privileges van de gebruiker die de toegang aanvraagt. Elke ongeautoriseerde toegang moet worden voorkomen. Iedere gebruiker die een unieke identiteit claimt bij het verkrijgen van toegang tot gegevens wordt onderworpen aan een proces dat nagaat of hij inderdaad de authentieke eigenaar van de geclaimde identiteit is. Na verificatie mag de gebruiker alleen die acties uitvoeren waarvoor hij uitdrukkelijk toestemming heeft. Cloudproviders hebben hiervoor voorzieningen getroffen. Er zijn zelfs providers die de mogelijkheid bieden om dergelijke voorzieningen bijvoorbeeld te koppelen aan een active directory van hun klanten. In zo n active directory zijn de authenticiteit en toegangsrechten vastgelegd. Deze worden dan uitsluitend door de eigen organisatie beheerd. Het voordeel hiervan is dat er is slechts één plek is waar zaken zijn vastgelegd, die zowel door de informatiesystemen intern als bij de cloudprovider extern gebruikt kunnen worden. De authenticatie- en autorisatiegegevens vormen op zichzelf een applicatie/informatiesysteem. Dat systeem moet dus ook voldoen aan de te stellen eisen. Dit gaat over authenticatie en autorisatie voor mensen die wel/niet op formele gronden toegang krijgen tot de data. Borging van onbevoegde toegang (crimineel of terrorist) is hiermee nog niet afgedekt. Verantwoording en controleerbaarheid Voor verantwoording van acties op data moet een volledig logboek worden bijgehouden. In dit logboek moeten alle acties staan die zijn uitgevoerd binnen een gebruikerssessie om controleerbaarheid mogelijk te maken. Wat er precies moet worden gelogd, moet worden afgestemd in uw organisatie. Dit zou technisch kunnen maar (zie de opslag en logging van telecominformatie) kan erg duur worden. De meeste cloudproviders bieden loggingen monitoring-tools aan maar sommige zijn wat rudimentair. Marktpartijen spelen hierop in door aanvullende logging- en monitoring-tools aan te bieden. Integriteit en onweerlegbaarheid Cloudproviders moeten ervoor zorgen dat de integriteit van data beschermd is en dat deze niet ongeautoriseerd gewijzigd, gedupliceerd of verwijderd kunnen worden. Eigenlijk net als in de 12
Public the way we see it eigen ICT-organisatie van een organisatie. Langetermijnonweerlegbaarheid van digitaal ondertekende data is een belangrijk aspect van PKI-gerelateerde standaarden in clouds. Cloudproviders gebruiken onderling verschillende mechanismen om routinegebeurtenissen af te handelen. Denk aan het verlopen van een public-key certificaat en het verlopen van een tijdsafhankelijk trusted-authoritycertificaat. Compliance met regelgeving Wettelijke, reglementaire en contractuele eisen moeten worden gedefinieerd voor alle onderdelen van het informatiesysteem. Controleactiviteiten moeten worden gepland en vooraf in onderling overleg door de belanghebbenden worden vastgelegd. Het is ook nodig om regelmatig onafhankelijke reviews en assessments uit te voeren. Cloudproviders moeten voldoen aan alle intern en extern geldende regelgeving, wetten, contracten, het beleid en verplichte normen. Veel public cloudproviders werken met compliance- en wetgevingskaders van het land waarin het betreffende clouddatacentrum staat. Overheidsorganisaties kunnen deze kaders accepteren of uitwijken naar een cloudprovider die wél voldoet aan de noodzakelijke wettelijke kaders. Hier kan een aanvullende taak liggen voor de rijksauditdienst, zelf doen of laten doen is dan nog een keuze. Verzekerbaar De risico s met betrekking tot het systeem moeten worden beheerst. Op dit moment bieden weinig partijen, anders dan de cloudserviceproviders zelf, dergelijke financiële verzekeringen aan voor clouddiensten. Figuur 1: Gelaagde architectuur SAAS PAAS IAAS Monitoring & Auditing Data Encryption Platform Cloud Security Architecture Secure Communication Services Cloud Integration Services Access Control Services Application Storage Networking Migreerbaar en opwaardeerbaar Er moet een haalbaar, beheersbaar en voor de gebruikers aanvaardbaar migratiepad zijn van een oude naar een nieuwe cloudprovider of naar een volgende versie. De cloudinfrastructuur moet eenvoudig kunnen worden opgewaardeerd naar nieuwe releases van hardware en software. Voor gebruik van sommige businessfunctionaliteit is dit mogelijk een probleem. Op dit moment zijn sommige businessfuncties namelijk nog maar bij één cloudprovider beschikbaar. Naar verwachting zal door de groei van de cloudmarkt elke businessfunctionaliteit op meerdere plekken te halen zijn. Migreren van de ene naar de andere cloudserviceprovider is dan mogelijk. In eerste instantie zal de energie komen te liggen op het regelen van de migratie van de conventionele naar de cloudgeoriënteerde ICT-services. Daar zijn Data Encryption Integration Authorization Management Laws & Regulations Upgradability & Migratability Policy & Governance Business Continuity Management enkele jaren mee gemoeid. Bij de eerste migratie moet ook een exitstrategie (terug naar conventionele services) ingevuld worden. Anders kan het gevoel van een one way street ontstaan en dat is niet geruststellend. Welk architectuurmodel kan worden gebruikt? Cloudbeveiligingsdiensten kunnen gelaagd worden geïmplementeerd. Figuur 1 toont hoe de verschillende beveiligingslagen voor cloudcomputing ten opzichte van elkaar zijn gepositioneerd. Belangrijk is dat de bekende cloudcomputingvarianten Infrastructure-as-a-Service (IaaS), Platform-as-a- Service (PaaS) en Software-as-a-Service (SaaS) in elkaars verlengde liggen, inclusief bijbehorende diensten. De voornaamste boodschap van figuur 1, vanuit een securityarchitectuurperspectief bezien, is de verdeling van de Cloudbeveiligingsconcept 13
verantwoordelijkheden. Afhankelijk van het type clouddienst in het model is er sprake van een andere verantwoordelijkheid rond beheer- en veiligheidsaspecten. Vanzelfsprekend moet ook voldaan worden aan de interoperabiliteit van clouddiensten. Bij IaaS, voor bijvoorbeeld rekencapaciteit of opslagcapaciteit, kan van de dienstverlener worden geëist dat de informatie binnen een land of regio wordt opgeslagen. Bijvoorbeeld binnen de EU of Nederland. De reden hiervoor is om te kunnen voldoen aan de wetgeving rond informatieopslag. nodig, en wat er aanwezig is. Ook kan worden vastgesteld hoe deze kenmerken gerelateerd zijn aan de verzekerings- en beschermingseisen van de desbetreffende informatie(onder)delen. Dit is een antwoord op de vraag welke informatie en functionaliteit op welke plek mag worden ondergebracht. Bij PaaS is de exposure gewijzigd voor bijvoorbeeld eigen applicaties of gekochte pakketten die eerst achter een firewall stonden, maar nu op de cloudinfrastructuur draaien. Iedereen met een internetverbinding kan er nu bij. Hierdoor moet beter worden opgelet of de toegang tot informatie via de applicatie of direct naar de database wel goed is beveiligd. PaaS biedt een derde partij de mogelijkheid om op een bepaald, door een provider ter beschikking gesteld platform (soms een standaardapplicatie die kan worden geparametriseerd) haar eigen software te hosten. Enkele providers verzorgen soms ook de applicatiemanagementtaken. Bij SaaS zijn weer andere zaken van belang. Iedere SaaS-leverancier moet kunnen voldoen aan de voor een overheidsinstelling geldende complianceregels. Per clouddienst (IaaS, Paas of SaaS) moeten de compliance-, beheer- en beveiligingsaspecten in kaart worden gebracht. Hiermee kan een gap-analyse worden uitgevoerd die laat zien wat 14
Public the way we see it 5 Cloudbeveiligingsdiensten Welke clouddiensten zijn er op de markt te koop en wat doen ze? In figuur 1 op pagina 13 zijn in verschillende lagen de belangrijkste beveiligingsdiensten in cloudomgevingen genoemd. Hieronder worden deze diensten en hun werking beschreven binnen de cloudomgeving. Data-encryptiediensten De meeste mensen denken dat het beveiligingsniveau van aangeboden clouddiensten lager is dan dat van hun eigen datacenter. Vraag is of dit een juiste constatering is. De cloudserviceprovider heeft in veel gevallen een hoger beveiligingsniveau dan de meeste datacenters en outsourcingproviders. Hiervoor zijn twee redenen aan te wijzen. Allereerst hebben cloudserviceproviders een gestandaardiseerde, algemene aanpak van beveiliging. Daarnaast kunnen ze zich simpelweg niet veroorloven klanten te verliezen door falende beveiliging. Eén bericht over een ernstig informatielek in een krant kan al het einde voor een cloudprovider betekenen. Zeker als het gaat om gegevens die volgens de wet door overheidsinstellingen moeten worden bewaakt. Cloudproviders zijn daarom vanaf dag één bezig met informatiebeveiliging. Het is hun belangrijkste prioriteit. Maar hoe weet u dat uw provider het juiste niveau van beveiligingsmaatregelen geïmplementeerd heeft? Als er onvoldoende controle is over het systeem waarin de eigen gegevens zijn opgeslagen, zorg dan dat er controle is over de beveiliging van de gegevens zelf. Door middel van dataencryptie en door zelf het sleutelbeheer in handen te houden kunnen organisaties daadwerkelijk profiteren van de voordelen van cloudcomputing. Zonder dat ze zich zorgen hoeven te maken over het feit dat de eigen data waar dan ook in Nederland of erbuiten is opgeslagen. Ook moet worden gekeken naar de verbindingsbeveiliging. De verbindingsbeveiliging is een specialisatie die apart ingevuld moet worden. Autorisatiebeheerdiensten Autorisatiebeheerdiensten zorgen ervoor dat de juiste gebruikeraccounts met hierin de juiste informatie beschikbaar zijn in de relevante systemen. Als dit niet goed wordt uitgevoerd, is toegangsbeveiliging een wassen neus. Alle accounts, inclusief de beheeraccounts, moeten altijd gerelateerd zijn aan natuurlijke personen om misbruik te voorkomen. De eerste stap is daarom het beheren van de gehele levenscyclus van accounts gerelateerd aan natuurlijke personen (medewerkers, partners, klanten enzovoort). Dit alles inclusief de functionele accounts (admins enzovoort) die gelinkt zijn aan deze identiteiten op ieder willekeurig moment. Identiteits- en autorisatieheer kan al complex zijn binnen de organisatie. Buiten de grenzen van de organisatie echter, zoals in ecosystemen, supplychainkanalen of clouddiensten, is identiteits- en autorisatiebeheer essentieel voor de bedrijfsvoering. Applicaties kunnen naar de cloud worden gebracht, maar de controle over autorisaties moet binnen de eigen organisatie blijven. Dit betekent echter niet dat het feitelijke identiteits- en autorisatiebeheer niet in de cloud kan worden uitgevoerd. In tegendeel, het gebruikmaken van Identity-as-a- Service kan zeer nuttig zijn bij het outsourcen van identiteitsbeheer en bij het faciliteren van een model zoals e-herkenning, waarbij je aanlogt met je eigen account bij meerdere overheidsinstellingen. Wees er altijd van bewust dat het combineren van clouddiensten en cloud- Cloudbeveiligingsdiensten 15
beveiligingsdiensten in dezelfde cloud alleen effectief is als de cloudserviceprovider functiescheiding goed kan waarborgen. Toegangsbeveiligingsdiensten Autorisatiebeheer mag dan een vereiste zijn, maar als maatregelen voor toegangsbeveiliging niet goed functioneren, liggen uw gegevens op straat zonder dat u het zelf in de gaten heeft. Als de toegangsbeveiliging echter te strak is opgezet, kan dit een remmende werking hebben op de bedrijfsvoering. Maatregelen voor toegangsbeveiliging moeten daarom in balans zijn met zowel bruikbaarheid als beveiliging en gebaseerd zijn op de relevante risico s. Een ander belangrijk aspect is de integratie van toegangsbeveiligingsmaatregelen van uw datacenter, het datacenter van uw outsourcingpartner en de gebruikte cloudapplicaties. Single Sign-On (SSO) over de grenzen van de organisatie heen en vertrouwensrelaties tussen organisaties zijn essentieel voor succesvol gebruik van clouddiensten. Cloudintegratiediensten In het algemeen wordt steeds gesproken over de cloud. Het is echter onwaarschijnlijk dat het één cloud zal zijn met daarin alle applicaties van een organisatie. Sommige kantoorapplicaties kunnen bijvoorbeeld worden gehaald bij Google, terwijl de CRM bij Salesforce.com is ondergebracht. De beveiligingsdiensten worden wellicht weer geleverd door een dedicated securityprovider. Dit betekent niet alleen dat alle medewerkers vanuit elke locatie toegang moeten hebben tot al deze diensten. De clouddiensten moeten ook toegang hebben tot elkaars netwerk voor specifieke diensten. Daarnaast moet ook worden nagedacht waar men brokers en andere generieke ICT-diensten onderbrengt, zoals de Enterprise Service Bus (ESB) of printservers. Op dit moment lijkt het erop dat we dezelfde eilanden of stove-pipes aan het creëren zijn waar we de laatste tien jaar in de eigen datacenters juist vanaf proberen te komen. Integratie van al deze diensten moet op een veilige en controleerbare manier gebeuren. Daarom moeten de clouddiensten met standaardprotocollen voor webservices communiceren om zo een daadwerkelijk veilige cloudintegratie te kunnen realiseren. Communicatiebeveiligingsdiensten Clouddiensten - en dus gegevens van burgers en bedrijven - kunnen zich overal bevinden en worden veelvuldig via het internet verstuurd. Tijdens het versturen moeten de gegevens worden beveiligd door standaardprotocollen. Ook al is encryptie een optie, het is te ingewikkeld om alle data versleuteld op te slaan. Overigens hoeven waarschijnlijk alleen bedrijfs- of privacygevoelige gegevens versleuteld opgeslagen te worden. De rest van de gegevens moet wel beschermd worden tijdens het versturen over het internet. Dit kan via standaardprotocollen als SSL/TLS. Netwerkverkeer kan beschermd worden door PKI-gebaseerde protocollen. Nog belangrijker dan verkeer naar eindgebruikers is het verkeer tussen serviceproviders onderling. Dit verkeer moet ook versleuteld zijn, maar waarschijnlijk bent u niet de eigenaar van de gebruikte sleutels. Hierdoor loopt u een risico bij de integratie van diensten van verschillende serviceproviders. U moet er op zijn minst voor zorgen dat dit risico bekend is. Met uw serviceprovider kunt u bespreken hoe dit risico verminderd kan worden. 16
Public the way we see it Monitoring en auditingdiensten Als het beveiligingsniveau niet wordt gemeten, is het moeilijk in te schatten hoe goed de beveiliging is. Daarom is het belangrijk om monitoring en auditingdiensten beschikbaar te hebben, in huis of bij een cloudserviceprovider, waar alle informatie van het eigen datacenter, de outsourcingprovider en de cloudservicesprovider wordt verzameld voor verdere verwerking. Deze oplossing moet log-files van alle systemen kunnen ontvangen om zo beveiligingswaarschuwingen van alle systemen te kunnen verwerken. Dit is een arbeidsintensief proces waarbij mensen met zeer specifieke vaardigheden nodig zijn voor analyse van de uitkomsten. Het is daarom raadzaam om ook deze dienst in de cloud af te nemen, waarbij alle andere (cloud-) diensten aangesloten moeten worden. Figuur 2: Identity Lifecycle Retire Processes Project Membership Hire Processes Change Password Identity Lifecycle Reset Password Promotion Additional Role Change Location Change Role Business continuitydiensten Business Continuity Management (BCM) is een belangrijk aandachtsgebied voor alle overheidsorganisaties. Het uittekenen van concrete noodplannen voor onvoorziene rampen, zoals Denial-of-Service aanvallen op overheidswebsites, is tegenwoordig onmisbaar. In de IT-sector betekent dit dat op verschillende locaties backups beschikbaar moeten zijn van bedrijfskritische gegevens. Cloudserviceproviders als bijvoorbeeld Google, Microsoft en Amazon zijn hier erg handig in. Zij beloven 99,9% beschikbaarheid en bevrijden met hun diensten organisaties van de lasten, die het aanleggen en onderhouden van een back-upinfrastructuur en uitwijkcentra met zich meebrengt. BCM heeft verschillende elkaar aanvullende elementen in zich, zoals disaster recovery, business recovery, business resumption, contingency planning en crisismanagement. Maar met alleen disaster recovery ben je er nog niet. Ook als kleine(re) hoeveelheden gegevens of specifieke documenten (per ongeluk) worden verwijderd, moet er een mechanisme zijn dat deze gegevens automatisch weer hersteld. De business continuitydienst moet ten minste het volgende kunnen: n het identificeren van bedreigingen en bijbehorende potentiële bedrijfsimpact; n het bepalen van de vereisten voor business continuity en herstel; n het inschatten van de huidige mogelijkheden; n het op basis van bedrijfsdoelen ontwerpen, implementeren en testen van een business continuity plan (bron: Capgemini whitepaper De Cloud in op een veilige manier, 2010). Cloudbeveiligingsdiensten 17