Een heerlijke. Wie gaat er over beveiliging in de cloud? Opiniestuk van Trend Micro. februari 2011. Door Dave Asprey, VP Cloud Security



Vergelijkbare documenten
PUBLIEKE, PRIVATE OF HYBRIDE CLOUD?

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Windows Server 2008 helpt museum met het veilig delen van informatie

White Paper - Quality as a Service & Waarom de Cloud? CeneSam, Februari 2014

PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN.

PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN.

Een dag uit het leven van een Cloud consument Stefan Willems, Platani Marcel Steenman, Platani

EXIN Cloud Computing Foundation

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant

Cloud Computing. Bart van Dijk

Private Cloud : Intelligent Hosting. [Kies de datum]

Verras uw business-collega s met een IT-sixpack

Acronis lanceert Backup 12

Factsheet CLOUD MIGRATIE Managed Services

BeCloud. Belgacom. Cloud. Services.

Cloud Computing. Definitie. Cloud Computing

Hoe bewaart u uw klantendata op een veilige manier? Maak kennis met de veilige dataopslag in de Cloud van Azure Stack

Kostenverlaging voor IT-beveiliging

Netwerkvirtualisatie implementeren in VMware-omgevingen met NSX

Whitepaper Hybride Cloud

EIGENSCHAPPEN CONVERGED HARDWARE

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Factsheet CLOUD MANAGEMENT Managed Services

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

Worry Free Business Security 7

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Cloud Computing: Met HPC in de wolken Ron Trompert

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Vier goede redenen om over te stappen naar de cloud

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

Whitepaper Hybride Cloud Met z n allen naar de cloud.

zorgeloos werken in de cloud

PRIVATE, PUBLIC OF HYBRID CLOUD: VIND NU DE OPLOSSING DIE BIJ U PAST Versie: Aantal pagina s: 10

Mogen wij ons voorstellen? EQUA b.v.

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Meerdere clouds samensmeden tot één grote, hybride omgeving

VOOR EN NADELEN VAN DE CLOUD

Werken zonder zorgen met uw ICT bij u op locatie

Prijslijst Algemeen. Reparaties. Installaties. Voorrijkosten binnen gemeente Bedum: 5,- Voorrijkosten buiten gemeente Bedum: 20,-

Hostbasket. Het hosting en cloud computing aanbod van Telenet

Cloud Communicatie Hosted Voice powered by Detron Telecom Solutions

Factsheet CLOUD CONSULTANCY Managed Services

Uw IT, onze business

To cloud or not to cloud

REDEFINE SIMPLICITY BELANGRIJKSTE REDENEN: EMC VSPEX BLUE VOOR GEVIRTUALISEERDE OMGEVINGEN

Een heerlijke nieuwe beveiligingswereld. Een heerlijke nieuwe beveiligingswereld

OpenX Hosting. Opties en Alternatieven

Welkom bij Interconnect. Maartje van Alem Marketing Manager

NAAR DE CLOUD? DE VOORDELEN EN DE VALKUILEN

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

IaaS by Proact. datasheet. Uitdaging. Oplossing. U profiteert van: Van IT-afdelingen wordt steeds meer verwacht. Zij moeten e nerzijds de b

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

hoogwaardige IaaS Cloudoplossingen

Het nieuwe werken nu ook voor zware grafische gebruikers

IaaS als basis voor maatwerkoplossingen

Factsheet DATALEKKEN COMPLIANT Managed Services

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

Wat houdt de cloud tegen?

Garandeer de continuïteit van uw dienstverlening

CiCloud Datacenter diensten op maat van besturen

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

DE KRACHT VAN EENVOUD. Business Suite

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

it diensten alles voor uw bedrijfscontinuïteit

Hoe kunt u profiteren van de cloud? Whitepaper

Kijken, kiezen, maar wat te kopen?

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Gedegen Cloud management volgens Mirabeau

IaaS als basis voor maatwerkoplossingen

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

5 CLOUD MYTHES ONTKRACHT

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6.

Desktop Delivery: een zakelijke afweging

Vergroening Kennisnet Cloud

Bring it To The Cloud

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Databeveiliging en Hosting Asperion

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Releasenotes versie 1.1 VERSIE A

Caag CRM. Informatie Brochure

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Evy. De Cloud oplossing van Drie-O

Wat is de cloud? Cloud computing Cloud

We stemmen uw cloud-verbruik automatisch af op de vraag

Dataportabiliteit. Auteur: Miranda van Elswijk en Willem-Jan van Elk

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

De public cloud: Het einde van de traditionele hosting providers?

Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Cloud Computing: Het concept ontrafeld

Bewaar patiëntgegevens veilig in de Nederlandse Cloud. Infopaper voor de zorgsector. The Sourcing Company

10 redenen om te virtualiseren. Met virtualisatie breek je de directe link tussen de fysieke infrastructuur en de applicaties die erop draaien.

IN ÉÉN KLIK UW MOBIELE GEGEVENS BEVEILIGD

IaaS Migratieservice

bedrijfsbrochure maak kennis met iunxi

Dynamic infrastructure. Expertvisie: In vijf stappen naar een dynamische it-infrastructuur

BE READY FOR WHAT S NEXT! Kaspersky Open Space Security

Mensink ICT Advocatuur Nieuwsbrief Oktober 2013

Transcriptie:

Een heerlijke Wie gaat er over beveiliging in de cloud? Opiniestuk van Trend Micro februari 2011 Door Dave Asprey, VP Cloud Security

I. WIE GAAT ER OVER BEVEILIGING IN DE CLOUD? Cloud computing is het technologische modewoord van dit moment. De levering van on-demand IT-software en infrastructuurservices via internet kan IT-teams ongekende voordelen bieden op het gebied van efficiëntie, kostenbesparing en schaalbaarheid. Deze vernieuwende voordelen gaan echter gepaard met problemen die de meeste traditionele beveiligingsmethoden nutteloos maken. De paradox achter dit nieuwe computerparadigma is dat de cloud weliswaar vereenvoudigde pay-per-use IT biedt, waarbij veel van het zware werk wordt uitbesteed, maar dat er ook allerlei nieuwe problemen op het gebied van naleving en gegevensbeveiliging ontstaan. IT-managers onderzoeken, op eigen initiatief of omdat ze geen keus hebben, wat hun mogelijkheden zijn in deze computingomgeving van de 21ste eeuw. Ze willen weten wat de risico's zijn en vooral ook wie er verantwoordelijk en aansprakelijk is voor beveiliging. We proberen hier op deze zaken in te gaan in de context van Infrastructure as a Service (IaaS), waardoor IT-managers de mogelijkheid krijgen netwerk-, opslag- en serverresources en andere operationele elementen in te huren. Het biedt ondernemingen ook meer autonomie om controlemechanismen aan te brengen dan bij beveiligingsmodellen als SaaS. II. WAAROM DE CLOUD? Aan de kant van de openbare cloud komt het allemaal neer op schaal en op de mogelijkheid opex (Operating Expense) te gebruiken in plaats van capex (Capital Expense). Cloud computing-klanten hoeven geen geld uit te geven aan hardware, software en andere infrastructuurservices. Ze betalen hun provider alleen voor wat ze gebruiken, net zoals bij nutsvoorziening. De on-demand levering van resources maakt het voor bedrijven ook mogelijk realtime dynamisch naar behoefte bij te schalen, wat de zakelijke beweeglijkheid aanzienlijk verbetert. Aan de kant van de besloten cloud draait alles om meer flexibiliteit en het vermogen in te spelen op de behoeften van interne klanten. Gezien deze voordelen wekt het geen verbazing dat er zo veel belangstelling is voor het nieuwe computingparadigma. Cisco-onderzoek in december heeft bijvoorbeeld aangetoond dat 52% van de IT-professionals wereldwijd al cloud computing gebruikt of er in de komende drie jaar gebruik van wil gaan maken. In maart 2010 bleek uit een soortgelijke enquête van de ISACA, een organisatie op het gebied van computerbeveiliging, dat een derde van de Europese organisaties al cloud computing-systemen gebruikt, terwijl wereldwijd opererend consultancybureau Accenture in juli 2010 bekendmaakte dat de helft van haar cliënten ten minste enkele bedrijfskritische toepassingen in de cloud laat draaien. 1 Trend Micro Opiniestuk Wie gaat er over beveiliging in de cloud

III. BEVEILIGING AAN DE BUITENGRENZEN BESTAAT NOG TWEE MANIEREN OM DE CLOUD TE BEVEILIGEN Er wordt vaak gezegd dat in het model van de openbare cloud de traditionele buitengrenzen voor beveiliging van een onderneming gewoonweg niet meer bestaan. Men zegt dan dat firewalls, systemen voor inbraakpreventie en andere standaardbeveiliging niet tot de cloud kunnen reiken en dat bedrijven daarom moeten vertrouwen op het uiterst elementaire niveau van beveiliging van de buitengrenzen dat wordt geboden door hun cloudprovider. Het op buitengrenzen gebaseerde beveiligingsmodel bestaat echter nog wel degelijk. Het is een nuttig deel geworden van een goede beveiligingsarchitectuur, maar het is niet het enige onderdeel. Met betrekking tot de cloud denken ondernemingen nog steeds in termen van buitengrenzen. Bedrijven staan voor de keuze of ze de buitengrens tot in de cloud laten reiken of de cloud binnen hun buitengrens halen of beide. In beide gevallen zijn extra beveiligingslagen nodig, net als in interne beveiligingsomgevingen van ondernemingen. Beide scenario's hebben echter soortgelijke nadelen met betrekking tot het mogelijke gebrek aan overzicht en controle dat voortkomt uit de uitbesteding naar de cloud. CISO's moeten waakzaam zijn, due diligence betrachten en zich bewust zijn van de risico's. 1) In het eerste scenario loopt de buitengrens tot aan de cloud. Er moet dan een IPSec VPN-tunnel naar de servers van de provider van de openbare cloud worden ingesteld. Op de server met de openbare cloud moet dan zware enterprise-beveiliging worden aangebracht, meestal in de vorm van beveiligingssoftware en virtuele appliances. Het voordeel van deze configuratie is dat u Active Directory niet opnieuw hoeft te configureren en dat de meeste andere beheertools met uw cloudconfiguratie kunnen werken, omdat uw cloudservers zich binnen uw 'buitengrenzen' bevinden. Er is echter ook een nadeel, afhankelijk van hoe goed u uw cloudserver hebt beveiligd. U hebt mogelijk de risico's die de cloud met zich meebrengt, in uw architectuur toegelaten [hieronder beschreven]. Wat u hiertegen kunt doen, is ervoor zorgen dat de koppeling tussen de cloud en de interne servers wordt gecontroleerd op verdacht verkeer, net als alle koppelingen met bedrijfskritische servers moeten worden gecontroleerd, ongeacht of ze zich in een cloud bevinden. Een andere mogelijkheid is een extra DMZ en firewall toe te voegen, maar dan krijgt u wel een buitengrens erbij die moet worden beveiligd. Veel bedrijven vergeten of negeren deze stap in hun haast om over te stappen op de cloud. Dat geldt vooral voor kleinere organisaties waar men niet de tijd en de IT-resources heeft om dergelijke verdedigingslinies in te bouwen. Het is ook van groot belang voldoende beveiliging op die cloudservers aan te brengen, zodat u ze kunt vertrouwen IDS/IPS, bidirectionele firewall, enzovoort. 2 Trend Micro Opiniestuk Wie gaat er over beveiliging in de cloud

RISICO'S CIO's moeten zich ervan bewust zijn dat cloudservers aan andere bedreigingen blootstaan dan de servers die ze gewend zijn intern te overzien. Bedrijven krijgen gewoonlijk geen inzage in de fysieke of beheertoegangslogboeken van hun cloudprovider. Hoe weten ze bijvoorbeeld of een IT-beheerder die werkt voor de provider van hun openbare cloud, toegang heeft gehad tot hun gegevens? Bedreigingen van binnenuit kunnen tot op zekere hoogte intern worden afgewend door toegangslogboeken bij te houden, maar dit gebrek aan overzicht over de cloud moet eigenlijk leiden tot grootschalige aanvaarding van gegevensversleuteling als standaard. [In december werd bekend dat bedrijfsgegevens van klanten van de gehoste BPOSbusiness suite van Microsoft zijn geopend en gedownload door andere gebruikers van de software. Dit was het gevolg van een configuratiefout. Het probleem is snel opgelost, maar het geeft aan wat er mis kan gaan en het onderstreept het belang van overzicht over de systemen van uw cloudprovider, zodat u weet of ze voldoen aan uw standaarden en aan de voorschriften.] Gedeelde opslag betekent ook een risico voor bedrijven die niet graag zien dat hun gegevens zich met de gegevens van een concurrent op dezelfde schijf in de cloud bevinden. Sommige providers van openbare clouds besteden niet zo veel aandacht aan beveiliging of zijn niet duidelijk genoeg over wat ze doen. Als u bedrijfskritische gegevens in de cloud opslaat, moet u op zijn minst kijken of er sprake is van strikte naleving van best practices op het gebied van beveiliging, zoals ISO 27001 en SAS70 II, en goed kijken naar de SLA's en het beveiligingsbeleid van uw provider. Daar komt bij dat de meeste cloudproviders in het geval van inbreuk op gegevens niet meer schadevergoeding betalen dan de kosten van de service die ze verschaffen, zelfs als het hun schuld was. Als inbreuk op gegevens bijvoorbeeld leidt tot ernstige schade aan uw reputatie, boetes en misschien wel miljoenen aan verliezen, zijn die gevolgen voor u. 2) In het tweede scenario laat u de cloud toe binnen de buitengrenzen van de onderneming. U moet dan toestaan dat een IaaS-provider van een openbare cloud of een cloudgebaseerde MSSP een cloudknooppunt op uw eigen locatie installeert. Het voordeel van deze configuratie, die in grotere ondernemingen steeds meer begint voor te komen, is dat het een tamelijk goed begrepen model is. Akamai doet bijvoorbeeld al tien jaar iets soortgelijks. Ze beheren een server die zich binnen de buitengrenzen van de klant bevindt. MSSP's zoals Integralis leveren bovendien al jaren firewallbeheerservices op afstand, 'vanuit de cloud'. Andere voorbeelden omvatten het Trend Micro Smart Protection 3 Trend Micro Opiniestuk Wie gaat er over beveiliging in de cloud

Network, dat beveiligingsservers binnen een ondernemingsnetwerk koppelt aan een beveiligingsnetwerk van duizenden servers in de cloud. Een dergelijke machine in uw datacenter of kantoor, die centraal wordt beheerd of bijgewerkt door de cloudprovider, is een eenvoudige oplossing, maar het belangrijkste nadeel is dat dit in wezen toch een cloudservice is en als zodanig deels dezelfde risico's oplevert als de eerste configuratie. De risico's door het ontbreken van overzicht over fysieke en beheertoegangslogboeken blijven bestaan. De financiële aansprakelijkheid voor nalatigheid die leidt tot verlies van uw bedrijfskritische gegevens, gaat nog steeds niet verder dan de kosten van de service. De machine kan aan en uit worden gezet, maar als deze aan staat, heeft de cloudprovider toegang tot uw netwerk en uw toepassingsgegevens, dus u moet op de provider vertrouwen. Als die provider veel aandacht besteedt aan beveiliging en transparante SLA's hanteert, hoeft u zich minder zorgen te maken. Zoals eerder gezegd, is voor de meeste generalistische cloudproviders beveiliging vaak niet de belangrijkste afweging. Het gaat hier om het verschil tussen beveiliging die 'goed genoeg' is en beveiliging die 'optimaal' is. Een cloudgebaseerde e-mailservice bijvoorbeeld, die binnen uw buitengrenzen is ingesteld door een Managed Security Service Provider, is waarschijnlijk betrouwbaarder dan een e-mailservice die wordt geleverd door een gemiddelde leverancier van een openbare cloud. IV. WIE GAAT ER OVER BEVEILIGING IN DE CLOUD EN WAAR ZITTEN DE ZWAKKE PLEKKEN? Het slechte nieuws is dat u van uw cloudprovider waarschijnlijk geen hulp hoeft te verwachten. Sterker nog, uw werk wordt mogelijk zelfs bemoeilijkt door het gebrek aan overzicht over toegangslogboeken of door een verontrustend vage formulering van het beveiligingsbeleid. U moet uw cloudservers net zo goed beveiligen als uw interne servers. Dit omvat onder meer: IDS/IPS, DLP-tools, een bidirectionele firewall en versleuteling. Op het gebied van netwerkbeveiliging kunt u in de cloudomgeving in de problemen komen omdat weinig providers van openbare clouds toestaan dat u het netwerkverkeer zo goed bewaakt als u dat zou willen. In uw eigen netwerk zijn alle router/switchconfiguraties en logboeken vrijelijk toegankelijk en kunt u al het netwerkverkeer onderzoeken dat u wilt. In de cloud is dat echter allemaal niet mogelijk. Dat kan betekenen dat de cloud onbruikbaar is vanuit het oogpunt van compliance. Het is dus van groot belang dat u uitzoekt hoeveel netwerkbewaking en -toegang uw provider toestaat. Versleuteling van gegevens in ruste en in beweging wordt uiterst belangrijk, vanwege het gebrek aan overzicht over het netwerkverkeer en de toegangslogboeken van uw provider. 4 Trend Micro Opiniestuk Wie gaat er over beveiliging in de cloud

Veel cloudproviders bieden op beheerniveau ook schrikbarend weinig toegangscontrolemechanismen op basis van rollen. Met Amazon EC2 is één account bijvoorbeeld eigenaar van alle machines, dus heeft één lid van de organisatie met toegang tot die account in wezen de volledige controle, inclusief het vermogen om machines toe te voegen of te verwijderen. In de besloten cloud wordt de controle van de IT-afdeling over de beveiliging aangetast door de snelheid waarmee servers kunnen worden gemaakt. Het natuurlijk evenwicht tussen de behoefte van de onderneming aan servers en het vermogen van de IT-afdeling om die servers beschikbaar te stellen, gaat verloren doordat het proces is versneld. Een onderneming hoeft tegenwoordig alleen maar te weten of het de kosten van een licentie kan betalen, want in een omgeving met een besloten cloud kan een server binnen één à twee dagen actief zijn, terwijl dat vroeger bijvoorbeeld zes weken duurde. Elk verzoek om een nieuwe server moet echter goed worden bekeken, omdat de beveiligingsrisico's toenemen naarmate het aantal te beheren machines toeneemt. Het is belangrijk dat IT-managers een centraal autorisatieproces opzetten, zodat verzoeken vanuit de onderneming eerst langs IT worden geleid. V. OPROEP TOT ACTIE Ondernemingen Versleutel gegevens in ruste en in beweging en sla de coderingssleutels ergens anders op dan de gegevens en niet op een locatie waar ze gemakkelijk toegankelijk zijn voor de cloudprovider. Zet al uw beveiligingstools ook op uw fysieke servers in de cloud in, want cloudproviders leveren u slechts een kaal besturingssysteem zonder toereikende beveiliging. Cloudproviders Wees opener en transparanter over uw beveiligingsbeleid en uw procedures met betrekking tot toegangscontrole en netwerkverkeer. Klanten moeten weten wie wat wanneer heeft gedaan en ze moeten de logboeken kunnen inzien. Stel duidelijke SLA's op, zodat uw klanten weten welke beveiligingsfuncties u aanbiedt en wat ze moeten doen om ervoor te zorgen dat hun gegevens worden beveiligd volgens hun eigen standaarden en de voorschriften. 5 Trend Micro Opiniestuk Wie gaat er over beveiliging in de cloud

Besloten cloudomgevingen Zet een centraal autorisatieproces op, als dit er niet al is, voor alle aanvragen vanuit de onderneming voor een nieuwe cloudserver. U moet weten waarom de server nodig is, wat er op de server zal draaien, hoe lang de server zal bestaan en hoeveel verkeer er via de server zal lopen. Deze zaken moeten regelmatig opnieuw worden bekeken. Wees gewaarschuwd...it zal sneller moeten gaan werken. Het is in het belang van de onderneming dat u op tijd op deze vereisten inspeelt, zonder de beveiliging aan te tasten. 6 Trend Micro Opiniestuk Wie gaat er over beveiliging in de cloud

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback