De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint
Impact Cloud Computing staat volop in de belangstelling Low High Augmented Reality Near Field Communication Autonomous vehicles 3D Printing Predictive Analytics Big Data Audio and Video Analytics The Internet of Things Natural-Language Question Answering Work 2.0 Media Tablets & Mobile Apps Social Media Social Networks In-Memory Computing Mobile Robotics & Telepresence Cloud Computing Bring your own device Next-Gen User Interfaces Green ICT Low Probability High
De Cloud heeft voordelen én uitdagingen Voordelen Uitdagingen Gebruikersgemak Standaardisatie (binnen de cloud!) Compliancy (auditeerbaar) Flexibiliteit Kosten Beschikbaarheid Focus op kernactiviteiten Schaalbaarheid Business Continuity Maakt HNW mogelijk Beveiliging van data? Bescherming van privacy? Beleggen van verantwoordelijkheid Logische toegang (digitale identiteit, toegangscontrole en encryptiemogelijkheden) BYOD / CYOD / CYOA Grensoverschrijding
Voorbeelden van Cloud Computing delivery modellen IaaS PaaS SaaS BPaaS Infrastructure as a Service Platform as a Service Software as a Service Business Process as a Service 4 Bron: Avenade
Waarom kiezen voor Cloud diensten? Source: Cloud Computing Research in the Netherlands (Quint Wellington Redwood, CloudWorks Magazine, Arthur s Legal- Februari - April 2012)
Meest gekozen Cloud toepassingen 1. Mail, filesharing en SaaS toepassingen gericht op HRM, Sales en Project Management 2. Toename te verwachten op storage van niet bedrijf kritische data en verwerkingscapaciteit 3. Toename te verwachten op gebied van primaire bedrijfsprocessen (SaaS, IaaS) 6
De Cloud is veelal beduidend complexer dan men wil doen geloven.. gelaagdheid in dienstverlening 7
Afnemer beheert Afnemer beheert Afnemer beheert De Cloud is veelal beduidend complexer dan men wil doen geloven.. (Meta) Data (Meta) Data (Meta) Data (Meta) Data Applicatie Applicatie Applicatie Applicatie Runtime Runtime Runtime Runtime Middleware Middleware Middleware Middleware Besturingsysteem Besturingssysteem Besturingsysteem Besturingsysteem Virtualization Virtualization Virtualization Virtualization Servers Servers Servers Servers Opslag Opslag Opslag Opslag Netwerk Netwerk Netwerk Netwerk Leverancier beheert in de cloud Leverancier beheert in de cloud Leverancier beheert in de cloud Standardisatie; lagere kosten; kortere terugverdientijd De gelaagdheid in beeld 8
De Cloud is veelal beduidend complexer dan men wil doen geloven.. 9
De Cloud is veelal beduidend complexer dan men wil doen geloven.. Private cloud Public cloud individuen organisatie met een digitale sleutelbos? Community cloud Hybride cloud 10
.. wat voor security en privacy de nodige uitdagingen oplevert! Enkele waarnemingen: De Cloud is een technische oplossing, terwijl beveiliging primair gaat om mensen, secundair om processen / procedures en pas tertiair om technologie; De technologie - en de adoptie daarvan - gaat vaak sneller dan de bijbehorende adequate security ervan; Cloudleveranciers zijn gespitst op beveiliging (de penalty is naming and shaming ); Cloudleveranciers hebben hun eigen standaarden ook voor security, hetgeen de interoperabiliteit bemoeilijkt en daarnaast portabiliteit en datamigratie vrijwel onmogelijk maakt; Cloudoplossingen geven een verschuiving van competenties en het niveau van werken; Ontbreken van open standaarden voor interoperabiliteit, industrie brede bedrijfsstandaarden alsmede Wet- en Regelgeving blijft een struikelblok voor veel organisaties om over te gaan op gebruik van clouddiensten 11
De opinie over security en privacy in de Cloud: Onderzoek VMWare (juni 2011): 19% van de ondervraagden gaf twijfels over beveiliging aan om niet over te stappen op cloudoplossingen Onderzoek KPMG (2012): 80% van de bestuurders binnen de overheid zou meer vertrouwen hebben in de Cloud als clouddiensten gecertificeerd zouden zijn Brocade (januari 2013): driekwart van de ondervraagde CIO s is bezorgd dat de Service Level Agreements (SLA's) met betrekking tot de Cloud niet zal voldoen aan minimale eisen 12
Onderzoek naar perceptie data beveiliging in de Cloud geeft een beeld van heden,. 32% geeft aan het belangrijk te vinden dat Service Providers gecertificeerd zijn 31% geeft aan de vastgestelde beveiligingsbeleidskaders gevolgd moeten worden 15% geeft dat er meer beveiligingsmaatregelen getroffen moeten worden 13
maar de volwassenheid van de cloud en haar gebruik nemen snel toe. Prognose (Cisco) is dat in 2016 bijna 2/3 van het totale wereldwijde dataverkeer via een cloud-oplossing zal gaan; Virtualisatie in combinatie met clouddiensten geven weliswaar een sterke vermindering van kosten, maar versterken de kwetsbaarheid; Op de individuele organisatie gerichte beveiligingsmaatregelen zoals firewalls en antivirus software voldoen dan niet meer; Massale hacking van gegevens, waarbij gebruik wordt gemaakt van virtualisatie-software, is daardoor allerminst uitgesloten; Dit vergt een volstrekt andere aanpak van de security (programmeerbaar maatwerk dat naadloos is verbonden met de te beveiligen data aan het begin van het traject van ontwerpen). 14
De theoretische mogelijkheden voor het opslaan en verwerken van data.. Zelf doen Co-locatie Cloud Computing Outsourcing N.B. Waarbij de provider in de outsourcing gebruik kan maken van clouddiensten!! 15
geplot in een assenstelsel Flexibiliteit cloudcomputing Veel risico outsourcing co-locatie Beheersing zelf doen Starheid
en de bijbehorende globale verschillen in security en privacy De drie vaste criteria voor beveiliging Beschikbaarheid - tijdigheid; - continuïteit; - robuustheid. Clouddiensten Onduidelijk extra aandacht is noodzakelijk Outsourcing Af te regelen in SLA s Integriteit (actueel en volledig) - juistheid; - volledigheid. Wordt niet beïnvloed (evt. encryptie gebruiken) Wordt niet beïnvloed Vertrouwelijkheid - autorisatie van de toegang. Sterke authenticatie noodzakelijk Conform afgesproken procedure 17
Enkele do s and don ts met betrekking tot de Cloud Denk vooraf na over einde van het contract: datamigratie / portabiliteit; Ga na of en hoe een disaster recovery zal gaan werken; Waak (ook hier) voor een vendor lock-in ; In het kader van de Wbp is niet de bewerker verantwoordelijk, maar de opdrachtgever; Ga na voor welke data en vervolgens waar encryptie moet plaatsvinden; Is opslag in contractueel vastgelegde geografische locaties noodzakelijk?; Bij clouddiensten is sterke(re) authenticatie noodzakelijk; Ga na hoe back-ups worden opgeslagen (en vernietigd). 18
Helft van bedrijven heeft datamigratie niet geregeld Goeie vraag Ook in 2011 had de helft van de bedrijven datamigratie niet geregeld. Moeten we nog regelen 19 Met bedrijven als Google is lastig om afspraken maken
Resumé: Gebruik maken van clouddiensten kan over zeker een zegen zijn vanwege de eerder genoemde voordelen zoals bereikbaarheid en beschikbaarheid van data, flexibiliteit, kostenreductie, compliancy, beschikbaarheid, schaalbaarheid etc. mits: de clouddiensten volledig transparant zijn voor de afnemer, ze gecertificeerd zijn, de gegevens afdoende beschermd zijn tegen misbruik en oneigenlijk gebruik, de toegangsautorisatie waterdicht is en er gebruik wordt gemaakt van adequate beveiligingsmaatregelen. 20
21