- Door
- Rashid Niamat
- geplaatst op
- 10 januari 2013 08:01 uur
In de rijtjes met belangrijke ontwikkelingen van 2012 die ISPam.nl eind vorig jaar publiceerde,komt veiligheid veel voor. Logisch want de sector heeft er alle belang bij. Geen veiligheid betekent namelijk uiteindelijk niet anders dan minder klanten en omzet.
Veiligheid is echter een breed begrip. Het omvat alles van fysieke beveiliging tot kennis over processen en procedures. Deze complexiteit van het begrip zijn we afgelopen jaar vele malen tegen gekomen. Zo bleek met enige regelmaat dat cloud nog meer zou kunnen groeien, als er maar meer vertrouwen was bij beoogde afnemers dat de dienst ook echt veilig zou zijn. Dit kwam onder andere naar voren in het artikel over de nationale cloud monitor die door Eurocloud is gehouden.
Bij een aantal aspecten van cloud – en dan met name Iaas-diensten – is het echter de vraag of we met de focus op technische standaardisatie zoals door Eurocloud en DHPA wordt nagestreefd, de klanten een groter gevoel van zekerheid kunnen geven.
In de VS heeft het National Institute of Standards and Technology (NIST) vorige maand een document gepubliceerd dat een procedure beschrijft waarmee een van de meest gestelde vragen met betrekking tot veiligheid in de cloud voor eens en voor altijd beantwoord kan worden: ‘waar staat mijn data?’
Onder de titel Trusted Geolocation in the Cloud: Proof of Concept Implementation (Draft) wordt in ruim 40 pagina’s geschreven hoe dit mogelijk kan worden [PDF]. Tot eind van deze maand kan door belangstellenden op de draft worden gereageerd en daarna zal een eindversie worden gemaakt. De impact van dit document dient niet te worden onderschat. NIST stelt het op omdat FISMA (de wet die kaders stelt voor informatiebeveiliging) dit voorschrijft. Met andere woorden: Amerikaanse bedrijven zullen hiermee aan de slag moeten, ook al klinkt het in de beschrijving nog vrijblijvend (‘The publication is intended to be a blueprint or template that can be used by the general security community to validate and implement the described proof of concept implementation’).
Dat er een methodiek wordt ontwikkeld om te komen tot een betrouwbare geolocation-bepaling kan alleen maar worden toegejuicht. Zoals in de Amerikaanse vakpers aangegeven: het gaat er namelijk lang niet alleen om dat defensiebedrijf A wil voorkomen dat zijn data op een cloudomgeving in een vijandelijk land staat. Bank B wil in de regel ook niet dat zijn data in de zelfde cloudomgeving hangt als die van bank C.
Deze NIST-methodiek zal dat voorkomen en tussentijds geaudit kunnen worden. Bovengenoemde type bedrijven, maar ook anderen en de klanten van deze bedrijven, kan op die manier echt extra veiligheid geboden worden. Vanwege die te verwachten impact is zelfs de draft-versie al de moeite van het lezen waard.