- Door
- Jeroen Mulder
- geplaatst op
- 26 maart 2015 08:00 uur
Met de groei van cloud, groeit ook de zorg over security in de cloud. Terecht, want uitgerekend security lijkt een ondergeschoven kindje te zijn in de cloud. Pas als de naaktfoto’s van celebs zich over het internet verspreiden gelijk de spreekwoordelijke olievlek, worden er een paar mensen wakker. Pas dan bedenken we dat dit met alle data kan gebeuren die we uploaden naar een cloud-entiteit. Juist dat gegeven zorgt ervoor dat cloudstructuren meer en meer het doelwit gaan worden van kwaadwillenden onder ons. Het gaat hackers al lang niet meer om enkele systemen van grote organisaties: de impact is vele malen groter op het moment dat het serieuze cloudomgevingen betreft. Simpel gezegd: in een groter huis valt over het algemeen meer te halen.
Waar moeten dan naar kijken bij cloud security? Naar alles. Security van cloudomgevingen zou om te beginnen niet minder stringent mogen zijn dan bij ‘traditioneel’ gehoste servers. Gek genoeg zien we in de markt dat grote tot zeer grote bedrijven zeer rigide securitypolicies hebben op hun traditionele IT-omgeving, maar zodra er applicaties worden uitbesteed naar cloudproviders, dan wordt er water bij de wijn gedaan. Cloud neem je immers af ‘as a service’, waarbij de wijze waarop een provider de capaciteit – de service – levert, een soort zwarte doos is. Daar zien de klanten over het algemeen weinig van. Natuurlijk hebben de providers de beveiliging op orde, niet zelden geïllustreerd door ISO27001-certificering.
Over die certificering hebben we het al vaker gehad: dat is maar een klein deel van het verhaal. Vraag een provider eens hoe de systemen echt zijn beveiligd. Welke processen, welke preventie- en detectietools zijn geïmplementeerd? Doet een provider aan audit trail en zo ja, hoe? Achteraf lekken repareren is één, het voorkomen dat er securitybreaches ontstaan, is iets heel anders. De cloud is immers niet feilloos. Outages komen voor. De grote providers hebben in de afgelopen acht jaar een kleine zeshonderd uur aan downtime geregistreerd. Toegegeven: de outage waarmee AWS in 2012 te kampen had, tikt hierin flink door. Anderzijds: die outage was volledig toe te schrijven aan het wegvallen van één datacenter.
Dan hebben we het over uitval van services. Maar bij security hoort ook – en vooral – bescherming van data en het voorkomen van dataverlies. Dat laatste zou onderdeel moeten zijn van een securitybeleid: wat mag een werknemer wel of niet uploaden naar de cloud? En wat gebeurt er als er ongeautoriseerde data toch in de cloud terechtkomt en, nog erger, ‘lekt’? Dat hoeft niet altijd opzettelijk te gebeuren, met kwade bedoelingen. Maar heel weinig organisaties hebben zich die vraag gesteld, maar juist met de groei van cloudmogelijkheden wordt die vraag enorm belangrijk. Tel het aantal werknemers maar eens die ondanks policies toch gebruik maken van bijvoorbeeld het publiek toegankelijke Dropbox. Het is zo gemakkelijk, immers.
Cloudproviders hebben hier een grote rol. Zij kennen hun omgevingen, zij kennen de risico’s. Zij zijn de eerst aangewezen instanties om klanten hierop te wijzen. En soms, heel soms, moet een klant niet in de cloud willen. Ook dat is anno 2015 nog steeds een optie.