Cloud vraagt om zichtbaarheid en controle
Het is een vaak herhaald mantra: Organisaties die bezig zijn of interesse hebben in cloud computing, maken zich zorgen om de beveiliging. Dat is niet zo vreemd, vaak worden zorgen over security, dataprivacy en datalocatie als primaire obstakels genoemd die bedrijven van een gang naar de cloud weerhouden. Maar zijn die zorgen terecht? Sommige experts zeggen dat zichtbaarheid en controle de missende elementen zijn.
In recent onderzoek door CompTIA onder IT- en businessbestuurders, blijkt dat 50 procent van de respondenten aangeeft dat een grotere afhankelijkheid van cloud computing en SaaS de voornaamste reden van zorg is voor digitale veiligheid. Maar cloudspecialisten zeggen juist dat de opslag van data binnen cloud veel veiliger is dan binnen een on-premise installatie, vooral voor kleinere organisaties die niet over de resources beschikken om zelf gespecialiseerd securitypersoneel in te huren.
De juiste personen in dienst hebben is een probleem voor ongeveer 41 procent van de ondervraagde organisaties, zegt CompTIA. Niet zo gek dus dat volgens Amerikaanse cijfers minder dan 1 procent van alle beveiligingsspecialisten op dit moment geen baan heeft.
'MKB is beter af in de cloud'
Christophe Primault, mede-oprichter en algemeen directeur van GetApp.com, noemt cloud computing daarom een uitkomst voor kleinere organisaties die niet aan de juiste IT'ers kunnen komen. "Je data is waarschijnlijk veiliger ondergebracht bij een grote cloudleverancier dan binnen je eigen omgeving", zegt hij. "Ik geloof echt dat dit zo is."
Over zijn eigen bedrijf zegt hij. "Wij maken enkel gebruik van clouddiensten, we zijn daarmee geboren in de cloud. De kosten voor het in-house houden van data en de bescherming ervan, zouden voor mij te hoog zijn."
Primault is niet de enige bestuurder die zich veilig voelt bij opslag van data in de cloud. Volgens CompTIA is 85 procent van de organisaties waarbinnen clouddiensten worden afgenomen tevreden tot zeer tevreden over de mate van beveiliging die hun leverancier biedt. Toch durven dezelfde organisaties niet alle typen data en applicaties in de cloud onder te brengen.
"Je ziet op dit moment een paradox onder gebruikers van cloud", zegt Tim Herbert, onderzoeksdirecteur bij CompTIA. "Klanten hebben veel vertrouwen in de beveiliging van hun cloudleverancier, maar tegelijkertijd durven ze het niet aan om bepaalde typen data en applicaties in de cloud onder te brengen. Veel ondernemingen hebben al een aantal niet-kritische systemen naar de cloud gebracht, maar ze zijn nog niet op het punt aangeland waarbij ook hun kritische systemen in de cloud kunnen draaien."
'No go' voor financiële data en creditcardinformatie
Bedrijven zijn vooral terughoudend met het verhuizen van vertrouwelijke financiële en creditcard data. Volgens CompTIA is meer dan de helft van de geënquêteerde bedrijven niet geïnteresseerd in het onderbrengen van deze gevoelige gegevens in een cloudomgeving.
Zelfs wanneer organisaties worstelen met het vertrouwen in de beveiligingsmethoden van cloudproviders, nemen ze niet de moeite om zich goed te verdiepen in de voorzorgsmaatregelen die leveranciers treffen, zegt Herbert. Vooral wat een cloudprovider kan bieden qua compliance, locatie van data en referenties wordt vaak niet gezien,
"Ondanks bepaalde bezwaren, geeft slechts 29 procent van de respondenten aan dat ze een uitvoerig en diepgaand onderzoek instellen bij het evalueren van cloudproviders", zegt de onderzoeker.
Bedrijven die geen onderzoek doen naar genoemde factoren, kunnen naderhand het deksel op de neus krijgen. Onlangs kwam de gemeente van Los Angeles erachter dat ze niet zomaar met Google in zee konden gaan. "LA moest zijn plan om 30.000 ambtenaren te laten overstappen op Google Apps herzien toen ze erachter kwamen dat Google Apps niet volledig compliant was met de geldende FBI-voorschriften", schrijft CompTIA in zijn jaarlijkse Security Trends Study.
CompTIA voegt daaraan toe: "Dit is een lichtend voorbeeld van wat zeker vaker voor gaat komen wanneer organisaties naar de cloud stappen. Zodra het cloudmodel volwassener wordt, zullen de meeste van deze issues vanzelf opgelost worden, maar op korte termijn kunnen leveranciers qua voorlichting het nodige doen om deze problemen te voorkomen. Op langere termijn zullen assessments van derden op gebied van policies, procedures en securitymogelijkheden standaard worden."
Ondertussen doen leveranciers van beveiligingsproducten er alles aan om de cloud een vertrouwde omgeving te maken voor modern zakendoen.
'Eigen datacenter veilig houden wordt steeds lastiger
Nico Popp, VP productmanagement en ontwikkeling bij Symantec, onderkent dat de cloud nog niet op hetzelfde niveau zit met on-premise systemen wanneer het aankomt op security. Maar hij ziet ook dat dit in rap tempo verandert. "De cloud zal op een bepaald moment veiliger zijn", zegt hij. "Security als een doe-het-zelf operatie wordt steeds lastiger."
Popp voorspelt dat de cloud binnen drie tot vijf jaar veiliger zal zijn voor MKB-bedrijven en dat het omslagpunt voor grote bedrijven binnen tien jaar bereikt wordt.
"Veel mensen zullen zeggen dat de cloud fundamenteel onveilig is", zegt Popp. "Het echte probleem is niet security, maar meer de controle en zichtbaarheid. Het is een zaak van vertrouwen. Salesforce en Google moeten zelf ook goede security hebben. Vanuit securityoogpunt, wordt de security van cloudleveranciers een stuk beter dan die van gemiddelde bedrijven."
Het probleem is volgens Popp dat organisaties geen goede mechanismen hebben om hun eigen securitypolicies in de cloud te injecteren en dat er geen inzicht bestaat in logbestanden.
"Het punt is dat de cloudjongens IT niet genoeg controle geven om hun eigen policies in te stellen", zegt hij. "Het is ook moeilijk omdat iedere cloud verschilt. Je hebt overal andere API's en security raamwerken. Allen hanteren verschillende benaderingen van security. We hebben een nieuw centraal punt nodig waar IT zijn eigen policies kwijt kan, bovenop deze cloudservices."
Daarnaast moet een IT-organisatie toegang hebben tot zowel de logbestanden als de backups voor zowel juridische compliance als de mogelijkheid om een oorzaak te achterhalen wanneer er iets gehackt wordt.
'Ozonlaag' tussen cloud en eigen datacenter
Het antwoord van Symantec op de geschetste problemen is O3, een cloud informatietoegangspoort die is gevormd naar het voorbeeld van de ozonlaag rond de aarde. Het is bedoeld om te zweven tussen een organisatie en zijn clouddiensten en gedraagt zich als een soort van cloud firewall. Popp zegt dat het drie lagen van controle biedt: een identiteit- en toegangscontrolelaag, een informatiebeschermingslaag en een informatiemanagementlaag. De eerste laag biedt rolgebaseerde toegang tot informatie in de cloud, terwijl de tweede toeziet op handhaving van het securitybeleid van een organisatie. De laatste laag onderschept alle logbestanden en stelt organisaties in staat om aan geldende regelgeving te voldoen.
Het bedrijf PerspecSys kiest voor een andere aanpak. "Wij maken cloudapplicaties missiekritisch voor bedrijven door te zorgen dat hun gevoelige data nooit buiten het bedrijfsnetwerk beweegt", zegt CEO David Canellos. "In essentie modereren wij de transactie tussen de eindgebruiker en de cloud. Wat het bedrijf ziet als gevoelige informatie, wordt bij ons binnengebracht en gestuurd naar een lokale database achter de firewall van het bedrijf. Daarvoor in de plaats gebruiken we vervangende data."
Het Israëlische Porticor onderkent ook dat vertrouwen en controle van data in de cloud het probleem is, maar het ziet meer fiducie in encryptie en sleutelmanagement. Gilad Parann-Nissany, mede-oprichter en CEO van het bedrijf, vergelijkt de oplossing van Porticor met een kluis in een Zwitserse bank. Porticor gebruikt een technologie waarbij encryptiesleutels gesplitst worden en de klant een hoofdsleutel in handen krijgt voor alle dataobjecten in een applicatie. Porticor houdt een eigen set aan encryptiesleutels, waaraan Parann-Nissany refereert als "bankierssleutels", voor ieder dataobject. Wanneer een applicatie toegang vraagt voor de datastore, worden beide onderdelen van de sleutel gebruikt om de data dynamisch te encrypten en decrypten. De hoofdsleutel zelf is ook versleuteld, zodat deze nooit getoond wordt, ook niet als deze in gebruik is.
Net zoals bij de bank
"De klant houdt controle doordat hij de hoofdsleutel bezit. De 'bankier' doet daarnaast zijn best om ieder bestand en schijf beschermd te houden", zegt de CEO. Alleen de combinatie van een klantsleutel en bankierssleutel opent een schijf. De sleutels in het bezit van Porticor worden versleuteld met de hoofdsleutel, dus zelfs Porticor kan niet bij de sleutels zonder de klant.
"De bankier heeft nooit inzage in de sleutel van de klant. Zelfs wanneer de twee sleutels worden gecombineerd, blijft de encryptie bestaan. Het punt is dat we hiermee klantsleutels kunnen beheren zonder ze ooit aan te raken of daarvan zelfs de codes te kennen."
Nu op
- ADV:SLA voor Cloud-gebruikers
- Camera en projector koppelen 'telebur...
- Kapotte switch wordt bel-me-niet fataal
- Aandelen Facebook zakken onder openin...
- Apple en Samsung, na-aperij versus in...
- 'Ad-blokkers worden steeds groter pro...
- EC: Google misbruikt macht met search...
- 'Chrome wereldwijd populairder dan IE'
- Maker ePub wil af van lastige kopieer...
- IT-systemen halen beursgang Facebook ...
- Microsoft helpt FreeBSD op Hyper-V
- Pakistaanse premier draait Twitterban...
Nu op
- Is uw BYOD-beleid nog wel van deze tijd?
- Vijf dingen die CIO's moeten weten ov...
- Een goed cv opstellen: zo moet het
- Leidinggevenden meeste bezig met soci...
- Nederlandse bedrijven bezorgd over cl...
- E-mail minder, leef langer
- Windows 8 minder populair dan 7 destijds
- 'Goedaardige virussen nodig voor secu...
- Cloud: riskant maar toch gebruiken
- Kleine organisaties vaker doelwit ger...
- 'Huur ontwikkelaars in die deelnemen ...
- Wakker worden, uw bedrijf werkt al in...
