Wanneer men beslist heeft om Cloud oplos­singen te gebruiken moet men zeer kritisch zijn welke data men op deze Cloud services plaatst. Het is ook zeker aan te raden extra bescher­ming in acht te nemen, zoals encryptie, als men een grotere zekerheid wil bereiken dat onbe­voegden de data niet gemak­ke­lijk kunnen bekijken of manipuleren.

Geen controle over de beveiliging

De klant van een cloud service vertrouwt op de aanbieder dat er voldoende bevei­li­gings­maat­re­gelen zijn ingebouwd om de confi­den­ti­a­li­teit, de inte­gri­teit en de beschik­baar­heid van de data te garan­deren. Wanneer men een contract neemt met een cloud computing aanbieder, vraag dan deze bevei­li­gings­maat­re­gelen op voordat je het contract tekent. Wanneer men dit weigert te geven, is het aan te raden een andere aanbieder te kiezen.

Wat je zeker wil verze­keren is dat er geen verlies van data is tijdens het transport naar de cloud, maar ook op de cloud wil men geen verlies van data of mani­pu­latie er van. Daarnaast wil men ook de data zo goed mogelijk afschermen voor onbe­voegden, zowel tijdens het transport als ook op de hardware van de cloud computing provider.

Het is ook gewenst dat je ten allen tijde toegang hebt tot de juiste data.

Cloud Lock

Er kan van alles mis gaan, zoals netwerk­falen, verlies van data, verkeerd network mana­ge­ment en verkeerde netwerks­etup, perfor­man­tie­pro­blemen, toegang tot verkeerde data of van onge­au­to­ri­seerde personen tot jouw data, data­lekken, aanvallen op de service provider,…

  • Virtuele machines: vaak worden virtuele machines gebruikt om cloud computing services aan te bieden aan de klanten. De fysieke machine waarop de virtuele machines draaien is vaak niet gekend. Op deze fysieke machine draaien hoogst­waar­schijn­lijk ook nog andere virutele machines van andere gebrui­kers. Ga dus na bij de aanbieder welke maat­re­gelen ze nemen om te voorkomen dat verschil­lende gebrui­kers niet met mekaar in contact komen, zowel onbedoeld als kwaadwillig.
  • Logs: ga na welke logs de aanbieder kan verschaffen over de toegangen op de cloud computing services die je afneemt. Ga ook na hoe je deze logs kan opvragen en of er alarmen kunnen ingesteld worden zodat je op de hoogte gebracht wordt als er onver­wachte hande­lingen zouden gebeuren.
  • Data locatie: het data­center van een cloud computing aanbieder bevindt zich vaak in het buiten­land. In het contract met de aanbieder moet je duidelijk de eisen voor­leggen van waar de data moet bewaard worden. Het is vaak ook een juridisch aspect omdat in verschil­lende landen ook verschil­lende wetten gelden ivm bv. privacy van gegevens. Het is daarom zeer essen­tieel te weten waar de data wordt bewaard en eisen in het contract op te nemen over de locatie van deze data. Ga ook na of er kopies van de data worden genomen voor bv. backups en waar deze worden bewaard.
  • Toegan­ke­lijk­heid: toegangen tot cloud services verlopen via het Internet. Hierdoor vergroot natuur­lijk ook de moge­lijk­heid voor aanvallen van cyber­cri­mi­nelen. Ga dus vooraf zeer goed na welke data men in de cloud wil stockeren en ga na bij de aanbieder wat de bevei­li­gings­maat­re­gelen zijn om deze aanvallen tegen te gaan.
  • Blokkeren cloud IP-adressen: wanneer bepaalde cloud IP-adressen (of ranges) geza­men­lijk gebruikt worden kan bij misbruik van een andere gebruiker van dit IP-adres (of ranges) (bv. door spamming, illegaal down­lo­aden) dat IP-adres (of de range) op blac­k­lists komen waardoor ook jouw toegang afge­sloten wordt bij anderen. Ga dus zeker na hoeveel gebrui­kers via hetzelfde cloud IP-adres (of range) toegang hebben tot jouw cloud service. Ga ook na hoe de cloud provider hier acties onder­neemt om blac­k­lis­ting te voorkomen.
  • Vertrouwen in externe providers: niet alleen moeten we geloof hechten aan de third party die de cloud services aanbiedt, toch moet men zich ook de vraag stellen wat er gebeurt met de appli­ca­ties en de data die in de cloud staan wanneer de provider zou stoppen met het leveren van de services. Maak heel goede afspraken met de provider zodat je na een stop­zet­ting van de cloud provider ook nog aan je appli­ca­ties en data kan. Ga ook na wat er gebeurt wanneer de cloud provider zou over­ge­nomen worden door andere partijen.
  • Disaster Recovery Plan: gezien de infra­struc­tuur op een locatie staat die je zelf niet meer beheert, is het zeer belang­rijk een zicht te hebben op het DRP van de service provider.
  • Een vraag die moeilijk te verklaren is hoe er kan nagegaan worden dat de data niet naar andere locaties wordt geko­pi­eerd waardoor er een gemak­ke­lijke manier is van data­dief­stal. Men plaatst de data in een black box maar is men zeker dat deze data alleen daar gestoc­keerd wordt?
  • Compli­ancy: Data in de cloud plaatsen is niet evident als men kijkt naar wette­lijke en juri­di­sche bepa­lingen, zeker als het over bv. privacy van gegevens gaat waar toch strikte regels moeten gehan­teerd worden. Vraag is altijd hoe cloud computing providers kunnen voldoen aan deze bepa­lingen. Ga vooraf na of de data die je in de cloud wil plaatsen wel wettelijk en juri­di­sche mag daar geplaatst worden.

Tips en verdere bedenkingen

Vooraleer iets in de cloud wordt geplaatst moet men de analyse van de risico’s en de voordelen afwegen tegenover mekaar. Het is daarom ook zeer belang­rijk dat de bevei­li­gings­as­pecten van de cloud service vooraf besproken en bedis­cus­si­eerd worden, zeker vooraleer het contract onder­te­kend wordt.

  • Data Clas­si­fi­catie: ga altijd eerst na wat de gevoe­lig­heid en de confi­den­ti­a­li­teit van de data is vooraleer de beslis­sing te maken om deze in de cloud te plaatsen of net niet. Belang­rijk is te beseffen dat er geen volledig overzicht bestaat van de bevei­li­ging in de cloud. Het is ook niet altijd duidelijk of onge­au­to­ri­seerden ook niet de moge­lijk­heid hebben deze data te kunnen bekijken of mani­pu­leren. Veel hangt af van de logfiles die kunnen opge­vraagd worden op de services.
  • Bevei­li­ging van de data: wanneer men toch data wil afschermen is het belang­rijk dit in eigen beheer te doen. Zo kan men de data in de cloud vooraf encryp­teren vooraleer het in de cloud wordt geplaatst. Op die manier kan niemand onge­au­to­ri­seerd gemak­ke­lijk de inhoud van de data lezen omdat de encryp­tie­sleutel bij jezelf ligt. Ga ook wel na hoe de service provider omgaat met de bescher­ming van de eventuele encryptie keys die zouden opgeslaan worden op de systemen van de service provider.
  • Authen­ti­catie: om toegang te krijgen tot de cloud services kan overwogen worden te denken aan strong authen­ti­catie of multi­factor authen­ti­catie. Op die manier hangt het verkrijgen van toegang niet alleen af van een wacht­woord maar is er een bijko­mende authen­ti­catie vereist, zoals bv. e‑card, tokens met wisse­lende pincodes,… Alleszins moet het wacht­woord versleu­teld getrans­por­teerd worden zodat het afluis­teren van de lijn niet kan leiden tot het verkrijgen van het wachtwoord.
  • Service level agreement: spreek alleszins contrac­tueel duide­lijke SLAs af met de provider zodat er een bepaalde perfor­mantie verzekerd wordt en waarbij snelle inter­ac­ties worden geleverd bij problemen.
  • Voorzie ook de moge­lijk­heid van bevei­li­gings­re­views of-audits op de providers infra­struc­tuur. Op deze manier krijg je de moge­lijk­heid om zelf onderzoek te doen naar de bevei­li­gings­in­stel­lingen van de cloud computing services.
  • Logs en moni­to­ring: spreek duidelijk af dat er logs beschik­baar moeten zijn naar de toegangen op de data. Op die manier kan men van dichtbij monitoren of er geen onge­au­to­ri­seerde acti­vi­teiten zijn gebeurd op de data.
  • Backup: verzeker je er ook van dat de backups van jouw data niet gemixt worden met data van anderen. Doe ook op regel­ma­tige tijd­stippen een restore-test zodat je kan nagaan dat de backups op een eenvou­dige manier kunnen aange­sproken worden moest dat nood­za­ke­lijk zijn. Ga ook na waar de backups worden bijge­houden en hoe deze beschermd worden tegen bv. diefstal en wie er toegang heeft tot deze backups.
  • Bevei­li­gings­pro­blemen: maak ook duide­lijke afspraken met de provider om tijdige meldingen te maken wanneer er zich bevei­li­gings­pro­blemen voordoen. Op die manier kan er snel gean­ti­ci­peerd worden.
  • Verwij­de­ring van data: ga ook zeker na wat de zekerheid is dat bij verwij­de­ring van data deze data ook daad­wer­ke­lijk verwij­derd is op de cloud services en dat deze niet te recuperen zijn door onbe­voegden. Vergewis je er ook van dat de data overal verwij­derd is als de data zou gedu­pli­ceerd of gebackupt zijn in de cloud.

-Auteur: Bart Denys
‑Bron: De centrale infor­ma­ti­ca­dienst van de KU Leuven

Pin It on Pinterest

Share This