Wanneer men beslist heeft om Cloud oplossingen te gebruiken moet men zeer kritisch zijn welke data men op deze Cloud services plaatst. Het is ook zeker aan te raden extra bescherming in acht te nemen, zoals encryptie, als men een grotere zekerheid wil bereiken dat onbevoegden de data niet gemakkelijk kunnen bekijken of manipuleren.

Geen controle over de beveiliging

De klant van een cloud service vertrouwt op de aanbieder dat er voldoende beveiligingsmaatregelen zijn ingebouwd om de confidentialiteit, de integriteit en de beschikbaarheid van de data te garanderen. Wanneer men een contract neemt met een cloud computing aanbieder, vraag dan deze beveiligingsmaatregelen op voordat je het contract tekent. Wanneer men dit weigert te geven, is het aan te raden een andere aanbieder te kiezen.

Wat je zeker wil verzekeren is dat er geen verlies van data is tijdens het transport naar de cloud, maar ook op de cloud wil men geen verlies van data of manipulatie er van. Daarnaast wil men ook de data zo goed mogelijk afschermen voor onbevoegden, zowel tijdens het transport als ook op de hardware van de cloud computing provider.

Het is ook gewenst dat je ten allen tijde toegang hebt tot de juiste data.

Cloud Lock

Er kan van alles mis gaan, zoals netwerkfalen, verlies van data, verkeerd network management en verkeerde netwerksetup, performantieproblemen, toegang tot verkeerde data of van ongeautoriseerde personen tot jouw data, datalekken, aanvallen op de service provider,…

  • Virtuele machines: vaak worden virtuele machines gebruikt om cloud computing services aan te bieden aan de klanten. De fysieke machine waarop de virtuele machines draaien is vaak niet gekend. Op deze fysieke machine draaien hoogstwaarschijnlijk ook nog andere virutele machines van andere gebruikers. Ga dus na bij de aanbieder welke maatregelen ze nemen om te voorkomen dat verschillende gebruikers niet met mekaar in contact komen, zowel onbedoeld als kwaadwillig.
  • Logs: ga na welke logs de aanbieder kan verschaffen over de toegangen op de cloud computing services die je afneemt. Ga ook na hoe je deze logs kan opvragen en of er alarmen kunnen ingesteld worden zodat je op de hoogte gebracht wordt als er onverwachte handelingen zouden gebeuren.
  • Data locatie: het datacenter van een cloud computing aanbieder bevindt zich vaak in het buitenland. In het contract met de aanbieder moet je duidelijk de eisen voorleggen van waar de data moet bewaard worden. Het is vaak ook een juridisch aspect omdat in verschillende landen ook verschillende wetten gelden ivm bv. privacy van gegevens. Het is daarom zeer essentieel te weten waar de data wordt bewaard en eisen in het contract op te nemen over de locatie van deze data. Ga ook na of er kopies van de data worden genomen voor bv. backups en waar deze worden bewaard.
  • Toegankelijkheid: toegangen tot cloud services verlopen via het Internet. Hierdoor vergroot natuurlijk ook de mogelijkheid voor aanvallen van cybercriminelen. Ga dus vooraf zeer goed na welke data men in de cloud wil stockeren en ga na bij de aanbieder wat de beveiligingsmaatregelen zijn om deze aanvallen tegen te gaan.
  • Blokkeren cloud IP-adressen: wanneer bepaalde cloud IP-adressen (of ranges) gezamenlijk gebruikt worden kan bij misbruik van een andere gebruiker van dit IP-adres (of ranges) (bv. door spamming, illegaal downloaden) dat IP-adres (of de range) op blacklists komen waardoor ook jouw toegang afgesloten wordt bij anderen. Ga dus zeker na hoeveel gebruikers via hetzelfde cloud IP-adres (of range) toegang hebben tot jouw cloud service. Ga ook na hoe de cloud provider hier acties onderneemt om blacklisting te voorkomen.
  • Vertrouwen in externe providers: niet alleen moeten we geloof hechten aan de third party die de cloud services aanbiedt, toch moet men zich ook de vraag stellen wat er gebeurt met de applicaties en de data die in de cloud staan wanneer de provider zou stoppen met het leveren van de services. Maak heel goede afspraken met de provider zodat je na een stopzetting van de cloud provider ook nog aan je applicaties en data kan. Ga ook na wat er gebeurt wanneer de cloud provider zou overgenomen worden door andere partijen.
  • Disaster Recovery Plan: gezien de infrastructuur op een locatie staat die je zelf niet meer beheert, is het zeer belangrijk een zicht te hebben op het DRP van de service provider.
  • Een vraag die moeilijk te verklaren is hoe er kan nagegaan worden dat de data niet naar andere locaties wordt gekopieerd waardoor er een gemakkelijke manier is van datadiefstal. Men plaatst de data in een black box maar is men zeker dat deze data alleen daar gestockeerd wordt?
  • Compliancy: Data in de cloud plaatsen is niet evident als men kijkt naar wettelijke en juridische bepalingen, zeker als het over bv. privacy van gegevens gaat waar toch strikte regels moeten gehanteerd worden. Vraag is altijd hoe cloud computing providers kunnen voldoen aan deze bepalingen. Ga vooraf na of de data die je in de cloud wil plaatsen wel wettelijk en juridische mag daar geplaatst worden.

Tips en verdere bedenkingen

Vooraleer iets in de cloud wordt geplaatst moet men de analyse van de risico’s en de voordelen afwegen tegenover mekaar. Het is daarom ook zeer belangrijk dat de beveiligingsaspecten van de cloud service vooraf besproken en bediscussieerd worden, zeker vooraleer het contract ondertekend wordt.

  • Data Classificatie: ga altijd eerst na wat de gevoeligheid en de confidentialiteit van de data is vooraleer de beslissing te maken om deze in de cloud te plaatsen of net niet. Belangrijk is te beseffen dat er geen volledig overzicht bestaat van de beveiliging in de cloud. Het is ook niet altijd duidelijk of ongeautoriseerden ook niet de mogelijkheid hebben deze data te kunnen bekijken of manipuleren. Veel hangt af van de logfiles die kunnen opgevraagd worden op de services.
  • Beveiliging van de data: wanneer men toch data wil afschermen is het belangrijk dit in eigen beheer te doen. Zo kan men de data in de cloud vooraf encrypteren vooraleer het in de cloud wordt geplaatst. Op die manier kan niemand ongeautoriseerd gemakkelijk de inhoud van de data lezen omdat de encryptiesleutel bij jezelf ligt. Ga ook wel na hoe de service provider omgaat met de bescherming van de eventuele encryptie keys die zouden opgeslaan worden op de systemen van de service provider.
  • Authenticatie: om toegang te krijgen tot de cloud services kan overwogen worden te denken aan strong authenticatie of multifactor authenticatie. Op die manier hangt het verkrijgen van toegang niet alleen af van een wachtwoord maar is er een bijkomende authenticatie vereist, zoals bv. e-card, tokens met wisselende pincodes,… Alleszins moet het wachtwoord versleuteld getransporteerd worden zodat het afluisteren van de lijn niet kan leiden tot het verkrijgen van het wachtwoord.
  • Service level agreement: spreek alleszins contractueel duidelijke SLAs af met de provider zodat er een bepaalde performantie verzekerd wordt en waarbij snelle interacties worden geleverd bij problemen.
  • Voorzie ook de mogelijkheid van beveiligingsreviews of-audits op de providers infrastructuur. Op deze manier krijg je de mogelijkheid om zelf onderzoek te doen naar de beveiligingsinstellingen van de cloud computing services.
  • Logs en monitoring: spreek duidelijk af dat er logs beschikbaar moeten zijn naar de toegangen op de data. Op die manier kan men van dichtbij monitoren of er geen ongeautoriseerde activiteiten zijn gebeurd op de data.
  • Backup: verzeker je er ook van dat de backups van jouw data niet gemixt worden met data van anderen. Doe ook op regelmatige tijdstippen een restore-test zodat je kan nagaan dat de backups op een eenvoudige manier kunnen aangesproken worden moest dat noodzakelijk zijn. Ga ook na waar de backups worden bijgehouden en hoe deze beschermd worden tegen bv. diefstal en wie er toegang heeft tot deze backups.
  • Beveiligingsproblemen: maak ook duidelijke afspraken met de provider om tijdige meldingen te maken wanneer er zich beveiligingsproblemen voordoen. Op die manier kan er snel geanticipeerd worden.
  • Verwijdering van data: ga ook zeker na wat de zekerheid is dat bij verwijdering van data deze data ook daadwerkelijk verwijderd is op de cloud services en dat deze niet te recuperen zijn door onbevoegden. Vergewis je er ook van dat de data overal verwijderd is als de data zou gedupliceerd of gebackupt zijn in de cloud.

-Auteur: Bart Denys
-Bron: De centrale informaticadienst van de KU Leuven