Cloud Computing Risico’s en risicoreductie

november 24, 2010 at 11:11 am (Achtergrond, Beleid, Cloud computing, Oplossingen, Privacy, Problemen) (, , , , , , , , , , )

Inleiding

In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.

Bronnen

Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.

Cloud Computing

In dit overzicht gebruik ik de volgende definitie van Cloud Computing.

De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.

De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.

Business belangen

Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.

Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.

Per soort informatie of dienst die naar de Cloud gaat moet men zich afvragen of de organisatie schade kan oplopen:

●        Als de informatie publiekelijk bekend wordt en/of overal beschikbaar is;

●        een medewerker van de Cloud provider toegang heeft tot deze informatie of dienst;

●        het proces of de functionaliteit wordt gemanipuleerd door een (onbekende) derde;

●        het proces of de functionaliteit er niet in slaagt de verwachte resultaten te leveren;

●        de informatie of gegevens onverwacht veranderen;

●        de informatie of dienst voor een (on)bepaalde tijd niet beschikbaar is.

Met het doorlopen van deze stappen krijgt een organisatie een beeld van de risico’s die zij kan of wil lopen bij een migratie naar de Cloud. Daarbij is het van belang om een goed beeld te hebben van de positie van de markt en de spelers in de markt, kennis te hebben van de veranderingen die er zich afspelen, zoals overnames en faillisementen en eventuele aanbiedingen af te zetten tegen de marktwaarde op de lange termijn.

Risicoafwegingen

Bij het afwegen van de mogelijkheden en de risico’s mag men niet uit het oog verliezen dat de gemiddelde Cloud provider de zaken beter en professioneler voor elkaar heeft dan het gemiddelde private datacenter. Hier speelt het schaalgrootte voordeel een belangrijke rol. Wel is van belang dat een organisatie zich realiseert dat in een externe omgeving als de Cloud de ‘oude problemen’ dezelfde rol spelen als bij een eigen datacenter. Zoals beheerders met administrator rechten die ook in de Cloud een gevaar blijven voor je gegevens, applicatie management en het ontwikkelen van (on)veilige applicaties blijft een groot risico vormen, kwaadaardige insiders, het kapen van accounts, services en dataverkeer.

Dit kan omdat er in de Cloud de basisverzameling met afspraken en maatregelen nog niet volledig is ontwikkeld. Dat heeft tot gevolg dat auditing moeilijk tot onmogelijk is door de relatieve onvolwassenheid van de publieke Cloudomgeving. De meeste kwetsbaarheden manifesteren zich als gevolg van gedeelde techologie (Multi tenancy), wat leidt tot dataverlies of –lekkage. Als gevolg van de relatieve onvolwassenheid van de sector is dit nog zelden goed geregeld.

Uitgangspunten voor acceptabele risico´s

Om in control te zijn en te blijven bij het gebruik van Cloud computing formuleer ik wat uitgangspunten waarmee een organisatie handvatten heeft als die in gesprek gaat met een Cloud provider.

●        Bescherm data in de Cloud op dezelfde wijze als data in handen van de rechtmatige eigenaar.

●        Houd bij contracten rekening met (onverwachte) beëindiging van de overeenkomst. Regel de correcte teruggave of vernietiging van de informatie.

●        Weet waar de data fysiek gehuisvest is of staat. Dit is trouwens een vereiste inzake persoonsgegevens (Wbp). Alleen zo kun je naleving van relevante wet- en regelgeving borgen, ook als gegevens nationale grenzen overschrijden.

●        Maak afspraken over Recovery Time Objective en verzeker je ervan dat de plannen zodanig zijn dat de leverancier aan de eisen kan voldoen.

●        Controleer bij Amerikaanse dienstverleners of zij daadwerkelijk op de Safe Harbor lijst staan vermeld.

Operationele uitwerking

Natuurlijk kun je alles in contracten dichtregelen, maar uiteindelijk gaat het om de uitwerking ervan in de praktijk. In de SLA´s en operationele afspraken moet een organisatie daarom tenminste de volgende aandachtspunten benoemen:

●        Hoe is het patchmanagement bij de Cloud provider geregeld?

●        Wat zijn de gegarandeerde uptime en response tijden?

●        Waaruit bestaat de backup policy?

●        Hoe snel kan de Cloud provider herstellen na een catastrofe met totaal dataverlies?

●        Kun je oude backups terug laten zetten? Tot hoever terug?

●        Tot hoever terug worden gemaakte snapshots bewaard en met welke frequentie worden zij gemaakt?

●        Wat is het beleid voor data retentie?

●        Blijft jouw data op hun backupmedia  staan na het beëindigen van de overeenkomst?

●        Wat gebeurt er met de virtuele machines op de schijven bij de Cloud provider als ze niet meer nodig zijn (een voordeel van Cloud Computing is de eenvoud van op- en afschalen)? Wordt de schijf daadwerkelijk volledig gewist volgens dezelfde procedures als in het eigen rekencentrum?

●        Welk toegangsbeleid hanteert de Cloud provider, zowel voor wachtwoorden als voor sleutels?

●        Welk personeel van de Cloud provider heeft uitgebreide rechten en kan daarmee toegang krijgen tot je applicaties en data?

●        Welk governancebeleid hanteren zij hiervoor?

●        Garandeert de provider nog steeds ondersteuning bij of na onderzoek na incidenten of bij herstel van data?

Een goede manier om een zekere mate van volledigheid te krijgen (in het licht van de beschikbare raamwerken) is het gebruik van de Cloud Security Alliance (CSA) Controls Matrix. Deze matrix is gebaseerd op de gangbare raamwerken zoals Cobit, COSO, ISO27001/2, PCI-DSS en verwijst naar de relevante paragrafen uit deze raamwerken.

Tot slot

De Verenigde Staten hebben geen integrale privacy wetgeving, maar de EU stelt dat bedrijven die zich conformeren aan de Safe Harbor Act passende beveiliging bieden.

Weliswaar kan op basis van de Patriot Act toegang tot de data worden verkregen. De keren dat dit gebeurt is sinds 11 september 2001 zijn te overzien. Uit de cijfers die bekend zijn van de Nederlandse autoriteiten blijkt dat Nederland de grootste opvrager is van verkeersgegevens in Europa en daarmee de privacy veelvuldig schendt.

Veel van de punten die ik heb aangestipt zijn in te regelen met goede afspraken met de Cloud provider. Neem bijvoorbeeld in het contract op dat de provider jou terstond moet informeren dat er van overheidswege een inbreuk is gedaan op de vertrouwelijkheid van jouw gegevens. Tref maatregelen zoals Hot Backup en het toepassen van Open Cloud/Open Standaarden om het continuïteitsrisico bij exit of insolventie van de leverancier te beperken. In ieder geval verminder je hiermee de dataportabiliteits issues en bevorder je de interoperabiliteit.

Bezint eer gij begint

Naar verwachting zal Internet ´vol´ zijn in 2014. De gebruikte bandbreedte kan nog ongeveer drie maal verdubbelen, terwijl de groei 40% per jaar is. Dit wil niet zeggen dat Internet in 2014 stil staat, maar wel dat bandbreedte een schaars goed zal worden en dat de kosten zullen stijgen.

De continuïteit van Cloud providers is niet gegarandeerd, de markt is nog volop in beweging.

Standaarden voor beveiliging bestaan nog niet voor de Cloud en de bestaande standaards voldoen niet.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: