10 augustus 2013 10:10

Is beveiliging de achilleshiel van de cloud?

Beveiliging wordt vaak als smoes gebruikt om een besluit over cloud uit te stellen. Welke concrete beveiligingsrisico's of bezorgdheden weerhoudt onze CIO's en CISO's? De belangrijkste risico's en redenen voor het falen van cloud.

Gartner voorspelt dat tegen 2015 de helft van alle CIO’s verwacht het merendeel van hun applicaties en infrastructuur in de cloud te hebben. Tegen 2016 zullen de wereldwijde uitgaven aan publieke cloud diensten 200 miljard bedragen. En toch zijn er nog steeds organisaties die de beveiliging als een smoes gebruiken om een besluit over cloud uit te stellen.

Welke concrete beveiligingsrisico’s of bezorgdheden weerhoudt onze CIO’s en CISO’s? En zijn er oplossingen om de business case voor cloud transformatie te ondersteunen door deze risico’s te voorkomen of af te zwakken?

Cloud bezorgdheden

Een eerste categorie risico’s is gelinkt aan het concept dat ten grondslag ligt aan cloud. Cloud levert schaalbare diensten die een krachtig computergebruik bieden aan meerdere gebruikers. Of die gebruikers nu van business groepen zijn binnen hetzelfde bedrijf of van andere bedrijven.

Dat betekent gedeelde infrastructuur: CPU caches, deelschijven, geheugen en andere componenten, die nooit ontworpen zijn voor een sterke compartimentering. Ondanks het feit dat het doel van de virtualisatie hypervisor is om toegang te verschaffen tussen een extern besturingssysteem en fysieke resources, kan schade aan de hypervisor laag leiden tot schade bij alle gedeelde, fysieke resources aan de server die deze beheert. En alhoewel de CSA gedeelde technologie heeft bestempeld als de grootste beveiligingsbedreiging voor cloud computing, bestaat de dreiging van gedeelde kwetsbaarheid in alle IT infrastructuur modellen. Zelfs wanneer virtualisatie in de eigen servers en data centers is geïmplementeerd.

Bekijken we de laag boven de infrastructuur zoals hierboven beschreven, dan vormen onveilige interfaces en API’s een ander risico. Cloud providers bieden immers een reeks software inferfaces (API’s) aan die klanten gebruiken om hun cloud activiteiten te beheren, waaronder provisioning, management, orchestration en monitoring. Ook nu heeft het risico niet enkel betrekking op de cloud diensten maar is het inherent aan iedere virtualisatie oplossing. En de beveiliging van algemene gevirtualiseerde diensten is afhankelijk van de beveiliging van deze basis API’s. Deze interfaces moeten zo ontworpen worden om te beschermen tegen zowel accidentele als kwaadaardige aanvallen; van authenticatie en toegangscontrole tot encryptie en activiteitsmonitoring

Uitdagingen voor goed bestuur

Het is duidelijk dat niet enkel cloudtechnologiën een uitdaging vormen. Een inadequaat bestuur en gebrek aan planning zijn de belangrijkste redenen voor het falen van cloud. Zowel organisaties als service providers moeten over een sterk bestuursmodel beschikken om de transitie en doorlopende diensten te ondersteunen. Er zijn voorbeelden te over waarbij outsourcing rampzalig is verlopen doordat klanten direct de controle uit handen gaven over hun IT infrastructuur zonder een duidelijke communicatie met de leverancier. Cloud is hierin geen uitzondering. Bedrijven moeten de overstap naar cloud niet blindelings maken omdat diensten zijn geïndustrialiseerd en ondersteund door een IT dienst.

SIEM als ontbrekende schakel

Gebruik maken van de diensten van een cloud provider betekent de controle over de IT infrastructuur uit handen geven. Cloud providers moeten het beheer en onderhoud transparanter en controleerbaarder maken om het voor klanten gemakkelijker te maken deze stap te zetten.

SIEM (Security Information Event Monitoring) oplossingen kunnen helpen. Door de correlatie tussen beveiligingsgebeurtenissen en de dreigingen op basis van vooraf gedefinieerde patronen, geven zij cloud providers en organisaties inzicht in de beveiliging, wat het vertrouwen in cloud diensten verhoogt.