PC RENDEMENT 6-2012 - Drieluik Cloud beveiliging - Deel 1

Juridisch cloud

Samen delen geeft voordeelAl jaren gaat heel veel aandacht rond de cloud naar één aspect: security. is de cloud wel veilig? En hoe dek je de risico’s zo veel mogelijk af? Maar terwijl cloudleveranciers tegenwoordig goed nadenken over beveiliging, lijken organisaties een blinde vlek te hebben voor aspecten als leveringsvoorwaarden en voordelen die de gedeelde omgeving met zich meebrengt. Want zo’n omgeving kent diverse voordelen. Profiteert u daar al van?

Het werkt in de cloud eigenlijk net zo als bij de slager. Kunt u bij de bakker alleen kiezen uit bepaalde hoeveelheden, bij de slager bestelt u precies wat u nodig heeft. Vraagt u drie ons, dan krijgt u drie ons. Althans, als hij voldoende heeft ingesla-gen. En als hij echt slim heeft ingekocht, kan hij alle klanten van vlees voorzien. In de cloud werkt het niet veel anders. De cloudleverancier stelt capaciteit beschikbaar, meerdere klanten maken van die capaciteit gebruik. Dat is in feite wat een ge-deelde omgeving (multi-tenancy) inhoudt: meerdere afnemers benutten dezelfde omgeving. Dat kan gaan om Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) en Software-as-a-Service (SaaS).

OpschroevenDe cloud is in principe altijd een omgeving met meerdere ge-bruikers. Dat betekent dat de leverancier grootschalig capaci-teit ter beschikking stelt. Alle klanten maken dan van dezelfde bronnen en standaards gebruik en profiteren zo van een optimale verhouding tussen schaalvoordelen en systeembe-lasting. Dat resulteert in kostenbesparing en vereenvoudiging van de processen. Zo zijn organisaties flexibel in het opschroe-ven en verminderen van de capaciteit. Ook stelt de cloud de gebruikers in staat om altijd en overal toegang te verkrijgen tot hun data.

SoelaasEen mogelijk nadeel van de gedeelde omgeving is dat uw organisatie zo niet of nauwelijks inzicht heeft in de manier waarop data zijn opgeslagen. Overigens draagt u daarvoor ook zelf welde nodige verantwoordelijkheid: u kunt immers zelf een provider kiezen die die transparantie wel biedt. Bovendien is dergelijke transparantie niet voor iedereen noodzakelijk

of – het tegendeel – afdoende. Voor sommige bedrijven, zoals banken en overheidsorganisaties, biedt de publieke of hybride cloud geen soelaas omdat zij aan bepaalde wet- en regelge-ving moeten voldoen. In dat geval kan het verstandiger zijn om gebruik te maken van de traditionele middelen. Het is dan ook altijd van belang dat u eerst bepaalt aan welke eisen de data en applicatie dienen te voldoen voordat u voor de cloud kiest.

PortemonneeEen andere mogelijkheid is de private cloud. Die private cloud biedt vanzelfsprekend niet de voordelen van de public cloud, want die zitten juist vooral in het feit dat er schaalvoordeel ge-creëerd wordt door de gedeelde omgeving. Bedrijven die voor een private cloud kiezen, moeten de portemonnee trekken. De leverancier creëert immers een omgeving die specifiek voor een bepaalde organisatie is ingericht. Om zijn klant altijd te kunnen bedienen, moet de leverancier overcapaciteit bieden. Toch hebben veel multinationals het bijbehorende prijskaartje er graag voor over. Onder meer omdat ze zo meer controle hebben over de manier en de locatie van opslag en back-up. Zo kunnen ze makkelijker diensten doorleveren aan hun eigen subdivisies.

AchterhaaldDe public cloud en dus de omgeving met meer gebruikers is over het algemeen erg veilig. Tegenwoordig zijn er allerlei manieren om data veilig te stellen. Bijvoorbeeld met een code om de bron te achterhalen en te controleren of de data niet gemanipuleerd zijn (de computational hash). Met die vingeraf-druk – want dat is het eigenlijk – kan uw organisatie veilig in de cloud werken. Controleer wel altijd van tevoren of de beoogde leverancier die beveiligingsstappen ook heeft genomen. Want het besef is nog niet echt doorgedrongen dat de klant in principe zelf verantwoordelijk is voor de data; niet de cloud-le-verancier. Het is dus van wezenlijk belang dat u de leverancier vooraf goed screent.

� Voldoet de leverancier aan de criteria? � Waaruit bestaan zijn leveringsvoorwaarden? � Aan welke ISO-normen voldoet hij?

Het multi-tenancy-model is voor veel organisaties een goede oplossing, maar kijk of het bij u past.

Maurice Hoeneveld, senior solution architect bij IT-leverancier Fujitsu, Maurice.Hoeneveld@ts.fujitsu.com

Organisaties zijn zelf verantwoordelijk voor de data die ze in de cloud opslaan. Screen de cloud-aanbieder en neemintern de nodige maatregelen:

� Stel intern een cloud-specialist aan. � Maak een beleid waarin is vastgelegd welke data wel en

welke niet in de cloud opgeslagen mogen worden

� Bedenk vooraf welke voorwaarden voor de organisatie van belang zijn.

� Onderzoek of de leverancier aan de gewenste criteria voldoet.

� Informeer waar opslag en backup plaatsvinden. � Controleer of de leverancier beschikt over ISO 27001 en

27001, de normeringen voor IT beveiliging. � Laat de leveringsvoorwaarden door een jurist nakijken.

U heeft een eigen verantwoordelijkheid

PC RENDEMENT 8-2012 - Drieluik Cloud beveiliging - Deel 3PC RENDEMENT 7-2012 - Drieluik Cloud beveiliging - Deel 2

BEVEiliGiNG cloud

Uw data zijn ook uw zaakBij de overweging om data onder te brengen in de cloud, gaat uw aandacht waarschijnlijk vooral uit naar de veiligheid. Maar er is nog een punt waar u de nodige aandacht aan zou moeten besteden. in de praktijk blijft dat echter nog vaak onderbelicht: de leveringsvoorwaarden. Weinig bedrijven beseffen dat ze zelf verantwoordelijk zijn voor hun data. Waar moet u op letten bij het afsluiten van een contract?

In de traditionele IT heeft u doorgaans invloed op de voorwaarden van de dienstverlener waarmee u zaken mee doet. Wil de aanbieder iets aan de diensten veranderen - bijvoorbeeld een upgrade doorvoeren - dan vraagt hij u daarvoor vooraf toestemming. In de cloud werkt het vaak toch anders. De grote voordelen van de cloud zijn de schaalvoordelen. De leverancier stelt grootschalige capaciteit ter beschikking aan een groep klanten die van dezelfde bronnen en standaarden gebruikmaken. Zo profiteren zij van de kostenbesparingen die het cloudmodel biedt. Daar staat tegenover dat de afnemers zich moeten schikken in de standaardonderdelen en de standaardvoorwaarden die de aanbieder heeft opgesteld. Ook moeten zij het onderhouds- en upgradeschema van de aanbieder volgen. Breng daarom vooraf uw wensen en eisen goed in kaart, en onderzoek of de leverancier in uw behoeftes voorziet.

De downtime is een veelbesproken onderwerp als het gaat om clouddiensten. Zeker op dit vlak is het raadzaam goed te overwegen wat uw organisatie precies nodig heeft. Een bank kan het zich niet veroorloven dat de IT er een paar uur uit ligt. Breng daarom in kaart wat de maximale downtime is die u kunt opvangen en selecteer vervolgens de leverancier die dit kan garanderen. Vraag ook na welke maatregelen het datacen-ter heeft getroffen om die garantie te bieden:

� Welke maatregelen zijn er getroffen om brand te voorko-men en te blussen?

� Zijn er fysieke beveiligingsmaatregelen getroffen? Bijvoor-beeld toegangscontrole, camera’s of beveiligingsperso-neel.

� Hoe zijn de data beveiligd tegen cyberaanvallen en digi-tale inbraak? Op z’n minst moeten er firewalls en antimal-waresoftware geïnstalleerd zijn.

� Is er een ‘mirror’ (een of meer identieke kopieën van een harddisk) waardoor bij een incident alsnog alle data veilig zijn?

� Hoe wordt in back-upschema’s voorzien en waar staan deze data? Aanspraak Niet alleen risicomanagement is belangrijk.

Het is ook zaak te achterhalen hoe een bepaalde uptime-ga-rantie is opgebouwd. Veel datacenters bieden een garantie van meer dan 99% beschikbaarheid; soms zelfs met twee cijfers achter de komma. Dat betekent dat het datacenter na een

incident in minder dan vijf uur weer ‘up and running’ moet zijn. Sommige datacenters smokkelen er een paar uur bij, door bij die garantie de periode die nodig is voor onderhoud niet mee te rekenen. Een leverancier die zichzelf serieus neemt, geeft in het Service Level Agreement (SLA) weer hoe de uptime-garan-tie is opgebouwd. Hierin staat precies aangegeven wanneerde hersteltijd ingaat, hoe die wordt berekend en wat u precies mag verwachten. Maar let op: sommige cloudleveranciers be-loven veel, maar mocht het zover komen, dan kunt u nergens aanspraak op maken. Een SLA waarin geen tegenmaatregelen zijn opgenomen, is in feite een wassen neus. Eens in de zoveel tijd voeren providers upgrades en onderhoud uit. Dat kan

inhouden dat de diensten tijdelijk niet beschikbaar zijn. Als de leverancier u hierover tijdig informeert, kunt u zich daarop voorbereiden en maatregelen treffen. Het gebeurt echter regelmatig dat leveranciers de klanten een dag van tevoren pas informeren, of zelfs achteraf. Dat hoeft niet per se verkeerd te zijn: veel activiteiten achter de schermen vinden plaats zonder dat u daar iets van merkt. Maar wat als de provider een upgrade van het besturingssysteem doorvoert, terwijl uw organisatie nog niet klaar is voor een migratie? Bekijk daarom in de voorwaarden hoe de aanbieder omgaat met upgrades. Staat er niets over vermeld, vraag dan een overzicht op waarin de aanbieder aangeeft welke veranderingen er op stapel staan en op welke termijn u hierover wordt geïnformeerd. Voor sommige trajecten, zoals het wijzigen van een platform als Windows, is een half jaar voorbereidingstijd zeker wenselijk.Het juridische aspect van data is tamelijk gecompliceerd. Dat zorgt bij een faillissement of fusie van de leverancier regel-matig voor langdurig getouwtrek. Zo valt de infrastructuur onder de boedel van de leverancier, maar bent u als afnemer eigenaar van de data die op die infrastructuur staan. Bij een faillissement krijgt u de data dus wel terug, maar het geconfi-gureerde applicatielandschap bent u kwijt. Controleer daarom vooraf de kredietwaardigheid van de leverancier; bij voorkeur over de afgelopen drie jaar. Vraag financiële jaarverslagen op en laat de leverancier een ‘letter of credit’ overhandigen. Wat er ook gebeurt, u bent eigenaar van en verantwoordelijk voor uw data. Kies dus een betrouwbare leverancier die aan uw eisen voldoet. En misschien net zo belangrijk: ga uiteindelijk voor de provider waarin u het meeste vertrouwen heeft.

Maurice Hoeneveld is senior solution architect bij IT-leverancier Fujitsu, Maurice.Hoeneveld@ts.fujitsu.com

Lees ook de kleine lettertjes � Inventariseer vooraf goed wat u precies nodig heeft en

wat u verwacht. � Controleer de kredietwaardigheid van de cloud-

aanbieder. � Vraag naar de normering van het datacenter; is het ISO

27000-gecertificeerd? � Onderzoek hoe de uptime-garantie is opgebouwd. � Lees het Service Level Agreement (SLA) aandachtig

door.

BEVEiliGiNG cloud

PC RENDEMENT 8-2012 - Drieluik Cloud beveiliging - Deel 3

BEVEiliGiNG cloud

Wij zitten in het buitenlandu zet de stap naar cloud computing. dan komt er het nodige op gang. Waar moet u op letten? Vanzelfsprekend zijn de leveringsvoorwaarden erg belangrijk. ook moet u er rekening mee houden dat de cloud een gedeelde omgeving is. Maar heeft u al eens stilgestaan bij de locatie van uw bestanden? Ze zouden zomaar in een datacenter in Verweggistan kunnen staan.

De angst dat (buitenlandse) overheden onze data zouden kun-nen inzien, zette het thema ‘locatie’ de afgelopen jaren hoog op de agenda. Denk bijvoorbeeld aan de vele discussies over de Patriot Act, die de Amerikaanse overheid in staat stelt om bedrijfsdata zonder uw toestemming in te zien ten tijde van oorlog. Voor veel organisaties die diensten afnemen bij een cloudleverancier is het onduidelijk op welke locatie hun data zijn opgeslagen. U kunt zich natuurlijk afvragen of het voor u wel zo belangrijk is om te weten in welk land en in welke plaats het datacenter zich bevindt dat uw data beheert. Op het ge-bied van databeveiliging zijn de laatste jaren namelijk enorme sprongen gemaakt. En vanzelfsprekend is het raadzaam om data versleuteld in de cloud te zetten.

RampBuitenlandse ondernemers zijn soms wat huiverig om hun data in een Nederlands datacenter op te slaan, onder andere omdat een groot deel van Nederland onder zeeniveau ligt. Op hun beurt zijn Nederlanders soms terughoudend om hun data in Azië op te slaan, bijvoorbeeld vanwege het gevaar van tsuna-mi’s, aardbevingen of terroristische aanvallen. Het is dus een kwestie van afwegen of het eventuele risico opweegt tegen de voordelen die de cloudleverancier van uw keuze kan bieden. Veel leveranciers hebbenzelf een risico-analyse gemaakt voor-dat ze hun locatie kozen en ze kunnen deze ook met u delen. Het is in ieder geval verstandig om altijd een back-up op een andere locatie te hebben. Mocht er dan een ramp gebeuren, bent u de gegevens nooit helemaal kwijt.

TransportSommige fysieke kenmerken hebben ook invloed op de snel-heid waarmee de data getransporteerd worden. Bevindt een datacenter zich in de buurt van een internetknooppunt, dan

kunt u ervan uitgaan dat de verbinding sneller is dan als het ver van zo’n hub verwijderd is. Zo ligt in Amsterdam het op één na grootste knooppunt ter wereld. Let er dus op dat er een directe verbinding met Nederland is als u bijvoorbeeld gebruikmaakt van diensten in Zuid-Amerika en check ook het aantal transacties per seconde. Het transport is immers zo zwak als de zwakste schakel. Besteed ook aandacht aan de fysieke beveiliging:

� Hoe is het datacenter ingericht? � Zijn het datacenter, de processen en het personeel gecer-

tificeerd? � Is er toegangscontrole aanwezig? � Hangen er camera’s? � Wat is het personeelsbeleid, bijvoorbeeld op het gebied

van uitbestede diensten als schoonmaak?

Vraag ook na welke maatregelen er voor brand zijn getroffen. Allereerst moeten er voldoende preventieve maatregelen zijn genomen, zoals brandwerende compartimenten en speciale materialen. En mocht er toch brand uitbreken, wat gebeurt er dan? Een sprinkler-systeem om de brand te blussen is mooi, maar als daar gewoon water uitkomt, kunt u alsnog afscheid nemen van ‘uw’ server. Een serieus datacenter neemt dus de nodige voorzorgsmaatregelen én voorziet in een plan B. Zuurstofverlagende gassen zijn daar een voorbeeld van. Ook hierover kan de leverancier u informeren. Ook is het misschien goed om toch nog even stil te staan bij de wetgeving. Er zijn organisaties die een wettelijk verbod hebben om gegevens buiten Europa op te slaan. En ook al is dat bij u niet het geval; u vindt het misschien ook een eng idee om data aan de andere kant van de oceaan op te slaan. Weet echter wel dat de Neder-landse overheid ook uw data mag doorzoeken bij serieuze ver-denkingen. Daarin verschilt ons land dus weinig van Amerika. De VS heeft echter carte blanche bij landen waarmee het in oorlog is. Heeft uw bedrijf meerdere vestigingen of overweegt u een nieuwe vestiging te openen? Lees dan goed de voor-waarden en laat de leverancier duidelijkheid verschaffen over de locatie van het datacenter. Werkt u met een global cloud provider, vraag dan ook na of de dienstverlener van meerdere datacenters gebruikmaakt en of duidelijk is in welk datacenter (lees: welk land) uw data terechtkomen.

VerhuisberichtEen belangrijk punt dat vaak vergeten wordt, is het verhuizen van data. Zowel provider als datacenter kan de data verplaat-sen. Dat kan voor u verstrekkende gevolgen hebben. Zodra, in een extreem voorbeeld, de data verhuizen van bijvoorbeeld Duitsland naar de VS, moet u dan voldoen aan de wetgeving van het land waarin de data zijn opgeslagen. Maar zo’n mi-gratie kan ook gevolgen hebben voor de bedrijfscontinuïteit. Doorgaans merkt u weinig van een migratie, maar het is moge-lijk dat u er hinder van ondervindt. Een verhuisbericht achteraf is dus niet wenselijk. Vraag daarom altijd na hoe en hoever van tevoren een eventuele migratie wordt aangekondigd. Kortom, weet wat de leveranciersvoorwaarden zijn. U bent namelijk zelf verantwoordelijk voor de inhoud van uw data.

Maurice Hoeneveld is senior solution architect bij IT-leverancier Fujitsu, Maurice. Hoeneveld@ts.fujitsu.com

Goed voorbereid naar de opslag � Sla data versleuteld op in de cloud. Zorg dat u zelf eige-

naar van de sleutel bent en deze separaat bewaart. � Kies bij voorkeur een provider die gebruikmaakt van

eendatacenter nabij een internetknooppunt. � Besteed aandacht aan de fysieke kenmerken en fysieke-

beveiliging. Welke maatregelen heeft het datacenterge-troffen om kwaadwillenden buiten de deur te houden en brand te voorkomen?

� Vraag na hoe de provider omgaat met datamigratie.