Gebruik jij een clouddienst? Wie is er dan verantwoordelijk voor de beveiliging?
Als IT manager is het niet makkelijk om alle kwetsbaarheden binnen de interne en externe netwerken en applicaties van jouw organisatie bij te houden. Dat dit lastig is, blijkt ook uit het feit dat gigantische organisaties zoals Target en Yahoo! Ook slachtoffer worden van datalekken. Gelukkig zijn er clouddiensten die ten opzichte van een traditionele IT-infrastructuur aanzienlijke veiligheidsvoordelen bieden.
Om de beveiliging van een clouddienst op het niveau te krijgen dat jouw organisatie nodig heeft, is het noodzakelijk om twee richtlijnen te volgen:
- Selecteer de juiste dienst voor jouw organisatie.
- Begrijp jouw deel van de gedeelde verantwoordelijkheid van de dienst.
Dit artikel gaat over de laatste richtlijn, het ‘shared responsibility model’.
Clouddiensten hebben een grote stap gezet op het gebied van cyber security. Regelmatig laten cloudaanbieders zien dat hun systemen beter werken dan onsite oplossingen als het gaat om effectiviteit, efficiëntie en beveiliging. Maar wil dat zeggen dat zo’n organisatie zich helemaal niet meer druk hoeft te maken over de beveiliging? Ligt de volledige verantwoordelijkheid nu bij de cloudaanbieder? Helaas niet, zover zijn we nog niet. Vooralsnog moeten organisaties op de hoogte zijn van hun verplichtingen en deze nakomen om de beveiliging op het juiste niveau te houden.
Wat is gedeelde verantwoordelijkheid?
Heel simpel: de afnemer is zowel aansprakelijk én verantwoordelijk voor alle aspecten van beveiliging en exploitatie van oplossingen zodra deze on-premise ingezet worden. Echter, hoe intensiever een afnemer gebruik maakt van clouddiensten, hoe meer de verantwoordelijkheid verschuift in de richting van de cloudaanbieder. In andere woorden kan je dus stellen dat zowel de cloud-leveranciers als de cloud-afnemers verantwoordelijk zijn voor fouten in de elementen die zij beheren.
Afhankelijk van de aangeboden service door de provider, ligt er minder verantwoordelijkheid bij de afnemer. De verantwoordelijkheid past bij het type clouddienst, variërend van infrastructuur als service (IaaS) naar software als service (SaaS), met platform als service (PaaS) als tussenvorm.
IaaS: je moet het (bijna) in je eentje doen
Met IaaS is jouw organisatie vrijwel autonoom als het gaat om beveiliging en regelt jouw partner de basis netwerkbeveiliging. Echter ben je daarom wel in het IaaS-model steeds verantwoordelijk voor je eigen data, klanten en gebruikers. Jouw organisatie is ook verantwoordelijk voor applicaties, netwerkinstellingen en zelfs besturingssystemen.
IaaS verlegt de verantwoordelijkheid van fysieke opslag en het onderhoud van servers naar jouw partner en maakt bronnen beschikbaar via eenvoudige interfaces zoals virtuele machines. Jouw IaaS-aanbieder is daarmee verantwoordelijk voor een basisniveau van netwerkbeveiliging (kwetsbaarheden detecteren) en fysieke beveiliging (zoals het maken van back-ups). In veel gevallen slaapt het management al beter, wetende dat de clouddienst deze beveiliging biedt.
PaaS: iets minder gedoe
In het PaaS-model is netwerkbeveiliging en opslagproblemen de verantwoordelijkheid van de aanbieder. Dit serviceniveau biedt jouw organisatie extra comfort, wetende dat kwetsbaarheden in je netwerk aangepakt worden door de leverancier. Dit in combinatie met gebruiksgemak via virtuele machines maakt PaaS interessant voor veel organisaties.
Op dit niveau kan jouw organisatie zich focussen op de endpointgebruikers en voorkomen dat ze malware of andere kwaadaardige content in de cloud plaatsen plus waarborgen dat hun data veilig bewaard wordt. In het PaaS-model ben je zelf verantwoordelijk voor het beveiligen van applicaties, gebruikers, endpoints en data.
SaaS: het eenvoudigste en vaak veiligste cloudmodel
Jouw organisatie heeft de minste verantwoordelijkheid op het gebied van beveiliging in een SaaS-model. In dit model onderhoudt en beveiligt de cloud aanbieder alles behalve de gebruikers, de endpoint apparaten en de data in de cloud. Bij dit serviceniveau hoef je je als gebruiker niet te vermoeien met technische details en in de meeste gevallen worden alle applicaties constant geüpdate als er nieuwe bedreigingen ontstaan. Bekende voorbeelden van SaaS-oplossingen zijn die van Google (onder andere Gmail en Google Docs), Salesforce en Microsoft Office 365.
Hoewel SaaS-modellen de veiligste clouddiensten zijn, zijn ze niet zonder risico’s. De Cerber ransomware aanval op Microsoft Office 365 in juni 2016 is daar een goed voorbeeld van. Net als veel traditionele Microsoft Office-virussen vertrouwde Cerber op de gebruikers die een e-mailbijlage openden om vervolgens de macro’s te activeren volgens de instructie.
Dus, wat is precies jouw deel van de gedeelde verantwoordelijkheid?
Welk model je ook kiest, de beveiliging in de cloud is een gedeelde verantwoordelijkheid omdat clouddiensten niet standaard beveiligd zijn. Daarnaast is alles wat de cloud binnenkomt via de gebruikers en endpoint apparaten van jouw organisatie de verantwoordelijkheid van jouw organisatie. Het toonaangevende IT onderzoeks- en adviesbureau Gartner voorspelt dat in 2020 maar liefst 95% van de beveiligingsfouten in de cloud veroorzaakt wordt door de gebruiker. Met dat gegeven in het achterhoofd is het belangrijk om goed te begrijpen waar de gedeelde verantwoordelijkheid begint en waar het ophoudt. Alleen dan kun je het geheel goed beveiligen.
Hoewel de cloud veel gemak en veiligheidsvoordelen biedt, zien we dat de mens nog steeds de zwakste schakel is. Doe daarom je huiswerk en laat je goed adviseren over de gedeelde verantwoordelijkheid. Daarna kun je aanvullende veiligheidsmaatregelen treffen en de gebruikers opleiden, zodat je veilig gebruik kunt maken van clouddiensten.
Categorieën