Beveiligingseisen cloud zijn niet mals

Bedrijven willen wel overstappen naar cloudtechnologie, maar vaak is er terechte twijfel dat het huidige cloudaanbod te weinig effectieve procedures rond beveiliging en compliance heeft. Leverancier Verizon zette op een rij waar een goed beveiligde clouddienst wel niet allemaal aan moet voldoen.

“In een compliance-programma mag de beveiliging van cloud-omgevingen niet ontbreken”, aldus Bart Vansevenant, executive director van de Global Security Solutions-divisie bij telecombedrijf Verizon die door de overname van hostingbedrijf Terremark flink investeerde in clouddiensten en applicatiehosting. “De essentiële elementen – de planning, het ontwerp en het beheer – zijn hetzelfde voor traditionele en cloud-platforms. Bedrijven die gebruikmaken van best practices op het gebied van de beveiliging en speciale aandacht besteden aan de unieke aspecten en functies van de cloud, zullen in staat zijn om effectieve compliance-programma's op te stellen en toe te passen. Op deze manier kunnen ze met een gerust hart profiteren van alle flexibiliteit en kostenreducties die de cloud hen te bieden heeft.”

Om bedrijven te helpen met het naleven van de wet- en regelgeving tijdens hun gebruik van de cloud en het beschermen van hun netwerk, toepassingen en gegevens, heeft Verizon de volgende lijst van best practices en tips opgesteld:

Alles staat of valt met de beveiliging van de cloud-infrastructuur:

• Fysieke beveiliging. De faciliteiten moeten worden beveiligd met systemen voor klimaatbeheersing, brandpreventie en -onderdrukking en uninterruptable power supply's. Er moet 24 uur per dag beveiligingspersoneel op locatie aanwezig zijn. Kies voor een leverancier die gebruikmaakt van biometrische functionaliteit voor het toegangsbeheer, zoals het scannen van vingerafdrukken of gezichtsherkenning. Camerabewaking binnen de faciliteiten is onontbeerlijk.
  
• Netwerkbeveiliging en logische scheiding. Binnen cloud-omgevingen moet gebruikt worden gemaakt van gevirtualiseerde versies van firewalls en systemen voor indringerpreventie. Alle gedeeltes van de cloud waarin bedrijfskritische systemen en gevoelige gegevens worden ondergebracht, moeten worden geïsoleerd. Er moeten regelmatig audits worden uitgevoerd op basis van door de branche erkende methoden en standaarden zoals SAS 70 Type II, de Payment Card Industry Data Security Standard, ISO 27001/27002 en Cloud Security Alliance Cloud Controls Matrix.
  
• Inspectie. Bij de gateways moet gebruik worden gemaakt van antivirus- en antimalwaretoepassingen en contentfiltering. Overweeg het gebruik van toepassingen voor de preventie van gegevensverlies indien u gevoelige informatie zoals financiële en persoonlijke gegevens en intellectueel eigendom opslaat.
  
• Beheer. Besteed speciale aandacht aan de hypervisors in de cloud (de servers waarop meerdere besturingssystemen draaien). Hypervisors bieden namelijk de mogelijkheid om een volledige cloud-omgeving te beheren. Voor de beveiliging en naleving van de wet- en regelgeving is vaak een extra niveau van beveiliging en een scheiding van taken van de netwerk- en cloud-beheerders vereist. De toegang tot beheerinterfaces voor virtuele omgevingen moet waar mogelijk worden beperkt. Application programming interfaces (API's) moeten worden vergrendeld of gedeactiveerd.
  
• Uitgebreide bewaking en het bijhouden van logbestanden. Bijna alle beveiligingsstandaarden vereisten bewaking en beheer van de toegang tot netwerken, systemen, toepassingen en gegevens. Elke cloud-omgeving moet deze mogelijkheden bieden, of het nu gaat om een intern datacenter of de cloud van een externe dienstverlener.
  

Het beveiligen van cloud-toepassingen zelf mag ook niet overgeslagen worden.

• Systeembeveiliging. Virtuele machines (VM's) moeten worden beveiligd met firewalls, systemen voor indringerpreventie en antivirustoepassingen die speciaal voor de cloud zijn ontwikkeld. Daarnaast moet er sprake zijn van consistent en programmatisch patchbeheer.
  
• Beveiliging van toepassingen en gegevens. Waar mogelijk moeten toepassingen gebruikmaken van toegewijde databases. De toegang van toepassingen tot databases moet bovendien tot een minimum worden beperkt. Veel beveiligings- en compliance-normen vereisen dat er logbestanden worden bijgehouden en dat de toepassingen en databases waarvan zij gebruikmaken worden bewaakt.
  
• Authenticatie en machtigingen. Voor de bescherming van gebruikersnamen en wachtwoorden moet gebruik worden gemaakt van two-factor-authenticatie zoals digitale authenticatie. Hetzelfde geldt voor toegang op afstand en andere speciale toegangsrechten. De rollen van gebruikers moeten duidelijk worden afgebakend, en hun rechten moeten worden beperkt tot de machtigingen die zij nodig hebben om hun werk uit te kunnen voeren. Een sterke mate van aanpassing van zaken als de authenticatie, machtigingen en boekhoudsoftware is uit den boze, omdat de beveiliging meestal wordt verzwakt.
  
• Beheer van kwetsbaarheden. Er moet op worden toegezien dat de gebruikte toepassingen niet vatbaar zijn voor veel voorkomende exploits (misbruik van kwetsbaarheden), zoals de exploits die beschreven zijn in de Open Web Application Security Project (OWASP) Top 10. Toepassingen in de cloud vragen om regelmatige patching, scans op kwetsbaarheden, beveiligingstests door onafhankelijke partijen en voortdurende bewaking.
  
• Gegevensopslag. Bedrijven moeten weten welke soorten gegevens er in een cloud-omgeving worden opgeslagen en deze gegevenstypen zoveel mogelijk scheiden. De fysieke en logische locatie van gegevens moeten bekend zijn vanwege mogelijke gevolgen voor de beveiliging en privacy.
  
• Wijzigingsbeheer. Het wordt met kracht aangeraden om beleidsregels op het gebied van wijzigingsbeheer op heldere wijze te documenteren voor de beheerders van netwerken, systemen, toepassingen en gegevens. Door een goed begrip van deze regels kunnen onverwachte problemen en gegevensverlies worden voorkomen.
  
• Encryptie. De encryptie van gegevens kan binnen een cloud-omgeving complexer uitpakken en vergt daarom speciale aandacht. Veel richtlijnen stellen speciale eisen aan zowel de overdracht als de opslag van gegevens. Zo moeten financiële gegevens en informatie over de gezondheid van mensen altijd worden versleuteld.
  

Wat valt er volgens Verizon te vertellen over publieke, private en hybride clouds:

• Gedeelde gevirtualiseerde omgevingen. Publieke clouds, die vaak een gedeelde gevirtualiseerde omgeving omvatten, bieden standaard beveiligingsfuncties. Een juiste segmentatie en scheiding van it-bronnen is daarom van groot belang. Om te kunnen voldoen aan de richtlijnen op het gebied van de beveiliging en compliance is het belangrijk dat u bij de keuze voor een cloud-omgeving niet over één nacht ijs gaat.
  
• Aanbieders van publieke clouds. Hoewel cloud computing voor aantrekkelijke kostenbesparingen kan zorgen, bieden sommige aanbieders van publieke clouds mogelijk onvoldoende ondersteuning voor de controlemechanismen waarom de beveiliging- en compliance-richtlijnen vragen. Wees niet bang om uw leverancier het hemd van zijn lijf te vragen.
  
• Nauwgezette beveiligingsmaatregelen. Ongeacht het type cloud moet er gebruik worden gemaakt van segmentatie, firewalls, systemen voor indringerpreventie, bewaking, logbestanden, toegangscontrole en gegevensencryptie.
  
• Bij private clouds snijdt het mes aan twee kanten. Private clouds kunnen op locatie worden gehost of binnen de faciliteit van een dienstverlener. Net zoals bij traditionele it-omgevingen spelen het beveiligingsontwerp en de beveiligingsmechanismen een doorslaggevende rol. Wanneer u op zoek gaat naar een dienstverlener, is het belangrijk om voor het type cloud te kiezen dat het op uw behoeften aansluit. Een private cloud is niet per definitie inherent veilig.
  
• Hybride clouds. Hybride clouds bieden bedrijven het beste van beide werelden en stellen hen in staat om een breed scala aan zakelijke en it-doelstellingen te realiseren. Ze bieden daarnaast de mogelijkheid om bedrijfstoepassingen onder te brengen binnen de omgeving die daarvoor het meest geschikt is.