‘Kijk onder de motorkop bij cloud computing’

De keuze om een organisatie en IT-architectuur om te vormen in een cloud computing omgeving gaat niet over één nacht ijs. Een sterke beveiliging is fundamenteel in de cloud en er gelden vaak strengere voorwaarden dan bij de eigen IT-infrastructuur, omdat data op andere locaties worden opgeslagen. Organisaties kijken hierbij naar technologie, standaarden en certificeringen. De beste optie is dan een beveiligde cloud die op open standaarden en open source is gebaseerd, aldus Brian Cornell, Regional Director Central Europe, Red Hat.

Beveiliging van data binnen de eigen IT-infrastructuur is overzichtelijk en beheersbaar. De IT-omgeving wordt goed beschermd als er gebruik wordt gemaakt van de nieuwste software, appliances, servers en recente updates. Dat moet wel allemaal nauwkeurig worden bijgehouden, want kansen op lekken en zwakke plekken zijn er altijd. Daarnaast moeten beheerders goed geschoold zijn. Veel van deze zaken vervallen als een organisatie kiest voor een cloud provider die alle security taken overneemt. Steeds meer organisaties kiezen voor deze optie, want security wordt binnen de IT-afdeling gezien als een lastige en vervelende klus.

Een grote fout is dat organisaties de cloud provider gelijk voor honderd procent vertrouwen rond de beveiliging van data. Ongetwijfeld zijn de mensen van de cloudienstverleners heel aardig en sympathiek, maar: vertrouwen is goed, controleren echter beter. Daarom is het verstandig de cloud provider en zijn datacentra onder de loep te nemen voordat er zaken worden gedaan waarbij de beveiliging van data wordt toevertrouwd aan een ander. Hierbij moet de cloud provider transparantie geven van wat er allemaal gaat veranderen, wil een bedrijf overstappen op cloud computing. De cloud provider kan hierbij belangrijke certificeringen tonen en laten zien dat het voldoet aan compliance regelgeving.

Beveiligingsstandaarden en certificeringen
IT-beslissers dienen in ieder geval goed kijken naar de beveiligingsstandaarden en certificeringen die de cloud provider heeft, zoals SAS 70 en ISO 27001. SAS 70 is een internationaal erkende norm die de interne controle van een dienstverlenende organisatie beoordeelt, maar nog weinig in Europa wordt toegepast. SAS staat voor Statement on Auditing Standards en is ontwikkeld door het American Institute of Certified Public Accountants (AICPA). Een SAS 70 verklaring wordt bijvoorbeeld vaak vereist voor organisaties die aan de Sarbanes-Oxley Act van 2002 (SOx) moeten voldoen.

Een betere standaard voor informatiebeveiliging van cloud computing omgevingen is ISO 27001. De standaard bestaat feitelijk uit Deel 2 van de BS 7799, de standaard waarin wordt beschreven hoe Informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO/IEC 17799 te effectueren. In Nederland is het vastgesteld als NEN norm NEN-ISO/IEC 27001:2005 en vertaald naar het Nederlands en verplicht gesteld voor Nederlandse overheden door het College standaardisatie. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. Een cloud provider kan middels een audit laten aantonen dat zijn datacenter voldoet aan ISO 27001. Zo zijn klanten ervan verzekerd dat hun data versleuteld kan worden gearchiveerd. 

Verder moet er gekeken worden onder de motorkap van de cloud, de IT-componenten. Dat zijn een aantal ‘bouwstenen’ zoals applicatieplatformen, besturingssystemen, servers, netwerken, dataopslag en virtualisatie. Bij privé en publieke clouds, die door meerdere organisaties worden gebruikt, is een strikte scheiding tussen meerdere virtuele machines een essentiële voorwaarde. Een publieke cloud heeft vaak een multi-tenancy omgeving waarbij meerdere separate klanten vanuit een enkele virtuele machine of applicatie worden bediend. Dit biedt onder andere voordelen in termen van density, kosten en beheer. Data in deze omgeving wordt het best beveiligd als er een strikte scheiding is van de hardware en hypervisor evenals in de virtuele machine tussen verschillende applicaties. Dit kan worden bewerkstelligd met de Linux Kernel Virtual Machine (KVM) die uitgerust is met SELinux technologie die onder andere te vinden is in de Red Hat Enterprise Virtualization (RHEV) oplossing. Security-Enhanced Linux (SELinux) is een uitbreiding voor het besturingssysteem Linux, om te komen tot een verbeterde beveiliging van het systeem. SELinux werd ontwikkeld door de National Security Agency (NSA) en bevat ‘mandatory access control’. Dit betekent dat regels bepalen wat gebruikers en programma's, waaronder de hypervisors en workloads op de virtuele machines, mogen op een systeem. Het gevolg hiervan is dat er voor nieuwe programma's een regel gedefinieerd moet worden om het te laten werken. Daarom zijn virtuele machines en workloads echt geïsoleerd. Dit soort toepassingen kunnen door de hoge beveiligingsstandaarden ook in militaire omgevingen worden gebruikt. KVM zorgt er namelijk voor dat alle potentiële beveiligingslekken in een hypervisor dicht blijven, waardoor hackers geen aanvallen kunnen uitvoeren vanuit gekaapte hosts of virtuele machines.

Cloud computing is dus een combinatie van technologie en beleid. Bepalingen, bevoegdheden, processen en beveiligingsrichtlijnen zijn voor klanten belangrijke voorwaarden voordat ze in zee gaan met een cloud provider. Maar de techniek onder de motorkap blijft een belangrijke rol spelen om data goed te isoleren en te beschermen.