Vergroot cloudveiligheid door bedreigingen te analyseren

Cloud staat ook in 2014 volop in de belangstelling. Voor leveranciers van clouddiensten belooft het een jaar te worden met mooie groeicijfers en introducties van nieuwe mogelijkheden. Maar er is ook een andere vorm van belangstelling en die focust op de vermeende tekortkomingen van aanbieders en zwaktes van de diensten.

Kritische aandacht
Deze kritische aandacht komt van zowel outsiders als insiders. Outsiders zijn hier mainstream pers en het grote publiek. Insiders zijn de aanbieders van online diensten, vakpers en deskundigen. Deze laatste groep publiceert ook bevindingen en voorspellingen over de risico’s van cloud. Een van die bevindingen is afkomstig van de CSA, Cloud Security Alliance. Deze in 2008 opgerichte groep van beveiligingsdeskundigen heeft in 2013 een overzicht gepubliceerd dat nog steeds opvallend actueel is Notorious Nine: Cloud computing Threats in 2013. Het document is in Nederland weinig gebruikt en dat komt wellicht omdat de CSA hier slechts bij een beperkte groep bekend is. Desondanks is het document goed te gebruiken om analyses en checklists te maken van risico’s die aan het gebruik van cloud verbonden zijn. Vervolgens kan dan antwoord worden gegeven op de vraag: hoe minimaliseer dan wel elimineer je deze bedreigingen?

Op de lijst van 9 van de CSA staan:

1. Databreaches (Datalekken)
2. Data Loss (Data verlies)
3. Account or Service Traffic Hijacking (Misbruik van accounts of diensten)
4. Insecure API’s (Onveilige API’s)
5. Denial of Service (DOS aanvallen)
6. Malicious Insiders (Kwaadwillende insiders)
7. Abuse of Cloud Services (Misbruik van en door clouddiensten)
8. Insufficient Due Diligence (Ontoereikende Due Diligence)
9. Shared Technology (Gedeelde technology)

Aanbieders van clouddiensten zullen de genoemde punten herkennen. Het zijn bedreigingen die elke vorm van cloud kunnen treffen, of het nu gaat om PaaS, IaaS of SaaS. De opsomming is daarmee ook geschikt om met (aspirant) gebruikers van clouddiensten te delen zodat de risico’s beter kunnen worden besproken.

De Notorious Nine nader bekeken
De negen punten zijn te categoriseren in twee groepen: (A) bedreigingen die ook in de cloudcontext van toepassing zijn en (B) bedreigingen die specifiek voor cloud gelden.

A – risico’s die ook voor cloud gelden
De risico’s genoemd onder de punten één en twee (datalek en dataverlies) spreken voor zich. Het verlies van data is geen specifiek cloudprobleem. Wat zowel aanbieder als gebruiker dient te begrijpen is dat bij gedeelde cloudinfrastructuur de kans aanwezig is dat een lek meerdere klanten raakt. Dat geldt ook voor het verlies van data in geval van bijvoorbeeld defecte hardware. Om deze zorg weg te nemen zal een goede cloudaanbieder in het geval van bijvoorbeeld bedrijfskritische toepassingen daarom altijd wijzen op de additionele voordelen van een private omgeving boven die van een publieke (gedeelde) cloud omgeving. Tevens zal deze aanbieder wijzen op de noodzaak van effectieve logging, gedegen analyse ervan en het hanteren van een robuuste back-up strategie. Het eerste is essentieel om verdachte gebruikspatronen vroegtijdig te signaleren en daarmee datalekken voor te zijn. Het tweede is om de risico’s van hardware defecten te minimaliseren en zo te blijven voldoen aan veiligheids- en continuïteitsafspraken conform bijvoorbeeld de BCM (Business Continuity Management) eisen.

Het derde punt van de Notorious Nine betreft misbruik van accounts of data binnen de context van cloudtoepassingen. Ook hiervoor geldt dat het geen specifiek cloud fenomeen is. Voor elke onlinedienst geldt dat het verlies van een (beheer-) account kan leiden tot misbruik. Wat in het geval van publieke clouddiensten wel geldt is dat, net als bij gedeelde hosting, er meer kans is op schade binnen het gehele gedeelde cluster, en daarmee voor andere gebruikers, als indringers eenmaal binnen zijn. In het geval van een private cloud is dat laatste risico praktisch afwezig.

Elke partij die online dienstverlening aanbiedt weet dat DOS aanvallen (vijfde punt) inmiddels the new normal zijn. Dat de CSA de impact van DOS op cloudomgevingen onder de aandacht brengt is desondanks terecht. Als het goed is heeft elke serieuze cloudaanbieder een passende anti-DOS-strategie. Het is maatwerk, afgestemd op elke afzonderlijke klanttoepassing, en zal ook met elke klant afzonderlijk worden besproken.

De in punt zes genoemde kwaadwillende insider beperkt zich evenmin tot de cloud. In het geval van complexe toepassingen is het aantal partijen dat samenwerkt en toegang dient te hebben tot (delen) van de dienst doorgaans groter dan bij conventionele niet-cloudtoepassingen, en dus is het zaak om aandacht te besteden aan de integriteit van de betrokken medewerkers. Bij cloud is het maken van goede afspraken over regie en controle, ook over screening, van groot belang.

B – cloud only risico’s
Het CSA overzicht noemt ook vier punten die uitsluitend van toepassing zijn op cloudomgevingen.

Specifieke cloudgerelateerde risico’s zijn in de optiek van CSA onveilige API’s. Hier speelt dat het voordeel van cloud (anytime from everywhere) bijna haaks staat op de veiligheidsgedachte dat het minimaliseren van toegang de beste manier is om misbruik te voorkomen. Klanten en aanbieders van clouddiensten die uitsluitend grondig geteste API’s accepteren, verlagen het risico van ongeautoriseerde toegang aanzienlijk.

Misbruik (punt zeven) is een onderschat punt. Terecht dat de CSA hier de vraag stelt: wat is misbruik in de context van cloud? Als een aanbieder en gebruiker hier geen heldere afspraken over maken, is het lastig incidenten tijdig te signaleren en op te lossen. De impact van misbruik op de langere termijn is verder niet genoemd, maar is een serieus punt van aandacht.

Punt acht is minstens zo belangrijk, Weten klanten wel voldoende wat de impact is van cloud op de bestaande IT-architectuur, begrijpen ze hoe taken en verantwoordelijkheden verschuiven en is echt getest of alle toepassingen wel cloud compatibel zijn voordat men de stap maakt te migreren? De vragen lijken eenvoudig, in de praktijk komt het toch vaak voor dat partijen steken laten vallen bij het vooronderzoek.

Tenslotte punt negen: de risico’s van gedeelde technologie. Cloud betekent het delen van capaciteit. Alleen bij een 100 procent private cloud wordt er niets met anderen gedeeld, maar intern wel. Denk aan de private cloud voor een grote onderneming waarbij de capaciteit tussen afdelingen dynamisch wordt toegekend op basis van pieken in de werkzaamheden. Delen vormt per definitie een risico en het is aan de aanbieders om klanten hierover te informeren. Het minimaliseren van risico’s is overigens in het geval van een private (en ook hybride) cloudomgeving heel goed mogelijk zonder enige afbreuk aan kwaliteit, integriteit en veiligheid.

Conclusie
De ‘Notorious Nine: Cloud computing Threats in 2013’ is meer dan een informatieve opsomming, het document is vooral een praktisch toepasbare leidraad. Met het document in de hand kunnen cloudproviders kritisch naar hun aanbod kijken.