T +31 (0)10 8700 150 E info@amitron.nl
Twitter
Image1

Publicaties



Security in cloud computing is niet anders




Cloud computing is een nieuwe methode (of wellicht: hype) voor het leveren van computer resources aan klanten, maar het is geen nieuwe technologie. Ook de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling.

Cloud computing is geen nieuwe technologie en de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling. Er zij n echter wel productaanpassingen en -ontwikkelingen om een optimale efficiënte bescherming te bieden in deze (virtuele) infrastructuur. De additionele security vraagstukken zijn in principe niet verschillend van de huidige hosting en outsourcing modellen. Ervaring is er dus ook al. Hoe zit dat eruit?
Er zijn drie functie categorieën in cloud computing:
- Software-as-a-Service (Saas). Voorbeeld: Salesforce.com, Hotmail en Google Docs.
- Platform-as-a-Service (PaaS). Voorbeelden: Microsoft Azure, Force en Google App engine.
- Infrastructuur-as-a-Service. Voorbeelden Amazon EC2 en S3, Terremark Enterprise Cloud en Windows Live Skydrive.
Clouds kunnen daarnaast ook fysiek verdeeld worden in public, private of hybride cloud en een paar afgeleide zoals community of shared cloud.

Zoals gesuggereerd zijn de functionele security controles in cloud computing voor het grootste gedeelte niet anders dan de controles in elke it-omgeving. We vinden ‘gewoon' nog steeds de Firewall (traditioneel en voor virtualisatie), IPS of Patch Management (traditioneel en voor virtualisatie), Antimalware (voor virtualisatie), netwerk segmentatie, 2-factor authenticatie, Identity and Access Management, data encryptie (binnen de guest in een virtuele omgeving) en vulnerability testing of scanning. Er is wel een accentverschuiving te zien naar Identity and Acces Management en data integriteit.

Door het gebruik van cloud service modellen, creëren de operationele activiteiten met technologieën die hieraan onderliggend zijn, andere risico's voor een organisatie dan binnen traditionele it-netwerk omgevingen. Cloud computing is voor de afnemer het uit handen geven van directe controle maar niet van de aansprakelijkheid, ook al vervalt de operationele verantwoordelijkheid naar een derde partij.

Het verschil tussen de operationele en uiteindelijke verantwoordelijkheid zal men willen oplossen door het sluiten van waterdichte security sla's en de aanwezige en beschreven security controles. De controle op de geleverde security, vastgelegd in deze sla's, zal door middel van externe en interne audits uitgevoerd worden.

De houding van zowel een cloud provider en de klant word gekarakteriseerd door de volwassenheid, effectiviteit en compleetheid van de geïmplementeerde security controles. Deze controles zijn geïmplementeerd in meerdere lagen: van de fysieke security naar netwerk en it-systemen. Daarnaast zijn er controles nodig op gebied van organisatie, personeel en processen, zoals het scheiden van functie- en changemanagement. De security verantwoordelijkheden van de provider en klant verschillen tussen de verschillende service modellen.

In IaaS modellen kunnen de providers alleen de fysieke security en virtualisatie security managen. De (operationele) security van de besturingssystemen, applicaties en data is aan de klant zelf.

Bij een SaaS model zal de provider echter ook de verantwoordelijkheid moeten dragen van security management op de infrastructuur, de applicaties en data. De klant zal hierbij minder operationele verantwoordelijkheid dragen.

Afhankelijk van de huidige stand van zaken van het niveau van de security van de klant en de keuze van het cloud-model kan de efficiëntie van de totale security op het gebied van controles verbeteren. Deze verbetering is een serieuze opmerking omdat er bij veel organisaties nog wel wat aan schort en de provider snel een schaalbaarheidsvoordeel heeft, waardoor sommige exotischer beveiligingstooling wellicht toegankelijk wordt. De klant hoeft zich voornamelijk bezig te houden met controle op de nageleefde 'Security'' Level Agreements.

We zien op dit gebied een toename in vragen rond de tool vulnerability scanning als een audit/compliance tool. Een toename ten opzichte van de huidige vraag rond hosting en outsourcing situaties.



Read more: www.computable.nl




« vorige pagina
Ask a question

Quotes van klanten



Marc Collins.jpg
Amitron maakt hun 19 jaar Trend Micro kennis echt waar; bovengemiddelde support & aandacht!


Marc Collins
Woningcorporatie Havensteder

Contact



Amitron B.V.
Maasstraat 15
3016 DB Rotterdam
The Netherlands

T: +31 (0)10 8700 150
E: info@amitron.nl