T +31 (0)10 8700 150 E info@amitron.nl
Twitter
Image1

Uitdagingen



Security in Cloud Computing, is dat totaal anders of toch hetzelfde?



Security in Cloud Computing, is dat totaal anders of toch hetzelfde?

Cloud Computing is een nieuwe methode (of wellicht: hype) voor het leveren van computer resources aan klanten, maar het is geen nieuwe technologie.
Ook de benodigde functionele security controles zijn niet verschillend van de bestaande en gebruikte security tooling. Al zijn er natuurlijk wel produkt aanpassingen en ontwikkelingen om een optimale efficiënte bescherming te bieden in deze (virtuele) infrastructuur. De additionele security vraagstukken zijn in principe niet verschillend van de huidige hosting en outsourcing modellen. Ervaring is er dus ook al.

Hoe zit dat eruit?
Er zijn drie functie categorieën in cloud computing:
1. Software-as-a-Service (Saas). Voorbeeld: Salesforce.com, Hotmail en Google Docs.
2. Platform-as-a-Service (PaaS). Voorbeelden: Microsoft Azure, Force en Google App engine.
3. Infrastructuur-as-a-Service. Voorbeelden Amazon EC2 en S3, Terremark Enterprise Cloud en Windows Live Skydrive.

Clouds kunnen daarnaast ook fysiek verdeeld worden in Public, Private of Hybride Cloud en een paar afgeleide zoals Community of Shared Cloud.

Zoals gesuggereerd zijn de functionele security controles in cloud computing voor het grootste gedeelte niet anders dan de controles in elke IT omgeving.
We vinden ‘gewoon’ nog steeds de Firewall (traditioneel en voor virtualisatie), Intrusion Prevention Systemen, Patch Management (traditioneel en voor virtualisatie), Antimalware (voor virtualisatie), netwerk segmentatie, 2-factor authenticatie, Identity and Access Management, data encryptie (binnen de guest in een virtuele omgeving) en vulnerability testing of scanning. Er is wel een accent verschuiving te zien naar Identity and Acces Management en data integriteit.
Door het gebruik van Cloud service modellen, creëren de operationele activiteiten met technologieën die hieraan onderliggend zijn, andere risico’s voor een organisatie dan binnen traditionele IT netwerk omgevingen.

Cloud computing is voor de afnemer het uit handen geven van directe controle maar niet van de aansprakelijkheid, ook al vervalt de operationele verantwoordelijkheid naar een derde partij.
Het risico tussen van het verschil tussen de operationele en uiteindelijke verantwoordelijkheid zal men willen proberen op te lossen door het sluiten van waterdichte security SLA’s en de aanwezige en beschreven security controles. De controle op de geleverde security, vastgelegd in deze SLA’s, zal door middel van externe en interne audits uitgevoerd worden.

De houding van zowel een Cloud provider en de klant word gekarakteriseerd door de volwassenheid, effectiviteit en compleetheid van de geïmplementeerde security controles. Deze controles zijn geïmplementeerd in meerdere lagen: van de fysieke security naar netwerk en IT systems. Daarnaast zijn er controles nodig op gebied van organisatie, personeel en processen, zoals het scheiden van functie- en changemanagement.
De security verantwoordelijkheden van de provider en klant verschillen tussen de verschillende service modellen.

In IaaS modellen kunnen de providers alleen de fysieke security en virtualisatie security managen. De (operationele) security van de operating systems, applicaties en data is aan de klant zelf.
Bij een SaaS model zal de provider echter ook de verantwoordelijkheid moeten dragen van het security management op de infrastructuur, de applicaties en data. De klant zal hierbij minder operationele verantwoordelijkheid dragen.

Afhankelijk van de huidige stand van zaken van het niveau van de security van de klant en de keuze van het Cloud model kan de efficiëntie van de totale security op het gebied van controles verbeteren. Deze verbetering is een serieuze opmerking omdat er bij veel organisaties nog wel wat aan schort en de provider snel een schaalbaarheidsvoordeel heeft, waardoor sommige exotischer beveiligingstooling wellicht toegankelijk wordt. De klant hoeft zich voornamelijk bezig te houden met controle op de nageleefde Security Level Agreements.
We zien op dit gebied een toename in vragen rond de tool vulnerability scanning als een audit/compliance tool. Een toename ten opzichte van de huidige vraag rond hosting en outsourcing situaties.





« naar uitdagingen
Stel hier uw vraag

Quotes van klanten



Marc Collins.jpg
Amitron maakt hun Trend Micro kennis echt waar; bovengemiddelde support & aandacht!


Marc Collins
Woningcorporatie Havensteder

Contact



Amitron B.V.
Maasstraat 15
3016 DB Rotterdam
The Netherlands

T: +31 (0)10 8700 150
E: info@amitron.nl