3.4.3.10. Virtuele netwerken/cloud computing
Virtuele netwerken zijn netwerken die niet gevormd worden door middel van fysieke verbindingen, maar door middel van protocollen (VLAN, VPN, …) of virtuele machines.
De eerste vorm – gebaseerd op protocollen – is reeds besproken in het voorgaande, in dit hoofdstuk gaan we wat dieper in op virtualisatie, een techniek die veel gebruikt wordt in cloud computing.
Virtuele machines staan lijnrecht tegenover fysieke machines. Waar op fysieke machines slechts één OS operationeel is, kunnen er meerdere OS-instanties (of virtuele machines) gelijktijdig werken op een fysieke machine die is ingericht op basis van virtualisatie. Op die manier is het mogelijk om meerdere virtuele computers te laten werken op één hardwarecomponent.
Virtualisatie creëert een tussenlaag tussen het OS en de onderliggende hardware. Deze laag simuleert de capaciteiten van de hardware (CPU, werkgeheugen, …) waardoor deze als het ware opgesplitst kan worden in meerdere virtuele machines op dezelfde hardware. Op deze manier kan de hardware optimaal ingezet worden. Kenmerkend van deze virtuele opzet is de isolatie tussen de verschillende virtuele machines. Zij gedragen zich onafhankelijk van elkaar, dus als aparte machines, dat wil zeggen:
Iemand die toegang heeft tot één bepaalde VM (virtuele machine), heeft niet automatisch toegang tot een andere VM;
Problemen met één VM staan los van de andere VMs; en
De prestaties van één VM worden niet beperkt of geschaad door de andere VMs.
Door middel van virtualisatie is het mogelijk om schaalbaar online-dienstverlening aan te bieden.
3.3.3.10.1. Beveiliging van de virtuele wereld
In feite kunnen virtuele machines net zo ingericht en beveiligd worden als fysieke machines. Zo kan men onder meer:
Netwerksegmentatie opzetten;
Firewalls, IDS/IPS inzetten om netwerktrafiek te controleren; en
Antimalware inzetten om malware tegen te houden.
Natuurlijk zijn hiervoor andere producten nodig dan voor de beveiliging van fysieke machines, maar de principes en de logische architectuur zijn dezelfde.
Bij virtuele machines moet echter wel rekening gehouden worden met een extra component: de hypervisor. Deze dient om de virtuele laag te creëren en beheren. Aangezien deze hypervisor dient om deze virtuele wereld in te richten en te beheren, is het duidelijk dat deze goed beveiligd moet zijn. Immers, indien een aanvaller toegang krijgt tot de hypervisor, krijgt deze toegang tot alle onderliggende VMs. Beveiliging van de hypervisor houdt volgende goede praktijken in:
Inrichten van (security) monitoring – koppelen aan SIEM;
Hardening van de hypervisor (schakel onnodige services en eigenschappen uit);
Toepassen van PAM – beheer van geprivilegieerde accounts;
Fysieke en logische toegangsbeveiliging toepassen; en
Goed ingerichte processen voor beheer: patch management, wijzigingsbeheer, incidentbeheer, enz.
Gezien het belang van de hypervisor is het aangewezen om deze component minstens de vertrouwelijkheidsklasse 4 en integriteitsklasse 4 te geven. De beschikbaarheidsklasse is minstens één klasse hoger dan de hoogste informatieklasse op de VMs beheerd door de hypervisor.
3.3.3.10.2. Online dienstverlening – cloud computing
We onderscheiden diverse as-a-service-modellen, waarvan de meest gebruikelijke zijn:
IaaS (infrastructure-as-a-service): aanbieden van virtuele infrastructuur componenten zoals virtuele servers, netwerken, opslagcapaciteit, enz.;
PaaS (Platform-as-a-Service): aanbieden van een aantal diensten bovenop de infrastructuur die het mogelijk maakt om toepassingen op een gestructureerde en geïntegreerde wijze te ontwikkelen zoals toegangsbeheer, identiteitsbeheer, portaalfunctionaliteit, enz.; en
SaaS (Software-as-a-Service): aanbieden van eindtoepassingen zoals e-mail, klantenbeheer, personeelsbeheer, videoapplicaties, enz.
Deze as-a-service-modellen kunnen aangeboden worden in verschillende types cloudoplossingen:
Publiek: de software en data staan op infrastructuur van een externe dienstverlener (= buiten de eigen organisatie) en er wordt een generieke dienstverlening afgeleverd;
Privaat: de software en data staan op eigen fysieke of virtuele infrastructuur, d.w.z. de eigen organisatie heeft volledige controle over de data, beveiliging en kwaliteit van de dienstverlening en deze wordt niet gedeeld met andere externe partijen. Het beheer kan uitbesteed worden aan een externe dienstenleverancier en de infrastructuurcomponenten kunnen geïnstalleerd worden in de gebouwen van de organisatie of van een externe dienstenleveranciers;
Gemeenschappelijk: afnemers uit verschillende organisaties werken op dezelfde infrastructuur. Dit is mogelijk omdat deze afnemers elkaar voldoende vertrouwen en/of vergelijkbare eisen stellen aan de cloud-omgeving, bv. een groep overheidsinstellingen of onderwijsinstellingen; en
Hybride: het samen gebruiken van een meerdere interne/externe cloud-omgevingen.
3.3.3.10.3. Voordelen van cloud
Er zijn diverse overwegingen om over te stappen in een cloud-dienstverlening, waarvan de belangrijkste zijn:
Schaalbaarheid: door het toepassen van virtualisatie is het mogelijk om snel en vrij eenvoudig meer of minder van een bepaalde dienstverlening te gebruiken, bv. meer of minder servers, meer of minder netwerkcapaciteit. Dit kan ook een voordeel zijn om piekmomenten op te vangen;
Kostprijs: voor de organisatie is er geen aankoop- en onderhoudskost van de infrastructuur die de dienstverlening nodig heeft;
Locatie-onafhankelijkheid: vaak volstaat een internetverbinding en een browser om gebruik te kunnen maken van de dienstverlening. Is er toch een speciale toepassing nodig, dan is die meestal eenvoudig te downloaden;
Betrouwbaarheid: omdat de dienstverlener over gespecialiseerde deskundigen beschikt, zijn complexe problemen vaak sneller opgelost dan wanneer de organisatie deze zelf moet aanpakken. Het beheer en aanbieden van de dienstverlening behoort tot de kerntaak van de dienstverlener. Daar tegenover staat dat men afhankelijk is van de dienstverlener: de organisatie staat machteloos tot de dienstverlener het probleem oplost; en
Beschikbaarheid: vaak is de infrastructuur van de dienstverlener gespreid over meerdere datacenters, waardoor een hoge mate van beschikbaarheid gegarandeerd kan worden.
3.3.3.10.4. Risico's van cloud
Er zijn wel wat risico’s verbonden aan het uitbesteden van diensten die vertrouwelijke informatie kunnen bevatten:
Wetgeving: sommige nationale wetten stellen bepaalde eisen aan de opslag en verwerking van data die soms tegenstrijdig zijn. Zo stelt de GDPR heel wat eisen en legt verantwoordelijkheden op bij de verwerking van persoonsgegevens. Daar tegenover staat de Amerikaanse ‘Patriot Act’ die gericht is op het bestrijden van terrorisme en een verregaande toegang tot data toelaat door Amerikaanse overheden, zelfs als die data zich buiten USA bevindt;
Juridische aspecten zijn er o.a. op gebied van eigendom van data en toepassingen. Veel landen hebben eigen regels over het opslaan van data (locatie en duurtijd). Dit is lastig om af te dwingen;
De beveiliging van de informatie is geheel of gedeeltelijk afhankelijk van de dienstverlener; en
Indien de dienstverlening stopt of bij een faillissement van de dienstverlener loopt de organisatie het risico dat de toepassingen en data (tijdelijk) onbeschikbaar worden.
Het mag duidelijk zijn dat de organisatie voldoende maatregelen moet nemen in haar informatiebeveiliging om de vertrouwelijkheid, integriteit en beschikbaarheid van haar data veilig te stellen. Wanneer het gaat over data in de cloud, speelt nog een vierde factor mee: betrouwbaarheid. Betrouwbaarheid en controleerbaarheid gaan hand in hand. Een informatiebeveiliging is betrouwbaar als ze controleerbaar is, met andere woorden als met voldoende zekerheid kan worden gestaafd dat er voldaan is aan de eisen van vertrouwelijkheid, integriteit en beschikbaarheid.
Het gaat ons echter te ver om hier dieper in te gaan op juridische maatregelen, deze zijn dan ook buiten scope van dit document. We leggen de focus op technische en organisatorische maatregelen.
3.3.3.10.5. Vertrouwelijkheid van data in de cloud
Op zich zijn de maatregelen voor de cloud en voor virtuele netwerken niet anders dan voor ‘in huis’-/fysieke oplossingen, dat wil zeggen de maatregelen die eerder in dit document beschreven werden, zijn ook hier van toepassing.
Maar we leggen een aantal accenten. Specifiek voor vertrouwelijkheid houdt dit het volgende in:
Netwerkzonering dringt zich sterk op, met name om de scheiding met andere klanten van de cloud provider mogelijk te maken;
Toegangscontrole is belangrijk: er moet immers worden gewaarborgd dat alleen de afnemer en diens gemachtigde gebruikers technisch toegang hebben tot de data;
Controle op gebruik van geprivilegieerde rechten: even belangrijk is de beperking van en controle op het beheer van de (virtuele) omgeving, hiervoor zijn immers vaak geprivilegieerde accounts nodig;
Controle op de werking van de toegangscontrole via logging: om de technische controle van de werking van deze maatregel, is logging nodig. Met behulp van logging kunnen alle handelingen die gebeuren op de data bijgehouden worden; en
Cryptografische beveiliging – beheer van encryptiesleutels: vaak wordt encryptie aangeboden door de cloud provider en kan men versleutelen van data in de cloud als dienst afnemen. Nadelig is het feit dat de encryptiesleutels dan in het bezit zijn van de cloud provider. Daardoor bestaat de kans dat de cloud provider gedwongen kan worden om de sleutels af te staan (bv. door de overheid), waarmee de vertrouwelijkheid van de data geschonden kan worden. Met name heerst de bezorgdheid dat buitenlandse overheden inzage zouden krijgen in de data. Door de encryptiesleutels in eigen beheer of in beheer van een vertrouwde partij te leggen, kan men dit risico mitigeren.
3.3.3.10.6. Integriteit van data in de cloud
De opmerkingen voor vertrouwelijkheid van data in de cloud gelden ook als het gaat over integriteit van data in de cloud.
3.3.3.10.7. Beschikbaarheid van data in de cloud
Beschikbaarheid is vaak een goede reden om data onder te brengen in een cloud-oplossing. In het algemeen bieden cloud providers een hoog beschermingsniveau tegen onbeschikbaarheid van data en dataverwerkende systemen wanneer zij in de cloud zijn ingericht. Dit behoort immers tot één van de kerntaken van de cloud provider.
Ook hier kan men stellen dat de maatregelen beschreven in voorgaande paragrafen om hoog beschikbare toepassingen mogelijk te maken, geldig blijven in de cloud-omgeving.
3.3.3.10.8. Betrouwbaarheid van data in de cloud
Een afnemer kan diverse maatregelen overwegen om de betrouwbaarheid in de cloud te verhogen:
Certificeringen: er bestaan heel wat internationaal erkende certificeringen, ISO27001 is een wijd gebruikte norm waartegen een cloud provider zich kan laten certificeren. Een belangrijk aandachtspunt is de scope van het certificaat. Een cloud provider kiest namelijk zelf welke dienst of onderdeel van een dienst hij wil laten certificeren. Daardoor bestaat het risico dat bepaalde diensten niet zijn gecontroleerd en niet voldoen, terwijl de aanwezigheid van een certificaat misschien wel die indruk wekt;
Auditeerbaarheid van de cloud provider: het (laten) uitvoeren van audits door de afnemer verhoogt de controleerbaarheid en dus ook de betrouwbaarheid van de cloud provider. Het recht op audits moet dan wel contractueel vastgelegd zijn;
Het opzetten van logging en periodiek analyseren van de loginformatie verhoogt eveneens de controleerbaarheid van de cloud provider;
Exit-procedure: door de data en hun ondersteunende infrastructuur bij een cloud provider te plaatsen, wordt de afnemer afhankelijk van het voortbestaan van de dienstverlening. Een degelijke exit-procedure is dan ook belangrijk én deze moet contractueel afdwingbaar zijn;
Onafhankelijkheid van de cloud provider: door de data en hun ondersteunende infrastructuur bij een cloud provider te plaatsen, wordt de afnemer afhankelijk van het voortbestaan van de provider zelf. Een faillissement van de cloud provider kan de afnemer voor grote problemen stellen. Hiertegen kan de afnemer zich wapenen door back-ups te bewaren bij een andere partij dan de cloud provider; en
Tenslotte kan de afnemer zich enigszins wapenen tegen inzage door buitenlandse autoriteiten door enerzijds niet te kiezen voor een cloud provider zonder vestiging in de EU en anderzijds door cryptografische beveiliging van de data in de cloud waarbij het sleutelbeheer niet in handen is van de cloud provider.