Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Cloudbeveiliging
- Fabrice Meunier
- Vincent Alwicher
- Sven Claessens
- Bart
Cloudbeveiliging richt zich op het beveiligen van infrastructuur en systemen voor cloud computing. Dit beleidsdomein omvat richtlijnen en beste praktijken die cloud computing-omgevingen en de gegevens die worden verwerkt in de cloud, dienen te beschermen. In principe gelden veelal dezelfde regels zoals deze zijn gedefinieerd in de verschillende beleidsdomeinen. Deze zullen in dit beleidsdomein niet worden herhaald. De inhoud op deze pagina richt zich uitsluitend op aanvullende specifieke eisen voor cloud computing, bovenop de bestaande eisen. Daarnaast is er een aanvullende leidraad voor cloud computing met aandachtspunten voor zowel cloudaanbieders als cloudafnemers. Dit is geen technische security standaard voor cloud oplossingen. Refereer naar de vendors (Amazon, Microsoft, etc) voor technische security baselines.
Inhoud
Â
Â
Â
Doel
Â
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie: Filter by labelThere are no items with the selected labels at this time. |
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen: |
Â
Beleid
Â
Rollen en verantwoordelijkheden
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de rollen en verantwoordelijkheden van alle betrokkenen (incl. aanbieder, afnemer en eventueel onderaannemers) in kaart brengen en contractueel vastleggen voor iedere clouddienst. Het gebruik van clouddiensten MAG gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt.
Afhankelijk van de gekozen cloud variant worden verantwoordelijkheden doorgaans op de volgende manieren verdeeld:
Infrastructure as a Service (IaaS):
Verantwoordelijkheid van de aanbieder: Beveiliging van de cloudinfrastructuur, zoals fysieke beveiliging van datacenters, netwerkbeveiliging en virtualisatiebeveiliging.
Verantwoordelijkheid van de afnemer: Beveiliging van besturingssystemen, applicaties, gegevens, toegangscontrole, firewall-configuratie, encryptie en beveiligingspatches.
Platform as a Service (PaaS):
Verantwoordelijkheid van de aanbieder: Beveiliging van de platforminfrastructuur, inclusief beveiliging van het besturingssysteem, databases, middleware en ontwikkeltools.
Verantwoordelijkheid van de afnemer: Beveiliging van de ontwikkelde applicaties, configuratie van toegangscontroles, encryptie van gegevens (DIM, DAR) en bescherming tegen aanvallen zoals bijvoorbeeld SQL-injecties en cross-site scripting (XSS).
Software as a Service (SaaS):
Verantwoordelijkheid van de aanbieder: Volledige verantwoordelijkheid voor de beveiliging van de applicatie-infrastructuur, inclusief gegevensbeveiliging, toegangscontrole, authenticatie, autorisatie, encryptie en naleving van regelgeving.
Verantwoordelijkheid van de afnemer: Beheer van gebruikerstoegang en -rechten binnen de applicatie, configuratie van beveiligingsinstellingen zoals wachtwoordbeleid en multifactorauthenticatie (MFA), en naleving van regelgeving met betrekking tot gegevens die worden verwerkt in de SaaS-applicatie.
Risicobeheer
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET relevante risicobeoordelingen uitvoeren om de informatieveiligheidsrisico's in verband met het gebruik van clouddiensten te identificeren en de organisatie MOET een risicobehandelplan opstellen conform het risicobeheerbeleid. Het eigenaarschap van gegevensverwerking bij clouddiensten ligt bij de organisatie (de afnemer, de klant) en daarmee ook alle bijkomende risico’s.
Implementatiemaatregel
Het risicobeheer van de organisatie (de afnemer, de klant) MOET de specifieke risico’s met betrekking tot het beheer van persoonsgegevens (ivm GDPR/AVG wetgeving) binnen clouddiensten specifiek beoordelen.Â
Beveiligingseisen
Bij grote contracten is het soms moeilijk om ‘vendor lock-in’ te voorkomen omdat de contracten in kwestie een groot deel van de infrastructuur overspannen en er daarom enorme kosten en inspanningen nodig zijn om te wisselen tussen aanbieders. In dat soort gevallen is het belangrijk om een strategie om weg te migreren te onderhouden en de aanbieder voldoende te auditeren om eventuele risico’s op tijd te signaleren. Wanneer het mogelijk is dienen ook terugval mogelijkheden onderhouden worden; in ieder geval voor de meer kritische diensten van de organisatie.
Leveranciersovereenkomsten
Zie het beleidsdomein Leveranciersrelaties voor meer details over het afsluiten van een afsprakenkader met leveranciers.
Â
Appendix
Â
Relatie van het beleid met andere richtlijnen en standaarden
Â
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
ISO 27017:2021
ISO 27017 is de code of practice voor beheersmaatregelen voor clouddiensten en bevat aanvullende maatregelen bovenop de bestaande ISO 27001 Annex A. Deze aanvullingen op ISO 27001 zijn verwerkt in de Leidraad Cloudbeveiliging.
Informatieclassificatieraamwerk van de Vlaamse overheid (L2)
Het ICR heeft een aanvullende toelichting op het gebruik van virtuele netwerken en cloud computing. Zie voor meer informatie het ICR portaal.
Vlaamse Toezichtcommissie (VTC)
Het VTC heeft enkele adviezen en richtlijnen gepubliceerd over het verwerken van persoonsgegevens in eigen datacenters of die van al dan niet Europese verwerkers. Deze richtlijnen betreffen de (on)mogelijkheden en voorwaarden voor het gebruik van de publieke cloud. Zie voor meer informatie de Cloud pagina op het VTC portaal.
Â
Document status
Â
Titel | Auteur | Datum | Versie | Status | Opmerkingen |
|---|---|---|---|---|---|
Eerste versie van cloud policy | Bart Breunesse | april 2024 | 0.1 | Â | Â |
Kleine verbeteringen en herstructurering van de implementatiemaatregelen. Verwijzingen naar de richtlijnen van het VTC en de aanvullende leidraad gebaseerd op ISO 27017. | Vincent Alwicher | augustus 2024 | 0.2 | Â | Â |
Â
Dit is een document voor publiek gebruik.