• FINAAL CONCEPT
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Cloudbeveiliging

    Cloudbeveiliging richt zich op het beveiligen van infrastructuur en systemen voor cloud computing. Dit beleidsdomein omvat richtlijnen en beste praktijken die cloud computing-omgevingen en de gegevens die worden verwerkt in de cloud, dienen te beschermen. In principe gelden veelal dezelfde regels zoals deze zijn gedefinieerd in de verschillende beleidsdomeinen. Deze zullen in dit beleidsdomein niet worden herhaald. De inhoud op deze pagina richt zich uitsluitend op aanvullende specifieke eisen voor cloud computing, bovenop de bestaande eisen. Daarnaast is er een aanvullende leidraad voor cloud computing met aandachtspunten voor zowel cloudaanbieders als cloudafnemers. Dit is geen technische security standaard voor cloud oplossingen. Refereer naar de vendors (Amazon, Microsoft, etc) voor technische security baselines.

    Inhoud

     

     

    Doel

     

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    Filter by label

    There are no items with the selected labels at this time.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

     

    Beleid

     

    Rollen en verantwoordelijkheden

    Afhankelijk van de gekozen cloud variant worden verantwoordelijkheden doorgaans op de volgende manieren verdeeld:

    1. Infrastructure as a Service (IaaS):

      • Verantwoordelijkheid van de aanbieder: Beveiliging van de cloudinfrastructuur, zoals fysieke beveiliging van datacenters, netwerkbeveiliging en virtualisatiebeveiliging.

      • Verantwoordelijkheid van de afnemer: Beveiliging van besturingssystemen, applicaties, gegevens, toegangscontrole, firewall-configuratie, encryptie en beveiligingspatches.

    2. Platform as a Service (PaaS):

      • Verantwoordelijkheid van de aanbieder: Beveiliging van de platforminfrastructuur, inclusief beveiliging van het besturingssysteem, databases, middleware en ontwikkeltools.

      • Verantwoordelijkheid van de afnemer: Beveiliging van de ontwikkelde applicaties, configuratie van toegangscontroles, encryptie van gegevens (DIM, DAR) en bescherming tegen aanvallen zoals bijvoorbeeld SQL-injecties en cross-site scripting (XSS).

    3. Software as a Service (SaaS):

      • Verantwoordelijkheid van de aanbieder: Volledige verantwoordelijkheid voor de beveiliging van de applicatie-infrastructuur, inclusief gegevensbeveiliging, toegangscontrole, authenticatie, autorisatie, encryptie en naleving van regelgeving.

      • Verantwoordelijkheid van de afnemer: Beheer van gebruikerstoegang en -rechten binnen de applicatie, configuratie van beveiligingsinstellingen zoals wachtwoordbeleid en multifactorauthenticatie (MFA), en naleving van regelgeving met betrekking tot gegevens die worden verwerkt in de SaaS-applicatie.

    Risicobeheer

    Beveiligingseisen

    Bij grote contracten is het soms moeilijk om ‘vendor lock-in’ te voorkomen omdat de contracten in kwestie een groot deel van de infrastructuur overspannen en er daarom enorme kosten en inspanningen nodig zijn om te wisselen tussen aanbieders. In dat soort gevallen is het belangrijk om een strategie om weg te migreren te onderhouden en de aanbieder voldoende te auditeren om eventuele risico’s op tijd te signaleren. Wanneer het mogelijk is dienen ook terugval mogelijkheden onderhouden te worden; in ieder geval voor de meer kritische diensten van de organisatie.

    Leveranciersovereenkomsten

    Zie het beleidsdomein Leveranciersrelaties voor meer details over het afsluiten van een afsprakenkader met leveranciers.

     

    Appendix

     

    Relatie van het beleid met andere richtlijnen en standaarden

     

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

    ISO 27017:2021

    ISO 27017 is de code of practice voor beheersmaatregelen voor clouddiensten en bevat aanvullende maatregelen bovenop de bestaande ISO 27001 Annex A. Deze aanvullingen op ISO 27001 zijn verwerkt in de Leidraad Cloudbeveiliging.

    Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

    Het ICR heeft een aanvullende toelichting op het gebruik van virtuele netwerken en cloud computing. Zie voor meer informatie het ICR portaal.

    Vlaamse Toezichtcommissie (VTC)

    Het VTC heeft enkele adviezen en richtlijnen gepubliceerd over het verwerken van persoonsgegevens in eigen datacenters of die van al dan niet Europese verwerkers. Deze richtlijnen betreffen de (on)mogelijkheden en voorwaarden voor het gebruik van de publieke cloud. Zie voor meer informatie de Cloud pagina op het VTC portaal.

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Eerste versie van cloud policy

    Bart Breunesse

    april 2024

    0.1

     

     

    Kleine verbeteringen en herstructurering van de implementatiemaatregelen. Verwijzingen naar de richtlijnen van het VTC en de aanvullende leidraad gebaseerd op ISO 27017.

    Vincent Alwicher

    augustus 2024

    0.2

     

     

     

    Dit is een document voor publiek gebruik.