Stay out of my cloud!

Max Webber en Peter den Ouden - De cloud is iets virtueels, iets vaags en lastig tastbaar. Dat is best gek, want de meeste van ons hebben wel een duidelijk beeld bij de cloud. Als het gaat om toegang tot de cloud wordt het beeld vaak onduidelijker.

In deze blog wordt kort uiteen gezet waar u onder andere aan moet denken voorzien van enkele tips en tricks om uw cloud-onderdelen te beveiligen.

Toegang tot mijn cloud?

Bij de toegang tot uw cloud gebruikt u verschillende componenten:

  1. Uw access devices; pc, notepad of tablet
  2. Internet connectivity; het logische elektronische communicatiepad
  3. Toegang tot uw cloud-omgeving; website
  4. Uw services in the cloud; mail, agenda, Hyperion, Salesforce, SAP, Sharepoint en eventueel ook uw zelfontwikkelde applicaties
  5. Dataopslag en -beheer; beheer van file servers

cloud security

Wat wil ik bewaken?

Uw businessgegevens vormen uw belangrijkste bedrijfskapitaal – uw goud. Met het bewaken van uw cloud-toegang, beschermt u dus het kapitaal van uw organisatie. Uiteraard is uw bedrijfscontinuïteit, en dus de beschikbaarheid van data en applicaties, daarbij een belangrijk aspect. Misschien is dit wel dé reden dat u overstapt naar een cloud-oplossing? Kortom, zorg dat uw cloud-toegang goed beveiligd is. Zo waarborgt u de juistheid en vertrouwelijkheid van uw bedrijfsinformatie.

Hoe kan ik mijn cloud-toegang bewaken?

  • (Mobile) Access Device / Lokale IT-omgeving

U doet er goed aan uw randapparatuur te beschermen tegen onveilig gebruik. Om bijvoorbeeld Trojan-infecties of man-in-the-middle attacks te voorkomen.

  • Internetcommunicatie

Communicatie tussen randapparatuur en de cloud (website) moet passend beschermd worden. Alleen zo kunt u de beschikbaarheid, juistheid van informatie en vertrouwelijkheid van data waarborgen.

Voor vertrouwde afgeschermde communicatie, via bijvoorbeeld HTTPS, is het essentieel om goede certificaten te gebruiken. Hiermee creëert u een veilige communicatietunnel tussen de cloud en de devices: een verbinding die uw data voldoende beschermt.

  • Toegang tot uw cloud-omgeving/website

UserID en password/passphrase zijn momenteel veelgebruikte methoden om de toegang tot websites te beveiligen. U kunt deze beveiliging uitbreiden met allerhande features om de toegang in de praktijk werkbaar en (relatief) veilig te krijgen. Enkele van deze functies zijn:

gebruik van captcha in combinatie inlogcodes
time-out-functie bij verkeerd aanloggen
password reset-functie waarna via e-mail een tijdelijke reset ticket wordt toegezonden

Daarnaast gebruiken organisaties steeds vaker een meer veilige toegangsfunctie. Alleen gebruiksnaam en wachtwoord is tegenwoordig niet meer voldoende. Een voorbeeld manier is een combinatie van:

  • a) Iets wat je weet – gebruikersnaam en wachtwoord
  • b) Iets wat je hebt  - een token, certificaat, sms
  • c) Iets wat je bent – Irisscan, fingerprint, dna

We noemen dit Two factor authenticatie. Een softoken, die via een app op de (secure) device gegenereerd wordt in combinatie met gebruiksnaam en wachtwoord is een veelgebruikt sterk authenticatie middel.

  • Toegang tot uw services in de cloud

U kunt binnen uw cloud-omgeving specifieke medewerkers toegang geven tot applicaties, dit noemen wij role based-toegang (Role Based Access Control ‒ RBAC). De medewerkers kunnen dan alleen die applicaties gebruiken die ze nodig hebben om hun werk te doen.

Tot zover heeft u zelf grip op de beveiliging van uw bedrijfskapitaal. De beveiliging is daarbij vooral gericht op uw eigen medewerkers en potentiële indringers van uw IT-omgeving. Maar welke controle heeft u over de kern van uw cloud: de plek waar het daadwerkelijke goud is opgeslagen?

  • Dataopslag en –beheer

De integriteit van uw data is uw bestaansrecht. Soms moet u deze integriteit kunnen aantonen. Heeft u een shared cloud-omgeving? Dan moet u passende maatregelen nemen om uw data te beschermen. Dit kan variëren van een non-disclosure agreement, access logging en monitoring tot het volledig encrypten van alle data. Dit alles kunt u uitbreiden met Security Information and Event Management (SIEM).

Voor de continuïteit van uw services is het noodzakelijk om afspraken te maken over data back-up en disaster recovery. Een goede (a)synchrone back-up of replicatiemethodiek mag in uw enterprise-architectuur dan ook niet ontbreken. Want hiermee garandeert u een naadloze, continue service.

Verder wilt u inzicht hebben in welke security-maatregelen uw provider neemt. En sluiten deze wel aan bij uw eigen security-beleid? Denk daarbij aan vulnerability en patch management, maar ook aan access control en de screening van personeel.

Alle bovengenoemde aspecten vallen onder de passende maatregelen en afspraken die u kunt maken met uw provider. Kaart deze aspecten gerust aan bij uw provider. U wilt immers zekerheid hebben dat de provider (goldkeeper) alles heeft gedaan om uw goud te beschermen. Dat kunt u ook controleren door een security plan en rapportages op te vragen.

Uw cloud

Er zijn voldoende positieve business cases om naar de cloud over te stappen. Maar blijf daarbij wel kritisch. Want om ‘in control’ te zijn, is het belangrijk om de toegang tot het goud van uw onderneming ‒ uw bedrijfsinformatie ‒ op verschillende plaatsen en manieren te beschermen.

Sogeti ondersteunt u bij het overstappen naar uw cloud. Daarvoor hebben we ervaren security-specialisten in huis. Mensen die u op het gebied van IT Governance Risk en Compliance (IT-GRC), Identity & Access Management (IAM) en SIEM kunnen adviseren. Bovendien kunnen ze ook op deze gebieden uw cloud applicaties en websites onderwerpen aan security-testen.

De toegang tot uw cloud beveiligen?

E-mail dan naar Rogier van Agt of bel hem via: T: +31 886 606 600.