Close

Security? Daar zorgt mijn cloud provider toch voor?

Als afnemer van cloud diensten ga je er vanuit dat jouw cloud provider security serieus neemt. Soms is veiligheid zelfs de reden om te kiezen voor cloud. Een cloud provider zou betere security moeten kunnen leveren dan jij dat zelf kan.

Maar deze redenering laat vaak gevaarlijke gaten vallen in de verdediging tegen snoodaards en ander gespuis. Ik ga hier niet uitleggen dat er van alles mis kan gaan, daarvoor hoef je alleen maar het nieuws te volgen.

Het is dus van belang om zelf wat meer te weten over cloud security en niet blind te vertrouwen op de cloud provider. De twee belangrijkste vaardigheden als het gaat om cloud security zijn:

  1. Kunnen beoordelen of een cloud provider zijn eigen zaakjes op orde heeft;

  2. Begrijpen wat de cloud provider wel doet, en wat die niet kan doen.

Het eerste punt is niet nieuw. Dat hadden we al met alle traditionele vormen van outsourcing. Dezelfde methoden van ‘assurance’ zijn hier deels van toepassing, al moeten die wat hervormd worden om schaalbaar te zijn. Je snapt bijvoorbeeld dat niet elke klant van elke provider regelmatig door het datacenter kan lopen.

Het tweede punt is karakteristieker voor cloud computing als leveringsmodel. Omdat het om online dienstverlening gaat, spelen er andere zaken. Het technische en zakelijke koppelvlak bevindt zich niet alleen tussen de gebruiker en de applicatie, maar mogelijk ook tussen computers onderling. Daarmee is niet vanzelf duidelijk wie welke verantwoordelijkheid heeft. Dat geldt zeker op het gebied van beveiliging.


ccsk

Meer weten over Cloud Security? Volg dan onze CCSK training en laat u certificeren door de belangrijkste industriegroep en maak cloud computing veiliger.


 

Een paar vragen om te stellen in de contract fase:

  • Wat staat er allemaal in de SLA (Service Level Agreement)?

  • Wordt daarin duidelijk wat de provider wel en niet doet?

  • Is er een audit rapport, en zo ja: wat is er eigenlijk ge-audit?

  • Heeft de provider disaster recovery en business continuity adequaat ingericht?

  • Kunt u dit uitproberen?

Om een voorbeeld te geven: een infrastructuur provider (IaaS) levert virtual machines, en is verantwoordelijk voor bijvoorbeeld elektriciteit en het netwerk van de server. Maar wie is verantwoordelijk voor de applicatiebeveiliging of voor het patchen van het operating system? Dat ligt genuanceerd en verschilt van dienst tot dienst. Ook afnemers van Software as a Service hebben nog wel wat beveiligingsverplichtingen, te beginnen met goed beheer van gebruikers en hun rechten.

Kortom, veilig cloud computeren vergt iets meer dan vertrouwen op de blauwe ogen van de provider.

Meer weten? De “CSA Security Guidance for Critical Areas of Focus in Cloud Computing” bevat een uitgebreide uiteenzetting van de cloud specifieke beveiligingsrisico’s. Het Certificate of Cloud Security Knowledge (CCSK) toont aan dat individuen die kennis bezitten. Je kan dat via zelfstudie halen, maar via mijn training gaat het waarschijnlijk een stuk efficiënter. Kijk op https://www.clubcloudcomputing.com/nl/ccsk-certificate-of-cloud-security-knowledge-training/ voor meer informatie.

Mocht je meer belangstelling hebben voor de organisatorische kant van cloud risk management, dan is mijn Cloud Governance, Risk Management en Compliance training het overwegen waard. Lees meer op https://www.clubcloudcomputing.com/nl/cloud-grc-training/

Geef een reactie