Is IT security nu beter of slechter in de cloud? Dat is een vraag die zo goed als garant staat voor een pittige scholenstrijd. En daar doe ik fijn aan mee.
Het basis sentiment is bekend: “Wij gaan onze data niet in de cloud zetten, nooit niet”.
Dat klinkt als een emotie, en daar helpt geen enkele redenering tegen. Maar voor wie openstaat voor een rationele risico afweging, is de vraag: waarom eigenlijk, wat is eigenlijk de redenering, en snijdt die hout?
Een van de belangrijkste zorgen is: ‘Ik weet niet waar mijn data staat’.
Waarom wil je eigenlijk weten waar je data staat? Dat lijkt uit te gaan van de veronderstelling dat locatie hetzelfde is als controle. Met andere woorden: als het in mijn rekencentrum staat, kunnen we bepalen wat er met de data gebeurt. En: als het niet in mijn rekencentrum staat, heb ik er geen controle over.
Maar tegenwoordig is dat niet meer helemaal waar. Stel je eens voor dat jouw data sterk versleuteld op een Amerikaanse of Russische server staat. Wie kan er dan bij, en wie anders dan jij bepaalt dat?
Gatenkaas
En omgekeerd, denk je nu werkelijk dat in een connected wereld de muren van je data center ook maar enige bescherming van betekenis opleveren? Goede data bescherming vergt meer dan een stapeltje stenen. Als je daaraan twijfelt, denk dan maar eens aan DigiNotar of aan Target supermarkten, wier on-premisses IT een complete gatenkaas bleek.
Kortom, in de moderne IT wereld heeft locatie weinig met controle te maken.
Belangrijker dan de fysieke muren zijn de logische muren.
NSA
Hoe gaan logische muren ons tegen bijvoorbeeld de NSA (national security agency) beschermen? Die hacked bedrijven vooral via verouderde software versies, slordigheden van beheerders, en gebrek aan belemmeringen als men eenmaal ‘binnen’ is.
Hoe is dat anders in de cloud? Een van de belangrijkste kenmerken van cloud computing is ‘self-service provisioning’: de afnemer bepaalt zelf wel wanneer zijn bestelling geleverd wordt. En een van de voordelen daarvan voor de afnemers is dat logische muren automatisch, sneller reproduceerbaar en grootschaliger kunnen worden uitgerold. Dan krijgt elke virtuele machine en container zijn eigen firewall. Dit heet hypersegregation en is een stuk effectiever te beheren dan een centrale firewall met duizenden regels er in.
Hoe dan wel?
Self-service provisioning maakt ook continuous deployment mogelijk. Dat maakt dat het nog maar een paar uur of minder kost om nieuwe features uit te rollen, in plaats van een paar maanden. Dat kan je ook inzetten voor security features en patches en daarmee neemt je kwetsbaarheid enorm af. Stel je voor dat je betrouwbaar binnen een paar uur al je applicaties en servers up to date kan hebben. Hoe reduceert dat je risico’s?
Dit zijn maar een paar voorbeelden van security in de cloud. Het kernbegrip daarbij is “Cloud Security Automation”. Want de kenmerken van cloud computing creëren niet alleen nieuwe risico’s, maar helpen ook om ze op te lossen.
Dit artikel verscheen eerder in Tijdschrift IT Management, een uitgave van ICT Media.
Aan de slag met betere cloud security? Kijk naar mijn online of classroom workshop.