Die opmerkingen verrassen des te meer, aangezien security steevast als hét pijnpunt wordt aangestipt door cio's en ict-verantwoordelijken bij het opzetten van cloud projecten. En dat geldt zowel in de VS als in België. Toch springen bedrijven - zeker in de VS - met zijn allen op de trein, verlokt door de voordelen van cloud. Na initieel te mikken op lagere kosten (zowel qua investeringen als het operationele), belooft de cloud ook meer bedrijfszekere informatiediensten, evenals meer flexibiliteit om in te spelen op de reële bedrijfsnoden. En als de algemene bedrijfsleiding mordicus naar de cloud wil trekken, kunnen de informatie-beveiligingsspecialisten niet anders dan meegaan.
...

Die opmerkingen verrassen des te meer, aangezien security steevast als hét pijnpunt wordt aangestipt door cio's en ict-verantwoordelijken bij het opzetten van cloud projecten. En dat geldt zowel in de VS als in België. Toch springen bedrijven - zeker in de VS - met zijn allen op de trein, verlokt door de voordelen van cloud. Na initieel te mikken op lagere kosten (zowel qua investeringen als het operationele), belooft de cloud ook meer bedrijfszekere informatiediensten, evenals meer flexibiliteit om in te spelen op de reële bedrijfsnoden. En als de algemene bedrijfsleiding mordicus naar de cloud wil trekken, kunnen de informatie-beveiligingsspecialisten niet anders dan meegaan. Twee elementen lijken de pil al te verzachten. Gewoonlijk starten bedrijven eerst met een consolidatie en virtualisatie van de eigen ict-middelen tot een private cloud, en dat houdt natuurlijk de controle en de risico's in eigen handen. De software die nodig is voor het operationeel beheer van gevirtualiseerde omgevingen kan al helpen om meer inzicht in de reële werking van een omgeving te verwerven, wordt gesteld. Maar wie een beroep doet op 'software as a service' (SaaS) heeft wel met de cloud buitenshuis te maken en kan maar beter zijn of haar huiswerk maken. In het bijzonder ict-verantwoordelijken kunnen vandaag al onaangenaam verrast opkijken als ze nagaan hoeveel SaaS-toepassingen al in hun bedrijf worden aangewend, buiten hun weten! Vaak is het een kwestie van schrik voor het onbekende dat gebruikers weerhoudt van een instap in de cloud. Opmerkelijk op de recente RSA-conferentie was dan ook het betoog van Vivek Kundra, de chief information officer van de Amerikaanse overheid, die radicaal voor meer cloud kiest. De risico's worden daarbij opgevangen door security zeer gericht op de topdreigingen toe te spitsen, gekoppeld aan een 24/7 monitoring in reële tijd. 'Visibility plus control equals trust' luidt zowat het motto in de cloud. Of 'monitoring' plus onder meer 'sterke toegangscontrole/authenticatie' zorgt voor vertrouwen. De Cloud Security Alliance (CSA) heeft in de voorbije paar jaar heel wat werk verricht om 'best practices' te formuleren voor bedrijven die verschillende vormen van cloud-gebruik (Infrastructure/Platform/Software as a Service) overwegen. Dat veronderstelt niet alleen een datagericht securitymodel of het besef dat een klassieke 'perimeter firewall'-gesteunde verdediging niet meer volstaat. In het Guidance document (momenteel versie 2.16) biedt de CSA een overzicht van de verschillende aspecten van een cloud gebruik, zoals architectuur, governance en het operationeel beheer. De verschillende 'domeinen', zoals 'compliance & audit' of 'application security', bieden geen gebruiksklare recepten of scenario's, maar je leert er wel welke vragen en eisen te stellen aan cloudleveranciers. Tegelijk biedt CSA ook een aantal tools aan om het gebruik van clouddiensten met wat meer structuur aan te pakken, in casu de GRC Stack (Governance, Risk management, Compliance). Op de recente RSA conferentie in San Francisco werd aangekondigd dat de Guidance v3 in de tweede helft van dit jaar zal worden gepubliceerd. Nieuwe elementen hierin worden de 'control matrix' (onderdeel van de GRC stack, als hulp voor cloudgebruikers om securityrisico's in te schatten) en de 'cloud audit' api. De versie 3.0 zal tevens worden herschreven met het oog op een latere aanvaarding als een officiële standaard. In het komende jaar zal ook een werkgroep rond 'security as a service' (secAAS, security als een clouddienst) werken. Dit zou eventueel een oplossing kunnen bieden voor de sterk versnipperde en nog hogelijk manuele security-inspanningen binnen bedrijven. Vaak zitten beheerders en securityexperten van systemen, netwerken, databases et alia vast in hun eigen silo's, zonder onderlinge communicatie. Meer automatisering, meer communicatie en meer oog voor doorgroeimogelijkheden (scaling) in de steeds grotere omgevingen is een must, zeker als uiteindelijk alles een eigen ip-adres heeft. Ook aan de kant van softwareleveranciers is er heel wat activiteit, zoals de aankondiging van RSA inzake hun Cloud Trust Authority (CTA). Als bedrijven op steeds meer leveranciers van SaaS- en PaaS-diensten een beroep doen, wordt het moeilijker om toegangsbeheer en het verzamelen van de nodige controleinformatie in goede banen te leiden. Met een suite van diensten rond identiteit- en toegangsbeheer, infrastructuursecurity en compliance rapportering, brengt CTA de informatie uit de verschillende leveranciers voor een klant samen. Hierin zal ook plaats zijn voor producten van derden, stelt RSA, aangezien een enkel bedrijf niet alle noden kan dekken. Een eerste beta, in eerste instantie op identiteitsbeheer gericht, kan in de tweede helft van dit jaar worden verwacht. DE CSA GUIDANCE (2.16) PUBLICATIE www.cloudsecurityalliance.org/csaguide.pdf DE CSA GRC STACK, EEN REEKS HULPMIDDELEN VOOR BEDRIJVEN www.cloudsecurityalliance.org/grcstack.html Guy Kindermans