Als u gevoelige gegevens bewaart in een clouddienst zoals Google Apps, Dropbox of Amazon EC, hoe zeker mag u dan zijn dat alleen bevoegden de gegevens kunnen lezen? Helemaal niet zeker, als de clouddienst op Amerikaanse bodem staat. Want de Patriot Act geeft de Amerikaanse overheid ruime bevoegdheden om gegevens van derden te onderzoeken, zelfs zonder hun medeweten. Encryptie kan dan uitkomst bieden. Maar hoe pakt u dat het best aan?

Het kan zeker kostenbesparend werken allerlei diensten en applicaties niet zelf uit te baten, maar gebruik te maken van een internetdienst. Maar hoe zit het met de beveiliging van private of gevoelige (bedrijfs)data? De Amerikaanse ‘Patriot Act’ geeft de overheid ruime bevoegdheden om gegevens die op Amerikaanse servers worden bewaard, te onderzoeken, zelfs zonder medeweten van de eigenaren van de gegevens. President Obama verlengde nog in mei van dit jaar met vier jaar het onderdeel van de Patriot Act dat toelaat om online gegevens te doorzoeken (FISA). Ook andere landen waar clouddiensten kunnen gevestigd zijn zoals China nemen het niet altijd even nauw met de privacy en met bedrijfsgeheimen. Daarnaast kunnen ook hackers hun slag slaan en gegevens stelen.

Encryptie

De oplossing is gevoelige gegevens te versleutelen of encrypteren. Encryptie kunt u zelf toepassen op een clouddienst. De meeste cloudopslagsystemen voorzien immers dat ze aangesproken kunnen worden als een virtuele drive onder Windows of andere besturingssystemen. Niets houdt u tegen om software te installeren om alles wat u op zo’n virtuele drive opslaat, zelf te encrypteren. Met sleutels die u zelf aanmaakt, beheert en bewaart. Onbevoegden die toch toegang krijgen tot uw gegevens, zien alleen maar versleutelde data; de infrastructuurbeheerder zal hen dan geen sleutel kunnen verschaffen want die heeft hij niet in zijn bezit. Ook bij e-mailclouddiensten is het mogelijk ze te koppelen aan encryptie zodat alle mails versleuteld opgeslagen worden. Een IaaS (Infrastructure as a Service)-oplossing zoals Amazon EC werkt doorgaans met een cloudbroker waarmee u gebruik kan maken van die virtuele infrastructuur. Ook hier zou u een interface kunnen voorzien met een extern systeem voor authenticatie, autorisatie en encryptie om via die cloudbroker zelf de volledige controle over de opgeslagen data te hebben en te houden.

Geteste producten

In dit artikel bekijken we een viertal encryptieproducten die u in staat stellen een clouddienst te beveiligen. Ze zijn onderling niet echt vergelijkbaar, we geven gewoon vier voorbeelden van vier verschillende cloudtoepassingen en hoe die met grote zekerheid te beveiligen tegen onbevoegden. Een onbevoegde is iedereen die u zelf niet expliciet toestemming hebt gegeven om toegang te krijgen tot uw data. We beginnen met Trend Micro SecureCloud, een oplossing om IaaS-diensten te beveiligen en van encryptie en bijkomende authenticatie te voorzien. Vervolgens is Symantec aan de beurt, dat met het overgenomen MessageLabs niet alleen een cloudspamfilter in huis heeft, maar ook een cloudencryptiedienst voor e-mail. Dan behandelen we CloudLock, dat onder meer Google Docs van een versleutelde opslag voorziet. En ten slotte bekijken we TrueCrypt, openbronsoftware die gewone drives én cloudopslag kan versleutelen.

TREND MICRO SECURECLOUD

Trend Micro is geen Amerikaans bedrijf, zoals u wellicht zou denken, maar een Japans. En dus kunnen ze encryptie- en andere beveiligingsdiensten voorzien die niet vanuit de States uitgebaat of daar opgeslagen worden. Zelf noemt het bedrijf SecureCloud een gehoste sleutelbeheer- en dataversleutelingsoplossing.

Het idee van SecureCloud is vrij eenvoudig. Zelf communiceert u normaal met een cloudbroker om met een IaaS zoals Amazon EC2 of een andere te werken. De dienst van TrendMicro komt tussen uw systemen en die van de IaaS-uitbater te staan en communiceert dus met de cloudbroker in plaats van rechtstreeks met uw systemen. SecureCloud bepaalt dan welke servers toegang mogen hebben tot de clouddienst en zorgt er ook voor dat alle data naar de cloud toe versleuteld wordt. Dus als iemand dan inbreekt op de clouddienst, of dat nu “legaal” (Patriot Act) of clandestien (hacker) gebeurt, dan krijgt die iemand alleen maar sterk versleutelde data te zien. Ook de uitbater van de dienst kan de data niet lezen. Omdat Trend Micro geen Amerikaans bedrijf is, kan het ook niet door de Amerikaanse overheid bevolen worden toegang te verstrekken. SecureCloud heeft api’s (Application Programming Interfaces) voor het al eerder genoemde Amazon EC2, voor Eucalyptus en voor VMWare vCloud Director.

Sleutelbeheer

Als u dat wenst, kan Trend Micro het sleutelbeheer ook als een clouddienst voorzien. Hierbij geeft het bedrijf aan Europese klanten de keuze waar de dienst uitgebaat en data opgeslagen wordt: Duitsland of Engeland. Vermits Duitsland een betere en strengere privacywetgeving heeft dan Engeland, raden we aan voor Duitsland te kiezen als opslag- en uitbatingsbestemming. Wat eigenaardig genoeg niet vermeld staat op de SecureCloud-productinformatie, is dat het perfect mogelijk is een eigen sleutelbeheerserver (key management server of kortweg kms) te draaien. U bent dus niet verplicht die van Trend Micro te gebruiken. Met het sleutelbeheer in eigen handen kan echt niemand buiten uzelf aan die sleutels. Voor zover uw systemen niet het slachtoffer zijn van spyware-infecties, natuurlijk. Maar daar bestaat andere beveiligingssoftware voor.

Beheer

Het initialiseren en configureren van het SecureCloud systeem gebeurt door partners van Trend Micro. Het beheer bestaat daarna uit een webinterface voor de kms, waarmee u sleutels aanmaakt voor elke server die u toegang wil verlenen tot de cloud. Elke server die toegang zoekt tot clouddata, moet eerst een sleutel bekomen van de kms. Zonder die sleutel krijgt de server geen toestemming en zou hij hooguit versleutelde data kunnen opvragen als het om een hacker gaat, die erin slaagt in te breken in de cloudinfrastructuur van de IaaS-provider. De veiligheid blijft dus gewaarborgd. We raden u wel aan eerst uw IaaS-cloud draaiende te hebben en de cloudbroker succesvol te testen vooraleer SecureCloud te implementeren. Het zou niet de eerste keer zijn dat een bedrijf alles in één keer wil implementeren, dan een fout maakt bij de IaaS-configuratie en bijbehorende cloudbroker en het dan aan Trend Micro verwijt.

Productoordeel

Trend Micro SecureCloud is niet Amerikaans en kan u dus echte veiligheid bieden via AES-encryptie en een eigen sleutelbeheer dat ofwel in de publieke of in uw private cloud draait. Daardoor is het wat ons betreft onkraakbaar, tenzij iemand erin slaagt AES te kraken. Maar dan zitten ook alle banken en heel wat regeringen in nauwe schoentjes.

SYMANTEC POLICY BASED ENCRYPTION.CLOUD

Als u niet wil dat uw mail door derden gelezen wordt, dan moet die gewoon versleuteld worden. De oplossing van Symantec is policygebaseerde encryptie voor e-mail. Die kan overigens gekoppeld worden aan de andere e-mailbeveiligingsdiensten van Symantec (spam en antimalware). Bij Symantec kadert dit allemaal binnen MessageLabs, het e-mailbeveiligingsplatform dat Symantec niet zo heel lang geleden overnam.

E-mail versturen we elke dag, meestal onversleuteld. Het spreekt vanzelf dat dit vanuit beveiligingsoogpunt een slecht idee is. Op die manier is het immers onmogelijk om gevoelige informatie te versturen naar klanten of leveranciers, en als u het toch doet kan het uitlekken van zulke gevoelige of vertrouwelijke informatie nadelige (zelfs zware) gevolgen hebben voor je bedrijf. De consequenties kunnen variëren van gezichtsverlies over verlies aan vertrouwen tot juridische problemen, boetes en het annuleren van bestellingen. Het is dus een erg goed idee om uw gevoelige e-mailverkeer te versleutelen.

Er bestaan al langer spam- en virusfilters voor in- en uitgaand verkeer, ook in de cloud. Ook zijn er diensten die uitgaande mails voorzien van een digitale handtekening. Symantec biedt nu een clouddienst die het ontvangen en verzenden van uw e-mails voor zijn rekening zal nemen. Net als een cloudspamfilter dus. Alleen kunt u hiermee een beveiligingsreglement of policy opstellen met regels voor met name uitgaande post: wie moet standaard encryptie gebruiken, wat voor informatie mag wel en niet in uitgaande mails naar welke bestemmelingen of groepen daarvan, dat soort dingen. Dankzij cloudencryptie kunt u meteen van start gaan zonder eerst allerlei servers te moeten installeren en configureren.

Ook wordt u de lastige taak van het beheren van digitale certificaten en encryptiesleutels uit handen genomen, want dat doet Symantec voor u. Bij een Amerikaans bedrijf zoals Symantec hebben we daar iets meer moeite mee, want dat betekent per definitie dat Symantec door Amerikaanse overheidsinstanties gedwongen kan worden sleutels en certificaten vrij te geven voor toegang tot de data. Nu biedt Symantec klanten die dat wensen wel de mogelijkheid hun datastromen buiten de VS te houden via servers die zich in Europa bevinden en dan valt dat punt van kritiek natuurlijk weg.

Beheer

Zoals bij zowat alle cloudoplossingen beheert u alles via een webbeheerconsole. U moet ervoor zorgen dat uw eigen uitgaande mail in de dienst van Symantec terecht komt, en de mx-records van uw domeinconfiguratie aanpassen zodat ook inkomende mail naar Symantec gaat. Dan kunt u via het webbeheer uw eigen regels definiëren voor de afhandeling van mail. Als correspondenten zelf versleutelde mails kunnen ondersteunen, kan uitgaande post versleuteld bij hen afgeleverd worden. Indien dat niet zo is, biedt Symantec de mogelijkheid alleen een melding te sturen naar de correspondent dat versleutelde e-mails voor hem of haar klaar staan. Uw correspondent kan dan naar een beveiligde webportaal surfen om de mail(s) te lezen en ook op die manier veilig te beantwoorden. Het enige nadeel van die laatste aanpak is dat de correspondent dan geen kopie van de mail op zijn eigen mailsysteem heeft staan.

Productoordeel

Encryptie van e-mail is een goed idee voor iedereen wat ons betreft, en zeker voor bedrijven. De oplossing van Symantec kan gecombineerd worden met spamfilters en anti-malware (hun andere producten) en werkt bovendien met AES voor de encryptie. Als u niet wenst dat de sleutels en certificaten op Amerikaanse bodem worden bewaard, of dat uw gegevens via Amerikaanse servers versluisd worden, dan kunt u Symantec vragen om alleen van Europese servers gebruik te maken.

CLOUDLOCK

CloudLock is een Amerikaans bedrijf dat zich specifiek richt op het beveiligen van de cloudomgeving van Google. Google Apps is een cloudomgeving waarbinnen zowel documenten (ook via Google Docs en GMail) huizen als cloudapplicaties van derden via de Google Apps Marketplace. CloudLock is een van die Google Apps cloudapplicaties. In eerste instantie is het een beveiligingsapplicatie van het bewakende type. Het zorgt voor toegangsregeling, autorisaties plus bewaking: rapportage over wie wat gebruikt en waarschuwingen als iemand iets probeert wat niet mag. Maar het kan optioneel ook een stukje van uw Apps-opslagruimte versleutelen.

CloudLock draait als een cloudapplicatie binnen Google Apps. De meer bewakende beveiliging identificeert blootstelling van documenten aan anderen: of dat nu intern, extern of publiek is. U kunt permissies definiëren voor elk document en elke gebruiker en u kunt het eigendom van documenten overdragen naar andere accounts. Dat laatste is wel erg handig, vermits Google Apps zelf geen makkelijke manier biedt om documenten van één account naar een andere over te zetten met bijhorende eigendomsoverdracht. Als u zich nu zou afvragen waar encryptie thuishoort in dit verhaal, dan gaat dat over CloudLock Vault. Dat is een optie bij het standaard CloudLock-abonnement. De Vault (kluis) is een opslagruimte binnen Google Docs die versleuteld kan worden. Google Docs kan immers als een centrale opslagruimte dienen voor documenten en bestanden en veel bedrijven werken er ook al zo mee. Helaas slaat Google Docs niets versleuteld op en erger nog: niets wordt ooit gewist. Ook al wist u een bestand zelf, dan staat het nog altijd in de archieven van Google. Zelf kunt u er dan niet meer aan, maar Google wel nog. De privacyregels van Google zijn op zijn zachtst gezegd nogal aan de eigenaardige kant. Als particulier hebt u geen enkel recht: alle documenten die u op de servers van Google bewaart zijn automatisch het eigendom van Google om mee te doen wat het maar wil. Als bedrijf hebt u iets meer rechten en wil Google erkennen dat opgeslagen documenten het eigendom van dat bedrijf zijn. Google behoudt zich echter het recht voor “back-ups” van alle data te maken en zegt geen derden inzage te verschaffen in uw documenten, tenzij ze daartoe gedwongen worden door de overheid of het gerecht. Het komt er op neer, dat Google nog steeds uw data kan bekijken en gebruiken of misbruiken zonder dat u daar veel aan kunt doen.

Door een Vault of kluis binnen Google Docs aan te maken, kan CloudLock de data daarin met AES versleutelen. Dat is zeker veiliger. Maar de versleutelingsengine en sleutelgeneratoren draaien wel binnen Google Apps. Dat is natuurlijk een Amerikaanse provider op Amerikaanse bodem. Hoe zeker zijn we dat er op die manier geen achterpoortjes in CloudLock mogelijk zijn die Google en de Amerikaanse overheid alsnog toegang kunnen verschaffen tot uw data?

Productoordeel

Een niet geheel volmaakte beveiliging is nog altijd beter dan helemaal geen beveiliging. De bewakings- en rapportagetaken van CloudLock voor Google Apps zijn zeker de moeite waard. Maar voordat u al uw vertrouwen stelt in de encryptie van CloudLock Vault, mogen we toch wel een paar pertinente vragen stellen over eventuele achterpoortjes die zowel Google zelf als de Amerikaanse ‘Patriot Act’ kunnen mogelijk maken of vereisen in deze Amerikaanse dienst.

TRUECRYPT

Het idee achter TrueCrypt is om eenvoudigweg een versleuteld schijfstation te maken. Maar het programma kan dat ook min of meer virtueel, door gebruik te maken van een container. Dat is een versleutelde ruimte die op een onversleuteld volume als een bestand opgeslagen staat. Voor de duidelijkheid: TrueCrypt kan ook hele harde-schijfpartities versleutelen. Wij interesseren ons in dit artikel voor de cloudtoepassing en daarom beperken we ons hier tot het gebruik van versleutelde containers.

TrueCrypt is een zogenaamd instream-encryptiesysteem. Dat wil zeggen dat het versleuteld volume in realtime beschreven en teruggelezen wordt, dus met encryptie tijdens het schrijven en decryptie tijdens het lezen. Toegang tot het versleutelde volume vereist het ingeven van een correcte sleutel. Omdat een TrueCrypt-volume of container in het besturingssysteem gehangen wordt alsof het een schijfstation is, werken alle normale schijfacties: kopiëren van en naar, klik-en-sleep van bestanden, noem maar op. Overigens moet TrueCrypt niet hele bestanden in één keer versleutelen of decrypteren. Elk besturingssysteem werkt immers met blokken die gelezen en geschreven worden en vele blokken vormen samen een bestand. TrueCrypt hoeft dus alleen maar zo’n blok in het geheugen te houden voor encryptie of decryptie.

Tijdens het lezen van een bestand uit een versleuteld volume wordt dus hooguit één blok onversleuteld in het geheugen gehouden en dan nog alleen maar voor de benodigde duur. Op geen enkel moment wordt het onversleutelde bestand in zijn geheel ergens opgeslagen of bewaard, tenzij u het kopieert naar een onversleuteld volume. Dus ook tijdens lezen vanaf een geëncrypteerd volume zou een stuk spyware dat gelijktijdig toegang verwerft tot dat TrueCrypt-volume alleen maar versleutelde data aantreffen.

Gebruik

Om TrueCrypt te gebruiken in combinatie met een cloudopslagsysteem zoals Dropbox gebruiken we dus de containers. Maak containers aan die niet te groot zijn, bijvoorbeeld 256 MB of zo. Bij het bijwerken van data in zo’n container zou immers de hele container altijd van en naar de cloudopslag gekopieerd moeten worden. Door de container klein te houden beperkt u dat. Overigens is dit niet het geval bij DropBox, dat immers alleen maar de gewijzigde delen van een bestand (en dus ook container) synchroniseert met de cloudversie. Er is daarbij wel sprake van enige overhead: als u een bestand van bijvoorbeeld 15 MB kopieert in een geëncrypteerde container van 500 MB dan zal Dropbox ongeveer 20 MB data uploaden. Nog een tip: zet in Truecrypt de optie ‘Preserve modification timestamp of file containers’ uit, zodat Dropbox automatisch ziet dat de container gewijzigd is.

Standaard gebruikt TrueCrypt AES-encryptie, dus dat is erg veilig. En ook de daarvoor vereiste sleutel wordt terplekke gegenereerd, onder meer op basis van willekeurige muisbewegingen. Nadat de container aangemaakt is, kunt u die formatteren in het favoriete formaat van uw besturingssysteem: ntfs voor Windows en ext2 of ext3 voor Linux, of hfs+ voor de Mac. Vervolgens koppelt u die dan als een drive aan uw besturingssysteem. In Windows betekent dat dat er een driveletter aan toegewezen wordt. Daarna kunt u ermee werken alsof het een echte verwisselbare drive is.

Productoordeel

De AES-encryptie en de behoorlijk lange sleutels die TrueCrypt gebruikt, zorgen ervoor dat de versleutelde data ook echt veilig versleuteld is. Niemand kan eraan zonder de juiste keys. Door TrueCrypt te gebruiken met behulp van versleutelde containers op cloudopslagruimtes, kunt u ook op dergelijke cloudopslagdiensten je data absoluut veilig bewaren. Het draait op de drie belangrijkste platformen en het is bovendien nog gratis ook.

CONCLUSIE

Sinds de beruchte ‘Patriot Act’ en zijn extensies de Amerikaanse overheid vrijwel overal toegang toe geeft inzake data-opslag als dat op haar grondgebied is of door Amerikaanse bedrijven voorzien wordt, kunnen wij als Europeanen nauwelijks nog vertrouwen hebben in Amerikaanse cloudoplossingen. Tenzij we onze data kunnen versleutelen buiten die Amerikaanse bedrijven om. Met Trend Micro SecureCloud kan dat voor IaaS zoals Amazon EC2, met CloudLock schermt u Google Apps af, maar is de encryptie mogelijk niet bestand tegen inbreuken van Google zelf of van de Amerikaanse overheid. Cloudopslagsystemen kunt u beveiligen met het gratis multiplatform AES-encryptieproduct TrueCrypt. E-mailencryptie zou eigenlijk standaard moeten zijn. Symantec biedt daar een bedrijfsoplossing voor, maar omdat de encryptiemotor en sleutels aan de Amerikaanse wetten onderworpen zijn, rijst de vraag of die versleuteling geen achterpoortjes biedt. Spreek dus met Symantec contractueel af dat uw data niet over Amerikaanse systemen gaat, maar uitsluitend op Europese bodem blijft. Bottom line: vertrouw niet op de goodwill van cloudproviders of hun overheid wat de beveiliging van uw data betreft. Wat u zelf doet, doet u beter. Zorg dus zelf voor encryptie! En liefst een die niet aan de Amerikaanse wetgeving onderworpen is.

Johan Zwiekhorst / Jozef Schildermans

Bottom line: vertrouw niet op de goodwill van cloudproviders of hun overheid wat de beveiliging van uw data betreft.