Beveiliging van bedrijfsdata is altijd al een uitdaging geweest, en sinds GDPR is het een uitdaging waar een stevig prijskaartje aan kan vasthangen als het mis gaat. Laat het je echter niet tegenhouden om toch naar de cloud te gaan, zegt Stephan Hadinger, Head of Architecture bij Amazon Web Services. "We voegen constant nieuwe securityfuncties toe", vertelt hij. "We zijn gecertificeerd, voor ISO 27001 bijvoorbeeld, maar we zijn ook in lijn met GDPR en een hele reeks legale en regulatorische voorschriften."

Hij geeft het voorbeeld van PCI DSS, een certificatie die een bedrijf nodig heeft om kredietkaartnummer op te slaan. "Dat is een erg moeilijke certificatie om te verkrijgen, maar bij onze diensten staat die er standaard in. Als je data opslaat, gebeurt dat bij ons automatisch op een manier die beantwoordt aan PCI DSS certificatie. Als ik een bucket maak voor mijn persoonlijke foto's is die PCI DSS gecertifieerd, omdat wij niet weten wat er in zit."

Elk zijn verantwoordelijkheid

Het is een tweespalt waar Hadinger geregeld op hamert en die we bij concurrenten als Google of Azure niet meteen zien: AWS raakt niet aan de cloud van klanten, maar dat betekent ook dat die daar zelf verantwoordelijk voor zijn. "Wij beveiligen de cloud", zegt Hadinger. "Wij zijn verantwoordelijk voor de gebouwen, de servers. Wij zorgen dat er redundantie is enzovoort. De klanten zijn verantwoordelijk voor wat er in hun cloud gebeurt. Zij zijn admin van hun eigen machines, ze kunnen het besturingssysteem op de servers kiezen. Wat er in die cloud gebeurt is hun verantwoordelijkheid, want wij hebben geen toegang tot klantendata. Soms zien klanten de cloud als een vorm van outsourcing, maar dat is verkeerd. Ze doen wat ze willen en hebben daar volledige controle over. Onze mensen kunnen niet aan de data die op de servers staan."

Wij beveiligen de cloud, de klanten zijn verantwoordelijk voor wat er in hun cloud gebeurt.

Klanten kiezen daarbij ook waar hun data wordt opgeslagen. "We hebben verschillende regio's", zegt Hadinger, "dat zijn clusters van datacenters die redundant zijn in een bepaald land, maar als je een regio kiest waarin de gegevens moeten staan, bijvoorbeeld om aan GDPR-regels te voldoen, dan verhuizen wij die niet."

Daarnaast biedt AWS ook een reeks diensten en functies aan waarmee klanten hun eigen cloud kunnen beveiligen. Aan de basis van dat alles ligt automatisering, en verregaande versleuteling van gegevens. "Onze filosofie is 'encrypt everything': als het om niet-publieke data gaat, versleutel ze dan gewoon. Dat heeft bijna geen impact op de kost en op de prestaties. Voor bestaande datacenters on-premise is encryptie een gigantisch project. Bij ons is dat een non-event."

Onze filosofie is 'encrypt everything': als het om niet-publieke data gaat, versleutel ze dan gewoon.

Wat met menselijke fouten en ander ongein? AWS gebruikt allerlei automatiseringsfuncties die ervoor moeten zorgen dat alles netjes volgens de regels verloopt. "De nieuwe admins zijn lijnen code", zegt Hadinger.

Een van de boeiender automatiseringsdiensten in die zin is Config. Het gaat daarbij om een monitoringdienst die permanent de configuratie van de cloudsoftware nakijkt. "Zo automatiseer je bijvoorbeeld compliance", zegt Hadinger. "Als een nieuwe resource wordt opgeladen naar de database, dan kan je bijvoorbeeld in Config instellen dat die versleuteld moet zijn. Je kan ook klanten zelf laten kiezen of een resource moet versleuteld worden. In strengere omgevingen zal ze misschien zelf meteen verwijderd worden. Dat is krachtig, omdat het geen audit is die je een keer per week doet. Het draait constant, en het is een kwestie van seconden om een probleem op te lossen. Bij iedere afwijking, krijg je automatisch een alarm."

De regels voor die Config zijn, wederom volgens de 'ieder kiest zelf'-filosofie, grotendeels door de bedrijven zelf te schrijven. "Op Github hebben we een vijftigtal voorbeelden staan van hoe je zo'n regels kunt aanpakken", zegt Hadinger. "We wilden dat zo doen, in plaats van bijvoorbeeld een drag-and-drop of keuzemenu, zodat je zelf je eigen code kunt toevoegen." Bedrijven kunnen daar al dan niet de hulp van de solutions architecten van AWS bij vragen.

Publiek of niet

Voor AWS, zo leren we, zijn lekken meestal het gevolg van een menselijke fout bij de bedrijven zelf. Dat wordt nog maar eens duidelijk wanneer we Hadinger vragen naar het incident bij Spyfone. In augustus werden foto's en andere gevoelige gegevens gelekt toen de S3 bucket van het spywarebedrijf online bleek te staan. Als er zoveel beveiligingsmogelijkheden zijn, hoe kan dat dan?

"Tijd voor de demo!" zegt Hadinger, en hij maakt een nieuwe S3 bucket aan op het scherm. "Standaard zijn onze buckets privaat", geeft hij aan. "Misschien wil de klant iets publiek maken, maar we zorgen dat dat standaard niet zo is." Wie toch een map open wilt zetten, komt enkele hindernissen tegen van het type 'bent u zeker?', en krijgt ook op meerdere plaatsen fel oranje labeltjes te zien met 'public' erop.

Achterliggende boodschap: dit is een fout die vrij makkelijk vermeden had kunnen worden door het bedrijf zelf. "Er zijn verschillende manieren om iets publiek te zetten", legt Hadinger uit. "Je kan dat via de policy van de bucket, of door specifieke code toe te voegen." De geautomatiseerde checks zullen daarbij de code nakijken om af te leiden of de nieuwe policy nu betekent dat de bucket openbaar staat of niet. "We zien iets als publiek als gebruikers het kunnen aanspreken zonder in te loggen, en zonder dat je bestandsnamen moet raden. Wat je wel kan doen is één specifiek bestand publiek maken. Dan gaan we de hele bucket niet labelen als publiek, maar je moet wel enkele extra stappen ondernemen om dat mogelijk te maken."

Alles versleutelen heeft wel degelijk een kost, maar al je die op toegewijde hardware uitvoert, is de kost in snelheid verwaarloosbaar.

Daarnaast biedt AWS (tegen betaling) nog enkele functies aan zoals Macie. Die software scant bestanden automatisch op gevoelige data. "Als er in een bestand bijvoorbeeld veel strings zitten die op namen lijken, gaat die alarm geven. Zo krijgen de beveiligingsmensen een melding als iemand iets uploadt naar een bucket die op correcte wijze publiek is gezet, maar waar die bestanden misschien niet thuishoren."

Tot slot is er nog de vraag van 'laterale' beveiliging. Op OracleWorld klopte CTO Larry Ellison zich nog op de borst dat zijn bedrijf het enige was dat cloud aanbiedt waarbij data van de klanten volledig geïsoleerd is. "Dat is het fundamentele probleem van de cloud", aldus Ellison.

Niet waar, zo zegt Hadinger. "De isolatie van virtuele machines is de kern van onze dienst", zucht hij. "We doen dat al twaalf jaar. Vorig jaar hebben we nog onze nieuwe hypervisor uitgerold. Daarin hebben we onder meer de emulatie van 'devices', iets wat normaliter in de software gebeurt, naar de CPU hebben verhuisd. Dat biedt het voordeel van een aparte laag, en voor extra beveiliging zetten we speciale chips in van Annapurna (een Israëlisch bedrijfje dat Amazon in 2015 overkocht, nvdr.). Zo krijg je minder van de klassieke CPU-kwetsbaarheden zoals Spectr. Een extra veiligheid die we daarbij inbouwen is dat de sleutels van de encryptie ook rechtstreeks op de chip worden opgeslagen, zodat daar niemand aan kan. Ook de encryptie zelf gebeurt op die chip, wat de performantie verbetert. Alles versleutelen heeft wel degelijk een kost, maar al je die op toegewijde hardware uitvoert, is de kost in snelheid verwaarloosbaar."