Cloud en risico's - Overcloudcomputing.nl

Risico’s van de cloud

Een organisatie moet zich bewust zijn van de risico’s bij een cloud implementatie. Hieronder benoemen we de zes belangrijkste risico’s die specifiek voor de cloud gelden. Deze risico’s zijn technisch, organisatorisch en juridisch van aard.

Onveilige Interfaces

Een cloudprovider heeft een aantal interfaces waarmee hij zijn services ontsluit naar gebruikers. Naast het reguliere gebruik van de service, wordt hiermee ook de cloud beheerd en bewaakt. De veiligheid, betrouwbaarheid en beschikbaarheid van de cloudservice hangt voor een groot deel af van de veiligheid van de interfaces. Bovenop deze interfaces kunnen derde partijen additionele toepassingen bouwen om het gebruik of beheer van de service te vergemakkelijken. Dit kan de veiligheid van de interface negatief beïnvloeden. Het is een groot risico als een organisatie gebruikmaakt van onveilige interfaces of cloudproviders klakkeloos op hun woord vertrouwt wanneer deze claimen een veilige interface te leveren. Dit geldt zeker als een organisatie gebruikmaakt van derden die zich tussen de klant en de cloud positioneren.

Geen focus op security

Cloud implementaties brengen vaak snelle, tastbare voordelen met zich mee. Er hoeft niet geïnvesteerd te worden in hardware of software. De organisatie kan zich focussen op de kerntaken die direct waarde toevoegen. Dit dient streng te worden afgewogen tegen de beveiligingsrisico’s die een cloud implementatie met zich meebrengt. Het is vaak onduidelijk hoe er wordt omgegaan met software updates of inbraakpogingen. Doen deze aanbieders bijvoorbeeld aan configuration hardening, patching, auditing en logging? En wie heeft dan toegang tot deze logs en hoe worden ze bewaard? Dit zijn valide vragen die een klant moet kunnen stellen aan zijn cloud- provider.

Risico’s omtrent virtualisatie

IaaS serviceproviders proberen hun infrastructuur zo schaalbaar mogelijk aan te bieden op een manier waarbij iedereen gebruikmaakt van dezelfde resources. Onderliggende componenten zijn hier vaak niet voor gemaakt. Organisaties zoals VMware en Microsoft hebben daarom virtualisatietechnieken ontwikkeld om een abstractielaag te creëren tussen het operating system en de hardware; een zogenoemde ‘hypervisor’ waarop virtual machines draaien. Deze hypervisors zijn echter niet onfeilbaar. Hackers zullen proberen toegang te verkrijgen tot de hypervisor en dus ook de virtual machines van klanten. Cloudproviders dienen daarom, zoveel mogelijk, gebruikers van elkaar af te scheiden. Een organisatie moet weten hoe de serviceprovider dit heeft ingericht en zich afvragen of ze dit risico willen lopen.

Dit is een bijdrage van Norea, kennispartner van het ICT informatiecentrum.
Norea | Antonio Vivaldistraat 2-8 | 1083 HP Amsterdam
Tel.: +31 (0) 20 301 03 80| norea@norea.nl | norea.nl