Cloud security? Beter een advocaat, zoon!

Wanneer gegevens woont in een vennootschap van eigen datacenter, de bewijslast van die gegevens te beschermen tegen uitval of inbreuk valt op dat bedrijf. Cloud blijkt dat op zijn kop.

Klanten hebben behoefte aan zekerheid van hun leverancier dat de drie pijlers van de veiligheid kan handhaven: vertrouwelijkheid, integriteit van gegevens en beschikbaarheid van gegevens.

Een groot deel van cloud security is ongeveer contract management, iets dat van oudsher door de aankoop van een bedrijf en juridische teams heeft behandeld.

Hosting van uw cloud services op Amazon’s servers zou kunnen maken voor een hoge beschikbaarheid en redundantie, maar dat zeer redundantie kan een probleem zijn.

Wolk, Cloud computing opgroeit, een API in een tijd, Enterprise Software; Sweet SUSE! HPE haken en ogen zelf een Linux-distro, Cloud; Twilio rolt nieuw bedrijfsplan veelbelovende meer behendigheid, Cloud, Intel, Ericsson uit te breiden samenwerking te richten op media-industrie

Contracten zijn allemaal goed en wel, maar hoe weet je of de cloud-diensten ook daadwerkelijk worden verstrekt als het contract bepaalt?

De stijging van het bedrag van de gekoppelde gegevens die wordt gehouden in dezelfde cloud heiligdom maakt een dikker doelwit waarop hackers kunnen richten.

“Met een datacenter, dat is gewoon ergens om je spullen stash – het runnen van uw besturingssysteem met de software zoals u dat wilt geaudit – in een plaats die betere connectiviteit, betere power etc zou kunnen hebben”, zegt Paul Ducklin, Sophos ‘hoofd van de technologie voor de regio Azië-Pacific.

Het probleem met een pure-play cloud service is het is bijna alsof je echt inzet het hele bedrijf – en gebouwen, en alle apparatuur en hoe de bemesting per jaar wordt gedaan – op iemand anders. Ze krijgen om te beslissen hoe het allemaal werkt.

De boerderij metafoor werd bijna real voor Crispin Harris, op dit moment het hoofd van de veiligheid van het netwerk voor een snel groeiend bedrijf Australische middelen. Hij heeft eerder gewerkt voor wetshandhavingsinstanties en andere veeleisende omgevingen. Een verkoper onlangs toonde hem een ​​software-as-a-service aannemer management systeem dat beweerde te zijn gebaseerd “in the cloud”. Het was de bedoeling om alle interacties van het bedrijf bevatten met externe aannemers en adviseurs, waaronder de vraag of zij de veiligheid inducties die nodig is om te werken in een mijn hadden afgerond, of in het bezit van een maritieme beveiliging Identification Card hen toegang tot de haven toe te staan.

We eindelijk in geslaagd om dit bedrijf vastpinnen om uit te vinden waar ze waren, omdat ze zeggen: ‘We zijn in de cloud, we zijn op meerdere locaties over de hele wereld’, ‘Harris vertelde de website van Australië. “Ja, ze hebben verkopers in zeven verschillende steden in drie verschillende continenten. Helaas is het datacentrum was in een klein schuurtje in de achterkant van Penrith in het westen van Sydney. Niet in een Tier 1 datacenter, geen back-up over meerdere plaatsen. Slechts twee redundante ADSL-verbindingen, zowel voor Telstra.

“We hebben echt niet wilt dat soort database opgeslagen in loods,” zei hij.

Wanneer u niet de middelen hebben direct verantwoordelijk voor de technologie en bescherming te zijn, vind je jezelf te vertrouwen op wat is afgesproken.

Het is een subtiele ding, omdat de klant is nog steeds absoluut verantwoordelijk voor eventuele schade. Je kunt niet uit te besteden dat stuk van de risico’s “, zegt Harris. En omdat je niet meer hands-on vermogen,” alles moet worden in het contract “.

beschikbaarheid van gegevens is natuurlijk een van de wolk de grote selling points. In principe alles wat je nodig hebt is een internet verbinding, een internet verbinding, en daar ga je. Maar zorgen voor de beschikbaarheid van gegevens heeft vele subtiliteiten.

De belangrijke maatstaf is het bekende percentage van uptime vaak opgenomen in service level agreements (SLA’s) en marketingmateriaal.

De term “drie negens”, of 99,9 procent uptime, bijvoorbeeld, betekent een toelaatbare totale uitval van 8,76 uur per jaar of 43,2 minuten per maand. Is dit genoeg voor uw bedrijf? Of wil je nog 99,99 procent ( “vier negens”) tegen 52,56 minuten downtime per jaar of slechts 4,32 minuten per maand? Heeft uw IT-afdeling eigenlijk weten de business ‘echte beschikbaarheid van gegevens nodig heeft?

Volgens Harris, kunnen de meeste bedrijven die vragen niet te beantwoorden. “Vaker wel dan niet, veel vaker dat niet, een organisatie is nooit serieus gekeken naar wat hun kritische bedrijfsprocessen zijn, en hoe zij betrekking hebben op de informatie die hen drijft.”

Als voorbeeld kan een boekhoudsysteem geen behoefte aan vijf negens betrouwbaarheid als de facturatie kan wachten tot de volgende werkdag. Maar een customer relationship management of voorraadbeheer systeem naar beneden zou kunnen betekenen verloren orders, inactieve personeel en boze klanten.

Leveranciers soms verwijzen naar de beschikbaarheid niveaus in relatie tot “ongeplande uitval”. Maar hoe zit het geplande uitval, die nodig kunnen zijn om onderhoud uit te voeren?

“Ik heb één omgeving nog niet zo lang geleden gezien dat vier negens van beschikbaarheid van ongeplande uitval verklaarde. Maar dat was prima, namen ze vijf uur uit elke week om gepland onderhoud te doen,” zegt Harris. Dat verminderde alleen beschikbare data tot 95 procent.

Indien de beschikbaarheid is “gegarandeerd”, wat betekent dat eigenlijk in de praktijk? Zal de dienst absoluut, zeker uit te voeren op de aangegeven niveaus? Of zal de leverancier alleen uw geld terug als de service niet worden gehaald? Terugbetaling van een maandelijkse servicekosten van, zeg, $ 5000, zou veel troost niet zijn als zijnde offline kost uw bedrijf $ 50.000 per uur in omzetverlies of exploitatiekosten.

Hoe snel kunt u uw gegevens te herstellen in geval van een mislukking? Een systeem kan nog steeds beschikbaar onder de voorwaarden van de SLA, maar lopen met de verkeerde gegevens.

Wat gebeurt er als het contract afloopt? Is uw data terug? Zo ja, hoe en wanneer? Heeft de leverancier garantie dat de data gewist is eigenlijk verwijderd, niet alleen van de live-systeem, maar alle archieven en back-ups?

In de beleving van de veiligheid van het netwerk hoofd Crispin Harris, IT-afdelingen zijn meestal slecht op het waarborgen van inkoop weet wat service levels zijn belangrijk voor het bedrijf.

Vaak, bijvoorbeeld, IT-afdelingen vergeten om financiële due diligence uit te voeren op hun leveranciers. Is er een risico dat de leverancier zou kunnen lopen in financiële moeilijkheden en verdwijnen, het nemen van uw gegevens en transacties met het?

Wanneer je te maken hebt met een leverancier als Amazon S3 met hun diensten, kunt u meteen zien dat ze een Amerikaans beursgenoteerd bedrijf, ze hebben een zeer grote boekwaarde gekregen, ze kreeg veel klanten en ze hebben een goede reputatie voor service, “zegt Harris.” Maar als je begint te praten om een ​​aantal van de andere cloud-leveranciers, dit is niet zo voor de hand liggend.

‘Er is niet genoeg interactie en niet genoeg begrip tussen inkoop en IT. Ze zijn allebei steun van het bedrijfsleven groepen. Het ondersteunt het bedrijf net zo veel als de aankoop ondersteunt het bedrijf, maar een of andere manier deze twee groepen lijken de hele tijd te vechten “, zegt hij .

Harris raadt het opbouwen van directe persoonlijke banden tussen de IT-afdeling en de juridische team, in plaats van te vertrouwen op het inkoopteam te vertalen. En het is de taak van de IT-afdeling om de advocaten te voeden.

Het is absoluut de kern van het effectieve gebruik van cloud diensten die IT en juridische eerlijk te bespreken en in een redelijke hoeveelheid van de diepte van de cross-disciplinaire gevolgen beide hun beslissingen, “zegt hij.” Ze zullen allebei leren heel veel over wat belangrijk is de andere kant.

Het is heel veel over de relatie, niet alleen tussen IT en inkoop, maar IT en helemaal in legaal. Praat met uw adviseur direct van persoon tot persoon, zelfs geen e-mail. Ga en praat met hen face-to-face en uit te leggen waar je denkt dat de risico’s zijn en waar de voordelen zijn.

Er is minder zekerheid over de geopolitieke ligging van die gegevens, “Ajoy Ghosh, chief information security officer voor Logica Australië zegt.” In het geval van uitbesteding aan een fysiek datacenter, weet je dat het datacenter zal worden op deze bijzondere plek. Helaas, met de komst van de cloud, dat specifieke geval rond kan vrij gemakkelijk aan de grillen van de provider te verplaatsen.

Dat betekent dat uw gegevens zou kunnen eindigen in een ander rechtsgebied, waarin het risicoprofiel verandert. Sterker nog, in sommige bedrijfstakken is het misschien de naleving problemen te creëren – vooral omdat een aantal belangrijke cloud providers, zoals Amazon en Microsoft, niet datacenters hebben in Australië helemaal.

“Als je toevallig in een rechtsgebied met verplichte [security] inbreuk rapportage, en u gebruikt dezelfde gedeelde diensten, of het nu in een outsourcing scenario of een cloud-scenario, als onderneming B wordt overtreden Bedrijf A heeft ook te melden, “zegt Ghosh. Als er niets anders, is Company A’s reputatie beschadigd door iets helemaal uit hun controle.

Zowel Amazon en Microsoft, evenals andere leveranciers, trachten deze problemen door hun wereldwijde wolken verdelen in gebieden te verminderen.

“Amazon Web Services (AWS) klanten volledige controle over hun data, waarbij ze kiezen welke regio zij willen hun gegevens te plaatsen en die bijzondere set van middelen om te werken,” Amazon vertelde de website van Australië in een reactie per e-mail. Deze gebieden omvatten de Amerikaanse oostkust, de Amerikaanse westkust, de Europese Unie, en een Singapore Gewest voor Azië-Pacific.

De selectie van een regio binnen een aanvaardbare geografische bevoegd is om de klant biedt een solide basis om te voldoen aan de locatie afhankelijke privacy en compliance-eisen, zoals de EU Data Privacy richtlijn. De gegevens worden niet gerepliceerd tussen de regio’s, tenzij proactief gedaan door de klant, waardoor klanten met dit soort gegevens plaatsing en privacy eisen de mogelijkheid om klacht omgevingen vast te stellen.

Op dezelfde manier kan Microsoft regelen klantgegevens om te reizen alleen binnen enkele specifieke geografische regio’s, waaronder Noord-Amerika en de EU.

De problemen zijn echt contractuele “, zegt Ghosh.” Bijvoorbeeld, zorg ervoor dat er clausules in het contract dat de aanbieder te beperken tot bepaalde rechtsgebieden, en ervoor zorgen dat er clausules in het contract dat zeggen dat de provider nodig heeft om de klant hierover voorafgaand aan het verplaatsen van die gegevens.

Ik zou eigenlijk betogen, in het geval van traditionele outsourcing, dat de klant moet worden het uitvoeren van reguliere on-site audits hoe dan ook “, aldus Logica Ajoy Ghosh.” Dat verandert niet in de cloud scenario, behalve misschien dat u kunt kiezen om het vaker te doen.

Maar Microsoft, om maar een voorbeeld te kiezen, geen bezoekers toe te staan ​​haar datacenters. Zelfs eigen medewerkers Microsoft’s zijn verboden, tenzij er een goedgekeurd bedrijf nodig heeft. Het bedrijf is geheimzinnig over de locaties en zelfs het aantal van haar datacenters, zeggen in het openbaar alleen dat er meer dan tien, maar minder dan honderd.

“Hoe weet je iets dat deel uitmaakt van iemands privé-infrastructuur te controleren?” vraagt ​​Sophos ‘Paul Ducklin. Hij wijst op Google’s Wi-Fi privacy ramp, waar zelfs Google niet wist dat zijn code had overtreden regelgeving.

Als de provider zichzelf zegt: ‘Hé kijk, dat was gewoon een blunder’, begint het om vragen te stellen, “zegt Ducklin.” Hoe kan ik mijn hand op mijn hart om mijn klanten en zeggen: ‘Ik ben op zoek na uw gegevens aan de standaard X of Y of Z? ‘ Alles wat je kunt doen is het woord van uw cloud provider voor het en, zoals de ervaring leert, ook kunnen zij te kort komen in het begrijpen precies wat er aan de hand als gevolg van waar al dat wendbaarheid en flexibiliteit.

Microsoft’s antwoord is dat openheid, of op zijn minst gedeeltelijke openheid, bouwt vertrouwen.

Het ding doen we toestaan ​​dat vertrouwen is om onze nalevingskader publiceren “, zegt Mark Estberg, die risico- en compliance management leidt voor Microsoft’s online services.” Je kunt de specifieke doelstellingen controle en controleactiviteiten we ons meten met zien, en wij brengen in een derde partij om ons te meten tegen.

In het geval van Microsoft’s ISO 27001-certificering, bijvoorbeeld, dat de meting wordt uitgevoerd door het British Standards Institute, en de documentatie is online gepubliceerd.

Zowel Amazon en Microsoft run SAS-70 controlenormen certificeringen. Echter, alle die zegt, is dat de organisaties aan hun eigen normen. Of deze normen voldoen aan uw zakelijke behoeften is een andere vraag, en het wijst nogmaals op om uw inkoop team met een goed begrip van de details.

Ducklin, ondertussen, is sceptisch over deze audits.

Ik ben gewoon niet zeker hoe je dat hetzelfde niveau van wat je ‘wetenschappelijke comfort’ zou kunnen noemen met een zuivere cloud service, waar u de provider je vertrouwen, en het netwerk van de provider kunnen hebben, en iedereen die wel eens een blik op hoe heeft gehad die dienst werken, “zegt hij.” Dus ik vind het geweldig om te hebben dat de externe controle, veel beter dan ‘Hé, geloof ons, ze zal in orde zijn.’ Maar aan de andere kant het idee van het handhaven dat de certificering en de juistheid van de gegevens van iedereen, het lijkt te geloven dat dat soort belofte redelijkerwijs konden worden gemaakt door een pure-play cloud provider bedelaar.

Een van de dingen die we steeds meer ziet, zowel in de cloud provisioning evenals in outsourcing provisioning, is het toegenomen gebruik van shared services “, aldus Logica Ajoy Ghosh.” En de toegenomen gebruik van shared services resulteert in een grotere aggregatie, en dat is wat ik denk is een van de fundamentele veranderingen in de aanval profielen.

Met andere woorden, een grotere concentratie van gegevens is een meer lucratieve doelwit voor de slechteriken. Als een aanvaller toegang krijgt tot de gegevens een bedrijf kunnen ze overigens toegang tot meer krijgen. En met bedrijven runnen van een aantal systemen in de cloud en anderen intern, is het moeilijk voor iedereen om een ​​end-to-end weergave van de veiligheid van het hele systeem.

“Bijvoorbeeld, als ik belast met het beheer van bedrijf A’s cloud, meestal iemand anders is belast met het beheer van bedrijf B’s ​​cloud. Ik zal niet altijd weten wat die persoon op zoek na cloud B’s aan het doen is. En dat kan leiden tot gaten, want soms ga ik ervan uit dat hij of zij die iets “, zegt Ghosh.

Maar terwijl grotere data pools vertegenwoordigen grotere doelen, zijn ze ook verdedigd door grotere veiligheid teams. Als Amazon’s woordvoerder van het uitdrukte, “Amazon’s schaal mogelijk maakt aanzienlijk meer investeringen in de beveiliging politie en tegenmaatregelen dan vrijwel elk groot bedrijf zich konden veroorloven. In feite, vinden we vaak dat we de bedrijven beveiligingssituatie kan verbeteren.”

Voor kleine en middelgrote ondernemingen in het bijzonder, kan de cloud goed bieden veel meer beveiliging dan wat ze al hebben in plaats.

Het zien van MYOB-bestanden met duizenden creditcardnummers zittend op harde schijven in een klein bedrijf kantoren heeft mij geleerd dat veel eigenaren van kleine bedrijven niet weten waar de risico’s liggen “, zegt Marc Lehmann, oprichter van cloud-gebaseerde accounting provider Saasu.” In één adem dat ze ons vragen of onze veiligheidsnormen zijn tot nul.

De bottom line is dat de veiligheid is alles over het balanceren van risico’s. En als je naar de cloud te verplaatsen, het is allemaal over contracten, service levels, en het krijgen van waar voor uw geld.

Beeld Voorzijde pagina credit: zware wolk geen afbeelding regen, door Robyn’s Nest, CC BY-SA 2.0

Cloud computing groeit op, een API in een tijd

Sweet SUSE! HPE haken en ogen zelf een Linux distro

Twilio rolt nieuw bedrijfsplan veelbelovende meer behendigheid

Intel, Ericsson uit te breiden samenwerking te richten op media-industrie