Zelf zorgen voor security en privacy in de cloud

Bij de risico’s van cloud computing worden vaak de security risico’s genoemd, immers als data de eigen infrastructuur verlaat is er veel vertrouwen nodig in de cloud leverancier. In contracten met de cloud leverancier staan daarom afspraken over de beveiliging van datacentra, wie er verantwoordelijk is voor gegevens, waar gegevens worden opgeslagen, hoe snel storingen verholpen worden, etc. Dit is natuurlijk belangrijk, maar minstens zo belangrijk is het dat aandacht wordt besteed aan de technische maatregelen die door de cloud leveranciers genomen worden en aan de maatregelen die een organisatie zelf kan treffen om de beveiliging van gegevens en de bescherming van privacy in de cloud te ondersteunen. Dit is de insteek geweest in een recente opdracht voor SURFnet, waar we voor hun achterban van onderzoeks en hoger onderwijsinstellingen een overzicht hebben gemaakt van deze maatregelen.

Deze maatregelen liggen in ieder geval op de volgende gebieden:

• Authenticatie - als je als organisatie al een authenticatie-infrastructuur hebt (bv. op basis van SAML), zorg dan dat je deze kan hergebruiken bij de cloud dienst. Dit voorkomt bijvoorbeeld allerlei problemen en risico’s rondom hergebruik van wachtwoorden.
• Autorisatie - het beheer van autorisaties kan in sommige gevallen vereenvoudigd worden door binnen de organisatie rollen of attributen te definiëren die door de cloud dienst gebruikt kunnen worden om beslissingen te nemen rondom de rechten van gebruikers.
• Accountmanagement - nieuwe gebruikers moeten worden aangemaakt (provisioning), gebruikersaccounts moeten worden onderhouden en uiteindelijk moeten gebruikers ook weer worden verwijderd (deprovisioning). Deze cyclus brengt een enorme beheerslast met zich mee als deze voor elke cloud dienst opnieuw doorlopen moet worden. Cloud diensten die op basis van een centraal register kunnen zorgen voor deze (de)provisioning kunnen deze beheerslast beperken. De risico’s liggen met name rond deprovisioning: iemand die nog geen toegang heeft tot gegevens kan immers nog niet zoveel schade aanrichten.
• Encryptie - de versleuteling van gegevens tijdens het transport (van de PC van een gebruiker naar de cloud en vice versa), in de cloud en tijdens verwerking in de cloud kan de beveiliging van gegevens in de cloud verbeteren en de privacy van betrokkenen beschermen. Sleutelbeheer dient dan natuurlijk wel op een juiste manier te worden uitgevoerd.

Oftewel, besteed niet alleen aandacht aan de contracten, maar kijk ook goed naar de technische maatregelen die de cloud leverancier neemt en de maatregelen die je zelf kunt nemen op het gebied van authenticatie, autorisatie, account management en encryptie.

Dit overzicht is door mijn collega Wouter Bokhove gepresenteerd op een SURF seminar “Seminar Privacy & de Cloud: De stand van zaken “ (26 juni 2012, zie hier voor een video van de presentatie, of hier voor de slides). Een rapport dat bovenstaande maatregelen beschrijft zal publiek beschikbaar komen via de SURFnet website (het is af maar wordt nog netjes opgemaakt door SURFnet, neem contact met me op als je het niet kunt vinden).