Eigen beveiliging is gatenkaas
Gepubliceerd: Maandag 10 mei 2010
Auteur: Roger A. Grimes
Problemen met de cloud van Google hebben onlangs weer een stroom aan vragen opgeleverd of clouddiensten wel klaar zijn voor gebruik. Zijn ze geavanceerd genoeg om belangrijke applicaties betrouwbaar en veilig te draaien? Naar mijn mening is het antwoord een onomwonden 'Ja'. De keuze voor één of meer clouddiensten kan een gemiddeld bedrijf flink wat geld besparen, en het wordt er nog veiliger op ook!
Het mag misschien als een verrassing komen dat iemand er zo over denkt, gezien alle verhalen die elke week weer opduiken over het falen van de cloud. Maar dat falen is niet de standaard; dat de fouten zoveel aandacht krijgen komt doordat de media meer geld verdient als ze slecht nieuws brengen dan wanneer ze met goed nieuws komen. Hoeveel artikelen heb je gelezen over het feit dat cloud leveranciers een uptime hebben van 99,999 procent? Hoeveel nieuwsberichten zijn er gewijd aan de clouddiensten die geen problemen hebben gehad met de beveiliging? Niet veel, neem ik aan.
Heel normaal
De laatste tien jaar van mijn loopbaan heb ik honderden securityreviews gedaan bij allerlei bedrijven. Over het algemeen heeft een bedrijf een dozijn gaten in de beveiliging, en veel daarvan leveren een hoog risico op. En geen van de bedrijven waar ik dat aan rapporteer is daar vervolgens verbaasd over. Waarschijnlijk is het personeel zich zelfs bewust van nog veel meer gaten, maar ze hebben er natuurlijk geen belang bij om me die informatie vrijwillig te geven. Blijkbaar is het heel normaal dat je gaten vindt in de policies, dat software ongepatcht blijft op belangrijke servers, dat applicaties vol met bugs zitten, dat het data recoveryplan niet deugt en dat er allerlei malware op het netwerk rondzwerft.
De meeste cloudleveranciers waar ik over de vloer kom hebben het over het algemeen veel beter geregeld. Die hebben heel gerichte en redelijk afgesloten omgevingen. In plaats van het 40 tot 80 pagina tellende rapport dat ik meestal aflever, zijn de rapporten die ik voor cloudleveranciers maak vaak maar 5 tot 20 pagina's dik, en daarin staan vaak maar een paar problemen. En hoe groter de cloudleverancier, hoe minder problemen ik vind.
Verschillen
De grootste cloudleveranciers zitten in grote datacentra en hebben zeer gespecialiseerd personeel. Om allerlei verschillende klanten van dienst te kunnen zijn, moeten ze hun policies en processen heel goed in de vingers hebben. De fysieke beveiliging is helemaal in orde. Alles wordt actief gemonitord en op waarschuwingen wordt alert gereageerd. Als acties kunnen worden geautomatiseerd, dan wordt dat ook gedaan. De fault-tolerant features zijn redundant-redundant, alsof twee van alles niet genoeg is.
De meeste niet-cloudbedrijven die ik ken maken elke nacht een backup. Dus in het geval dat er een email- of webserver plat gaat, dan is de laatste data die beschikbaar is van de afgelopen nacht. Cloudleveranciers maken daarentegen direct een backup van elke transactie van elke applicatie. De grote jongens maken direct een backup van elke bit aan data, en spreiden die over twee of meer wereldwijd gedistribueerde backup arrays.
Van de noodstroomvoorzieningen die zulke bedrijven over het algemeen hebben, kunnen de meeste beheerders alleen maar watertanden. Veel cloudleveranciers hebben twee versies van elk systeem: elektriciteit, omgevingsbeheer, netwerkaansluitingen en ga zo maar door.
