Het rapport is opgesteld door ENISA (European Network and Information Security Agency), op basis van bevindingen van meerdere experts van bedrijven als IBM, Microsoft en Kaspersky, maar ook onafhankelijke adviseurs en marktkenners. ENISA zelf is ingesteld door de Europese Unie, met wisselend succes.

De opdracht was om een overzicht en analyse te maken van mogelijke beveiligingsproblemen waar cloud computing mee te maken krijgt. Het resultaat is dat afnemers van clouddiensten inderdaad beveiligingsproblemen krijgen die ze met een traditionele omgeving niet zouden hebben.

Die problemen zijn niet geheel technisch van aard, maar hebben meer te maken met afspraken en contracten tussen de cloudaanbieders en hun klanten. Een van de pijnpunten die ENISA bijvoorbeeld heeft gevonden, is dat het klanten vaak contractueel geen beveiligingsanalyse mogen uitvoeren op de clouddienst met bijvoorbeeld poortscans of penetratietesting. Als dat door de aanbieder wordt gedaan is er geen probleem, maar dikwijls maakt het geen deel uit van de Service Level Agreements (SLA). Daardoor ontstaat een gat in de verdediging, zo redeneren de opstellers van het rapport.

Juridisch

Gevaarlijker nog zijn al bekende juridische problemen, zoals de plek waar data is opgeslagen ten opzichte van de plek waar de klant is gevestigd. Dergelijke bezwaren worden al langer geuit. Deze week gaf analistenbureau Burton Group nog kritiek op de Amazon EC2-cloud omdat niet duidelijk is waar gegevens precies worden neergezet.

Verder stipt het ENISA-rapport gevaren aan als vendor lockin, krakkemikkige scheiding tussen gegevens van verschillende klanten en 'kwaadwillige insiders' bij de leveranciers.

Maar er zijn volgens de opstellers ook wel beveiligingsvoordelen te noemen voor afnemers van clouddiensten. Zo zorgt het 'on demand'-karakter ervoor dat er snel te schalen valt wanneer het verkeer piekt, wat een extra waarborg is tegen DDoS (distributed denial of service)-aanvallen.

Het rapport geeft als advies om bij contracten goed te kijken naar rechten en plichten van de afnemer bij het overdragen van gegevens, terwijl ook de juridische bepalingen goed onder de loep moeten worden genomen. Bron: Techworld