Tooling and methologies for privacy & security in the cloud

We recently finished a project on privacy& security in the cloud for SURFnet (Dutch NREN, responsible for the Dutch research network and middleware services on top of this). Basically, we supplemented work of others that focussed on the contractual and legal perspective with a more technology perspective. We listed what an organisation can do themselves to improve privacy & security when taking applications to the cloud, focussing on authentication, autorisation, provisioning/account management and encryption. Below a more eloborate blog post in Dutch.

Zelf zorgen voor security en privacy in de cloud

Bij de risico’s van cloud computing worden vaak de security risico’s genoemd, immers als data de eigen infrastructuur verlaat is er veel vertrouwen nodig in de cloud leverancier. In contracten met de cloud leverancier staan daarom afspraken over de beveiliging van datacentra, wie er verantwoordelijk is voor gegevens, waar gegevens worden opgeslagen, hoe snel storingen verholpen worden, etc. Dit is natuurlijk belangrijk, maar minstens zo belangrijk is het dat aandacht wordt besteed aan de technische maatregelen die door de cloud leveranciers genomen worden en aan de maatregelen die een organisatie zelf kan treffen om de beveiliging van gegevens en de bescherming van privacy in de cloud te ondersteunen. Dit is de insteek geweest in een recente opdracht voor SURFnet, waar we voor hun achterban van onderzoeks en hoger onderwijsinstellingen een overzicht hebben gemaakt van deze maatregelen.

Deze maatregelen liggen in ieder geval op de volgende gebieden:

  • Authenticatie – als je als organisatie al een authenticatie-infrastructuur hebt (bv. op basis van SAML), zorg dan dat je deze kan hergebruiken bij de cloud dienst. Dit voorkomt bijvoorbeeld allerlei problemen en risico’s rondom hergebruik van wachtwoorden.
  • Autorisatie – het beheer van autorisaties kan in sommige gevallen vereenvoudigd worden door binnen de organisatie rollen of attributen te definiëren die door de cloud dienst gebruikt kunnen worden om beslissingen te nemen rondom de rechten van gebruikers.
  • Accountmanagement – nieuwe gebruikers moeten worden aangemaakt (provisioning), gebruikersaccounts moeten worden onderhouden en uiteindelijk moeten gebruikers ook weer worden verwijderd (deprovisioning). Deze cyclus brengt een enorme beheerslast met zich mee als deze voor elke cloud dienst opnieuw doorlopen moet worden. Cloud diensten die op basis van een centraal register kunnen zorgen voor deze (de)provisioning kunnen deze beheerslast beperken. De risico’s liggen met name rond deprovisioning: iemand die nog geen toegang heeft tot gegevens kan immers nog niet zoveel schade aanrichten.
  • Encryptie – de versleuteling van gegevens tijdens het transport (van de PC van een gebruiker naar de cloud en vice versa), in de cloud en tijdens verwerking in de cloud kan de beveiliging van gegevens in de cloud verbeteren en de privacy van betrokkenen beschermen. Sleutelbeheer dient dan natuurlijk wel op een juiste manier te worden uitgevoerd.

Oftewel, besteed niet alleen aandacht aan de contracten, maar kijk ook goed naar de technische maatregelen die de cloud leverancier neemt en de maatregelen die je zelf kunt nemen op het gebied van authenticatie, autorisatie, account management en encryptie.

Dit overzicht is door mijn collega Wouter Bokhove gepresenteerd op een SURF seminar “Seminar Privacy & de Cloud: De stand van zaken “ (26 juni 2012, zie hier voor een video van de presentatie, of hier voor de slides). Een rapport dat bovenstaande maatregelen beschrijft is publiek beschikbaar via de SURFnet website. Ook heeft de Automatiseringsgids een artikel geschreven over dit rapport “Beveiligingskneepjes cloud op rijtje” (6 sept 2012).

UPDATE 6 sept 2012: URL naar rapport en naar AG artikel toegevoegd

2 Responses to Tooling and methologies for privacy & security in the cloud

  1. 4 belangrijke punten. Maar als ik naar de techniek bij de leverancier kijk dan wil ik ook wel weten of hij de voordeur EN de achterdeur op slot heeft. Staat dat ook beschreven en ook hoe ik dat kan controleren?

  2. Alf, helaas, dit was out of scope voor deze verkenning. Meer inhoudelijk: ik ben het helemaal met je eens, de voordeur is maar een deel van de puzzel, en de achterdeur is eigenlijk ook moeilijker dan de achterdeur. Dan kom je op het gebied van audits en certificering, waar overigens wel over gesproken is als mogelijk onderwerp van een vervolgopdracht. (Reactie erg laat wegens mijn vakantie, sorry).

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s