Beveiliging is dé grootste drempel voor CIO’s om de overstap naar cloudcomputing te maken. Het voordeel van cloudcomputing wordt namelijk ook waargenomen als een nadeel. Het verplicht organisaties afhankelijk te zijn van een externe partij en deze te vertrouwen in de omgang, het beheer en de controle van hun data. Voor bedrijven komt de betrouwbaarheid, […]

Beveiliging is dé grootste drempel voor CIO’s om de overstap naar cloudcomputing te maken. Het voordeel van cloudcomputing wordt namelijk ook waargenomen als een nadeel. Het verplicht organisaties afhankelijk te zijn van een externe partij en deze te vertrouwen in de omgang, het beheer en de controle van hun data. Voor bedrijven komt de betrouwbaarheid, integriteit en beschikbaarheid van hun data in het gedrang. De trend naar cloudcomputing herschikt de beveiligingsregels voor informatiesystemen.

Hervorm je netwerkinfrastructuur
Kostenreductie is voor velen de aanleiding om cloudcomputing te implementeren. Bedrijven willen echter een oplossing die tegelijk de confidentialiteit en het nodige beveiligingsniveau van informatie – data in motion en data at rest – verzekert.

De informatienetwerken van bedrijven beantwoorden aan verschillende beveiligingsniveaus die gerespecteerd moeten worden. Elke werknemer of zakelijke partner mag slechts toegang krijgen tot die informatie die hem uit hoofde van zijn rol aanbelangt. Maar vaak is de segmentatie op netwerkniveau voor medewerkers niet in lijn met de veiligheidsbehoeften. Men tracht de veiligheid enkel op applicatieniveau af te dwingen, met een grotere kwetsbaarheid voor ongeoorloofde toegangen tot gevolg.

Naarmate de mobiliteitsbehoefte groeit wordt het ook steeds moeilijker om via de klassieke statische segmentatiemethoden de beveiliging van het interne bedrijfsnetwerk te verzekeren. Daarbovenop wordt dit netwerk ook meer en meer blootgesteld aan derde partijen.  

Waar de veiligheidsrisico’s klassiek als hoog ervaren worden – zoals aan de netwerkperimeter, in gedemilitariseerde zones, of in hoge veiligheidsnetwerken – wordt  vaak een doorgedreven segmentatie doorgevoerd. In hoge veiligheidsomgevingen leidt dit zelfs tot volledig fysisch gescheiden parallelle netwerken. Dit gaat dan ook gepaard met een multiplicatie van hardware- en software-infrastructuur alsook van de bijhorende operationele diensten. Waar de nodige segmentatie en netwerktoegangscontrole toegepast wordt kampt men dan weer met het probleem dat wijzigingen qua netwerktoegang veel tijd vragen, zodat de reactietijd op nieuwe bedrijfsnoden vrij hoog is.

De uitdaging voor bedrijven (en cloudproviders) ligt niet alleen in het vrijwaren van de afgeschermde toegangspaden tot afgeschermde data, aan verlaagde infrastructuur- en operationele kosten. De toegang tot data moet op een dynamischere en eenvoudigere manier kunnen aangepast worden om te beantwoorden aan de bedrijfsnoden van vandaag en morgen. Momenteel is bij veel bedrijven bovendien de beveiligingsinfrastructuur nog afgestemd op statische bescherming van de perimeter waar de mobiele en steeds dynamischere realiteit een andere aanpak vraagt.


 

Verborgen beveiliging
De oplossing voor deze problematiek is ontworpen door Unisys in antwoord op een behoefte van de Amerikaanse defensie: Stealth-technologie. Met Stealth kan je op een gemeenschappelijke informatiesysteem-infrastructuur tal van netwerkgemeenschappen plaatsen die perfect afgescheiden zijn van elkaar. Hierbij is de confidentialiteit en integriteit van de data optimaal verzekerd. Stealth-beveiligde netwerkgemeenschappen blijven verborgen voor elkaar en voor de buitenwereld, vandaar ook de benaming.

Stealth past een combinatie toe van vercijfering en het bit-splitten van data over verschillende pakketjes zodat die data onzichtbaar bewegen overheen netwerken. Elk parallel virtueel netwerk wordt gekenmerkt door zijn eigen set van sleutels, dewelke centraal beheerd en gecreëerd worden.

Toegang tot deze virtuele netwerken is dan ook slechts mogelijk na authenticatie. Hierbij krijgt men automatisch slechts die sleutelsets toegewezen voor de netwerken waar men toe geautoriseerd is uit hoofde van een toegekende rol. Gezien de netwerktoegang gebonden is aan aangemelde gebruikers spreekt men van belangengemeenschappen (communities of intrest). Dit zijn groepen mensen die het recht hebben om op dezelfde set data te werken.

Met Stealth kunnen cloudproviders een overtuigend aanbod brengen. Zij kunnen de data van bedrijven in gescheiden, beveiligde en gecontroleerde netwerken beheren en controleren op een gemeenschappelijke infrastructuur. De recentelijke internationale erkenning van het hoogste beveiligingsniveau die door de oplossing geboden wordt (Common Criteria EAL4+) verzekert dat bedrijven absoluut hierop kunnen vertrouwen voor het beschermen van hun gegevens. Ter vergelijking: deze norm wordt gebruikt door de NAVO voor de bescherming van veilige (!) gegevens.

Stealth is niet enkel voor bedrijven die de overstap willen maken naar de cloud. Het is ook toepasbaar voor bedrijven met verschillende netwerken en beveiligingsniveaus die moeten omgaan met kritieke en confidentiële data, zoals financiële en overheidsinstellingen. Maar hierover verder in een volgende blog. Meer informatie over Stealth-technologie vind je hier.

Luc Leysen is security consultant en heeft een ruime ervaring in IT-beveiliging, gaande van beveiligingsbeheer tot webpenetratietesten. Zijn huidige expertise is de integratie van identiteits- en toegangsbeheer met netwerkvirtualisering enerzijds en fysische beveiliging anderzijds.