29 juli 2014 10:45

Veilig in de cloud? Dat bepaalt u zelf

Vervalt de behoefte aan een goede beveiliging dan als je de cloud in stapt? Natuurlijk niet. Je blijft ook in de cloud behoefte hebben aan een uiterst beveiligde toegang, want de bedreigingen blijven even groot.

Enkele jaren geleden, met de opkomst van thuis- en telewerken, werden forse sommen geïnvesteerd in infrastructuur om een beveiligde toegang mogelijk te maken tot de bedrijfsnetwerken en de afzonderlijke toepassingen. VPN’s (virtual private networks) gingen hand in hand met diverse authenticatie-oplossingen, vaak in de vorm van security tokens of andere hardware die in combinatie met een wachtwoord moet worden gebruikt.

Vaak resulteerde dit in een overvloed aan wachtwoorden die moeilijk te beheren viel, wat dan weer leidde tot andere oplossingen zoals SSO (single-sign on), identity & access management en andere software voor het beheren van wachtwoorden. Een hele industrie groeide uit de behoefte aan beveiligde toegang tot bedrijfsnetwerken van op afstand.

En dan gebeurde iets onbegrijpelijks: toepassingen en data verhuisden naar de cloud, en plots leken al die veiligheidsmaatregelen niet meer nodig. De meeste cloud services zijn toegankelijk met één enkel – vaak zelfs met een zeer eenvoudig – wachtwoord en nauwelijks andere veiligheidsmaatregelen. Vervalt de behoefte aan een goede beveiliging dan als je de cloud in stapt?

Natuurlijk niet! Je blijft ook in de cloud behoefte hebben aan een uiterst beveiligde toegang, want de bedreigingen blijven even groot. En die beveiliging wordt niet altijd verzekerd door de clouddienst zelf. Sommige cloudleveranciers houden de beveiliging zelfs bewust eenvoudig en low-end, omdat te complexe toegangsvoorwaarden de potentiële gebruikers zouden kunnen afschrikken. Maar eenvoudige toegang betekent meestal ook: eenvoudig te kraken. En dat is in een bedrijfscontext uit den boze.

En als de toepassingen allemaal naar de cloud verschuiven, moet er natuurlijk ook daar voor elke toepassing een wachtwoord gemaakt en moet dit alles beheerd worden. Ook voor de cloud is een bundeling (‚federation’) van wachtwoorden en andere tools voor authenticatie dus vaak geen overbodige luxe. U vindt hiervoor ook diensten in de cloud, maar u kunt dit natuurlijk ook zelf beheren.

De keuze tussen een clouddienst voor de bundeling van authenticatiemiddelen en een ‚federated authentication’ in eigen beheer zal afhangen van uw specifieke bedrijfscontext. Als u niet over de nodige mankracht en expertise beschikt om zulke tools zelf efficiënt te beheren, zal een clouddienst wellicht de beste oplossing zijn. Ook al betekent dit dat uw toegang naar de clouddienst relatief onveilig verloopt. Als beveiliging van gegevens en toepassingen cruciaal zijn, zal u wellicht toch investeren in de expertise om deze oplossing binnenshuis te houden.

Hoe dan ook moet u zich bewust zijn van de beveiligingsrisico’s die eigen zijn aan de cloud. Clouddiensten zijn bijna per definitie minder beveiligd dan in-house software en andere vormen van niet-publieke infrastructuur. Houd hiermee rekening als u overstapt naar de cloud en neem zelfde gepaste voorzorgsmaatregelen. Zo vermijdt u vroeg of laat onaangename verrassingen.