Cloud computing. Wat is het eigenlijk....

Cloud computing zorgt ervoor dat gewenste dienstverlening of gegevens plaats onafhankelijk, snel en gemakkelijk beschikbaar zijn. Dit met weinig inspanning van de organisatie zelf en middels geringe interactie met de leverancier. Met behulp van cloud computing kunt u als privépersoon en ook als organisatie snel en gemakkelijk gebruikmaken van bijvoorbeeld e-mail, opslagcapaciteit, diverse softwarepakketten en diverse vormen van dienstverlening.

De karakteristieken van Cloud computing

In positieve zin heeft cloud computing een aantal geheel eigen karakteristieken. Zo zijn door cloud computing ontsloten producten en diensten bijvoorbeeld vanuit iedere willekeurige locatie te benaderen door de gebruiker.

Met behulp van cloud computing kunt u bovendien snel en eenvoudig toegang krijgen tot gegevens en systemen die u voor uw werk nodig heeft. Vaak zijn cloud-applicaties benaderbaar via pc, tablet en mobiele apparatuur. Andere unieke karakteristieken van cloud computing zijn:

• Het verschuiven van grote investeringen naar ‘huren op maat’ en ‘besparen op onderhoudskosten’. Dit wordt mede mogelijk vanwege het automatisch meten van het cloud-gebruik, zodat de prijs per eenheid precies bekend is.
• Het overal en altijd eenvoudig en zelfstandig kunnen aanvragen van ICT-diensten.
• Het eenvoudig, snel en flexibel opschalen dan wel afbouwen van ICT-diensten.
• De mogelijkheid tot het delen van opslag- en rekencapaciteit met andere (interne) gebruikers van cloud computing.

Clouddiensten zijn gebaseerd op standaard internettechnologieën. Dit heeft als voordeel dat ze overal en altijd (meestal via een internetbrowser) te gebruiken zijn, als er maar een internetverbinding is.

De risicokenmerken van de Cloud

Cloud computing heeft ook een aantal specifieke risicokenmerken. Deze risico’s zijn niet alleen technisch, maar ook organisatorisch en juridisch van aard. Immers, cloud-leveranciers maken vaak gebruik van verschillende (gekoppelde) servers om de cloud-diensten te kunnen leveren.

Als afnemer heeft u daardoor minder controle en kennis over waar ‘de eigen gegevens’ precies staan opgeslagen. Wanneer u als overheidsorganisatie met gevoelige gegevens werkt, is controle hierover uiteraard van groot belang. Mocht u cloud computing overwegen, dan is het slim om per casus de risico’s af te wegen.

Cloud computing kent verschillende verschijningsvormen

• De Publieke Cloud: dit zijn generieke cloud-diensten die in principe door elke organisatie of persoon gratis of via betaling kunnen worden afgenomen.
• De Private Cloud: dit is een cloud-dienst die voor/door één organisatie wordt beheerd en die met name interessant is voor organisaties met een grote omvang.
• De Community Cloud: dit is een gemeenschappelijke cloud-dienst waar verschillende organisaties uit één branche en met dezelfde belangen de infrastructuur en de cloud-diensten delen.
• De Hybride Cloud: afhankelijk van de cloud-dienst kan gekozen worden voor een combinatie van bovenstaande cloud-vormen. Hierdoor kunnen dus meer cloud-vormen met elkaar verbonden worden binnen één organisatie.

Uit het bovenstaande blijkt dat meerdere vormen van cloud computing bestaan. Een groot voordeel van cloud computing is, dat deze in de meeste gevallen gebaseerd is op internettechnologie. Met als voordeel dat alle cloudoplossingen, mits gebaseerd op open standaarden, aan elkaar gekoppeld kunnen worden. Dit noemen we hybride cloud-oplossingen.

Het nadeel van deze hybride cloud is dat het de mogelijkheid creëert om een deur open te zetten van een Private Cloud naar bijvoorbeeld een Public Cloud. Dit kan vooral gevolgen hebben voor de privacy en informatieveiligheid van uw gegevens. Mogelijke koppelingen tussen verschillende cloud-vormen vergen dus zeker uw aandacht.

Statistische gegevens over ongewenste gebeurtenissen binnen de ICT, en zeker op het gebied van clouddiensten, zijn er niet of zijn slechts erg beperkt. Als gevolg daarvan is het inschatten van de kans op een bepaalde gebeurtenis erg lastig en heeft het meer weg van een kunst dan een wetenschap.

Incidenten die de media halen, eigen kennis en gezond verstand helpen om een inschatting te kunnen maken. De kans dat ongewenste gebeurtenissen plaatsvinden op het gebied van cloudcomputing is uiteraard afhankelijk van het soort clouddienst en het soort cloudmodel.

Financiële schade als gevolg van diefstal van vertrouwelijke informatie die in de cloud is opgeslagen is reëel. Wanneer een gebruiker bijvoorbeeld creditcardgegevens of wachtwoorden in de cloud onbeveiligd opslaat kan een kwaadwillende deze gegevens eenvoudig in zijn (financiële) voordeel misbruiken. Wanneer een gebruiker of organisatie zeer afhankelijk is van de dienstverlening in de cloud, kan dit bij een ongewenste gebeurtenis leiden tot productiviteitsverlies en operationele schade.

Soorten clouddiensten

Er zijn verschillende soorten clouddiensten. Van kant-en-klare toepassingen die u direct kunt gebruiken, tot omgevingen waarmee u zelf applicaties kunt ontwikkelen.

Er zijn ruwweg drie soorten clouddiensten:

• Software as a service (SaaS) De software (applicatie) staat volledig onder controle van de cloudleverancier. De afnemer van deze clouddienst kan er gebruik van maken, maar kan er over het algemeen niets aan wijzigen.

• Platform as a service (PaaS) In deze laag wordt naast de ICT-infrastructuur, zoals servers, netwerken en opslagcapaciteit, ook het besturingssysteem, databasemanagement en ontwikkeltools aangeboden. Dit geeft de afnemer van deze clouddienst de vrijheid om eigen systemen en diensten te ontwikkelen.

• Infrastructure as a service (IaaS) In deze laag wordt alleen de ICT-infrastructuur, zoals servers, netwerken en opslagcapaciteit, aangeboden. Dit geeft de afnemer van deze clouddienst de volledige vrijheid om eigen systemen en diensten te implementeren vanaf de keuze voor het besturingssysteem tot en met de aan te bieden clouddienst.

Versleuteling van gegevens

De beste manier om de vertrouwelijkheid van data in rust te waarborgen is cryptografie, het versleutelen van de data. Dit kan op basis van real-time hardwareversleuteling of softwareversleuteling.

Bij de hardwarevariant zijn alle gegevens op de harde schijf automatisch versleuteld. Softwareversleuteling heeft over het algemeen een grotere impact op de performance dan hardwareversleuteling Het biedt minder beveiliging, omdat de encryptiesleutel gekopieerd kan worden zonder dat dit wordt gedetecteerd. Het versleutelen geldt uiteraard niet alleen voor de productiedata maar ook voor back-ups. Om vertrouwelijkheid gedurende het transport (binnen de cloud en op weg naar en van de cloud) van de data te garanderen, is versleuteling ook de beste optie.

Verwijderen van gegevens

Wat gebeurt er met de data op het moment dat ze moeten worden verwijderd uit de cloud? Wat gebeurt er met de data waarvan de cloudleverancier een back-up heeft gemaakt? Worden die permanent vernietigd of simpel verwijderd? Vragen die de cloudleverancier moet beantwoorden. Bedenk wel dat je vooraf zelf moet bepalen welke eisen je hieraan stelt!

Privégebruik cloud computing

Aanvalsmethoden

(Distributed) Denial-of-Serviceaanvallen

Denial-of-Service-aanvallen (DoS) zijn elektronische aanvallen die een systeem, dienst of netwerk zo belasten dat ze niet meer beschikbaar zijn. Dit kan door de systemen uit te schakelen of een netwerk te overladen met dataverkeer. Een Denial of Service kan van een enkel systeem afkomstig zijn, maar ook van meerdere systemen tegelijkertijd. Een DoS-aanval vanaf meerdere systemen heet in jargon een Distributed-Denial-of-Service (DDoS).

Guest-hopping

Guest-hopping maakt gebruik van kwetsbaarheden in de hypervisor (-Een Hypervisor of Virtual Machine Monitor is in de informatica een opstelling die ertoe dient om meerdere besturingssystemen tegelijkertijd op een hostcomputer te laten draaien - ), die het mogelijk maken om de beveiliging, die strikte scheiding tussen verschillende virtuele machines moet garanderen, te compromitteren. Op deze manier wordt toegang verkregen tot andere virtuele machines of zelfs de hypervisor.

Over het algemeen wordt gebruik gemaakt van de zwakste schakel, de minst beveiligde virtuele machine op het systeem. Die wordt gebruikt als vertrekpunt om aanvallen op andere virtuele machines uit te voeren. Op deze manier wordt van de ene naar de andere virtuele machine gesprongen. Bijvoorbeeld: Een aanvaller is geïnteresseerd in de gegevens van virtuele machine A, maar is niet in staat om direct tot A door te dringen. Dan zal de aanvaller proberen om virtuele machine B aan te vallen en vanaf deze virtuele machine proberen om toegang te krijgen tot A.

Hyper jacking

Hyper jacking is een methode waarbij een ‘boosaardige’ hypervisor onder de bestaande legitieme infrastructuur (hypervisor of besturingssysteem) wordt geïnstalleerd, met controle over alle acties tussen het doelwit en de hardware. Voorbeelden van hyper jacking zijn Blue Pill en Vitriol.

Man-in-themiddle

Bij man-in-the-middle bevindt de aanvaller zich tussen een klant en een dienst. Hierbij doet hij zich richting de klant voor als de dienst en andersom. De dienst kan hier bijvoorbeeld een internetwinkel zijn. Als tussenpersoon kan de aanvaller nu uitgewisselde gegevens afluisteren en/of manipuleren.

Replay

Bij een ‘replay’-aanval wordt een legitieme sessie van een doelwit opnieuw afgespeeld (meestal vastgelegd door het afluisteren van het netwerkverkeer).

Side channel

Een ‘side channel’- aanval maakt gebruik van een virtuele machine, die aanvallers hebben geïnstalleerd. Deze virtuele machine kan worden geïnstalleerd door gebruik te maken van kwaadaardige software of door zelf nieuwe virtuele machines af te nemen bij de cloudleverancier. Deze ‘kwaadaardige’ virtuele machine kan vervolgens gedeelde resources monitoren van andere virtuele machines.

Deze resources bestaan uit geheugen en processoren op de gedeelde fysieke machine. Door deze gegevens te verzamelen en te analyseren, wordt het ‘makkelijker’ om vast te stellen wanneer een andere virtuele machine aangevallen kan vallen. Het is zelfs mogelijk om via zogenaamde ‘keystroke timing attacks’, wachtwoorden en andere gevoelige informatie van een virtuele machine te achterhalen

Sniffing

Sniffing is het onderscheppen en lezen van informatie, zoals e-mailberichten of gebruikersnamen en wachtwoorden. Afluisteren wordt ook wel ‘sniffing’ genoemd.

Spoofing

Je voordoen als een ander, dat is spoofing. Iemand kan het e-mailadres van een ander gebruiken als zogenaamd afzendadres, zodat de geadresseerde in verwarring raakt. Deze methode kan handig zijn voor de verspreiding van virussen, omdat de ontvanger zou kunnen denken dat de afzender betrouwbaar is. Spoofing gebeurt ook op netwerkniveau, veelal met het doel internetverkeer in de war te schoppen.

SQL-injectie

Veel webapplicaties maken gebruik van een database om daarin allerlei informatie op te slaan. De informatie die een dergelijke database kan bevatten, is zeer gevarieerd. Denk bijvoorbeeld aan gebruikersnaam en wachtwoord voor besloten gedeelten van de website, nieuwsberichten, logging van bezochte pagina’s, etc. Om de informatie uit de database beschikbaar te maken op de website, voert de code achter een website allerlei verzoeken naar de database uit, op het moment dat de gebruiker een pagina van de website opent. Dit soort verzoeken maakt in veel gevallen gebruik van de standaard databasetaal ‘Structured Query Language’, kortweg SQL.

Vaak kan de gebruiker daarbij de inhoud van het SQL verzoek direct of indirect beïnvloeden via een zoekterm of een ander invoerveld. Kwaadwillende hebben de mogelijkheid om een extra SQL-verzoek toe te voegen (injecteren), waardoor bijvoorbeeld de inhoud van de database wordt aangepast. We noemen dit verschijnsel dan ook ‘SQL-injectie’. SQL-injectie kan plaats vinden als invoer van gebruikers op onvoldoende gecontroleerde wijze wordt verwerkt in een SQL-verzoek. Deze bedreiging is niet nieuw maar wel relevant bij SaaS-diensten. De vraag is namelijk, hoe de cloudleverancier omgaat met de scheiding van data binnen databases van verschillende cloudgebruikers.

© 2020 Veilig Dgitaal