Lange tijd heerste er terughoudendheid tegenover de public cloud uit vrees dat de veiligheid van data niet langer is gegarandeerd wanneer ze buiten de bedrijfsmuren geparkeerd staat. Vandaag realiseren organisaties steeds meer dat net het omgekeerde waar is. Techzine ging in gesprek met Stephan Hadinger, senior manager Solutions Architecture bij public cloudleverancier Amazon Web Services.
Amazon Web Services (AWS) is wereldwijd de grootste public cloudprovider en dat brengt een grote verantwoordelijkheid met zich mee. De veiligheid van Amazons servers heeft een rechtstreekse impact op de veiligheid van talloze websites en online diensten die op de cloudinfrastructuur van de hyperscaler beroep doen.
AWS neemt die verantwoordelijkheid bijzonder serieus. Dat kan ook niet anders als de cloudgigant het vertrouwen van zijn klanten wil kunnen winnen en behouden. Aanvankelijk stonden heel wat bedrijven net omwille van security huiverachtig tegenover de public cloud, dus was het aan Amazon, Microsoft en andere aanbieders om het tegendeel te bewijzen.
Hadinger merkt in zijn gesprekken met Chief Information Security Officers dat die terughoudendheid tegenwoordig grotendeels is verdwenen. “Wanneer CISO’s de mogelijkheden op vlak van automatisering en realtime controle onder ogen krijgen, worden ze meteen enthousiast”, vertelt de AWS-topman. “Security is vandaag een reden geworden om vóór de cloud te kiezen.”
“Security is vandaag een reden geworden om vóór de cloud te kiezen.”
Cybersecurity is de grootste uitdaging waar CISO’s vandaag voor staan. Het groeiende aantal verbonden apparaten zorgt voor een toenemende complexiteit en een groter aanvalsoppervlak. Er was een tijd waarin CISO’s hun voornaamste zorg was om te voorkomen dat data werd gestolen of op een andere manier gecompromitteerd. Vandaag moeten ze niet alleen data, maar ook mensen, hardware, geconnecteerde apparaten en machines beschermen tegen hackers.
Automatisering
Het grote probleem bij veel bedrijven is volgens Hadinger een gebrek aan automatisering en controle. Het wordt steeds moeilijker om alles manueel te monitoren en het risico op menselijke fouten wordt groter. De cloud kan daarin een oplossing zijn, zo meent hij, en illustreert dat met een voorbeeld.
AWS is onder meer compliant met de PCI DSS-securitystandaard voor de verwerking van online betalingen. Automatisering kan compliance vereenvoudigen. “Een vereiste van PCI DSS is dat de firewallconfiguratie één keer per week wordt gecontroleerd. In de cloud kan dat worden geautomatiseerd met een script dat je desnoods zelfs elke vijf minuten kan laten draaien. Als er een probleem opduikt, krijg je meteen een melding.”
Een ander voorbeeld vinden we bij AWS zelf. Amazon rolde in 2017 maar liefst 1.430 nieuwe features uit naar zijn cloudomgeving, ofwel bijna vier nieuwe features per dag. Het is haast onmogelijk om al die nieuwe code manueel na te kijken en te valideren. Daarom gebeurt het automatisch.
“We rollen elke nieuwe functie progressief uit, waarbij we beginnen met één server en dan een hele rack enzovoort”, vertelt Hadinger. “Op elk moment in dat proces hebben we canaries die een automatische rollback in gang zetten wanneer ze falen. Op die manier wordt de impact van slechte code geminimaliseerd.”
Gedeelde verantwoordelijkheid
De stap naar de public cloud wordt weleens met outsourcing vergeleken, waarbij je de verwerking van – en controle over – je data uit handen geeft. Niets is minder waar volgens Hadinger. AWS steunt op een model van gedeelde verantwoordelijkheid waarbij Amazon verantwoordelijk is voor de beveiliging van het onderliggende cloudfundament. De klant staat zelf in voor de data die in de cloud wordt bewaard en heeft de controle over de beveiliging van zijn eigen omgeving. “De klant behoudt de controle over de inhoud. De data is niet toegankelijk voor medewerkers van Amazon”, benadrukt Hadinger.
“De klant behoudt de controle over de inhoud.”
De AWS-cloud wordt gebruikt door allerlei soorten bedrijven, waaronder ook financiële en andere organisaties die compliant moeten zijn met strenge regelgeving en certificaten. Amazon ondersteunt 17 wereldwijde certificaten, waaronder het eerder vermelde PCI DSS Level 1 en de ISO 27001-certificering voor beveiliging en privacy in de cloud. Verder is Amazon in overeenstemming met 20 reguleringen, waaronder de Europese GDPR, en nog eens 17 frameworks zoals het EU-US Privacy Shield, dat momenteel onder druk staat.
Omdat Amazon geen inzicht heeft in de data die zijn klanten via de cloud verwerken, geniet elke klant – of het nu een grootbank, kleine ontwikkelstudio of de Formule 1 is – van dezelfde bescherming en is compliance mogelijk met een druk op de knop. Daarnaast wordt alles standaard versleuteld (eventueel met je eigen encryptiesleutels), zonder impact op kosten of prestaties, en heb je als klant altijd de controle over de regio(‘s) waar je gegevens worden bewaard. “Ook voor een back-up van je data kan je altijd zelf de regio kiezen, AWS repliceert nooit gegevens zonder medeweten van de klant”, benadrukt Hadinger.
Lees dit: CTO Amazon: Beveiliging van de cloud is een gedeelde verantwoordelijkheid
Provable security
De securityoplossingen van AWS gaan van identity management en detective control, over infrastructure security, tot data protection en incident response. Daarmee krijgt de klant alle tools in handen voor een gedegen bescherming van zijn cloudomgeving. “We streven er naar om klanten te helpen de hoogst mogelijke beveiliging in de cloud te bereiken”, vertelt Hadinger
Toch kan het alsnog fout lopen. Als een klant een vergissing maakt in zijn configuratie of de implicaties van een bepaalde functie niet goed begrijpt, kan hij onbedoeld zijn gegevens blootstellen aan ongeoorloofde toegang. Accenture mocht dit een jaar geleden nog aan den lijve ondervinden. Door een misconfiguratie gaf het consultingbureau per ongeluk toegang tot decryptiesleutels, wachtwoorden en gevoelige klantendata op vier onbeveiligde AWS S3-servers.
“We streven er naar om klanten te helpen de hoogst mogelijke beveiliging in de cloud te bereiken”
Nieuwe maatregelen moeten dat soort scenario’s helpen voorkomen. “Met behulp van geautomatiseerde redeneringstechnologie, de toepassing van wiskundige logica om kritieke vragen over uw infrastructuur te beantwoorden, kan AWS hele klassen van misconfiguraties detecteren die mogelijk kwetsbare gegevens kunnen blootstellen”, legt Hadinger uit. “We noemen dit provable security-absolute assurance van beveiliging in en van de cloud.”
Twee nieuwe tools, Zelkova en Tiros, helpen met de automatische security-analyse van AWS-configuraties. De tools evalueren wie toegang heeft tot een S3-bucket en brengen alle mogelijke paden naar het open internet vanuit de bucket in kaart. Ze bieden directe, geautomatiseerde feedback over de praktische gevolgen die een bepaalde configuratie met zich meebrengt, zodat beheerders zich bewust zijn van eventuele risico’s. Een andere tool, Macie, schuimt dan weer publieke S3-buckets af om te controleren of ze geen potentieel gevoelige informatie bevatten.
‘Provable security’ betekent niet zozeer een onfeilbare security, maar wel dat op een methodische en geautomatiseerde manier wordt nagegaan of de getroffen beveiligingsmaatregelen werken zoals verwacht en geen potentiële risico’s over het hoofd worden gezien. “We willen altijd een stap verder gaan om de veiligheid en prestaties voor onze klanten te verbeteren, en dat aan een lagere kost”, besluit Hadinger.