Geen encryptie? Geen excuus! Waarom data versleutelen een must is

AWS encryptie

Zijn de data van jouw organisatie versleuteld? Vroeger speelde de afweging tussen snelheid en veiligheid een rol, vandaag veel minder. We komen op een punt dat encryptie de standaard wordt, zonder dat daar tastbare minpunten bij komen te kijken.

“Dance like no one is watching, encrypt like everyone is.” We spreken met Julien Lépine, Senior Manager Specialist Solutions Architects voor AWS EMEA, maar het zijn niet zijn woorden. De uitspraak komt van zijn baas en de CTO van AWS, Werner Vogels. “We willen encryptie alomtegenwoordig maken”, verduidelijkt Lépine. “Versleuteling is belangrijk voor iedereen, overal en moet beschikbaar zijn op ieder platform.”

Medaille met twee kanten

Encryptie was niet zo lang geleden nog een medaille met een vervelende keerzijde. Aan de positieve kant geeft versleuteling van data een enorme boost aan het veiligheidspostuur van iedere onderneming. De afgelopen jaren zijn organisaties groot en klein zich bewust geworden van het belang van goed beveiligde data. Een veelvoud aan hacks die de voorpagina’s haalden, maakt duidelijk dat iedereen kwetsbaar is terwijl regelgeving zoals de GDPR de verantwoordelijkheid voor de bescherming van data bij de verzamelaar legt. Nonchalant omspringen met data kan niet meer. Goed versleutelde data blijft onleesbaar, zelfs wanneer een hacker zich een weg naar binnen forceert.

Dance like no one is watching, encrypt like everyone is.

Werner Vogels, CTO AWS

Aan de andere kant is encryptie en decryptie een taak die een server moet uitvoeren. Data versleutelen en opnieuw leesbaar maken kost rekenkracht. Hoeveel rekenkracht hangt af van verschillende factoren. Een archief versleutelen kost minder moeite om veilig te houden dan data die je actief gebruikt, maar er was altijd een overhead. Dat schrikte af.

“Bovendien is encryptie in on-premises-omgevingen met veel legacy niet vanzelfsprekend”, vult Lépine aan. “In veel gevallen was het gewoon erg moeilijk om alles te versleutelen.” Vandaag is dat anders. On-premises blijven er nog enkele uitdagingen, maar in een cloudomgeving valt encryptie naadloos te integreren met de hele infrastructuur. Dat doet AWS ook. De cloudprovider probeert het voortouw te nemen door technologie als standaard te implementeren voor alle gebruikers.

Wat kan je nu precies versleutelen en hoe gaat het in zijn werk? Er zijn drie verschillende fases die data kan aannemen, met elk hun eigen uitdaging en sinds kort ook hun eigen oplossingen.

  • Data in rust
  • Data in transit
  • Data in gebruik

Data in rust

Data in rust zijn gegevens die ergens staan opgeslagen op een HDD of SSD. Denk daarbij aan een archief met bestanden die je maar af en toe gebruikt of een back-up. “Data is rust versleutelen is een absolute no-brainer”, vindt Lépine. “Eigenlijk zou het de standaard moeten zijn. Wij integreren het ook als standaard in de meeste diensten.”

Basisversleuteling van data in rust op bijvoorbeeld S3-opslag is niet complex en biedt meteen een heleboel extra veiligheid. Raakt een crimineel binnen op een server door bijvoorbeeld een misconfiguratie, dan kan hij of zij op z’n minst niet aan de gegevens. De impact op prestaties is bovendien virtueel onbestaande.

Data in transit

Data in transit zijn gegevens die over het netwerk verstuurd worden. Die versleutelen is historisch gezien complexer, omdat het de nodige rekenkracht vergt om gegevens in realtime te encrypteren en te decrypteren. Vraag je de data op over het netwerk, dan kan het immers niet zo zijn dat je tijd hebt voor een wandeling naar het koffieapparaat omdat de versleutelde gegevens maar langzaam door een decryptiebuffer sijpelen.

Het is perfect mogelijk om efficiënte encryptie te integreren langs de netwerkkant.

Julien Lépine, Senior Manager Specialist Solutions Architects AWS EMEA

“Ook dat probleem is vandaag verholpen”, weet Lépine. “Het is perfect mogelijk om efficiënte encryptie te integreren langs de netwerkkant.” AWS doet dat onder andere via de zelfgebouwde Nitro-controller die tot 100 gigabit per seconde aan data kan slikken. “Dat heeft natuurlijk niet iedereen nodig. Ook traditionele workloads versleutelen is echter geen probleem. AWS Cloudfront, de AWS Load balancer, de gateway: standaard is opnieuw alles versleuteld.”

Data in gebruik

De grootste uitdaging ligt traditioneel in de bescherming van data die in gebruik zijn. Op de opslagserver staan je bestanden veilig, onderweg in het netwerk kunnen pottenkijkers niet meelezen, maar op een bepaald moment moeten gegevens via het geheugen naar de processor zodat die er bewerkingen mee kan uitvoeren.

Dat wordt helemaal kritisch wanneer je beseft dat data vandaag vaak verwerkt worden door virtuele machines die samen met andere VM’s op één server draaien. Heel wat software heeft zo geprivilegieerde toegang tot de CPU. Misbruik is niet eenvoudig, maar wel mogelijk.

Intel probeerde aanvankelijk bescherming in te bouwen met Software Guard eXtensions of SGX. SGX biedt een afgeschermde enclave waarin een processor data kan behandelen buiten het oog van zelfs het besturingssysteem. De toepassing was beperkt en bovendien niet vrij van lekken.

AMD gaat een stapje verder met Secure Memory Encryption of SME. AMD’s processors kunnen via SME aan de slag met data die met een unieke key versleuteld zijn in het RAM-geheugen. Implementaties van SME zorgen ervoor dat één virtuele machine volledig versleuteld kan draaien op eenzelfde processor waar ook andere VM’s op draaien, zonder dat er ruimte is voor spionage. Met zijn nieuwste Xeon-chips introduceert Intel Total Memory Encryption, wat in essentie hetzelfde is als AMD’s SME.

lees ook

10 nm, 40 cores: Intel maakt Xeon opnieuw competitief met AMD Epyc

“Chips van zowat iedere fabrikant hebben vandaag encryptiemogelijkheden aan boord”, valt Lépine bij. Op maat gebouwde instructiesets zorgen ervoor dat versleuteling in gebruik kan, zonder grote overhead.”

AWS ontwikkelt sinds enkele jaren zelf processors met Graviton en Graviton 2, allebei op ARM gebaseerd. Lépine: “Die chips voorzien permanente 256 bits-AES DRAM-encryptie voor alle Graviton-instances.” AWS bouwde ook een processor-agnostische oplossing met AWS Nitro Enclaves. Daarin wordt een deel van een instance geïsoleerd in een enclave, waar het OS bijkomend cryptografisch geverifieerd wordt.

Encryptie voor iedereen

Dergelijke technologie is het laatste stukje van de puzzel. Doordat nu ook CPU’s geoptimaliseerd zijn om met versleutelde data te werken, is het een optie voor iedereen om gegevens te allen tijde te versleutelen. Vroeger vergde dat meer van de hardware waardoor optimale bescherming was weggelegd voor bedrijven die met echt gevoelige data omgingen. Vandaag raakt de technologie echter stilaan gedemocratiseerd.

“Encryptie eenvoudig en toegankelijk maken voor iedereen blijft een voortdurende opdracht”, weet Lépine. “Als cloudprovider kunnen we op hele grote schaal innoveren en investeren. Dat geeft ons de mogelijkheid om technologie naar iedereen te brengen.” Hij besluit met een andere quote van Vogels: “Vroeger moest je kiezen: snelheid of veiligheid. Vandaag niet meer: organisaties kunnen snel en veilig zijn.”

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.