2013 Cloud Computing; Zekerheid met PaaS
[CLOUD COMPUTING; ZEKERHEID MET PAAS] Dit document geeft aan op welke manier u zich zekerder kunt voelen met PaaS.
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
Inhoudsopgave PaaS beveiliging en andere Cloud Modellen ............................................ 3 Zekerheid. ....................................................................................................... 5 6 veiligheidstips voor PaaS .......................................................................... 6
2
Jambo ConsultancyŠ
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
PaaS beveiliging en andere Cloud Modellen. De algemene vuistregel luidt: Hoe hoger "as a Service� je gaat, hoe minder controle de organisatie heeft over de techniek, hoe belangrijker het veiligheidsbeleid wordt.
Platform as a Service (PaaS) is een uitstekende agile manier voor organisaties om gebruik te maken van de Cloud. Met PaaS kan een organisatie haar inspanningen richten op de juiste functionaliteit en toegevoegde waarde voor de business, in plaats van tijd en geld te verliezen met focus op server configuratie en platformmanagement. Als het aankomt op beveiliging kent PaaS haar eigen specifieke uitdagingen. Meer dan andere Cloud modellen vraagt PaaS om extra aandacht voor gevaren omdat veel van de onderliggende veiligheidsaspecten buiten de eigen controle vallen. 3
Jambo ConsultancyŠ
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
Rekening houdend met de flexibiliteit van PaaS ten koste van het verlies van controle over de onderliggende computeromgeving, biedt PaaS, net als IaaS, vrijwel onbeperkte ontwerpvrijheid: je kunt elke webapplicatie bouwen die je je wenst. Echter, in tegenstelling tot IaaS, is de structuur onder de toepassing ondoorzichtig, m.a.w. de componenten en infrastructuur ter ondersteuning van de (bedrijfskritische) IT toepassingen is een "black box". Net als bij SaaS moeten controles voor dataveiligheid in de applicatie zelf worden ingebouwd maar in tegenstelling tot SaaS, waar de dienstverlener doorgaans zelf op applicatieniveau voor de beveiligingsmaatregelen zorgt, geldt bij PaaS dat dit veiligheidsaspect specifiek voor eigen rekening komt. Dit betekent dat de verantwoordelijkheid en de kosten om ervoor te zorgen deze controles door de webapplicatie regelmatig en goed worden uitgevoerd bij de klant van de PaaS leverancier liggen. In dit document staat een advies over hoe de gevaren van PaaS te verkleinen en geeft 6 veiligheidstips die specifiek op het beveiligingsrisicoprofiel PaaS van toepassing zijn.
4
Jambo ConsultancyŠ
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
Zekerheid. Het zoeken naar zekerheid door organisaties die overwegen hun bedrijfsprocessen door PaaS te laten ondersteunen valt uiteen in twee categorieen; I De kans op Vendor Lock In en de daaraan gerelateerde problematiek II Veiligheid van data en het verlies van controle over de IT dienstverlening van de PaaS leverancier èn de internetprovider. Om de kans op Vendor Lock-In te verkleinen is het zaak om altijd over de code te beschikken en precies te weten wat wel en wat niet “overgezet” kan worden naar bv een Eclipse programmeeromgeving. Het is verstandig dit contractueel af te spreken. Op deze manier houd je controle over de onderliggende infrastructuur in een PaaS model. Kijk ook naar de stabiliteit van de PaaS aanbieder zelf. Aanbieders als Amazons BeanStalk, Azure van Microsoft en Heroku van Salesforce zijn een onderdeeltje van grote organisaties en vormen waarschijnlijk weinig risico om te verdwijnen (zie ook Leverancier Selectie Strategie http://issuu.com/jamboflip/docs/leverancierselectiestrategie2013def ). Kleinere PaaS aanbieders die niet beschikken over de financiële stabiliteit van een reus als Amazon verdienen iets meer aandacht. Een kleine onderneming die platformen bouwt waarop eigen bedrijfskritische applicaties draaien moet in staat zijn de code af te staan in geval van faillissement. Dat wil niet zeggen dat kleinere aanbieders minder veilig zijn. Met kleine aanbieders zijn in het algemeen betere afspraken te maken. Ook ontwikkelen ze meer standaardoplossingen voor integratie met de “bekende namen”. Doe de zelftest met de Analyse Tool van Jambo https://docs.google.com/file/d/0BwiU--xkIhGqUkF0d0hDR1lQazg/edit?usp=sharing
Afhankelijkheid van internetproviders is rechtstreeks afhankelijk van de mate waarin bedrijfskritische processen door de Cloud worden ondersteund. Het maakt daarbij niet uit met welk “as a Service”model wordt gewerkt. Goede SLA’s met een gerenommeerd internetprovider zijn van levensbelang.
5
Jambo Consultancy©
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
Zes veiligheidstips voor PaaS. 1) Stel de juiste beveiligingsvragen aan de PaaS aanbieder over de fysieke plaats, het netwerk en het besturingssysteem. Is voor alle medewerkers van het datacenter een toegangsbadge verplicht? Is er alleen toegang tot systemen op een Need-to-Know basis? Is er een back-up power systeem of een andere vorm van ondersteuning bij calamiteiten aanwezig? Welke Virtual Machines (VM) zijn beschikbaar? Zijn de systemen inclusief firewall? Hoe wordt netwerkmonitoring en security event logging gedaan en beschikt de provider over een incident actie plan? Bestaan er strikte procedures voor het besturingssysteem? Is er een patch management plan en kan men ervoor zorgen dat het besturingssysteem en de applicaties die erop draaien niet kwetsbaar zijn voor cyber aanvallen?
Is een two-factor authenticatie vereist voor externe (administratieve) taken? 2) Bepaal of de provider alle certificeringen, zoals SSAE 16 (het voormalige SAS 70), PCI DSS of ISO 27001 heeft. Certificeringen zijn vaak een indicator voor de mate van beveiliging van de eigen processen. Is de aanbieder bekend met veelvoorkomende Cloud Security controle modellen, zoals FedRAMP of de CSA Cloud Control Matrix? Beide zijn opkomende industriestandaarden voor Cloud Security. Daarbij geven veel PaaS aanbieders de optie om voor een public of private Cloud te kiezen.
6
Jambo ConsultancyŠ
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
Nadat een onderneming er alles aan heeft gedaan om veiligheid te garanderen aan de providers kant, is het zaak om zich te concentreren op het veiligstellen van de eigen software ontwikkel lifecycle. 3) Inventariseer de beschikbare beveiligingsinstrumenten voor het creeren van een zekere omgeving. Kijk welke tools je kunt gebruiken voor PaaS veiligheid. Veel van de PaaS leveranciers bieden deze tools hetzij gratis hetzij tegen gereduceerde prijs aan hun klanten aan. Organisaties kunnen ook gebruik maken van een gratis tool zoals bv Google’s Skipfish. Andere zijn Cross-Site Scripting (XSS) en SQL injection; standaard technieken die webapplicaties screenen op veiligheids-problemen (zie ook de veiligheidspilon van Jambo http://issuu.com/jamboflip/docs/cloud_computing_pilondef ) . 4) Leer de betrokkenen de veiligheidsaspecten. Naast het zelfontwikkelde trainingsschema is een goed startpunt de door Microsoft ontwikkelde Clinic 2806; veiligheidstandaarden voor softwareontwikkelaars. 5) Gebruik geen echte productiedata tijdens ontwikkeling. PaaS diensten maken het makkelijk om databases tussen de fasen ontwikkeling, test en productie te delen. Tools zoals het open source “Databene Benerator” kan grote hoeveelheden gegevens genereren voor testdoeleinden, conform de eigen databasestructuur. Ook bestaan er “data scrubbers”die productiegegevens opschonen. 6) Zet het veiligheidsbeleid als topprioriteit op de agenda. Last but not least! PaaS betekent een cultuur en prioriteiten aanpassing. Veiligheid verdient met PaaS alle aandacht. Alles draait om de applicatie en de leverancier van het platform. In tegenstelling tot vroeger kunnen veiligheids issues niet meer op het niveau van infrastructuur worden getakkeld of achteraf rechtgezet.
7
Jambo Consultancy©
1 augustus 2013
[CLOUD COMPUTING; ZEKERHEID MET PAAS]
Disclaimer; Alle ideeën, concepten, oplossingen, Apps en andere door Jambo Consultancy© ontwikkelde applicaties en tools staan geregistreerd bij Benelux Bureau voor de Intellectuele Eigendom (BBIE).
8
Jambo Consultancy©