Beveiliging in de cloud en cybersecurity
Hoe veilig zijn cloudoplossingen? Deze vraag wordt vaak gesteld wanneer er wordt overwogen om beveiligingsoplossingen naar de cloud te verhuizen. Een belangrijk aspect is cybersecurity: hoe wordt de data beveiligd tegen cyberaanvallen, wie heeft toegang tot de data, hoe veilig is de verbinding naar de cloud en hoe veilig is het datacenter zelf? In dit blog gaan we in op deze vragen, maar de continuïteit van beveiligingsoplossingen hangt van meer af dan alleen cybersecurity, in ons blog ‘Waarom beveiliging in de cloud veiliger is dan on-premise oplossingen’ lees je hier meer over.
CyberSecurity; authenticatie, encryptie en digitale certificaten.
Cybersecurity is een verzamelnaam voor het beschermen van computers, servers, mobiele apparaten, elektronische systemen, netwerk en gegevens tegen schadelijk aanvallen. Cybersecuritymaatregelen worden op allerlei manieren toegepast, zoals een virusscanner en firewall. In een wereld waarbij steeds meer apparaten met elkaar verbonden zijn, is het belangrijk om deze communicatie goed te beschermen. Dit geldt natuurlijk voor clouddiensten maar ook voor on-premise systemen.
Dataencryptie wordt vaak als dé oplossing gezien, maar dit is slechts een onderdeel van het proces van veilig data uitwisselen. Het is namelijk niet alleen een kwestie van het versleutelen van data zodat deze niet door een derde partij te lezen is (dataencryptie), maar het controleren van de identiteit van de zender en ontvanger is een minstens zo belangrijke stap. Voordat data (versleuteld) van de zender naar de ontvanger wordt verstuurd moet eerst bevestigd worden of de ontvanger wel diegene is die je denkt dat het is. Dit noemen we authenticatie. Een bekende vorm van authenticatie is een gebruikersnaam en een wachtwoord.
In elektronische beveiligingssystemen zie je dat bij bijvoorbeeld CCTV-oplossingen een gebruikersnaam en een wachtwoord gebruikt wordt om verbinding te maken met een camera. Maar is dit wel voldoende? Geïnstalleerde camera’s gebruiken vaak nog steeds de inloggegevens die in de fabriek zijn geprogrammeerd. Zo kan een hacker anno 2020 relatief makkelijk toegang krijgen tot een camera, of zich voordoen als een camera waarmee toegang tot het videomanagementsysteem kan worden verschaft. Dit laatste noemen we ook wel een man-in-the-middle aanval.
In een on-premise omgeving wordt nog steeds vaak een gebruikersnaam en een wachtwoord gebruikt als het enige authenticatiemiddel. Men vertrouwt erop, doordat componenten in een gesloten (netwerk)omgeving zijn geplaatst, dat zender en ontvanger inderdaad diegene zijn die men verwacht. In een cloudomgeving is dit niet voldoende. Door bijvoorbeeld de videomanagementsoftware in de cloud te plaatsen en gebruik te maken van het internet om verbinding te maken, is authenticatie belangrijker dan ooit. De toepassing van digitale certificaten is hierbij een steeds vaker gebruikte, goede oplossing en daardoor een belangrijke standaard in cloudtechnologie. Een digitaal certificaat is een unieke digitale vingerafdruk die o.a. gebruikt wordt om het uitwisselen van data te authentiseren. Komt de vingerafdruk niet overeen, dan wordt er geen data uitgewisseld.
Hoe kom ik veilig bij mijn data en wie heeft nog meer toegang?
Bij on-premise oplossingen wordt data opgeslagen op een server in de serverruimte, deze is beveiligd tegen ongeoorloofde toegang. Bij cloudoplossingen is er echter geen bepaalde server waarop data wordt opgeslagen, maar hoe wordt dan zorggedragen dat alleen geautoriseerde gebruikers toegang krijgen?
Bij een cloudoplossing krijgt de klant een unieke virtuele container (ook wel Tenant genoemd) waar alle data, apps en services in worden opgeslagen en ondergebracht. Ook hier moet de toegang goed beveiligd worden, zodat de eigenaar er zeker van is dat alleen mensen die daar toestemming voor hebben bij de data kunnen.
Authenticatie tot deze unieke virtuele container wordt verzorgd op basis van digitale certificaten, zowel voor apparaten als gebruikers. Een veilige en toch gemakkelijk manier van gebruikersauthenticatie in de cloud is met behulp van Microsoft Azure Active Directory; gebruikers gebruiken hun ‘bedrijfsindentiteit’ om veilig in te loggen op IT-services van de eigen organisatie, waaronder bijvoorbeeld het videomanagementsysteem. Zo wordt ook meteen geborgd dat gebruikers die uit dienst zijn, geen toegang meer hebben tot cloudapplicaties.
Hoe veilig is de connectie tussen hardware en de cloud?
De connectie tussen lokale beveiligingsapparatuur en de cloud gaat over het publieke internet, dat staat niet bepaald bekend als veilig. Er zijn dagelijks berichten in het nieuws over datalekken of hacks. Daar zit voor veel mensen dan ook de twijfel over cloud: hoe veilig zijn mijn gegevens als ze over het internet gaan?
Wanneer bijvoorbeeld een camera of toegangscontrole appliance voor het eerst wordt toegevoegd aan het videomanagement- of toegangscontrolesysteem in de cloud, wordt het unieke digitale certificaat (de digitale vingerafdruk) uitgewisseld en opgeslagen. Elke keer wanneer de camera daarna verbinding probeert te maken wordt opnieuw gecontroleerd of de digitale vingerafdruk overeenkomt. Zo weten we altijd zeker dat alleen de hardware van jouw beveiligingsinstallatie verbinding maakt met jouw cloudomgeving.
Het digitale certificaat wordt daarnaast ook gebruikt om een versleutelde/encrypted ‘tunnel’ op te zetten tussen bijvoorbeeld de camera of toegangscontrole appliance en de applicaties in jouw virtuele container. Alle data die wordt verstuurd, wordt via deze versleutelde tunnel verstuurd, onzichtbaar en niet leesbaar voor de buitenwereld.
Het gebruik van digitale certificaten is standaard in cloudtechnologie en verhoogt dus de veiligheid ten opzichte van de meeste on-premise installaties. Securitas Technology maakt in haar clouddiensten alleen gebruik van vertrouwde digitale certificaten, uitgegeven door een vertrouwde instantie (Certificate Authority of CA) die elke 4 weken automatisch worden vernieuwd. Zo wordt veiligheid gewaarborgd, zonder de IT beheerlast te verhogen.
De veiligheid van een datacenter en back-up van data
Securitas Technology maakt voor haar cloudservices exclusief gebruik van de Microsoft Azure™ Cloudservices. De data wordt opgeslagen op één van de 160 Microsoft datacenters in de wereld, waarvan er 1 in Nederland staat. Wij kunnen per klant aangeven waar de data mag staan. Zo kunnen klanten kiezen dat de data alleen in Nederland blijft. De fysieke risico’s die spelen bij een on-premise oplossing, gelden natuurlijk net zo goed voor een datacenter. Daarom moeten datacenters aan de hoogste eisen voldoen om de data van hun klanten veilig te houden. Naast beveiliging tegen cyberaanvallen, zijn er maximale bouwkundige, elektronische en organisatorische maatregelen genomen om risico’s zoals brand- en waterschade en criminaliteit te minimaliseren. Alle maatregelen rondom o.a. informatiebeveiliging, beschikbaarheid en privacy worden in verschillende standaarden beschreven. Het Microsoft Azure platform voldoet aan de eisen beschreven in SOC 1, SOC2 en SOC 3 en ISO27001.
Een back-up van de data wordt opgeslagen in hetzelfde datacenter als de primaire dataopslag of, indien gewenst in één van de overige Microsoft datacenters. De persoonlijke eisen en wensen van kanten staan hierin centraal; de klant heeft altijd de keuze waar de data en de back-ups worden opgeslagen.