Wie heeft de sleutel? Arrow to Content

Jim de Haas CCSK, CSA Nederland chapter board member

De toepassing van encryptie in cloud diensten, voor het waarborgen van de vertrouwelijkheid van opgeslagen gegeven, kan vanuit meerdere perspectieven worden bekeken. De CIO formuleert beleid en stelt eisen. De security en risk manager onderzoeken de risico’s en mogelijk mitigerende maatregelen. De afdelingen juridische zaken en compliance stellen eisen aan data verwerking in bepaalde regio’s van de wereld. Engineers zijn betrokken bij de implementatie van technische maatregelen. Dit artikel is geschreven vanuit het perspectief van een eindgebruiker, een organisatie die voornemens is een cloud dienst te kopen en daar kritische data te verwerken. Het artikel geeft een beknopt overzicht van beschikbare encryptievormen en koppelt deze aan de context van een cloud implementatie. Een public cloud in Europa stelt nu eenmaal andere eisen dan een public cloud in de Verenigde Staten. De context verschilt.

Cloud computing context
Cloud implementaties verschillen enorm qua context. Er zijn een aantal dimensies waar een organisatie rekening mee dient te houden, omdat deze invloed hebben op het risico profiel en daarmee op de eisen aan encryptie:

Dimensie Casus
Geolocatie, waar in de wereld wordt de data verwerkt Verenigde Staten
Classificatie van de data Kritisch
Type data HR data
Delivery model Public Cloud
Service model Saas

 

Vormen van encryptie

Het IT budget voor de implementatie van een SaaS applicatie is meestal groot genoeg om de inspanning van een RFP (request for proposal ) te verantwoorden. Het project team doet bij een aantal Cloud Service Providers (CSP) een RFP. Ten aanzien van encryptie wordt uitgevraagd welke vormen van encryptie de CSP ondersteund voor opslag, transport en gebruik. In de praktijk kom je veel varianten tegen.

  • Er zijn CSP’s met een lage security maturity. Dit zijn meestal kleinere spelers in de markt (MKB segment), die bieden geen versleuteling van data.
  • Versleuteling van databases (opslag).
  • Versleuteling van data op het Storage Area Network (SAN) (opslag).
  • Versleuteling van data via een encryption gateway (transport en opslag)

Encryptie van data transport
Naast het encrypten van de verbinding met TLS kan een organisatie ervoor kiezen om tevens de data zelf te encrypten. PGP is hiervoor een veelgebruikte toepassing in het MKB segment (zie voetnoot).

Encryptie van data in gebruik
CSP kan encryptie implementeren op databases of op het Storage Area Netwerk. De CSP beschikt over de private keys en kan vertrouwelijke data inzien. Of dit een probleem is hangt af van het security beleid van de klant. Wanneer de klant organisatie de CSP voldoende vertrouwd hoeft het geen probleem te zijn wanneer de CSP over de private keys beschikt. De klant kan vertrouwen baseren op de kwaliteit van onafhankelijke audit rapporten (SOC2, SOC3) of op bijvoorbeeld op basis van contractuele afspraken.
Het is verstandig om de key-management procedures van de CSP te reviewen. Of dit is toegestaan is meestal afhankelijk van de afspraken die gemaakt zijn over right-to-audit. Deze procedures zijn zelden in scope van een SOC rapport.
Wanneer encryptie van data door de CSP niet voldoende is kan men overwegen een zogeheten encryption gateway te implementeren. Analisten bureaus zoals ISF, IDC, Forrester en Gartner hebben hier onderzoek naar gedaan en documenten over gepubliceerd. Deze publicaties geven een overzicht van de spelers in de markt en hun volwassenheid.
Deze encryption gateways bieden encryptie van specifieke cloud diensten. Vraag tijdens de RFP aan de CSP met welke gateways het bedrijf implementatie ervaring heeft. Een voorbeeld is SalesForce CRM in combinatie met Ciphercloud of Perspecsys. Of Yammer in combinatie met Vaultive. Voordeel van het gebruik van een encryption gateway is dat alle data die wordt verwerkt door de CSP versleuteld is en dat de klant organisatie over de private key beschikt. De CSP kan niet in de vertrouwelijke data kijken. Nadeel is dat er in sommige gevallen verlies is van functionaliteit voor de eindgebruikers. Niet alle velden in een applicatie zijn bruikbaar. De toepassing van dergelijke gateways dient wel te passen in het IT beleid en security architectuur.

Welke encryptie is het beste?
Om te bepalen welke vormen van encryptie het beste passen bij een cloud implementatie kan een workhop worden georganiseerd. Vertegenwoordigers van het project geven informatie over zaken als de gekozen CSP, de toepassing, key management, data classificatie, contractvorm, geolocatie (ook van de uitwijk of back-up). Vanuit security, juridisch en compliance perspectief wordt naar de risico’s gekeken. Het team toets het resulterende voorstel voor encryptie aan het security beleid en bespreekt het met de architecten. Het is van belang de security specialisten zo vroeg mogelijk in het project te betrekken.

Page Dividing Line