In het AG-Connect artikel “Witte Huis wil clouds van Microsoft, Google, AWS, Oracle betere beveiliging opleggen” wordt op basis van een artikel van de website Politico gesteld dat grote cloudproviders, zoals Amazon AWS, Microsoft Azure en Google GCP too big to fail zijn en dat de Amerikaanse overheid de security van cloudproviders wil gaan reguleren.
De afgelopen jaren hebben veel organisaties hun IT-systemen gemigreerd naar grote cloudproviders. Hierdoor zou het omvallen van deze cloudproviders – en het daarmee uitvallen van een scala aan IT-diensten van overheden en bedrijven – een enorme schade veroorzaken. Een schade vergelijkbaar, of zelfs groter, dan die van de too big to fail-banken.
Een terechte zorg. De vraag is echter hoe dit risico beheerst kan worden. Het artikel op Politico stelt dat cloudservers niet zo veilig zijn gebleken als regeringsfunctionarissen hadden gehoopt. Onduidelijk is waaruit dit blijkt en wat de verwachtingen waren. Ook is het onduidelijk of het alternatief, het weer in eigen beheer nemen van de eigen IT-voorzieningen, tot hogere veiligheid zou leiden.
Ik durf dat wel te betwijfelen. Ter vergelijking: bij banken wordt ook soms geld ontvreemd door criminelen. Maar is het dan beter om je geld thuis in je matras te bewaren? Gezien de staat van IT-systemen bij de overheid zou ik verwachten dat de IT en security bij de cloudleveranciers veel beter op orde is.
Dat hackers uit landen als Rusland cloudservers van bedrijven als Amazon en Microsoft gebruiken als springplank voor aanvallen op andere doelwitten is niets nieuws en heeft met bovenstaande weinig te maken. Als platform voor aanvallen is de cloud zeer geschikt. Maar dat staat los van waar de doelwitten zich bevinden.
This entry was posted on Vrijdag 17 Maart 2023
In het in augustus 2022 aangenomen Rijkscloudbeleid staat dat er geen belemmering meer is om overheidsdata onder voorwaarden onder te brengen bij Amerikaanse cloudleveranciers. Hierbij moet de data wel op fysieke opslagsystemen in Europa worden opgeslagen en in Europa worden bewerkt. In de tweede kamer is op 21 februari 2023 een motie aangenomen om bij de komende evaluatie van het Rijksbrede cloudbeleid, eind 2023, de doorgifte van persoonsgegeven en overheidsdata buiten de EU te heroverwegen en de keuze te laten vallen op een Europees cloud-initiatief. “Overheidsdiensten moeten straks gebruikmaken van Europese clouddiensten.” schrijft Computable.
De vraag om geen overheidsdata op te slaan bij buitenlandse partijen is begrijpelijk, maar het getuigt ook van weinig inzicht in de huidige marktsituatie. Van de top 5 grootste cloudleveranciers zijn er 4 Amerikaanse en 1 Chinese partij. Uiteraard zijn er ook veel kleinere partijen actief, ook in Europa, maar deze hebben niet de slagkracht en het innovatievermogen om serieus te concurreren met de grote leveranciers. En het profiteren van de innovaties van cloudleveranciers is een van de belangrijkste redenen voor de overheid om gebruik te maken van clouddiensten. Basisclouddiensten, zoals servers en opslag kunnen veel partijen bieden. Maar als het om geavanceerde diensten gaat als Artificial Intelligence (AI) of Machine Learning, doen de kleinere cloudaanbieders niet serieus mee.
Staatssecretaris Alexandra van Huffelen (Digitalisering) geeft aan dat de federatieve cloudstructuur Gaia-X nog niet groot genoeg is om een daadwerkelijk alternatief te bieden. Ik zou het sterker formuleren: Gaia-X is helemaal geen cloudleverancier en dus ook geen partij in deze discussie. Gaia-X is slechts een set afspraken om data-uitwisseling tussen cloudleveranciers eenvoudiger en veiliger te maken, zodat deze voldoet aan Europese privacy regels. Gaia-X bouwt helemaal geen datacenters.
Er zijn een aantal opkomende cloudleveranciers in Europa, zoals IONOS in Duitsland en OVHcloud in Frankrijk, die een soevereine cloud aanbieden. Ook zien we initiatieven van de Amerikaanse cloudleveranciers om in Europe een losstaande soevereine cloud te bouwen, vaak in samenwerking met Europese partijen. Het gaat nog wel even duren voor al deze initiatieven een volwaardige tegenhanger zijn voor de bestaande Amerikaanse cloudleveranciers. Intussen wordt in overheidsland al druk gebouwd aan toepassingen bij de Amerikaanse cloudleveranciers.
This entry was posted on Vrijdag 10 Maart 2023
Van veel Nederlandse studenten staan de persoons- en studiegegevens opgeslagen in datacentra van Amerikaanse techbedrijven. Volgens het kabinet zijn er maatregelen genomen om lekken te voorkomen. “Experts waarschuwen voor de risico’s van cloudopslag. De techbedrijven die erachter zitten, opereren onder de wetgeving van de VS” staat er in een artikel op Univers. “Zo hebben Amerikaanse opsporingsdiensten relatief gemakkelijk toegang tot de gegevens en kunnen die ook worden verkocht aan adverteerders,” schrijft het journalistieke medium van Tilburg University.
Dit is onjuist. Hierbij worden social media platforms en andere gratis diensten verward met betaalde clouddiensten van Azure en AWS. Het klopt dat Amerikaanse bedrijven vallen onder Amerikaanse wetgeving, en dat met de Amerikaanse CLOUD-act opsporingsdiensten in specifieke gevallen (zoals mogelijk terrorisme) data van één bepaald persoon mogen opeisen. Maar van grootschalige toegang tot gegevens, laat staan het verkopen daarvan is geen sprake. Overigens geldt ook voor andere landen dat er wetgeving is die opsporingsdiensten in het buitenland bepaalde bevoegdheden geven.
De Nederlandse overheid heeft met Microsoft aanvullende afspraken gemaakt over het gebruik van de diensten van Microsoft365, waarbij onder andere veel minder zogenaamde telemetriegegevens naar Microsoft worden gestuurd. Deze afspraken, gemaakt door Strategisch Leveranciers Management Rijk, worden nu ook gemaakt met andere cloudaanbieders, zoals AWS en Google. We zien dat Amerikaanse partijen zich de laatste tijd veel beter bewust worden van de verschillen in privacywetgeving en -beleving dan in de VS en dat ze zich daarop aan het aanpassen zijn. Dat is natuurlijk in hun eigen belang, maar ook van belang van de burgers in Nederland.
This entry was posted on Dinsdag 17 Januari 2023
De afgelopen jaren is er een de enorme toename te zien in het gebruik van clouddiensten van Amerikaanse bedrijven zoals Microsoft, Amazon en Google door bedrijven en instellingen in Nederland. Het is een goede stap dat Microsoft nu gekozen heeft om in de Azure cloud opgeslagen data van Europese burgers en organisaties in Europa te houden. De stap is vooral belangrijk omdat naar verwachting ook de Nederlandse overheid steeds meer gebruik zal gaan maken van clouddiensten, nu het Rijkscloudbeleid in augustus 2022 door de Tweede Kamer is gegaan.
De verwachting is dat ook andere cloudaanbieders vergelijkbare stappen zullen nemen. Hoewel het EU Data Boundary-initiatief van Microsoft een belangrijke stap is, blijft het mogelijk voor de Verenigde Staten om data van Europese burgers en bedrijven te vorderen op basis van de Amerikaanse CLOUD-act. Dit is namelijk een juridisch probleem dat niet met technische maatregelen of processen is op te lossen.
This entry was posted on Vrijdag 06 Januari 2023
The last few weeks the news regularly reports about hackers who manage to steal data from public cloud environments, such as a recent hack at Amazon Web Services (AWS). The most common cause of this is the way in which customers have set up their security in the cloud, and not the security of the public cloud itself. The real security problem lies primarily in the way customers have set up their IT environments in the public cloud and how they keep them in order. An automated setup of cloud environments is of the highest importance to prevent security issues. In this blog I show you what cloud suppliers offer in terms of security, what is expected of customers and where things tend to go wrong.
Cloud suppliers put a lot of effort into security
The use of a cloud supplier compared to using your own data centre has a number of benefits. You don't need to invest a lot, you need fewer specialised administrators and the cloud supplier takes care of the physical security of the data center and the setup of the cloud platform.
Because cloud providers provide IT environments for a large number of customers from a wide variety of sectors (from the financial sector to healthcare), they have to meet the most stringent requirements. Cloud providers demonstrate their high level of security by ensuring that their data centers and practices meet the security standards generally accepted in the industries their customers operate in, such as PCI-DSS (financial sector) and HIPAA (healthcare). By comparison, for most organizations it is impractical and very costly to have external audits performed by in-house. Cloud providers can afford this with their economies of scale.
Security is a key issue for cloud providers
The market share, the number of data centers and the number of services of the three largest cloud providers - Google, AWS and Azure - is huge. They have a large number of data centers around the world with many hundreds of thousands of servers, large-scale storage and highly complex network environments. They have large teams in-house to handle specific aspects of security such as network security, encryption, identity & access management (IAM) and logging and monitoring. And with a large number of cloud vendor customers, every customer benefits from knowledge gained from other customers.
Cloud suppliers also have a lot to deal with when it comes to security - they only have a right to exist if there is no reason to question their security. If they make a mistake, they risk losing their credibility as a reliable partner.
A secure setup of the cloud is crucial
The underlying cloud platform may have a high level of security, but the design of cloud environments is a responsibility of the organization (the customer) itself. It is possible the customer has configured its security incomplete or incorrectly. To help their customers, major cloud providers have tools and automated services available to reduce the risk of errors.
By default, services in the public cloud are well protected. But in order to make use of services, they must be made accessible. And here things often go wrong. There are two reasons for this:
- The design of a cloud environment is different from what one is used to in an on-premises environment.
- A minor error can have very serious consequences - with a single click the customer environment can be made readable by the entire internet.
Setting up a cloud environment requires specialist knowledge. It really is a completely different platform than the traditional on-premises landscape, with many configuration options and new best practices. Customers must be able to use this new platform.
If a configuration error is made in such an environment without sufficient expertise, the effects can have a much greater impact than in an on-premises environment. For example, if the security of Amazon's S3 object storage is not configured properly, your data may become publicly accessible. A configuration error in an on-premises environment often has less far-reaching consequences.
Tools and automation are a good help
Fortunately, cloud providers provide a number of tools and services to reduce the risk of configuration errors. Problems can even be resolved automatically. For example, cloud providers provide scripts that can be launched automatically to shut down global readable data storage automatically and then alert you. I would strongly recommend using the available tooling as much as possible so when there is a configuration error, you will be informed as soon as possible.
In addition, it is of the greatest importance not to make manual changes in a cloud environment, but to make use of as much automation as possible. By using templates and scripts, components in the cloud can be implemented automatically and unambiguously.
Securing the public cloud is a shared responsibility
Public cloud environments have a very high security standard, where access to cloud components is locked by definition. It is the responsibility of the cloud provider to keep its platform secure. But it is the responsibility of the organization to ensure the security of the configuration of the cloud. The security of the public cloud is a shared responsibility. Be aware that a small error in the cloud can have far-reaching consequences, use the available tools and ensure maximum automation; after all, scripts do not make mistakes, but people do.
This blog first appeared (in Dutch) on the CGI site.
This entry was posted on Donderdag 17 Januari 2019
