Video: Hoe veilig is de cloud (November 2024)
Andres Bang van LinkedIn, Gary Clark van Juniper, Tom Leighton van Akamai, Gordon Ritter van Emergence Capital en Cristina Alesci van Bloomberg
Hoe veilig is de cloud? Een aantal panelleden op de Bloomberg Enterprise Technology Summit vorige week hebben over die kwestie gesproken, vooral in de nasleep van de onthullingen van Snowden en de doelbreuk. De meeste waren optimistisch over het potentieel van openbare cloudproviders om betere beveiliging te bieden dan bijna elke interne datadienst. Toch erkenden zelfs de meest optimisten dat veel ondernemingen zich prettiger voelen met meer controle over hun gegevens.
Andres Bang, hoofd van Global Sales & Operations Systems voor LinkedIn, zei bijvoorbeeld dat zijn bedrijf een grote klant was van openbare cloudservices en als zodanig afhankelijk is van dergelijke leveranciers. Maar, zei hij, het bedrijf hield zijn ledeninformatie op een private cloud, dus het had meer controle. Gary Clark, IT CTO van Juniper Networks, zei dat hij veel IT-afdelingen ziet evolueren naar cloudservicemakelaars, met 80 procent of meer van hun applicaties in de cloud, en de rest in een private cloud. In het algemeen zag hij bedrijven hun meest privé-informatie intern houden.
Volgens Tom Leighton, CEO en mede-oprichter van Akamai Technologies, is afhankelijk van de beveiliging in het datacenter een model dat op het punt staat te falen. Het is niet voldoende om uzelf alleen te verdedigen met producten in het datacenter; u moet het onderscheppen en verwerken voordat het het datacenter ingaat.
CIA: Je bent "Alleen zo sterk als je zwakste schakel."
Gus Hunt, voormalig Chief Technology Officer voor de CIA
In een andere sessie merkte Gus Hunt, de voormalige Chief Technology Officer voor de Central Intelligence Agency (CIA) en huidige CEO van Hunt Technology, op dat de grote cloudproviders allemaal "echt uitstekende" beveiliging hebben, omdat ze die nodig hebben om klanten aan te trekken. Hij vertelde over hoe de CIA de cloud van Amazon gebruikte, zij het in een speciaal exemplaar dat Amazon beheert achter de muren van de CIA (die op hun beurt worden beschermd door wapens en andere fysieke beveiliging).
Maar hij merkte op dat beveiliging 'slechts zo sterk is als je zwakste schakel'. Hij legde uit dat als u een werklast met een kwetsbaarheid bovenop een cloudprovider heeft, deze kwetsbaarheden blijven bestaan. Maar een kwetsbaarheid in één workload heeft geen invloed op anderen in de cloud. Dus, zei hij, het veiligstellen van je eigen werklasten blijft een cruciale taak.
Hunt zei dat het beveiligingsprobleem een "onhandelbaar moeilijk en moeilijk iets" wordt en zei dat het voor elk individueel bedrijf erg moeilijk was om erachter te komen hoe het zichzelf kon beschermen. Dus zag hij de opkomst van bedrijven die beveiliging-als-een-service leveren, die uw netwerk zullen instrumenteren en de beveiliging zullen controleren. Maar hij zei dat dit een "wrijvingsloze wapenwedloop" was waarbij informatie over zaken als malware vrijwel onmiddellijk werd gedeeld, waardoor het steeds moeilijker werd.
Uiteindelijk, zei hij, gaan we ons meer richten op het beschermen van gegevens dan op netwerken. "Het zijn de gegevens, dom", zei hij. We moeten het zo maken dat het moeilijk is om de gegevens te vinden. Maar als iemand erdoorheen komt, moet dit snel worden gedetecteerd en opgelost.
Op de lange termijn zei Hunt dat mensen meer controle over hun gegevens en hun privacy zullen krijgen, dankzij technieken zoals codering en decodering, en de mogelijkheid om locaties te vervalsen. Dat is geweldig voor particulieren, zei hij, maar vormt grote uitdagingen voor wetshandhaving. "Je zult in staat zijn om je gegevens tot in de puntjes te regelen."
Beperkend risico en het "Snowden-effect"
Wade Baker van Verizon Enterprise Solutions, Mike K. Brown van BlackBerry, Dr. Burt Kaliski Jr. van VeriSign, John N. Stewart van Cisco
John N. Stewart, Chief Security Officer van Cisco merkte op dat een probleem is dat we geen goede definitie hebben van goed of slecht in bedrijfsbeveiliging, dus het is moeilijk om beveiliging van een cloudprovider te vergelijken met een enterprise-cloud. En Wade Baker, Managing Principal of Research and Intelligence bij Verizon Enterprise Solutions, zei dat hoewel beveiligingsproblemen in de cloud kunnen voorkomen, dit er vaak niet toe doet, omdat het zelden door de cloud wordt veroorzaakt.
Burt Kaliski, Chief Technology Officer van VeriSign, bracht ook het concept van de overstap naar een "informatie-centrische benadering" met veel mechanismen voor bescherming, maar hield het grootste deel hiervan onzichtbaar voor de eindgebruiker.
Volgens Stewart komt cloudbeveiliging gewoon "elke zonde die we niet hebben opgelost" naar voren, onder meer door het probleem van gebruikersnamen en wachtwoorden. Hij zei dat bedrijven te gefocust waren op de perimeter - de "harde knapperige buitenkant" - niet op het midden van hun gegevens, en dat moest veranderen. Hij merkte op dat de bescherming van de gegevens een slechte reputatie heeft gekregen, met DRM, maar erg belangrijk kan zijn. Maar hij waarschuwde: "de meeste gebruikers geven niet om risico's, ze willen hun werk op de meest efficiënte manier uitvoeren."
Kaliski zei dat er veel andere belangrijke factoren zijn in de beveiliging van ondernemingen, waaronder goed informatiebeheer, gericht op het vertrouwen van alle elementen in een systeem, controle en sleutelbeheer.
Iedereen was het erover eens dat het "Snowden-effect" de aandacht op veiligheidskwesties heeft gevestigd, waarbij veel internationale consumenten de VS nu als slecht beschouwen, terwijl anderen denken dat de VS weet hoe ze dingen moeten oplossen.
Raimund Genen van Trend Micro, Rick Howard van Palo Alto Networks, Cedric Leighton voorheen van de NSA, Michael Riley van Bloomberg News
Er volgde nog een sessie over de impact van Snowden, met als belangrijkste zorg dat dit leidde tot de 'tribalisatie van het internet', aldus kolonel Cedric Leighton, voormalig adjunct-directeur voor training bij de NSA en nu CEO van Cedric Leighton Associates. Hij merkte op dat internet wereldwijd was ontworpen, maar nu horen we naast de 'grote firewall van China' ook dingen als een 'Duitse cloud' of een 'Zwitserse cloud'. De onthullingen van Snowden hebben als excuus gediend om dingen te renationaliseren, zei hij, en dit levert een aanzienlijke slechte dienst op voor de wereld en het internet, met veel onbedoelde gevolgen.
Raimund Genes, Chief Technology Officer van Trend Micro, merkte op dat Snowden ook een discussie over beveiliging in het algemeen begon. "Als Snowden documenten uit NSA kan halen, wat zegt het dan over onze branche?" hij vroeg. Hij sprak over hoe moeilijk het was om interne aannemers te vertrouwen en de noodzaak om een veiliger internet in het algemeen te maken, en zei dat hij vond dat de overheid een rol speelde.
Hij was het ermee eens dat het "internet is gemaakt om wereldwijd te zijn" en zei dat sommige van de nieuwe Europese regels die zijn ontworpen om gegevens binnen het land of de regio van oorsprong te bewaren, belachelijk zijn.
Terwijl hij en Leighton het er beiden over eens waren dat de overheid een rol speelde bij het veiliger maken van internet, zei Rick Howard, Chief Security Officer van Palo Alto Networks, dat het hele incident bewees dat de industrie goed werk heeft verricht bij het bieden van beveiliging, en zei verkopers als moet beter zijn in het inbouwen van beveiliging in meer oplossingen. "Klanten moeten verzekerd zijn, ongeacht wat de overheid doet, " zei hij.
