Cloud security evaluatiemodel

version FR

Context

De cloud is de laatste jaren een onontkoombaar en populair begrip geworden dat uitgegroeid is van een vaag en risicovol concept tot de ICT-strategie "van de toekomst" die elke organisatie vroeg of laat zal toepassen. Naast de kostenbesparingen is de hoofdreden van deze hype de vlotte toegankelijkheid tot tal van informaticaresources met bijna oneindig veel mogelijkheden, en dit alles met een minimaal beheer. Een organisatie kan op die manier de resources die gedeeld worden op een clouddienst huren waardoor hij dus de huurder ("tenant") wordt van de infrastructuur in plaats van de eigenaar. Het delen van zo'n infrastructuur is spijtig genoeg de achilleshiel van de clouddiensten. Cyberaanvallen hebben immers aangetoond dat het delen van eenzelfde clouddienst door tenants misbruikt kan worden. De beveiligingsproblemen, in het bijzonder vertrouwelijkheid en integriteit van gegevens, baren de gebruikers van de cloud dus veel kopzorgen omdat ze het volledige beheer van hun gegevens niet meer in eigen handen hebben. In de context van de overheid, sociale zekerheid en gezondheidszorg zijn deze problemen eens zo groot omdat ze mogelijk gevoelige gegevens betreffen van de burgers en ondernemingen.

Het model: gids voor cloud security

De sectie Onderzoek van Smals heeft in samenwerking met de sectie Veiligheid een model ontwikkeld om de beveiliging van clouddiensten te evalueren. Hiermee kunnen de lidinstellingen, indien nodig met de gedeeltelijke steun van Smals, op gestructureerde en gestaafde wijze bepalen hoe we welke gegevens moeten verwerken in de cloud. Daarom werd het model opgedeeld in twee evaluatieluiken:

Resultat-DfB

  • Luik A: de vragenlijst "Security-assessment-cloud-service.xlsm" waarmee het maturiteitsniveau in verband met de beveiliging van een specifieke clouddienst geëvalueerd kan worden.
    De figuur hiernaast is een voorbeeld van een analyseresultaat voor een clouddienst zodra de vragenlijst van luik A ingevuld is. Het resultaat wordt weergegeven in de vorm van een radar.

 

 

  • Resultat-DfB-ComparaisonLuik B: de vragenlijst "Client-guide-cloud-assessment.xlsm" waarmee men de mogelijkheid kan evalueren om een specifieke clouddienst te gebruiken naargelang het soort gegevens die men ernaar wil overbrengen.
    De figuur hiernaast is een voorbeeld van het resultaat van een vergelijking. De figuur herneemt de radar verkregen na de toepassing van luik A op een clouddienst. De zwarte lijn komt overeen met de behoeften en eisen van de klant die de vragenlijst van luik B heeft ingevuld. Het eindresultaat van luik B baseert zich dus op een radar die resulteert uit luik A, aangevuld door de evaluatie van de klant.

De belangrijkste beveiligingsaspecten die geëvalueerd worden door het model worden gegroepeerd in 4 hoofdcriteria: governance, identiteitsbeheer en toegangscontrole, IT-beveiliging en tot slot operationele beveiliging. In de context van sociale zekerheid en gezondheidszorg evalueert het model ook de conformiteit van de clouddienst met de Veiligheidspolicy met betrekking tot Cloud Computing Services gepubliceerd door de KSZ. Deze conformiteit wordt in de luiken A en B  weergegeven door de donuts (een donut per hoofdcriterium).

De kleurcodes zijn hetzelfde voor donuts of radars. De groene zone, genaamd "confidence zone", vertegenwoordigt het percentage dat een clouddienst met zekerheid aan een hoofdcriterium voldoet. De gele zone, genaamd "doubt zone", vertegenwoordigt het percentage dat een clouddienst mogelijk aan een hoofdcriterium voldoet. We spreken van "mogelijk voldoet" om de geëvalueerde clouddienst niet te bestraffen: de "doubt zone" geeft dus de vragen van de vragenlijst "Security-assessment-cloud-service.xlsm" weer waar we onmogelijk met zekerheid op kunnen antwoorden. De rode zone, genaamd "death zone", vertegenwoordigt het percentage dat een clouddienst niet aan een hoofdcriterium voldoet.

De figuren hieronder tonen een vergelijking tussen 5 verschillende clouddiensten en de behoeften/eisen van een klant die de vragenlijst van luik B ingevuld heeft. Het model vergelijkt zo de clouddienst per criterium om de analyse te vergemakkelijken.

Resultat-governanceResultat-iamResultat-itsecResultat-opesec

Hoe het model gebruiken?

LUIK A

De bedoeling van luik A is dat het hoofdzakelijk gebruikt wordt door de raadgevers en deskundigen in IT-beveiliging die een rol als evaluator zullen hebben. De gebruiksprocedure van luik A is als volgt.

  1. Wanneer een evaluator geïnteresseerd is in een clouddienst, vult hij de vragenlijst "Security-assessment-cloud-service.xlsm" in.
  2. Zodra de vragenlijst ingevuld is, kan de evaluator zijn resultaten rechtstreeks gebruiken (in een unieke analyse ofwel in combinatie met luik B).

LUIK B

Luik B van het model is bedoeld voor elke persoon die een clouddienst wil gebruiken en die zich afvraagt of die clouddienst voldoet aan zijn behoeften en eisen qua beveiliging. Het zou wenselijk zijn dat deze persoon (hierna de klant genoemd) een basiskennis heeft van informaticaveiligheid. De gebruiksprocedure van luik B is als volgt.

  1. De klant die gegevens naar de clouddienst wil overbrengen, vult de vragenlijst "Client-guide-cloud-assessment.xlsm" in.
  2. Daarna kiest de klant de geanalyseerde clouddiensten via luik A (geëvalueerd door een deskundige in IT-beveiliging) die hij wil gebruiken, en kopieert de resultaten in de vragenlijst "Client-guide-cloud-assessment.xlsm".
  3. De klant verkrijgt dan een vergelijking van zijn behoeften en eisen met de gekozen clouddiensten. Het eindresultaat helpt de klant om:
    • bepaalde diensten die niet compatibel zijn te elimineren,
    • de potentiële kandidaten te selecteren.
  4. De klant kan zich dan tot zijn raadgever/deskundige in IT-beveiliging richten en hem vragen om de beste dienst te valideren.

Het model (luik A en B)

Security-assessment-cloud-service
Smals Research
2016/04, v 2.4
Client-guide-cloud-assessment
Smals Research
2016/04, v 2.3