Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 50, views: 23.372 •

Tom Kellermann, een adviseur van de Amerikaanse president op het gebied van ict-beveiliging, zet vraagtekens bij cloud computing. "Bedrijven zouden goed moeten nadenken voordat ze naar de cloud gaan", zegt hij tegen Tweakers.net.

Witte Huis"Een aanbieder van clouddiensten is als een flat", zegt Tom Kellermann, adviseur van de Amerikaanse president Barack Obama op het gebied van beveiliging en vice president of cybersecurity bij beveiligingsbedrijf Trend Micro, tegen Tweakers.net.

"Als je buren brand krijgen, heb jij ook brand." Daarmee doelt Kellermann op het gevaar als een cloudaanbieder wordt gehackt en de aanvallers bij de gegevens van klanten kunnen.

Bedrijven zouden 'erg goed' moeten nadenken voordat ze hun gegevens bij een aanbieder van dergelijke diensten stallen, vooral als ze gevoelige gegevens beheren. Dat hangt af van de betrouwbaarheid van de aanbieder en het soort bedrijf dat cloud computing overweegt. Volgens Kellermann is het op dit moment het beste idee om een gedeeltelijke overgang naar de cloud te maken - in marketingjargon een hybrid cloud - of in het eigen datacenter virtualisatie toe te passen.

"Als je toch naar een publieke cloudaanbieder gaat en je hebt gevoelige gegevens, zou je ten minste 256bit-encryptie moeten toepassen en je eigen sleutels beheren", aldus Kellermann. Dat voorkomt dat de aanbieder bij de data kan.

Volgens Kellermann zouden consumenten hogere eisen moeten stellen aan bedrijven en overheden als het gaat om beveiliging. "Mensen moeten zich bewust worden met wie ze zaken doen. Ze hebben het recht om zich veilig te voelen en moeten dat eisen van overheden en bedrijven."

Zelf doet Kellermann het liefst zaken met bedrijven die zijn gehackt; die zouden weten waar ze mee te maken hebben en zich bewuster zijn van de gevaren. "Ik zou zes maanden nadat ze een hack hebben gemeld zaken met ze doen", aldus Kellermann. "In veel organisaties wordt nog neergekeken op de ict-afdeling."

Reacties (50)

Precies de reden dat wij nog alles in eigen beheer houden. Natuurlijk kan ook je bedrijfsnetwerk worden aangevallen, maar de kans dat je doelwit van een aanval wordt als klein bedrijf is nog altijd vele malen kleiner dan dat een Google Apps wordt aangevallen.
Bovendien is het nogal ondoorzichtig waar je data precies staat en wat er eventueel in de toekomst mee zou kunnen gebeuren. Een servertje in eigen huis voelt wat dat betreft toch iets veiliger.
Aan de andere kant is de kans dat Google Apps z'n beveiliging op orde heeft aanzienlijk groter dan in een of ander klein bedrijfje. Daarnaast kan je dus ook wat met encryptie doen, hoewel dat niet tegen alles zal helpen.
Je kan wel voor altijd bang blijven maar bedrijven die alles zelf willen blijven doen gaan dan toch wel een efficiëntiestrijd verliezen.
Het gaat hier niet om Google Apps. Het gaat om Google Cloud, Amazon EC2 en Microsoft Azure.

Steeds meer websites verplaatsen zich (gedeeltelijk) naar de cloud. Voor politieke partijen is hosting in de cloud een uitkomst. 4 jaar lang omt er vrijwel niemand op hun website tot net voor de verkiezingen. Nu kun je voor die paar piek weken per jaar natuurlijk een flink aantal servers neerzetten. Maar juist dan is de cloud interessanter omdat je alleen betaald wat je verbruikt..

Maar bij veel politieke partijen kun je ook merchandising kopen. En dus is er ook een database met privacy gevoelige informatie. Als die database ook in de cloud hangt, kan dat dus een privacy issue worden. En dat is waar die adviseur voor waarschuwt. Moving to the cloud heeft niet alleen voordelen, er zitten ook een aantal nadelen aan. Maar ik denk niet dat die risico's groter zijn dan bij de gemiddelde hoster.

Daarnaast is het niet de Amerikaanse overheid welke deze uitspraak doet, maar een uitspraak van een werknemer welke werkt bij Trend Micro en Trend Micro voorziet samen met een aantal andere security bedrijven regelmatig de overheid van adviezen.

Maar dat advies kun je vergelijken met het advies van de KNVB betreffende de voetbalwet.
Wat de beste man vergeet te zeggen is dat de Amerikaanse overheid natuurlijk ook in de cloud data kan graaien.
Voor websites en zo is er helemaal niets tegen de cloud. Maar je moet er niet je concurrentie gevoelige informatie achterlaten. De kans is groter dat het in verkeerde handen terecht komt, dan wanneer je dit op je eigen servers houdt.

Een private cloud kan ik me voor bedrijven nog wel wat bij voorstellen. Gewoon je eigen servers als een cloud aan elkaar, maar wel met de gebruikelijke VPNs, RSAs, etc. Zeker als je een groot bedrijf hebt is dat natuurlijk ook een optie. Misschien wel gebaseerd op wat Google cloud of Amazon doet...
Waar haalt die man vandaan dat als er bij een cloud provider wordt ingebroken gegevens van alle klanten open liggen? Net alsof providers daartegen geen waarborgen inbouwen.

Je kan met ook zeggen, mensen bewaar je geld liever in oude sok, want als de bank wordt overvallen pakken ze iedereen zijn geld in een keer. Cloud providers zullen veel betere veiligheidsmaatregelen nemen dan hun klanten, ze hebben meer expertise en hun hele bedrijfsvoering is er op gericht. Een cloud provider die de veiligheid van gegevens niet kan waarborgen gaat simpelweg failliet.

En waarom zou iemand van Trend Mirco zulke zwamverhalen de wereld in helpen? Eigenbelang, wat anders. Voor Trend Micro die netwerken beveiligt valt er geen droog brood meer te verdienen als bedrijven alles naar de cloud brengen.

Nee blijf liefst op je Windows-netwerkje zitten. Weten mensen eigenlijk wel hoeveel geld er in deze industrie wordt omgezet? Er worden wereldwijd triljarden omgezet in aan computerbeveiliging. Elk dag bedanken deze mensen de goden dat MS zo'n nooddruftig systeem in elkaar heeft getimmerd. Ze verdienen er dik belegde boterham mee.

Dus mensen blijf bij Windows en koop onze veiligheidsproducten! Die heb je nodig! Blijf weg bij de cloud dat is gevaarlijk, gevaarlijk voor wie? Gevaarlijk voor Trend Micro, Kaspersky, e.d. Ook Kasperky is actief reclame aan het maken voor Windows en tegen Linux. Ook die weten aan welke kant hun boterham is gesmeerd. De Windows-kant. Aan Linux en Apple kunnen ze kunnen ze geen droog brood verdienen.

O, jullie geloofden echt deze man. Hij is ten slotte een politicus en die zijn altijd zo eerlijk en betrouwbaar. En wat wil het witte huis het liefst? Dat je op Windows blijft zitten. Windows is een systeem waarin de NSA samen de veiligheid van Microsoft vormgeeft. Plenty backdoors voor de NSA.

De cloud is een heel stuk lastiger voor de Amerikaanse regering! Waarom? Omdat in tegenstelling tot de mythe die sommige mensen verkondigen de Amerikaanse regering Amerikaanse bedrijven helemaal niet kan verplichten om hun gegevens voor hen open te stellen tenzij ze per geval met een gerechtelijke bevel kunnen komen. Sommige bedrijven (Microsoft o.a.) werken op vrijwillige basis met de overheid mee, maar de meeste echt niet. Die doen niet meer dan de wet gebiedt en de Amerikaans grondwet is de beste in de wereld en garandeert de grondrechten. Geen regering die daarover een conflict met bedrijven aangaat.

Microsoft hebben ze in hun zak. Misschien hebben ze dat wel afgedwongen toen de rechter beval MS op te splitsen. Logisch dat ze iedereen aanraden vooral op hun MS netwerkjes te blijven zitten. Zo lekker hmm "veilig". National security dan wel te verstaan.

[Reactie gewijzigd door Magalaan op 29 augustus 2012 22:36]

Kant noch wal.

Hij heeft gewoon een punt... de cloud is inderdaad als een flatgebouw qua veiligheid. ondankt alle veiligheden die je gaat inbouwen is dat de aard van het beestje.
ja inderdaad kant noch wal, want de securitycode van microsoft wordt niet gebouwd in USA maar in Israel. De NSA zit alleen in USA...
Je hebt een punt.

Daarbij komt ook dat bij en cloud de storage gevirtualiseerd wordt. Voor de storagebeheerder (en ook voor de verantwoordelijke voor het maken van backups) is het een fluitje van een cent om data te kopieren. Een virus op een storage management console kan dat ook: een lege disk in het disksysteem zoeken, alloceren, opdracht geven om binnen het disksystem data te kopieren naar de nieuwe gealloceerde disk en vervolgens 'kalm' de gekopieerde data uploaden naar een datacollector van de virusmaker. Een virus kan dat op een publieke cloud maar ook op de 'veilige server in je eigen datacenter'.
Waar haalt die man vandaan dat als er bij een cloud provider wordt ingebroken gegevens van alle klanten open liggen?
Dat is een aanname van Joost_S. Denk ik zo. Het is natuurlijk wel zo dat iedereen er last van heeft wanneer de cloud last heeft van 'brand'. Maar van inbraak bij de buren heeft iemand verderop geen last.
Een website in de cloud? Stond ie al niet in de cloud dan? In dat verband is cloud helemaal een holle marketingterm (wat het ook is, maar dat terzijde).
Een applicatie of een database in de cloud is iets anders dan in je eigen dc (maar ook weer niets bijzonders/nieuws) maar je website ergens hosten of in de cloud zie ik geen verschil tussen.
'De cloud' voor webhosting richt zich met name op beschikbaarheid en het niet hoeven nadenken over beschikbare capaciteit. Aan de andere kant is 9 van de 10 keer de site de bottleneck bij veel verkeer en betrouwbaarheid lossen 'we' al jaren op met loadbalancing. Dus inderdaad: voor websites een holle term ;-)
Én heel vet betalen ook ja :)

Cloud computing an sich is natuuriljk mislukt als commerciele service bij Amazon. Wel is het enorm succes als buzzwooord.
Zeker ook waar, dus zeker voor 'standaard' dingen kan je daar veel winnen: zowel op kosten en moeite.Vandaar dat ook die hybrid cloud genoemd wordt, dat lijkt mij nou een goede tussenoplossing. Je kan dan nog steeds key zaken lekker zelf regelen, maar minder kritische services en data gewoon in de cloud opbergen.

Maar het is - op dit moment - nog echt dom om al je kritische data en applicaties in de cloud te willen hebben: het is gewoon nog te ontransparant en je wil gewoon niet het risico lopen dat er idd bij de 'buren' iets mis gaat en jij daar dus ook last van hebt.
Bovendien: wil jij als eindklant dat wel? Ik heb wel eens gehoord dat ABN overwoog om sommige applicaties in de cloud te willen gaan draaien.....weet je heel zeker dat je kritische klant/geld gegevens ergens op een server in een land weet-ik-waar staan? Bijv. 'uncle Sam' die maar opeens vind dat, vanwege 'national security' hij inzage in alle data van alle cloudhosters in de VS wil hebben.....
Aan de andere kant is de kans dat Google Apps z'n beveiliging op orde heeft aanzienlijk groter dan in een of ander klein bedrijfje.
beveiliging is voor een klein bedrijfje een factor 20 eenvoudiger echter. ik zou de een niet zomaar tegenover de andere willen zetten, en zeggen dat de ene beter is. Ook google is al eens gehacked.
Daar ben ik het wel mee eens.. cloud-diensten zijn natuurlijk veel interessanter voor hackers en ook cloud-providers kunnen lekken hebben, niet goed opletten of slechte beveiliging implementeren. Die netwerken zijn veel complexer om waterdicht te beveiligen. En als er iets misgaat en ze worden gehacked, dan lig jij als bedrijf ook gelijk plat.
En daarbij komt dat als een virus binnen de virtualisatie-layer komt, je hem niet eens kunt detecteren en hij toegang heeft tot *alle* data, ook de uncrypted data die een applicatie in zijn geheugen gebruikt. En zo'n virus kan ook een applicatie manipuleren en bv SQL injecteren door een virtuele data memory page van een applicatie te vervangen door een andere virtuele memory page. Techniek die je vandaag nog niet ziet maar niet zo moeilijk is dus die komt er wel.

NB: de beschreven techniek kan zowel bij een cloud-leverancier als in je 'eigen veilige datacenter'.
De meeste bedrijven hebben hun netwerk minder goed dichtgetimmerd dan bijv Microsoft. Qua beveiliging lijkt het me dus ook naief om te denken dat je in eigen huis veiliger bent.
Toch heb ik meer over security issues bij Google gelezen, dan dat we daar zelf last van hebben, dus blijkbaar wijst de werkelijkheid anders uit.

Wij hangen ook niet met een open lijntje aan het internet, maar hebben ook een proffesioneel bedrijf dat ons WAN heeft geimplementeerd en mede-beheert. Die omgeving is vele malen simpeler dan een de Google-intrastructuur, en dus ook veel makkelijker te overzien en beveiligen.
Dat is handig. Je hoeft dus alleen maar jullie netwerk partner te hacken en je bent bij jullie binnen :-)
Opvallende uitspraken, voor een adviseur zo dicht bij de top. De VS heeft een aantal belangrijke spelers op de markt...

Leuk dat T.net hem heeft weten te strikken voor een paar snippets Ben wel erg nieuwsgierig naar de rest van het interview....
Het is vooral belangrijk om niet al te belangrijke bestanden in de cloud te zetten, of 100% zeker weten dat je genoeg kennis in huis hebt om het veilig te laten zijn. En dan nog, alles, wordt, en blijft hackbaar.
hoor hoor wie wat zegt.

Hij heeft een punt, maar dit wordt ook al wat langer gezegt.
Natuurlijk is het hacken een aannemenlijk risico, dit liet de de intel cpu bug van laatst wel zien. Vanuit een guest in de host komen.

Maar door het beheer uit handen te geven, moet je weten in welke landen het des betreffende bedrijf kantoren heeft en waar jouw data opgeslagen kan worden.
Dit i.v.m. met de lokale wetgeving, die het mogelijk maakt data op te eisen.
Dit i.v.m. met de lokale wetgeving, die het mogelijk maakt data op te eisen.
En dit vind ik nu vreemd. Een functionaris in het witte huis die aangeeft dat je gegevens goed moet versleutelen. Waar zijn de complottheorieën met echelon en data opeisen e.d. dan nog op gebaseerd, als de overheid van de VS het aanmoedigt data te gaan versleutelen? :) Oh, wacht, dan komen er straks natuurlijk weer verhaaltjes over een geheime dienst met een backdoor in de algorithmes.

[Reactie gewijzigd door ktf op 29 augustus 2012 19:28]

Zolang de aanbieders van encryptie hun source niet publiek vrijgeven ben je nooit 100% zeker dat er een backdoor of niet in zit. En zelfs dan nog ben je niet zeker of de binairies wel veilig zijn, je zou dan al zelf van source moeten compileren (bv truecrypt).

En dan heb ik het over MS bitlocker of Symantec's PGP en consoorten. Niet over de AES encryptie zelf, ik ga er van uit dat deze veilig is en dat er nog geen lek voor gevonden is.
En dit vind ik nu vreemd. Een functionaris in het witte huis die aangeeft dat je gegevens goed moet versleutelen. Waar zijn de complottheorieën met echelon en data opeisen e.d. dan nog op gebaseerd,
Die zijn er op gebaseerd dat heen enkele grote organisatie homogeen is; de neuzen staan niet allemaal dezelfde kant op. Vergelijk de positie van de Chiefs of Staff met die van JFK ten tijde vd 'Cuba missile crisis' (de één stuurde aan op militaire confrontatie met de USSR, de ander wilde dat juist vermijden).

Specifiek mbt tot Echelon: dat bestond al lang vóór de regering Obama, dus een uitspraak van deze ene adviseur verandert niets aan wat Echelon is.

En hoezo nou weer "complottheorie"? Wat wil je daarmee zeggen, dat Echelon niet bestaat, of dat met Echelon niets geheimzinnigs aan de hand is? Hint: Echelon is een instrument van zgn inlichtingen diensten, aka "geheime" diensten.
Wijze woorden van Kellerman. Ik hoop dat de beleidsmakers in bedrijven ook zo denken en niet blind in de cloud-hype stappen.
Grappig om te zien dat een adviseur van het Witte Huis aanbeveelt om de data te versleutelen voordat je het in de wolk zet. Ik dacht de de US zo graag in de bestanden keek volgens alle alu hoedjes hier...
Ik dacht de de US zo graag in de bestanden keek volgens alle alu hoedjes hier...
Je hebt echt geen alu-hoedje nodig om te weten dat dat zo is.
Ja, dat denk je. En er zijn inderdaad ook bekende manieren (NSL) die gebruikt worden om (in voor ons niet bekende gevallen) data op te vragen. Echter, vergeet niet dat de Amerikaanse overheid er ook een enorm belang bij heeft dat er geen gevoelige data van bedrijven naar China en andere landen vloeit.
Taking into account all types of industrial espionage but counting only the cost to American businesses, US intelligence officials put the cost of lost sales due to illicit appropriation of technology and business ideas at $100bn-$250bn a year.
Bron
vergeet niet dat de Amerikaanse overheid er ook een enorm belang bij heeft dat er geen gevoelige data van bedrijven naar China en andere landen vloeit.
Voor het vloeien hebben we wikilaks en andere spionage.
Dit is toch gewoon cloud-P&R? Dat iedereen de boel uit handen geeft zien ze waarschijnlijk graag. Het controle hebben over de hardware is de ultieme macht over het systeem en de gegevens daarbinnen.

Wat is dat trouwens altijd met die alu-hoedjes? Als je wantrouwend bent over iets m.b.t. een regering heb je een alu-hoedje op ofzo? Ik vind het nergens op slaan. Mensen in een vak zetten op grond van hun mening...
Leuk die vergelijking met een flat. Hij vergeet er alleen bij te zeggen dat het wel een flat met 24-uurs bewaking, automatische brandblussystemen en de dikst mogelijke betonnen muren betreft. Terwijl de meeste mensen die hun gevoelige bestanden zelf beheren, ze nog altijd naast het vuurwerk en de gasflessen in een houten tuinhuisje flikkeren.
Het lijkt me ook sterk dat Kellermann letterlijk brand bedoelt.
Het lijkt mij logischer dat hij bedoelt dat als de cloudserver, waar ook jij op zit, via de buren problemen ondervindt, jij daar ook last van kan hebben.

In het minste geval een server die door overbelasting traag wordt, in het ergste geval een hacker die de hele server uit kan lezen.

[Reactie gewijzigd door job_h op 29 augustus 2012 21:00]

En dat is de grootste misvatting die er bestaat bij cloud computing.

Die 24 uurs bewaking is er meestal niet, evenals die automatische brandblussystemen en betonnen muren.

Er zijn cloud diensten waarbij dat soort dingen ook voor je geregeld worden, maar bij de meeste cloud diensten word dat NIET geregeld!
Waarbij je vergeet dat, wanneer die bunker van jou in Amerika staat, de Amerikaanse overheid het recht heeft om de reserve sleutel te pakken en jouw deur open te maken.

Wanneer ze dan een mooi mp3-tje of filmpje vinden, waarvan jij volgens de Nederlandse wet een rechtmatige thuiskopie hebt gemaakt, kunnen zij dit als copyrightschending onder de Amerikaanse wet beschouwen en om jouw uitlevering vragen. Of je nu in het bezit bent van het origineel of niet omdat dit in strijd is met de DMCA.

En als je al naïef genoeg bent om te denken dat men geen misbruik zal maken van je persoonlijke gegevens en 'dat je niks te verbergen hebt', wat ik overigens het meest domme argument ooit beschouw om je privacy op te geven, denk dan maar aan het recente misbruik dat is gepleegd door de NS door zelfs een anonieme kaart te koppelen aan traceerbare gegevens.

Ik noem het naïef omdat mem vaak denkt dat illegaal verkregen gegevens niet gebruikt mogen worden in de rechtspraak. Dit is waar wanneer het illegaal verkrijgen van informatie is gedaan door de aanklagende partij De Overheid. Wanneer dit echter door een privé of rechtspersoon is gedaan zoals een bedrijf en de overheid krijgt op legale wijze, via de DMCA, toegang tot hun gegevens krijgt, dan mogen ze alles gebruiken inclusief de gegevens die niet in het bezit hadden mogen zijn van het bedrijf.
Wie zegt mij, dat de aangeboden cloud-provider geen oude PIX firewall heeft draaien en zijn medewerkers rechtstreeks van het MBO heeft gehaald om met wat servertjes een cloud-dienst op te bouwen? Jij suggereert dat elke clouddienst 100% veilig en betrouwbaar is. Maar ik denk eerlijk gezegd dat dat wel eens heel zwaar zou kunnen tegenvallen als je achter de schermen zou gaan kijken.
De term cloud is dan ook enkel een mooi gekleurd strikje om "zet je boel via het internet bij iemand anders". Je weet niet precies wie, je kent alleen de mooie praatjes en beloftes zonder dit zelf aan de tand te kunnen voelen...

Als er niet de term "cloud" aan gehangen zou worden zou men je voor gek verklaren als je het voor zou stellen.
Mee eens. De term cloud is een mooi woord dat het goed doet in presentaties. Ik hoor managers nu ook al cloud roepen. Ik vraag altijd wat men dan precies bedoelt maar de meesten hebben er geen benul van en beseffen de risico's ook niet. Zo zit ICT vol met oude wijn in nieuwe zakken.
alsof bedrijven dat niet doen.. niet voor niets is het hybride model here to stay..
De indruk wordt gewekt dat Tom Kellerman deel uitmaakt van de staf van Obama terwijl hij voor een prive denktank werkt. In die commissie zitten ook leden van het Congres maar het blijft advies van buiten de regering. Ook is hij als VP van een bedrijf dat cloud-security doet niet echt neutraal om op te roepen tot meer cloud security.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Smartphones Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013