Waar staat mijn data? Hoe veilig is die opgeslagen? Als wereldwijd cloud-collaborationplatform beschikt Dropbox over een bedrijfscultuur waarin security vooropstaat. Centraal staat dat gebruikers zich geen zorgen hoeven te maken over security en dat ze productief kunnen zijn.
Security hoeft niet ingewikkeld te zijn. Sterker nog, Dropbox combineert bank level security-features met een focus op het ontwikkelen van tools die gebruikers helpen bij het stroomlijnen van hun werk.
Bestanden in blockstore
Dropbox knipt elk bestand, dus ook je PowerPoint-presentatie van 12MB, in gelijke ‘blockstores’ van 4MB. Daarna verstuurt het deze, versleuteld met AES256-encryptie, over een beveiligde TLS/SSL-verbinding naar AWS of een Dropbox-datacenter. Marc Paczian, solution architect voor Dropbox in Hamburg, vertelt hoe Dropbox deze datablokken dubbel redundant opslaat ('N plus twee', dus twee back-ups voor elk bestand), waarbij nooit twee versies op dezelfde disk staan. “Vervolgens scheiden we de inhoud van deze bestanden van de metadata, die we versleuteld opslaan op een andere locatie. Daardoor is het voor aanvallers bijna onmogelijk om toegang te krijgen tot de bestanden die je bij ons hebt opgeslagen.”
Met vijfhonderd miljoen accounts heeft Dropbox te maken met zeer grote datavolumes. Hoewel het runnen van een platform op deze schaal technisch behoorlijk complex is, merken gebruikers in de praktijk weinig anders dan een dienst die simpelweg altijd beschikbaar is. Dat was zelfs zo tijdens de grootste datamigratie in de geschiedenis van Dropbox, Project Magic Pocket, waarbij in 2016 5PB aan data van AWS in de VS naar eigen datacenters werd verplaatst.
Securitybot
Dropbox heeft verschillende tools gebouwd om verdachte activiteiten in de infrastructuur te detecteren. Omdat deze tools zeer uiteenlopende activiteiten opmerken, zijn veel van deze activiteiten in feite niet echt verdacht en genereren ze false positives. Het Dropbox-team bouwde daarom een geautomatiseerde, distributed alerting bot, genaamd Securitybot, om de last van al deze meldingen voor het security-team te verminderen en hen te helpen deze sneller af te handelen. False positives worden opgelost zonder dat uitgebreide onderzoeken nodig zijn terwijl mogelijke incidenten direct worden geëscaleerd.
Back-up
Als een gebruiker door een cyberaanval wordt getroffen, biedt de back-upfunctionaliteit van Dropbox in veel gevallen uitkomst. Toen grootschalige ransomware-aanvallen vorig jaar veel Europese bedrijven troffen, konden zij onbruikbaar gemaakte data in Dropbox vervangen door terug te gaan naar een eerdere versie van hun bestanden. “In veel gevallen was Dropbox de eerste dienst die na een aanval hersteld was, wat de betrouwbaarheid ervan laat zien.”
Een goed securitybeleid begint bij de gebruiker, is de boodschap binnen Dropbox. Medewerkers zijn daarbij niet uitgezonderd. Dit element wordt vaak vergeten bij discussies over hoe veilig clouddiensten zijn, vindt Paczian. “Bij Dropbox ontvangen we vaak excursies van studenten. Als je dan begint over sterke wachtwoorden en hoe onverstandig het is om hetzelfde wachtwoord voor verschillende diensten te gebruiken, zie je de studenten altijd onderling blikken uitwisselen: Oh, ja, dat doe ik ook…”
Met Dropbox Business hebben teamadmins verschillende opties voorhanden om gebruikersaccounts extra veilig te maken. Een voorbeeld is dat ze van teamleden kunnen vragen sterke wachtwoorden in te stellen. Het selecteren van deze optie brengt met zich mee dat alle teamleden een nieuw wachtwoord moeten instellen dat voldoet aan de vereiste wachtwoordsterkte, bijvoorbeeld ‘extra sterk’. Admins van Dropbox Business-teams kunnen daarnaast voor alle of sommige teamleden bepalen dat ze tweefactorauthenticatie (2FA) moeten gebruiken. Dropbox ondersteunt bovendien 2FA-hardware en was de eerste met het uitrollen van support voor WebAuthn bij tweefactorauthenticatie. Ook deze optie is door admins te selecteren via het adminmenu, of via hun identity management provider als zij single sign-on (sso) gebruiken.
Dropbox en GDPR
Als wereldwijde dienst voldoet Dropbox aan tal van (overheids)eisen die bepalen hoe het met gebruikersdata omgaat. Toch is er vooral één vraag die Paczian in de afgelopen maanden in elk gesprek met klanten werd gesteld: is Dropbox GDPR-compliant? Het antwoord hierop is een duidelijk: ja. “Zoals in elk bedrijf het geval is geweest, was het ook bij Dropbox een groot project. We voldoen aan de algemeen in gebruik zijnde standaarden en regelgevingen, en we waren ook een van de eerste cloudproviders die conformiteit realiseerde met ISO 27018, de internationale norm voor cloudprivacy en databescherming.”
Dropbox benadert security op verschillende niveaus: infrastructuur, gebruikers en software. De certificaten aan de wand in elk Dropbox-kantoor getuigen van de verregaande mate van protectie op infrastructuurniveau. Vaak is dit ook het enige dat bezoekers te zien krijgen. Op productniveau hanteert de clouddienst de filosofie dat security-engineers vanaf het begin betrokken zijn bij het ontwikkelproces en meekijken naar de gebruikte code. Ook is er een bountyprogramma voor het opsporen van bugs en organiseert Dropbox hackingevents om hackers aan te moedigen kwetsbaarheden in de software te vinden. Sinds 2014, toen Dropbox het bugbountyprogramma startte, hebben vooraanstaande securityspecialisten overal ter wereld bijgedragen. Met bonussen voor kritieke bugs van rond de (aanvankelijk) 5.000 dollar tot (inmiddels) 32.000 dollar – beloningsniveaus die in de sector tot de top behoren – zijn tal van bugs gevonden. Meer nog dan alleen de individuele bugs, bracht het Dropbox waardevolle kennis, waarbij nieuwe bedreigingen werden ontdekt en de benadering van security verder werd verbeterd.
Security hoort simpel en intuïtief te zijn
Uiteindelijk hoeft security niet moeilijk te zijn vanuit gebruikersperspectief. Met Dropbox hoef je niet te kiezen tussen veiligheid en gebruiksgemak; je kunt allebei tegelijk krijgen. Zoals Paczian stelt: “Wij streven ernaar alles simpel en intuïtief te maken, zodat gebruikers daadwerkelijk de juiste stappen nemen om hun accounts te beschermen.” Voorbeelden zijn een security check-up tool, guided password creation en de mogelijkheid om vanuit elk toegangspunt bij de veiligheidsinstellingen op het platform te kunnen komen; veel diensten sturen hiervoor de gebruiker naar hun website.
Op gebruikersniveau ten slotte zijn verschillende maatregelen getroffen om accounts te beschermen. Tweefactorauthenticatie (2FA) is er daar een van. Zakelijke klanten kunnen deze verplicht stellen voor hun gebruikers en de open U2F-standaard gebruiken, zodat ze onder meer met YubiKeys kunnen werken. Andere veiligheidspraktijken omvatten het gebruik van captcha’s om niet-menselijke gebruikers buiten de deur te houden en meldingen per mail wanneer nieuwe apparaten worden aangesloten of bij afwijkend inloggedrag.
Probeer Dropbox zakelijk twee jaar met je bedrijf
Werk je dagelijks met een aantal collega's in dezelfde bestanden? Dan is de kans groot dat je in een cloudomgeving werkt of naarstig op zoek bent naar de meest praktische en veiligste aanbieder. Wij geven drie bedrijven de mogelijkheid om Dropbox Business Advanced voor langere tijd, lees twee jaar, gratis te proberen. Scheelt weer als kostenpost en zoals je hierboven kunt lezen, worden je gegevens veilig versleuteld opgeslagen.
Na enkele maanden zullen we je ervaring vragen en delen door middel van een kort artikel. Dat is een leuke bijkomstigheid, want zo staat jouw bedrijf meteen in de schijnwerpers op Tweakers. Ben je geïnteresseerd geraakt of ken jij het perfecte bedrijf hiervoor?
Algemene voorwaarden actie
- Je Tweakers-account moet voor 07 januari 2019 geactiveerd zijn.
- Meedoen kan tot 15 januari 2019 09.00 uur door het invullen van het Google-formulier.
- Winnaars krijgen uiterlijk 17 januari 2019 bericht via e-mail. Niet-winnaars ontvangen geen bericht.
- Winnaars gaan akkoord met het delen van hun gegevens met Dropbox voor het aanmaken van licenties.
- Winnaars worden at random geselecteerd. Over de uitslag wordt niet gecorrespondeerd.
- De winnaars zijn twee maanden na het testen van Dropbox Business beschikbaar voor een kort interview plus een foto van hun bedrijf, welke wordt geplubliceerd op Tweakers.
- Winnaars zijn bereid en beschikbaar om na 17 januari 2019 Dropbox twee maanden te testen en feedback te geven.
- Winnaars ontvangen een licentie waarmee zij Dropbox twee jaar lang gratis mogen proberen.
- Medewerkers van Tweakers en Dropbox zijn uitgesloten van deelname.
- Deelnemers die niet voldoen aan bovengenoemde voorwaarden, kunnen worden uitgesloten van deelname.
- Prijzen zijn niet inwisselbaar voor geld of andere goederen.
- Klachten kunnen via klachten@tweakers.net worden ingediend.
:strip_exif()/u/300600/mona_tux_christmas.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/14375/crop5b37355e6e78c_cropped.jpeg?f=community){kind=small}
/u/34186/crop62e07d174532d_cropped.png?f=community){kind=small}
/u/71722/donkerhoofd.png?f=community){kind=small}
:strip_exif()/u/7689/Copicon.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/247454/crop67054448c4665.jpg?f=community){kind=small}
/u/99529/crop5db493c811c0d_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/5326/crop5ff8e3fc691c6_cropped.jpeg?f=community){kind=small}
/u/98736/crop57f5f8979fbe3_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/443360/gimli-avatar_smaller.jpg?f=community){kind=avatar}
:strip_exif()/u/47900/baph.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/449308/autowp_ru_scania_logo_60.jpg?f=community){kind=logo}
:strip_exif()/u/77024/crop60704b71085e6_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/68741/crop5daf093734778_cropped.jpeg?f=community){kind=small}
/u/263454/wie%2520dit%2520leest%2520is%2520gek.png?f=community){kind=small}
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/295699/crop609bc9a510a14_cropped.jpg?f=community){kind=small}