Google ziet alles in de cloud
Google zet massaal in op de cloud en daar moet Chrome OS een flinke bijdrage aan gaan leveren. De zoekgigant ziet inmiddels malware uitbraken en aanvallen eerder dan beveiligingsbedrijven. Security.nl sprak met Eran Feigenbaum, 'Director of Security' van Google Apps. Volgens de bevlogen Feigenbaum is cloud computing meer dan een marketingverhaal. Het valt niet te vergelijken met het plaatsen van informatie op een willekeurige server. "Dat is outsourcing, dat gebeurde tien jaar geleden en werkte niet helemaal." De cloud verschilt omdat men van het schaalvoordeel profiteert. Het plaatsen van de data die je hebt op de server van iemand anders, verschuift alleen het probleem wat er vandaag is om gegevens te beschermen, naar de ander. "De cloud is voor het internet ontwikkeld met beveiliging als onderdeel van het DNA."
Bruce Schneier gaf eerder al aan dat de cloud om vertrouwen draait. Ook Feigenbaum erkent dat. Het komt echter neer op "vertrouw en verifieer". Inmiddels vertrouwen tientallen miljoenen gebruikers hun e-mail aan Google toe, maar ook bedrijven en overheden werken met de zoekgigant samen. "Ik wil dat vertrouwen winnen. Vertrouw me niet alleen om hoe ik eruit zie." Om het vertrouwen te winnen maakt Google zaken als security practices bekend, welke infrastructuur het gebruikt en welke beveiligingsexperts het in dienst heeft. Bedrijven die echter een eigen auditor willen langs sturen om te controleren of Google de eigen practices wel opvolgt, komen van een koude kermis thuis, aangezien het bedrijf dat niet toestaat.
Wel laat het elk jaar een onafhankelijke auditor van buiten langskomen die de beveiliging, privacy en datacontrols controleert. Het rapport wordt vervolgens voor klanten beschikbaar gemaakt. "Wat we niet kunnen doen, is dat elke klant een eigen auditor meeneemt. Dat zou het systeem een stuk minder veilig maken."
Patchmanagement
Veel bedrijven zullen zich afvragen waarom ze zo nodig naar de cloud moeten. Zeker aangezien er in voorgaande jaren vaak flink in beveiliging is geïnvesteerd. Systemen die nodig zijn om het netwerk te beschermen, ook al staat een deel van de data ergens anders. Feigenbaum merkt op dat alle bedrijven met patches te maken krijgen, aangezien leveranciers patches uitbrengen. Uit de statistieken blijkt dat bedrijven tussen de 30 en 60 dagen nodig hebben om een update uit te rollen. "De meeste bedrijven die ik spreek hebben het eerder over 3 tot 6 maanden, om over zero-day aanvallen nog maar niet te spreken." Wie naar de cloud gaat, heeft niet meer met dit probleem te maken, aangezien er geen servers meer zijn te patchen. In dit geval wordt het Google's probleem, dat het naar eigen zeggen sneller kan oplossen dan een gemiddeld bedrijf, omdat het over een homogene omgeving beschikt. "Al onze servers zien er hetzelfde uit, we bouwen onze eigen servers en schrijven ons eigen besturingssysteem." Zodra er een patch verschijnt, kan men die op een uniforme manier uitrollen.
Feigenbaum noemt het loslaten van data en de eigen beveiliging om het naar de cloud te brengen een 'Paradigm Shift'. Vergelijkbaar met de manier waarom mensen in de vorige eeuw hun juwelen onder het bed bewaarden. "Op elk moment van de nacht kon men kijken of die er nog lagen." Toen kwamen er banken waar mensen hun juwelen konden brengen en in ruil daarvoor alleen een stukje papier kregen. Gebruikers konden niet meer op elk moment hun juwelen bekijken. "Maar de banken beschikten over het schaalvoordeel. Ze waren experts in het beschermen van de data. Ze hadden de kluizen, bewakers, hetzelfde geldt voor cloud computing."
Google verwerkt miljoenen berichten per dag en vergaart daardoor enorm veel informatie, omdat het alle gebruikers moet beschermen. De zoekgigant ziet daardoor eerder virusuitbraken dan anti-virusbedrijven. "Google kan vervolgens alle gebruikers beschermen zonder dat ze extra software hoeven te installeren." De informatie wordt wel aan virusbestrijders doorgestuurd. Het gaat niet alleen om malware, ook andere web-gebaseerde aanvallen ziet Google vaak eerder dan iemand anders.
Op één paard wedden
Het bekend gezegde stelt dat je niet alles op één paard moet wedden, wat zeker lijkt op te gaan voor de cloud. Tenslotte is alle data van iedereen bij één aanbieder te vinden. Dat maakt het interessant voor aanvallers, zowel van binnen als buiten, en overheden. Feigenbaum houdt er vanzelfsprekend een andere visie op naar en draait het gezegde juist om. Hij wijst naar tal van andere voorbeelden waar alles op één plek wordt bewaard, zoals de goudvoorraad. "Als je alles op één paar zet, begin je te begrijpen wat normaal en abnormaal verkeer is. Welke verbindingen je kunt accepteren en welke niet.
In het geval van Apps, dat naast search en advertenties inmiddels de derde poot van Google is, bewaart de zoekgigant de data meerdere keren in hetzelfde datacentrum en verspreid over meerdere datacentra. Alles wordt in real-time gerepliceerd.
Vendor lock-in
Bruce Schneier waarschuwde in het verleden voor de cloud. "Wat als een aanbieder zijn prijzen verhoogt en niet je data teruggeeft." Wat betreft het gevaar van vendor lock-in hoeven bedrijven zich geen zorgen over de cloud te maken, legt Feigenbaum uit. "Het is niet onze data, het is jouw data. Als je data verwijdert is het ook weg. En als je onze servers wilt verlaten, moet je je data mee kunnen nemen." Om migratie naar een andere aanbieder of van de cloud mogelijk te maken, zijn verschillende tools en APIs beschikbaar. "Wij hebben geen interesse in je verwijderde data."
Locatie
Google bewaart de data zowel in Amerikaanse als Europese datacentra. Daardoor kunnen gegevens in een land terechtkomen dat er andere wetgeving op nahoudt. Ook is het onduidelijk waar de data zich fysiek precies bevindt. Daardoor zou de data van een Nederlands bedrijf plots in handen van de Amerikaanse overheid kunnen komen. Volgens Feigenbaum is de locatie niet zo'n belangrijke gegeven, maar gaat het meer om wie toegang tot de data heeft en hoe het wordt beheerd. "Net zoals het lastig is voor een consument om te weten waar zijn data is, geldt dat ook voor een overheidsinstantie. Hoe kun je iets dagvaarden zonder dat je weet waar het is." Klanten die er echt op staan dat hun data niet naar een Amerikaanse server wordt gestuurd, hebben uiteindelijk pech. Google zegt vanwege de werking van de systemen hier geen uitzondering in te kunnen maken.
Grassroots
Google staat bij de meeste mensen nog steeds bekend vanwege alleen de zoekmachine en Gmail. Toch zijn het deze gebruikers die Google binnen de onderneming groot moeten maken. "Consumenten kiezen voor de goede producten, je hebt er niet de beperkingen zoals binnen ondernemingen." Binnen bedrijven vraagt het personeel daarom om applicaties te mogen gebruiken die ze thuis ook gebruiken, omdat ze zo efficiënter op het werk kunnen zijn. Feigenbaum vertelt over een klant waarvan het personeel elke dag een aantal uur naar Starbucks ging om te werken. "Toen besefte hij dat er iets moest veranderen."
Monopolie
Google is al de grootste op het gebied van tal van online diensten. Net als Microsoft een monopolie op desktopmarkt heeft, heeft Google straks mogelijk een monopolie op het internet. Een angst die volgens Feigenbaum onterecht is, aangezien er in tegenstelling tot de desktop, geen vendor lock-in is. Wie een andere zoekmachine wil gebruiken, is hier vrij in, zo vertelt hij.
Dat de cloud ook zijn nadelen heeft werd onlangs duidelijk met "Twitter-gate". Waarbij een aanvaller het wachtwoord van een werknemer van de micro-bloggingdienst wist te achterhalen, en zo toegang tot allerlei vertrouwelijke bedrijfsgegevens kreeg die in Google Apps waren opgeslagen. Het gebruik van wachtwoorden is slechts een van de authenticatie manieren, gaat Feigenbaum verder. Hij vindt dat bedrijven zelf de verantwoordelijkheid hebben om zaken als access controls en authenticatie goed te regelen. Ook al bieden cloudproviders dit soort zaken aan, bedrijven moeten ze wel gebruiken. "De cloud is niet 100% veilig, er is geen 100% veilig." Klanten die nu al onveilig met hun data omgaan, zullen dat ook doen als ze eenmaal in de cloud zitten. "Mensen zien de cloud als Fort Knox, dat is het niet, maar het is veiliger dan wat bedrijven nu doen."
Chrome OS
Met de ontwikkeling van een eigen besturingssysteem hoopt Google de cloud revolutie nog meer vaart te geven. "Ik denk dat Chrome OS een monumentale impact op de manier gaat hebben waarop bedrijven met de cloud en Google apps werken." De nieuwe generatie werknemers is gewend om met allerlei besturingssystemen en browsers om te gaan. "We nemen het model dat onze gebruikers ons laten zien en brengen dat naar de onderneming."
Die symbiose moet uiteindelijk één van de drijvende krachten achter de cloud worden. Een ander punt om bedrijven over te halen is het ontwikkelen van een standaard. Op dit moment zijn er nog geen standaarden voor de cloud, maar Google werkt nauw samen met allerlei standaardiseringorganisaties. "Hoe eenvoudiger je het de klant kunt laten begrijpen, des te beter het voor ons is." Daarbij is het belangrijk dat gebruikers vanuit een security perspectief gezien, weten waar ze mee akkoord gaan. "Maar dat geldt voor elke outsourcing overeenkomst. Je moet weten met wie je zaken doet."
Met andere woorden, klanten kunnen geen rekening houden met regelgeving, terwijl er in verschillende landen verschillende wetgeving van kracht is, en terwijl er ook sprake is van embargoes, export restricties m.b.t. bijvoorbeeld encryptie, en regelgeving met betrekking tot de uitwisseling van privacy-gevoelige informatie, i.e. het safe harbor principe.
Verder vraag ik mij ook af hoe mensen willen rechtvaardigen tegen auditors dat zij niet weten waar hun data is opgeslagen, en dus niet weten of er mogelijk wetten worden overtreden door verschillen in wetgeving in diverse landen, en door het mogelijk exporteren van data over landsgrenzen heen.
Feigenbaum zou als 'director of security' toch moeten weten dat klanten hier rekening mee houden, en dat stellen dat mensen 'uiteindelijk pech hebben' wanneer ze ofwel controle uit willen oefenen omtrent de vraag waar informatie is opgeslagen, of op zijn minst hierover geinformeerd willen kunnen worden toch wel een heel erg gemakkelijk standpunt is.
Vanuit compliancy oogpunt zal ik binnen mijn organisatie adviseren om Google Apps niet te gebruiken zolang dergelijke zaken niet beter zijn geregeld (waarbij het uberhaupt de vraag is of je als bedrijf je data aan een partij als Google wilt toevertrouwen - maar dat is een andere discussie).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.