image

Microsoft schiet gat in Google cloud

dinsdag 8 juni 2010, 14:17 door Redactie, 14 reacties

Google presenteerde gisteren vol trots de maatregelen die het neemt om de cloud te beveiligen, maar volgens Microsoft mist de zoekgigant een belangrijk punt. "Het laat helaas de staat zien waar veel cloudproviders zich in bevinden, en niet alleen Google om eerlijk te zijn", zegt Microsoft beveiligingschef Roger Halbheer.

Google laat bijvoorbeeld zien hoe goed het datacentrum is beveiligd, wat het aan patchmanagement doet en het gebruik van access controls. "Dit zijn allemaal standaard beveiligingsmaatregelen waarvan ik verwacht dat ze die volgen", merkt Halbheer op. Hij vindt het interessant dat Google niet over een ISO 27001 certificering beschikt, terwijl Microsoft dat wel doet. "Maar dat is slechts een zijdelingse opmerking."

Code
Waar Halbheer wel over valt is dat Google niet over de engereering practices praat. De zoekgigant heeft het wel over veilig programmeren en het implementeren van level security, maar dat is volgens de Microsoft topman niet het hele verhaal. "Zoals we bij Microsoft op pijnlijke wijze hebben geleerd." Het gaat namelijk niet alleen om de code. "Als ik moet kiezen tussen het bekijken van de code en de engineering practices, dan zou ik de laatste kiezen." Een goed product zou namelijk de uitkomst van een goed proces zijn. "Het bekijken van de code is dus een klein onderdeel van het grote geheel."

Halbheer ging op onderzoek uit om te kijken of Google wel over engineering practices beschikt en ontdekte dat Google geen specifieke ontwikkelingsprocessen verplicht. De processen worden per project gekozen, wat betekent dat Google meerdere processen gebruikt en volgt. "Je hebt sterke processen nodig om security te garanderen, of het nu gaat om het netwerk of het ontwerp van de applicaties", zegt Halbheer. Daarom heeft Microsoft volgens hem de Security Development Lifecycle.

Processen
"Begrijp me niet verkeerd, dit zal niet voor perfecte security zorgen, aangezien zoiets niet bestaat. Ik ben echter overtuigd dat het bekijken of een product veilig is minder zin heeft dan het bekijken van het proces waarmee het product werd gemaakt." Halbheer wijst ook naar het feit dat Google's servers gebaseerd zijn op een gestripte en beveiligde versie van Linux, die alleen de componenten bevat om Google applicaties te draaien.

Daarmee heeft Google volledige controle over de complete hardware en software stack. "Maar dat geeft me geen veilig gevoel in het licht van wat ik eerder beschreef." Volgens de Microsoft topman moet er meer nadruk op de "development lifecycle" worden gelegd dan op de veiligheid van de code. Hij nodigt Google dan ook uit om zich bij de SafeCode non-profit organisatie aan te sluiten.

Reacties (14)
08-06-2010, 14:57 door Bert de Beveiliger
"Maar dat is slechts een zijdelingse opmerking."

Mja. Wat moeten we daar nou mee? Top natuurlijk dat ze hun best doen om de handel safe te krijgen.
08-06-2010, 15:58 door Skizmo
MS is net een klein kind... als iemand iets beters heeft gaan ze het op onzinnige dingen afkraken. Zoals de uitspraak gaat : 'Kijk niet naar de splinters van een ander, maar haal eerst de balk uit je eigen ogen'.
08-06-2010, 16:02 door Bert de Beveiliger
Door Skizmo: MS is net een klein kind... als iemand iets beters heeft gaan ze het op onzinnige dingen afkraken. Zoals de uitspraak gaat : 'Kijk niet naar de splinters van een ander, maar haal eerst de balk uit je eigen ogen'.

Hadden ze dit keer niet eens iets beters? Kan mijn bevinding zijn hoor ;-)
08-06-2010, 16:55 door Knight Of The Post
Dat toont volgens mij aan dat Google flexibeler is dan Micorsoft, want het kiest per project zijn aanpak, terwijl de andere vast zit aan zijn eigen procedures.
08-06-2010, 16:58 door [Account Verwijderd]
[Verwijderd]
08-06-2010, 16:59 door [Account Verwijderd]
[Verwijderd]
08-06-2010, 18:38 door SirDice
Door Knight Of The Post: Dat toont volgens mij aan dat Google flexibeler is dan Micorsoft, want het kiest per project zijn aanpak, terwijl de andere vast zit aan zijn eigen procedures.
Die flexibiliteit kan wel funest zijn voor de veiligheid. Als de ene applicatie autorisatie middels methode A implementeert en een andere applicatie gebruikt methode B dan kunnen er discrepanties optreden. De ene methode accepteert een bepaalde aanvraag bijv. wel en de andere niet. Dat wordt nog leuker als beide applicaties dezelfde data gebruiken.

Flexibiliteit kan best goed zijn maar voor sommige zaken moet je toch een bepaalde standaard aan houden.
08-06-2010, 22:02 door Anoniem
een bepaalde standaard?? Je bedoeld een open standaard toch;-)
Of zal Azure zich daar niet aan houden?Van alle cloud oplossingen is Azure de enige die compleet gesloten is!
Ik heb toch iets meer meer vertrouwen in het "many eyeballs" principe, dan in een procedure en of een certificering (welke overigens maar een momentopname is) dan ook.
En flexibiliteit in MS producten , zoals bijvoorbeeld Deelpunt als de "lijm" van de hemelsblauwe blokkendoos, is denk ik ver te zoeken, het is meer als 10 seconden lijm, alles zit vast en je krijgt het nooit meer los :-(
09-06-2010, 00:43 door TheM
Door Redactie: ...
Hij vindt het interessant dat Google niet over een ISO 27001 certificering beschikt, terwijl Microsoft dat wel doet. "Maar dat is slechts een zijdelingse opmerking."
...

Eerlijk gezegd stellen, in mijn ogen, die ISO certificaten op gebied van bedrijfsprocessen weinig voor.

Wij hebben op kantoor een ISO certificaat (nummer doet er niet toe). Zover ik dat weet is de enige reden dat we dat certificaat hebben, omdat wij dan ook onze producten aan overheid mogen verkopen.
Maar het is 1 ding om bedrijfsprocessen op papier te hebben staan, dat je ook daadwerkelijk op die manier (makkelijk) kunt werken is een heel ander verhaal.
Heel zwart wit en kort door de bocht gezien, is het gewoon de kunst om zo'n controleur tevreden te houden.

Maarja dat is mijn visie en ervaring op gebied ISO certificaten, op gebied van bedrijfsprocessen dan.
En om dan als laatst ff terug te komen op het artikel, whoopdiedoo dat MS wel een certificaat heeft en Google niet. Ik denk dat MS zich ermee alleen een hoop papierwerk op de hals haalt. Alhoewel die Amerikanen verzot zijn op dat soort papierwerk bij een rechtzaak oid.
09-06-2010, 09:53 door V.
Iemand hier ooit van "due diligence" gehoord?
http://en.wikipedia.org/wiki/Due_care#Information_security_due_diligence

Al deze onzinnige praat in de commentaren slaan volledig de plank mis.

Je moet als provider aan organisaties aantonen dat risico's onder controle zijn, dat is iets waar bijv. ISO certificering een onderdeel van is. Heb Google nog nooit iets zinnigs over horen zeggen.

Wat betreft het kiezen van methodes per project geeft juist aan dat er heel beperkt over bijvoorbeeld codekwaliteit wordt nagedacht.
09-06-2010, 11:28 door Preddie
Een ISO certificering zegt niks over het beveiligingsniveau maar meer hoe bepaalde processen binnen de organisatie geborgd zijn. Daarnaast kan het bedrijf als Microsoft er voor kiezen om hun entree procedure van bepaalde panden te laten certificeren. Daarbij kunnen alle servers, werkstations, netwerkapparatuur zo lek zijn als een mandje..... Microsoft is wel ISO27001 gecertificeerd .....

Schijnveiligheid richting andere bedrijven dus ......

Een ISO27001 certificaat heeft pas echt waarde als je hele bedrijfsvoering volgens ISO27001 is. Om de geloofwaardigheid naar een hoger niveau te trekken zou je er voor kunnen kiezen om de risico analyse uit te laten voeren door een onafhankelijk bedrijf. Tenslotte worden de te treffen maatregelen binnen ISO27001 bepaalde door een risicoanalyse.....
09-06-2010, 13:20 door V.
Dat is dus precies wat ik zeg. (Kwartje is blijkbaar nog niet helemaal gevallen.)
ISO 27001 is maar een klein onderdeel van het tonen van "due diligence". Het certificaat zegt zeker niet alles, er zijn echter heel erg weinig wereldwijde en erkende normenorganisaties. Dus in die zin zegt het zeker iets.

Het niet hebben van een gestandaardiseerd secure development proces, privacy gerelateerde issues van de laatste tijd, het niet behalen van een ISO 27001 zijn allemaal zaken die het tegendeel aantonen van "due diligence".
09-06-2010, 14:40 door Anoniem
Ik kan nog niet beoordelen in hoeverre MS een punt heeft maar interessant is wat het thema veiligheid betreft wel een analyse van Jon Brodkin in Techworld:

http://features.techworld.com/virtualisation/3224661/six-misconceptions-about-cloud-apps/

"Skeptics can point to any number of incidents seeming to prove the risks of cloud applications. Google recently admitted that it had mistakenly been collecting browsing data from unencrypted WiFi networks since 2007. Last year, a hacker obtained more than 300 confidential documents that the company Twitter was storing with Google Apps, although the incident was blamed on insufficient passwords rather than Google's security.

Almost any computer system can be hacked, unfortunately. In many cases businesses may conclude that their own systems are more secure than the systems operated by cloud providers, or that some data is too precious to be stored outside of their own firewalls. Others, especially small businesses with limited IT staffs, may feel better off with a cloud provider."
14-06-2010, 17:00 door Anoniem
Door Anoniem: Ik kan nog niet beoordelen in hoeverre MS een punt heeft maar interessant is wat het thema veiligheid betreft wel een analyse van Jon Brodkin in Techworld:

http://features.techworld.com/virtualisation/3224661/six-misconceptions-about-cloud-apps/

"Skeptics can point to any number of incidents seeming to prove the risks of cloud applications. Google recently admitted that it had mistakenly been collecting browsing data from unencrypted WiFi networks since 2007. Last year, a hacker obtained more than 300 confidential documents that the company Twitter was storing with Google Apps, although the incident was blamed on insufficient passwords rather than Google's security."

Het feit dat de wagentjes die wijken in kaart brengen meer Wifi verkeer sniffden dan strikt noodzakelijk zegt totaal niks over de veiligheid van Google's datacenters of ook maar iets over de veiligheid van Cloud-services, net zomin als het feit dat een gebruiker van ze (een Twitter medewerker) zo dom was een makkelijk te raden wachtwoord te gebruiken iets zegt over de veiligheid van Google Apps.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.