Vanuit mijn rol als consultant wordt mij veel gevraagd om applicaties, data naar de Cloud te brengen. Er is ook zoveel mogelijk en beschikbaar bij Microsoft, Amazon of Google. Maar ook andere partijen die een IAAS, PAAS of SAAS-platform aanbieden.

Als data er nu eenmaal staat wordt er pas nagedacht over bescherming van deze data. Of bij sommige organisaties wordt mij de vraag op voorhand al gesteld hoe er moet worden omgegaan met databescherming.
Hoe blijft deze data toch echt eigendom van jouw organisatie? Hoe beheer je al die encryptie sleutels van de verschillende Cloud providers?

Gelukkig zijn hiervoor ook oplossingen voor ontwikkeld. Ik heb de kans gekregen om een oplossing van Thales te mogen uittesten.

Bring Your Own Key (BYOK)

Veel IAAS, PAAS en SAAS providersbieden versleuteling mogelijkheid in de vorm van “Data in Rest” coderingssleutels. Deze worden veelal beheerd door de serviceprovider.

Encryptie van ‘data at rest’, wil zeggen dat gegevens automatisch versleuteld worden wanneer deze niet meer in gebruik is, bijvoorbeeld als een document wordt opgeslagen.
De gebruiker kan gewoon zijn bestanden benaderen zonder dat hij in de gaten heeft dat dit bestand is versleuteld. Het is voor de gebruiker dus transparant. Een beheerder moet een back-up van deze folder kunnen maken. Hij heeft ook toegang tot de bestanden, maar ziet enkel de versleutelde bestanden. Hij kan niet de inhoud van de bestanden zien.

Ondertussen is de best practice dat de encryptie sleutels zijn opgeslagen en beheerd worden op afstand van de Cloud serviceprovider. De Cloud serviceproviders bieden hiervoor diensten als “Bring Your Own Key” (BYOK). Jij krijgt als klant de mogelijkheid om de sleutels te beheren die worden gebruikt om de data te versleutelen.
Je kunt hierbij sleutels aanmaken volgens je eigen afgestemde sleutel beleid.

Gebruikmakend van Cloud provider Bring Your Own Key API’s, de CipherTrust Cloud Key Manager is het eenvoudiger om al die uitgegeven sleutels te beheren. Eigenlijk te vereenvoudigen. Zeker als je meerdere Clouddiensten afneemt. Denk hierbij aan diensten vanuit Microsoft, servers in Amazon of je CRM vanuit Salesforce

CipherTrust Cloud Key Manager

Belangrijk component voor het beheren van de sleutels in de CipherTrust Cloud Key Manager (CCKM). Het is de centrale managementoplossing voor het brengen van de sleutels naar de Cloud servers provider, back-ups te maken van sleutels op locatie, cloud-sleutels te vernietigen in specifieke situaties en de levenscyclus van Cloud-sleutels te beheren.
Net als wachtwoorden die periodiek gewijzigd moeten worden is security best practice om sleutels regelmatig te wijzigen, met behulp van de CCKM is dit te automaticheren.
CCKM biedt een web-GUI voor het beheer van al deze functies.

De CCKM wordt gelevers als een virtuele machine. Deze virtuele machine kun je in je eigen omgeving implementeren, uploaden als een VM in Amazon of Azure is ook ondersteund. Dit maakt je als organisatie flexibel in je implementatie strategie.

Advies is wel om een separate VM te installeren voor de database.
En de CCKM is in een HA-configuratie te configuren, hiervoor is wel een load balancer nodig.
Authenticatie via ADFS is ondersteund.

Federal Information Processing standard

De Federal Information Processing Standard 140-2 is een overheidsnorm van de VS die de eisen voor versleuteling en gerelateerde beveiliging beschrijft, waaraan IT-producten moeten voldoen voor gevoelig, maar niet-geclassificeerd gebruik.
De CCKM is “out of the box” al FIPS 140-2 level 1 gecertificeerd.
Door de CCKM te koppelen aan een Data Security Manager appliance kun je hiermee je FIPS 140-2 level verhogen naar niveau 3.
Hierdoor is je Key managementoplossing bestand is tegen onbevoegde demontage of modificatie, wat hacken zeer moeilijk maakt. Bij detectie van onbevoegde demontage moet het apparaat alle cruciale beveiligingsparameters wissen.

Toepassingen

Bescherming van gevoelige gegevens in de Platform- en Software-as-a-Service (IaaS, PaaS en SaaS) heeft geresulteerd in een breder coderingsaanbod voor Cloud providers.

We vereisen vanuit overheden, organisaties dat we toch meer bescherming over onze data willen hebben.
Er is ook de noodzaak om te weten hoe, wanneer en door wie coderingssleutels worden gebruikt.
De CipherTrust Cloud Key Manager biedt uitgebreid key lifecycle management om de vereisten voor veilig en uitgebreid sleutelbeheer over meerdere Cloud service providers te beheren.

Ondersteunde oplossingen zijn onder meer:

  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Azure Stack
  • Microsoft Azure China en Duitsland National Clouds
  • Amazon Web Services
  • Salesforce.com
  • Salesforce-sandbox

In mijn optiek zijn er al veel toepassingen die aansluiten bij is de oplossing van Thales.
Ik sluit niet uit dat er meer aan toegevoegd worden. Ik zie alleen maar meer redenen om als organisatie naar een volledige Cloud strategie te overwegen.