John Segers
Werk in het SURFcumulus team, woon in Utrecht Meer over John Segers
Veilig internationaal persoonsgegevens doorgeven
Instellingen in het hoger onderwijs en onderzoek gebruiken cloudcomputing in toenemende mate. SURFcumulus biedt rechtmatige toegang tot dertien cloudproviders, op basis van een Europese aanbesteding. We zien dat vooral het gebruik van Amerikaanse cloudproviders groeit. Omdat de privacyregelgeving niet overal gelijkwaardig is aan de regelgeving in de EU, zijn er zorgen over privacy als persoonsgegevens worden verwerkt door niet-Europese cloudproviders, zoals AWS en Azure.
Daarom zijn er in Europa richtlijnen opgesteld om privacyrisico's af te dekken bij het gebruik van niet-Europese clouds. SURF werkt samen met experts uit het hoger onderwijs en onderzoek in het Taskforce Beyond Privacy Shield. Vanuit hier doen we aanbevelingen en stellen hulpmiddelen beschikbaar die instellingen helpen met veilig persoonsgegevens internationaal doorgeven, kijkend naar de Europese regels.
De maatregelen om privacyrisico’s van internationale datadoorgifte te mitigeren, verdelen we in een aantal categorieën: contractueel, organisatorisch en technisch. De hulpmiddelen van de taskforce richtten zich tot nu toe vooral op de contractuele en organisatorische maatregelen.
Aan het begin van dit jaar startten we samen met de security- en cloudexperts van Xebia met het onderzoeken van gegevensversleuteling als technische maatregel.
Scope van het onderzoek
De hoofdvraag in het onderzoek: beschermt versleutelen van opgeslagen gegevens tegen ongeoorloofde toegang van de cloudprovider?
De meest gebruikte Amerikaanse cloudproviders onder de SURFcumulus-gebruikers zijn AWS en Azure, het onderzoek richt zich daarom op deze twee providers. Ze bieden verschillende opties voor gegevensversleuteling. Een belangrijk deel van het onderzoek bestond uit deze opties in kaart brengen en daarna analyseren welke risico’s gemitigeerd zijn en welke restrisico’s er overblijven.
Data-at-rest-versleuteling
AWS en Azure bieden allebei honderden IaaS- en PaaS-diensten. SURFcumulus-gebruikers gebruiken vooral cloud VMs met diskopslag, cloud databases, cloud fileshares en cloud object (blob) opslag. Al deze diensten slaan gegevens van de gebruiker op in de cloud datacenters van de provider. Daarom richtten we het onderzoek op data-at-rest-versleuteling voor deze diensten.
Worden gegevens versleuteld opgeslagen, dan zijn er sleutels nodig. Een belangrijk onderwerp is wie er toegang heeft tot deze sleutels: wie bij de sleutels kan, zou immers de opgeslagen gegevens kunnen lezen. In het onderzoek keken we daarom ook naar de sleutelbeheerdiensten van AWS en Azure, respectievelijk AWK Key Management Service en Azure Key Vault.
De belangrijkste bevindingen
Tijdens het onderzoek keken we naar gegevensversleuteling in vier clouddiensten en naar cloudsleutelmanagement. De vier diensten die we onderzochten zijn:
-
IaaS VMs met diskopslag
-
objectopslag
-
filesharing
-
managed relationele databases
We vonden enkele opties voor versleuteling, waarbij de cloudprovider technisch onmogelijk de opgeslagen gegevens kan ontsleutelen en lezen, zoals bijvoorbeeld:
-
Gegevens versleutelen vóór opslag in de cloud, waardoor de gebruikte sleutels ontoegankelijk zijn voor de cloudprovider. Deze optie is geschikt voor objectopslag in de cloud.
-
VMs op het AWS Nitro-systeem, waarbij je Amazon EC2 VMs met EBS-diskopslag gebruikt. Dit systeem is ontworpen zonder toegang voor AWS-beheerders tot hypervisor hosts. De benodigde sleutels voor versleuteling/ontsleuteling van EBS-diskvolumes worden opgeslagen in gecertificeerde Hardware Security Modules en Nitro-controllers, en die zijn onbereikbaar voor AWS-beheerders.
-
Client-sideversleuteling bij relationele databases, met name bij gebruik van de Microsoft SQL Server-engine en de Always Encrypted-optie. Let op: deze optie is niet geschikt voor alle applicaties. Er zijn beperkingen op SQL-queries op databases met versleutelde kolommen.
Meer controle met customer managed keys
Voor de andere diensten konden we niet concluderen dat toegang krijgen tot opgeslagen gegevens voor de cloudproviders onmogelijk is. Op basis van auditrapporten concludeerden we wel dat AWS en Microsoft uitgebreide procedurele maatregelen hebben getroffen om toegang tot klantgegevens te beperken en om alle toegang te vast te leggen.
De cloudsleutelmanagementdiensten van AWS en Microsoft bieden sterke garanties dat sleutels alleen gebruikt worden voor de doelen van de gebruiker. De mate van zekerheid is afhankelijk van het type sleutel dat de gebruiker kiest.
Provider managed keys of platform managed keys (PMK's) zijn sleutels die de provider beheert. Customer managed keys (CMK's) zijn sleutels die de gebruiker zelf beheert. Bij PMK's heeft de gebruiker veel minder, of zelfs geen controle over het gebruik en de levenscyclus van de sleutels, dan bij CMK's. Gebruik daarom wanneer mogelijk CMK's. Zeker als je met deze sleutels persoonsgegevens versleutelt.
Gebruik specifiek bij Azure de Premium service tier van Azure Key Vault, en binnen die tier HSM-backed-sleutels. De sleutels worden dan opgeslagen in gecertificeerde hardware security modules. Bij AWS KMS worden CMK's altijd opgeslagen in gecertificeerde HSM's.
Denk ook mee over cloudsecurity
Versleuteling van opgeslagen gegevens is slechts één onderdeel van informatiebeveiliging; onder andere veilige software ontwikkelprocessen en -standaarden, toegangsbeveiliging, netwerkbeveiliging, vulnerability & patch management zijn ook essentieel voor informatiebeveiliging.
Volgend jaar willen we verder kijken dan versleuteling. Wat zijn voor jou de belangrijkste onderwerpen op het gebied van cloudsecurity? Laat het weten in een reactie op deze blogpost!
0 Praat mee