SURFcumulus
Organisaties die informatie verwerken, moeten een informatiebeveiligingsproces hebben ingericht. In het hoger onderwijs wordt vaak gebruikgemaakt van het Normenkader Informatiebeveiliging Hoger Onderwijs (NIHO) om de informatiebeveiliging in te richten aan de hand van normen uit de ISO27002 standaard.
Als je een cloud provider - of andere externe provider - wil gaan gebruiken, dan moet je kunnen vaststellen of de provider(s) die je gebruikt hun informatiebeveiliging op orde hebben. Als dat niet het geval is, dan loopt de beveiliging van jouw eigen informatie gevaar. Omgekeerd, als je werkt met een cloud provider die - als voorbeeld - een ISO 27001 certificering heeft op basis van de ISO 27002 best practices, betekent dat niet dat je eigen informatiebeveiliging daarmee op orde is. Als organisatie moet je zelf zorgen voor de beveiliging van die aspecten die buiten de scope van je providers vallen. Hierbij kun je denken aan het doorvoeren van software patches in operating systemen of applicaties, het gebruiken van versleuteling van gegevens tijdens het transport en/of wanneer ze opgeslagen zijn, goed toegangsmanagement inrichten, enz.
Cloud providers leggen uit wat hun verantwoordelijkheid is en wat de verantwoordelijkheid is van de klant. Daarvoor kom je de term shared responsibility model tegen. Dat zie je bijvoorbeeld op de website van AWS over compliance en in het whitepaper Shared Responsibilities for Cloud Computing van Microsoft.
Om te beoordelen of providers hun informatiebeveiliging op orde hebben, kun je kijken naar hun compliance: is door onafhankelijke auditors vastgesteld dat ze voldoen aan interne of externe normen op het gebied van informatiebeveiliging? De hyperscalers publiceren niet alleen de behaalde certificaten, voor bv. ISO 27001/27017/27018, maar ook auditrapporten.
Korte, samenvattende verklaringen zoals SOC 3 zijn meestal publiek beschikbaar. Uitgebreide auditrapporten van cloud providers zijn alleen toegankelijk voor hun klanten. Je hebt een account nodig om ze in te kunnen zien en je mag ze niet verder verspreiden. Om die reden kunnen we hier geen vergelijking maken tussen de audit en compliance rapportages van cloud providers, noch van de informatiebeveiligingsprocessen die erin worden beschreven.
Wanneer je gevoelige of persoonlijke gegevens verwerkt in de cloud, dan zijn de auditrapporten een waardevolle bron van informatie voor je eigen informatiebeveiligingsproces. Je kunt er de security controls van de cloud provider in terugvinden en de relatie tussen die security controls en de normen van de standaard, alsmede de maatregelen die de provider treft om de security control te implementeren en de bevindingen van de auditors. Vooral die bevindingen kunnen van belang zijn. Een auditor kan over het geheel concluderen dat een cloud provider security controls heeft geïmplementeerd in lijn met de doelstellingen van zijn diensten en dat die voldoen aan de normen, maar er kunnen zwakheden geconstateerd zijn op specifieke deelgebieden. Misschien zijn die zwakheden onacceptabel voor jouw specifieke toepassingen en moet je aanvullende, mitigerende maatregelen nemen.
De compliance certificaten en rapportages van AWS zijn toegankelijk via de AWS Artifact dienst in de AWS Console. De rapportages hebben uitgebreide beschrijvingen van de AWS diensten en gedetailleerde security controls, bijvoorbeeld over encryptie.
De compliance certificaten en rapportages van Google Cloud zijn toegangkelijk via de Google Cloud Compliance Reports Manager website. Hier is informatie te vinden over Google Workspace, over GCP en diensten uit overnames, zoals Apigee API management en Looker Business Intelligence. De beschrijvingen van de GCP diensten en de controls zijn niet heel gedetailleerd.
De compliance certificaten en rapportages van Microsoft zijn terug te vinden in de Service Trust Portal. Hier zijn certificaten en rapporten beschikbaar over Azure, Dynamics, Microsoft 365, Power platform en Azure Stack. De rapporten van Microsoft bevatten minder gedetailleerde beschrijvingen van de Azure diensten en de security controls zijn ook minder gedetailleerd.
De ISO 27001 certificeringen zijn relevant omdat het NIHO gebaseerd is op de ISO 27002 standaard. Ze zijn niet zo interessant, omdat de ISO controls niet beschreven worden in de rapportages. Deze mogen niet gepubliceerd worden omdat ze ISO/IEC proprietary zijn. Alleen organisaties die zelf IEC/ISO lid zijn, kunnen ze via IEC/ISO verkrijgen.
Voor ISO 27001 wordt de cloud provider geauditeerd door een onafhankelijke, door IEC/ISO geaccrediteerde auditor. IEC/ISO controleert het auditrapport voordat het ISO certificaat wordt verstrekt. Een belangrijk onderdeel om naar te kijken bij ISO certificaten is de SoA, of Statement of Applicability. Daarin staat welke services en (datacenter) locaties onder de audit vallen.
De SOC 2 rapportages zijn om verschillende redenen interessant. SOC (System and Organizaton Controls) 2 rapporten zijn gebaseerd op de Trust Services Criteria van het Amerikaanse Institute of Certified Public Accountants. SOC 2 heeft als scope de processen die betrekking hebben op informatiebeveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. Er zijn twee typen SOC 2 rapportages. Deze komen overeen met de typen ISAE 3400/3402 verklaringen.
De type I en type II rapporten zijn inhoudelijk hetzelfde. Ze beschrijven in hoeverre procesbeschrijvingen en beleid over een verzameling controls overeenkomen met de daadwerkelijke situatie. De controle die door de externe auditor wordt uitgevoerd verschilt tussen de twee typen. Een type I rapport is feitelijk een momentopname. De auditor vergewist zichzelf ervan dat ten tijde van de audit de beheersmaatregelen zijn geïmplementeerd. Voor een type II rapport is bewijs nodig dat beheersmaatregelen worden op een effectieve manier worden toegepast over een periode van minimaal 6 maanden. De auditor verklaart in het rapport of de maatregelen over deze periode hebben gewerkt. Daarmee geeft een type II verklaring meer zekerheid dat de provider in control is over de processen binnen scope.
SOC 2 rapportages zijn attestaties: het zijn verklaringen van onafhankelijke auditors, maar er is geen certificeringsinstantie die het audit rapport controleert en certificeert. Het is de verantwoordelijkheid van de cloud gebruiker om de rapportage te beoordelen en te conclusies te trekken over het gebruik van de diensten van de provider.
SOC 2 rapporten beschrijven de processen en beheersmaatregelen van de provider. Daarnaast bevatten ze informatie over de verantwoordelijkheden van cloud gebruikers op het gebied van informatiebeveiliging. Die informatie maakt duidelijk wat van de gebuikers verwacht wordt om de informatiebeveiliging van hun gegevens en applicaties in de cloud op orde te brengen. Het legt daarmee ook uit waar de verantwoordelijkheid van de cloud provider stopt.
Providers publiceren zelf SOC bridge letters. Dit zijn geen verklaringen van auditors, maar van de providers zelf. Bridge letters worden gebruikt om de periode te overbruggen tussen de laatste SOC 2 audit van de provider en het einde van het (fiscale) jaar van klanten. De klanten kunnen ermee laten zien dat hun provider geen wezenlijke wijzigingen in de controls en maatregelen heeft doorgevoerd sinds de laatste audit.
De Cloud Computing Compliance Criteria Catalogue (C5) bevat de criteria de de het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft opgesteld voor het gebruik van public cloud door de Duitse overheid en organisaties die met de Duitse overheid werken. C5 is een brede norm, gebaseerd op o.a. ISO 27001, ISO 27017, de Cloud Security Alliance Controls Matrix en controls uit de Duitse IT-Grundschutz. C5 rapportages zijn attestatie documenten, net als SOC 2 rapportages. En net als bij SOC 2 rapportages, worden de audits gedaan volgens de ISAE 3000 standaard en worden type 2 verklaringen gepubliceerd die een periode van 6 maanden of een jaar beslaan.
C5:2020 bestaat uit 125 criteria. Sommige zijn onderverdeeld in een basiscriterium en een aanvullend criterium.
Als voorbeeld van dit onderscheid kunnen we het eerste criterium uit de catalogus gebruiken, OIS-01 Information Security Management System (ISMS). De basiseis is dat de provider een ISMS heeft geïmplementeerd in overeenstemming met ISO 27001 en dat daarover informatie is gedocumenteerd. De aanvullende eis is dat er een ISO/IEC 27001 certificaat is. Een ander goed voorbeeld is te vinden in requirement PS-02 Redundancy model. Hier is de basiseis dat de cloud dienst wordt geleverd vanuit twee locaties die operationeel redundant zijn aan elkaar. De aanvullende eis is dat de dienst wordt geleverd vanuit meer dan twee locaties die voldoende ver uit elkaar liggen om geo-redundantie te bereiken, waarbij het falen van twee locaties niet leidt tot een volledige onbeschikbaarheid van de dienst.
Sommige cloud providers houden de basiscriteria aan voor de audits; andere providers hebben ook de aanvullende criteria meegenomen in de audit. Dit is terug te vinden in de C5 rapportages die de providers publiceren.
Het SURFcumulus team volgt de compliance van de cloud providers. Dat wordt gedaan in samenwerking met de security en compliance experts van het SURF Vendor Compliance team. De auditrapporten en de certificaten van de cloud providers worden gecontroleerd op de scope (verklaring van toepasselijkheid) en op afwijkingen geconstateerd door de auditor. De resultaten van die controles worden vastgelegd in een rapport. Dat kunnen we niet voor iedereen beschikbaar maken omdat de onderliggende auditrapporten van de cloud providers onder een non-disclosure agreement vallen. Instellingen die klant zijn van een cloud provider kunnen via hun SURFcumulus cloudadviseur het rapport over die provider opvragen. Stuur daarvoor een email aan cloudadviseurs-surfcumulus@surf.nl.
Recent (januari 2025) is een rapport over de compliance van AWS afgerond. Begin februari 2025 verwachten we een rapport over Microsoft Azure beschikbaar te hebben.
Add Comment