Zeven redenen waarom e-mail veiliger is in de cloud

04/12/2015 - David Sayer, Cloud Architect - Messaging & Communication Lead COMPAREX USA

Tot enkele jaren geleden werden IT-experts, die beweerden dat men voor de veiligheid van gegevens in de cloud moest zijn, onder luid gehoon het datacenter uitgejaagd. Vervolgens waren veiligheidslekken, bedrijfsspionage en gegevensdiefstal echter aan de orde van de dag. Bedrijven en overheden begonnen toe te geven dat beveiliging een lastig vraagstuk is, maar nog altijd waren er IT-beslissers die aarzelden om gevoelige gegevens zoals e-mail naar de cloud te verplaatsen.

Voor wie hierover in de aanloop naar 2016 nog steeds geen beslissing heeft genomen, zetten wij enkele belangrijke overwegingen op een rij. Hierbij gebruiken wij Exchange Online/Office 365 als model voor onze ‘stand van de cloud’.

1. Uw active Directory is een puinhoop

Er zijn maar weinig klanten tevreden over de staat van hun Active Directory. Zij plaatsen vraagtekens bij het verouderde doolhof van permissies, de geneste groepen en overgenomen beleidsregels. Zij weten dat domeincontrollers vaak de meest verwaarloosde servers in het datacenter zijn. IT-beheerders komen daarom regelmatig met verzoeken om Exchange naar een volledig nieuwe AD-omgeving te verplaatsen, om zo te ontsnappen aan jaren van gebrekkig AD-beheer.

Als IT bereid is de kosten en overlast van het opnieuw inrichten van AD en Exchange voor lief te nemen, kunnen zij er gerust op zijn dat verouderde AD Domain Services niet nodig zijn voor het ondersteunen van een Office 365 installatie. Azure zorgt voor de benodigde infrastructuur, waardoor AD slechts een (optionele) verstrekker van id’s wordt.

Maar hoe zorgt dat nu voor verbeterde cloudbeveiliging? Antwoord: door het terugdringen van het aantal infrastructuur- en serviceafhankelijkheden, ontstaat een vereenvoudigde, toegespitste webservice met minder aanvalsvectoren.

AD ondersteunt Exchange Server op locatie, en Azure AD ondersteunt Exchange Online, en van beide kan worden gezegd dat ze gevoelig zijn voor e-mailaanvallen. Bij lokale aanwezigheid van AD is het uiteraard volledig aan IT-personeel om AD te beveiligen, isoleren en bewaken, omdat AD binnen de organisatie nu eenmaal een toegankelijke en gedeelde resource moet zijn. Voor kwaadwillende beheerders is het eenvoudiger om AD te hacken (denk bijvoorbeeld aan Skeleton Key eerder dit jaar) dan de infrastructuur van Azure AD en Microsoft Office 365. Het komt er kort gezegd op neer dat uw Exchange Server zo veilig is als uw lokale Active Directory-omgeving en netwerkinfrastructuur.

2. Versleuteling van inactieve gegevens

Dit is onderwerp van menig RFI en RFP, maar vind maar eens een Exchange-klant die deze uitdaging met succes is aangegaan. Toch is BitLocker-schijfversleuteling van Microsoft al sinds Windows 2008 beschikbaar. Bescherming van gegevens tegen fysieke diefstal in een tijdperk waarin Exchange-gegevens naar tientallen schijven – en vaak ook meerdere datacenters – worden doorgezet, is voor de doorsnee Exchange-beheerder een brug te ver. Hij of zij heeft het al druk genoeg wanneer harde schijven uitvallen en herstelhandelingen moeten worden verricht.

Toch biedt Office 365 versleuteling van inactieve gegevens, met standaard BitLocker-bescherming voor alle Exchange Online-databases (en SharePoint Online-databases). Zonder extra kosten of beheerinspanningen.

Aanvullende versleuteling is beschikbaar per bericht en per document via de Rights Management Services (RMS) van Microsoft, waarmee klanten opgeslagen inhoud in elke database en elk bestandssysteem kunnen beschermen. Daarover later meer.

3. Gedistribueerde systemen vergroten uw risico

E-mail op de juiste manier aanpakken is vaak een serieuze aangelegenheid. Denk aan het aantal systemen waarmee e-mail in een normaal bedrijf ‘raakvlakken’ heeft…

  • Mailgateways / -appliances;
  • Exchange- / e-mailservers (met verschillende rollen, zoals Hub/MTA, database);
  • Journaling systemen;
  • Archiveringssystemen;
  • Standby- / Disaster Recovery servers;
  • Back-upservices / off-line media.

… en er rekening mee houdend dat op elk van deze systemen een kopie van de berichten kan staan, mogelijk zelfs voor onbepaalde tijd. Afhankelijk van de omvang van de organisatie heeft elk van deze systemen mogelijk een eigen beheerder met aparte inloggegevens en/of serviceaccounts die niet zijn terug te herleiden naar een unieke gebruiker. Het onderhoud en de beveiliging van deze ondersteunende systemen wil er ten opzichte van productiesystemen nog wel eens aan schorten (“Als de back-up het maar doet…”). Deze systemen zijn daarom vaak betere doelwitten dan de e-mailservers zelf.

Back-ups alleen al omvatten doorgaans een schijfback-up en een secundaire of getrapte tape back-up. En in het geval van externe rotatie bevindt die tape zich mogelijk in handen van een andere provider, of in de kelder van uw e-mailbeheerder.

Met andere woorden: uw e-mailgegevens zijn overal, waarschijnlijk niet versleuteld en geplaatst op schijven en servers die uit productie zijn gehaald en snel vergeten worden.

Microsoft maakt werk van deze kwesties met ruim 900 veiligheidsmaatregelen, met name op het gebied van 'data governance' en veilige buitengebruikstelling. De naleving van onder andere ISO 27001-normen worden hier uitgebreid behandeld.

4. Bescherming tegen luie of kwaadwillende beheerders en supergebruikers

Beveiliging is niet enkel een kwestie van technologie. Om de cirkel te sluiten zijn ook mensen en processen nodig. Zijn de e-mailhandtekeningen van uw IT-teamleden vol staan met afkortingen zoals ITIL, CISSP en TOGAF, dan kunnen zij waarschijnlijk prima inhoudelijk meepraten, maar elke succesvolle governance-methode vereist ook de steun van het management en discipline.

Het beschermen van uw gegevens tegen interne risico's vergt waarschijnlijk meer discipline, processen, informatiebarrières, rapportage en toezicht dan waarin het budget van uw organisatie voorziet. Microsoft Azure en Office 365 werken op basis van het principe van minimale bevoegdheden die onder normale omstandigheden niet worden verhoogd. Microsoft-operators die bepaalde handelingen moeten verrichten, waaronder het simpelweg opnieuw opstarten van een service, krijgen te maken met een gecontroleerd ‘lockbox’-verzoeksysteem. En hoewel operators tijdelijk hun eigen bevoegdheden kunnen verhogen, vereist elke in potentie destructieve handeling dubbele autorisatie, vergelijkbaar met de 2 afzonderlijke sleutels om een kernraket af te vuren.

De prachtige ironie hier is dat u Microsoft kunt vertrouwen omdat zij Office 365 exploiteren alsof zij hun eigen operators niet vertrouwen!

5. Rendabele bescherming alleen in de cloud

Zoals besproken bij reden #3 vereist e-mail op ondernemingsniveau talloze randsystemen enkel en alleen om beschikbaarheid en gezondheid van de berichten te garanderen. Om de veiligheid en privacy van gegevens te waarborgen, zijn echter nog aanvullende infrastructuurlagen vereist, meestal in de vorm van Public Key Infrastructure (PKI), versleutelingsgateways en gehoste beveiligingsproviders. En hoewel versleuteling meestal opensource is, is het beheer ervan zeker niet gratis. Dit leidt tot extra kosten en training voor beveiligingsgevoelige omgevingen.

Zoals verwacht mag worden van toonaangevende PaaS/SaaS-platformen beschikken Azure en Exchange Online over rendabele beveiligingsfuncties en add-ons. De cloud kan de deur openen voor gehoste versleuteling en functies voor identificatie en verificatie, zoals Online Message Encryption (OME) en Azure Rights Management Services (RMS), wat beheerde beveiligingselementen binnen het bereik van kostenbewuste klanten brengt. En doordat voor extra functionaliteit individuele licenties (of gebundeld met de Enterprise Mobility Suite) mogelijk zijn, kunnen organisaties hun veiligheidsbudget per specifieke gebruikersrol of afdeling opschroeven. Schaalvoordelen en gerichte licenties zijn op zichzelf positieve veiligheidsaspecten van de cloud, omdat dit voor veel bedrijven het verschil betekent tussen het hebben van een veilige manier van werken – en de afwezigheid daarvan.

6. Openbare clouds maken lekken openbaar

Hoe transparant zijn uw IT-activiteiten? Tenzij uw datacenter dezelfde strikte normen naleeft als Microsoft Azure en Office 365 hebt u mogelijk een transparantieprobleem. U merkt het als e-mail eruit ligt, maar krijgt u ook te horen dat een stagiair op slimme wijze e-mails heeft gelezen via een back-upaccount? Of dat een mogelijk kwaadwillende externe partij lange tijd toegang tot uw systemen had? In een particuliere organisatie blijft de ware omvang van een lek mogelijk voor altijd verborgen. Volgens FireEye/Mandiant Investigations bleven lekken in 2014 onopgemerkt voor een gemiddelde periode van 205 dagen, wat betekent dat organisaties, hoe graag ze misschien ook willen, simpelweg niet in staan zijn om incidenten tijdig te melden en te verhelpen!

In de competitieve Cloud/SaaS-markt van vandaag is voor providers niets belangrijker dan vertrouwen. Het niet melden van een lek zou zelfs voor de grootste spelers ‘Game Over’ zijn. Met Office 365 waarborgt Microsoft het vertrouwen via transparante activiteiten, zoals:

Microsoft heeft overigens recentelijk Advanced Threat Analytics (ATA) op de markt gebracht als onderdeel van de Enterprise Mobility Suite. Dit lokale product maakt gebruik van technologie, verkregen vorig jaar met de overname van Aorato, die niet alleen aanvallen door kwaadwillende personen detecteert, maar ook Machine Learning gebruikt om verdachte activiteiten boven water te krijgen. En doordat 76% van aanvallen plaatsvindt met behulp van gecompromitteerde inloggegevens, is dit type analyse van het AD-verkeer van onschatbare waarde voor afnemers van zowel cloud- als datacenterproducten.

7. E-mailbeveiliging van begin tot eind

Transport Layer Security (TLS) voor e-mail is nog altijd een geval van ‘alles of niets’ als het gaat om verzending naar willekeurige e-maildomeinen. Voor bewijs hoeven we niet verder te kijken dan Facebook, dat elke dag MILJARDEN e-mails verstuurt naar elk denkbaar mailsysteem.

In een rapport uit 2014 over de status van SMTP STARTTLS onthulde Facebook dat slechts 58% van alle uitgaande e-mails onderweg succesvol is versleuteld, waardoor de verwachting is dat uw organisatie niet beter af is. Interessant genoeg was de helft van deze 58% enkel versleuteld met ‘opportunistische TLS’, wat betekent dat het systeem de communicatie succesvol wist te versleutelen ondanks server- of certificaatfouten, waarvan je mag verwachten dat een competente beheerder ze corrigeert.

De boodschap hier is dat uw e-mailsystemen (of die van uw zakenpartner) u mogelijk niet beschermen zoals zou moeten. Gebruik om de TLS-ondersteuning van uw domein – of die van uw partner – te controleren een afzendertest voor e-mail via de testsite http://www.checktls.com/tests.html

We hebben hier 7 redenen behandeld waarom wij denken dat Exchange Online betere beveiliging biedt dan een model op locatie, of zelfs een hybride model.  Uiteraard zullen er sceptici zijn die de operationele claims van Microsoft niet zomaar zullen aannemen; anderen hechten mogelijk minder belang aan veiligheid/privacy dan aan beheersing en verplaatsbaarheid van gegevens. Dat is het onderwerp van een heel andere discussie. Duidelijk is echter, dat Microsoft nu al vrijwel geen interactie heeft met de inhoud en klanten volledige controle over hun gegevens wil geven. Dit blijkt wel uit de komst van de ‘Bring Your Own Key’ (BYOK) Azure Key Vault voor RMS, die klanten hun eigen coderingssleutels laat generen en onafhankelijk laat beheren via FIPS-gevalideerde Hardware Security Modules (HSM's).

Laten we tot slot nog even stilstaan bij de volgende stelregel van beveiliging: “De veilige manier moet de gemakkelijke manier zijn.” In iets andere woorden gedragen uw gebruikers zich zo veilig als IT het hun mogelijk maakt. Het platform dat u biedt, is grotendeels onzichtbaar en moet daarom betrouwbaar en operationeel transparant zijn en worden beheerd op basis van hogere normen dan uw organisatie economisch verantwoord zou achten. Dat is de kracht van geconsolideerde, gedeelde services… ook wel De Cloud genoemd.

Meer informatie?

Wilt u weten hoe COMPAREX u kan helpen uw organisatie veilger te maken? Neem dan contact op met Frederik Lefèvre, Cloud Solution Consultant via telefoonnummer +31 (0)6 1007 0789. Uiteraard kunt hem ook per e-mail benaderen.

Neem contact op

Frederik Lefèvre

Frederik Lefèvre

Cloud Solutions Consultant

Auteur

David Sayer

Cloud Architect -

Messaging & Communication Lead

COMPAREX USA