Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

De Cloud minder veilig dan on-premise?

Cloud of on-premise?

Veel bedrijven denken nog steeds dat de Cloud minder veilig is dan on-premise. Helaas is dat gebaseerd op een aantal mythes. Tijd voor ons om die ontkrachten. Het blijkt ook zo dat bijna alle gevallen van data lekkage het gevolg is van configuratie fouten door de gebruikers zelf. In deze blog geeft ICT-Partners U enkele tips en richtlijnen om security in de Cloud goed in te richten.

Shared responsibility

Amazon werkt volgens het zogeheten shared responsibility model. Dit houdt in dat Amazon verantwoordelijk is voor de beveiliging van de Cloud (infrastructuur) en de gebruiker verantwoordelijk voor de beveiliging (van de data) in de Cloud.


Dus Amazon zorgt voor het beschermen van de infrastructuur. Zij zorgen voor het patchen van de onderliggende servers, switches en software die hiervoor gebruikt wordt. Ook zorgen zij voor het beveiligen van afgenomen managed diensten zoals Route53, Amazon DynamoDB of Elastic Load Balancing.

De klant is zelf verantwoordelijk voor het up-to-date houden van b.v. het guest operating system binnen de virtuele machines en van de applicaties binnen de klant omgeving.

Beveiliging binnen AWS

Beveiliging binnen de AWS omgeving omvat een aantal gebieden en hulpmiddelen en aanbevelingen. We zullen deze hieronder behandelen.

Toegangs controle (IAM)

Om gebruik te kunnen maken van alle AWS faciliteiten moet je wel de juiste rechten hebben. Dit regelt AWS middels de Identity en Access Management (IAM). IAM regelt wie er geauthentiseerd (ingelogd) en geauthoriseerd is (rechten heeft) om AWS resources te gebruiken.

Je kunt in IAM gebruikers aanmaken en rollen gebruiken om de authorisaties te regelen. Het is zeer aan te bevelen om multi-factor-authenticatie (MFA) toe te passen. IAM ondersteunt verschillende vormen, zowel fysieke als virtuele (zoals bv voor je smartphone) devices.

Single sign-on (SSO) kan geregeld worden middels federation services om b.v. een bestaande Microsoft Active Directory te koppelen.

De eerste actie die je binnen een AWS account moet doen is een eigen administrator account aanmaken en het root account veilig op te bergen en nooit gebruiken voor dagelijkse werkzaamheden.

In eerste instantie hebben gebruikers binnen AWS geen enkele permissie. Deze dienen dus per gebruiker geregeld te worden middels rollen en groepen.

Op deze manier is dus precies en heel veilig de toegang tot Cloud resources te reguleren.

Rapportage en monitoring

Om een goed beeld te krijgen wat er allemaal binnen je omgeving gebeurd is logging noodzakelijk. Een aantal tools die Amazon hiervoor biedt zijn de volgende:

-> CloudTrail.
Deze functionaliteit slaat alle user activiteit en API calls richting de AWS infrastructuur op. Deze logs kunnen bewaard worden en naderhand geanalyseerd. Ook kunnen bepaalde acties die gedetecteerd worden direct middels bv een SMS of email naar een beheerder gestuurd worden.

-> VPC flow logs.
Deze slaan alle activiteiten op die betrekking hebben op IP verkeer van en naar de VPC en kunnen opgeslagen worden in Cloudwatch Logs.


-> Amazon Inspector is een geautomatiseerde security assessment service. Het resultaat is een rapport met aanbevelingen voor je omgeving.

-> Amazon Guard Duty is een continue security monitoring service die VPC Flow Logs, AWS CloudTrail event logs, and DNS logs analyseerd op afwijkend gedrag. Het monitort ook AWS account gedrag op tekenen van gecompromineerd zijn zoals bv. ongebruikelijke API calls of ongebruikelijke password policy changes.

Infrastructuur bescherming (VPC)

De basis van elke omgeving met virtuele machines is een VPC (Virtual Private Cloud). Elk account beschikt over een zogenaamde default VPC met daaraan gekoppeld de default security groepen, subnetten etc. Deze default VPC is bedoeld om ervaring op te doen met VPC’s. Daarom staat de default VPC veel te open naar de buiten wereld. Dus deze VPC kan gebruikt worden om snel iets te testen of te laten zien, maar zeker niet om productie omgevingen in te laten draaien.

Binnen de VPC’s wordt toegang verleend aan de resources in de VPC middels security groups en NACL’s. Security groups zijn virtuele firewalls die in- en uitgaand verkeer controleren van één of meerdere instances. Deze hebben standaard een deny op al het inkomende verkeer. Elk type inkomend verkeer dient dus expliciet toegestaan worden. Door middel van groeperen van dezelfde type machines en bijbehorende security groups kun je applicatie tiering gaan toepassen (b.v. een web / applicatie / data laag).

NACL’s zijn optionele virtuele firewalls die je kunt toepassen en deze werken op subnet niveau i.p.v. de zojuist genoemde security groups.


Dus door het toepassen van de juiste security groups en NACL’s is de toegang tot de VPC’s tot in detail te regelen zoals hiernaast te zien is.

Internet toegang van instances binnen de VPC is te realiseren door gebruik te maken van zogenaamde Internet Gateways. Om de toegang goed te tot de machines vanaf het internet goed te reguleren kun je instances die internet toegang nodig hebben in een publiek subnet plaatsen en de rest van de virtuele machines in een private subnet binnen de VPC. Mochten de machines in de private subnet zelf bij het internet moeten, kan dat gerealiseerd worden door gebruik te maken van NAT gateways.


Zorg er dus voor dat alleen de machines die het echt nodig hebben internet toegang hebben en plaats de rest in private subnets.

Om toegang te krijgen tot de VPC’s zijn er verschillende mogelijkheden:

-> AWS Direct Connect

Dit is een eigen directe verbinding tussen eigen datacenter en de AWS omgeving. Deze verbinding maakt dus geen gebruik van het internet en maakt connecties erg veilig. Sommige security policies vereisen dedicated lijnen en dat maakt Direct Connect de aangewezen oplossing.

-> VPN Connections

Er kunnen uiteraard IPSec VPN connecties opgezet worden tussen verschillende locaties en de AWS omgeving

-> VPC endpoints

De meerderheid van de AWS diensten leven buiten VPC’s. Netwerkverkeer tussen Regio’s gaat over de eigen backbone van AWS. Maar in sommige gevallen gaat verkeer over het publieke internet. Hier heeft AWS het volgende voor ontwikkeld: VPC endpoints. Dit zijn connectie punten voor bv. S3 en DynamoDB zodat je toch vanuit een VPC direct naar deze diensten toe kunt connecteren. Maak hier dus gebruik van.

Data bescherming (Encryptie)

Data dient te allen tijde beveiligd te worden. Zoals eerder vermeld ben je als gebruiker zelf verantwoordelijk voor deze beveiliging. Het begint bij het transport naar b.v. S3 (AWS Cloud opslag).

Data tijdens transport naar S3 (in-transit) is beveiligd door middel van TLS/SSL.

Voor de data in S3 (at rest) zijn twee verschillende manieren : Server Side en Client Side.

Bij Server Side Encryption zijn er 3 mogelijkheden :

S3 Managed keys (SSE-S3): elk object is ge-encrypt (AES 256) met een unieke key. Als extra veiligheid wordt elke key door Amazon weer encrypt met een master key die regelmatig veranderd wordt.

AWS Key Management Service, Managed keys (SSE-KMS): ongeveer gelijk aan SSE-S3, echter beheert Amazon de data key en kun je zelf de master key beheren, plus nog wat extra voordelen zoals audit trail (door wie en wanneer worden de keys gebruikt)

Customer Provided keys (SSE-C): encryptie waarbij de klant alle keys managed


Daarnaast is ook Client Side Encryption mogelijk waarbij de data op de client computer wordt versleuteld (met een methode naar keuze) voordat de data naar de cloud geschreven wordt.

EC2 encryptie

EC2 instances zijn de virtuele machines binnen AWS. Ook deze virtuele machines zijn op een eenvoudige manier van encryptie te voorzien. Root devices (waar de instances van geboot worden) kunnen encrypt worden. Ook zelfgebouwde images (AMI’s) waar andere EC2 instances van gedeployed worden kunnen voorzien worden van encryptie. Uiteraard kunnen ook extra disken (EBS volumes) aan de instances worden ge-encrypt.

De keys waarmee dit gebeurt kunnen door de klant zelf of door Amazon beheerd worden zoals hierboven besproken met AWS KMS.

Verder zijn alle snapshots en restores van encrypted volumes ook encrypted.

Zo zie je maar dat uw data optimaal beveiligd kan zijn in de Amazon Cloud als de juiste configuratie wordt toegepast.