MASCOT - MeAsuring Security in Cloud OuTsourcing

In het bedrijfsleven en voor de overheid geldt dat steeds meer organisaties hun IT naar de cloud verplaatsen. Een van de argumenten daarvoor is veiligheid, en wel om twee vaak gehoorde redenen. Ten eerste hebben cloudpartijen hooggekwalificeerd personeel, dat getraind is in IT-beveiliging. Als tweede reden wordt aangevoerd dat cloudpartijen een gedistribueerde infrastructuur hebben, verdeeld over de wereld, waardoor ze beter in staat zijn om bij lokale storingen continuïteit te bieden en ook makkelijker (DDoS) aanvallen kunnen afslaan.

De vraag is echter of cloudpartijen echt zo veilig zijn. Verschillende voorbeelden laten zien dat storingen bij grote cloudpartijen geen zeldzaamheid zijn en grote impact kunnen hebben. Tel daarbij op dat een klein aantal grote cloudpartijen de markt domineert, en de vraag rijst of we daar als samenleving niet té afhankelijk van worden. Met dit onderzoek willen we twee vragen beantwoorden.

  1. Heeft de cloud ons veiliger gemaakt?
  2. Welke aanbevelingen kunnen we doen voor een veilige outsourcingstrategie naar de cloud?

Begin 2023 spraken we over het MASCOT onderzoek met prof. dr. ir. Roland van Rijswijk-Deij en dr. Abhishta. Beide zijn werkzaam op de Universiteit Twente. Roland stuurt de technische tak van het MASCOT-project aan samen met collega dr. Anna Sperotto en Abhishta de business- en management kant samen met Prof. dr. ir. Bart Nieuwenhuis. Roland vertelt meer over deze samenwerking: “Om impact te hebben, is bewust gekozen voor deze multidisciplinaire aanpak. Je kunt geen cybersecurity-onderzoek doen door puur naar de technologie te kijken. Beveiliging begint en eindigt met mensen en de keuzes die mensen maken.

Technische invalshoek bij veiligheid van outsourcing

Vanuit technisch perspectief zal gebruik gemaakt worden van grootschalige internetmetingen om te onderzoeken op welke schaal outsourcing naar de cloud al heeft plaatsgevonden. Dit is een noodzakelijke voorwaarde om te kunnen inschatten wat de impact is van de uitval van één of meerdere clouddiensten. “Als je als cloudgebruiker infrastructuur deelt met partijen die het niet zo nauw nemen, dan kun je daar last van krijgen.”

Afgelopen jaar heeft PhD-kandidaat Etienne Kahn onderzoek gedaan naar de ’dark cloud’ oftewel Geo- blokkering. Geo-blokkering is het proces van het beperken van de toegang tot online inhoud op basis van de fysieke locatie van een gebruiker. Roland vertelt “Etienne onderzocht als het ware het grijze gebied waar mensen diensten aanbieden die waarschijnlijk niet helemaal legitiem zijn, maar ook niet actief kwaadaardig zijn. Hij keek naar misbruik van allerlei datacenterinfrastructuren. Het is hem gelukt een methodologie te ontwerpen waarmee hij kon identificeren wat het werkelijke systeem of IP-adres was dat contact opnam met de streamingprovider. Zo kunnen we achterhalen wat dit grijze gebied is. “We zien dat er plekken zijn waar de grijze gebieden overlappen met legitiem gebruik. Dat is een risico, want als zaken worden afgesloten of IPs onterecht worden geblokkeerd kan dat de legitieme gebruikers problemen opleveren. Het resultaat is onder andere een overzicht van actoren en partijen in dit ecosysteem waar naar gekeken moet worden. Naast Etienne kijkt ook Sousan Tarahomi (een andere PhD-student maar buiten het project) naar cloudbeveiliging.

Onderzoek naar outsourcingstrategieën

Vanuit zakelijk oogpunt worden outsourcingstrategieën onderzocht voor zowel de cloudproviders als hun klanten. Abhishta licht toe: “Wat we de laatste jaren hebben gezien, is dat de cloudmarkt steeds oligopolistischer is geworden. Er zijn een beperkt aantal grote spelers op de markt met een relatief groot aandeel. Als gevolg daarvan zie je dat als bijvoorbeeld één van de diensten faalt, veel verschillende organisaties tegelijkertijd uitvallen zoals een recente grote storing van Microsoft. Dat is dus een groot risico.”

Bovendien is overstappen vaak een (te) grote stap voor veel organisaties, door gebrek aan kennis en door angst of alles wel weer zal werken na een overstap.

“Een goed voorbeeld van de impact van het uitvallen van een dienst is het onderzoek van PhD-student Yashir Haq naar de DNS-service provider die in 2016 uitviel. We zagen dat het aantal klanten dat reageerde op deze storing door over te stappen eigenlijk erg laag was. We zijn vervolgens gaan kijken uit welke sector deze eerste overstappers kwamen. We dachten dat dit internetproviders zouden zijn maar het bleken persbureaus te zijn, in verband met het niet kunnen missen van hun advertentie-inkomsten.”

Roland vult aan: “We beschikken over data van ongeveer 65% van alle domeinnamen wereldwijd, dit geeft ons een goed beeld over hoe deze organisaties hun systemen opgezet hebben. We hebben data van de laatste 8 jaar en kunt daar sterke ontwikkelingen uit halen. Je ziet bijvoorbeeld zaken als Microsoft Office 365 en Google Apps enorm groeien. We zagen ook een toename van video conferencing sinds de corona periode. We kunnen dus echt zien hoe veranderingen in de samenleving worden weerspiegeld op het internet en vice versa.”

Partners

In het MASCOT-project werken de onderzoekers samen met vier partners uit het veld met ieder een eigen perspectief op het probleemdomein.

SURF is de samenwerkingsorganisatie voor ICT-diensten binnen het Nederlandse hoger onderwijs en onderzoek. Naast eigen clouddiensten koopt SURF ook namens de hele sector clouddiensten in bij grote partijen zoals Microsoft, Google en anderen. Binnen MASCOT vertegenwoordigt SURF de rol van inkooporganisatie voor clouddiensten voor de onderwijs- en onderzoek sector.

Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en speelt een belangrijke rol bij het aanbieden en inkopen van ICT-diensten voor de Rijksoverheid. Een belangrijke functie van Logius is het organiseren van een cloud exchange voor het aanbieden van clouddiensten binnen de overheid. Daarmee vertegenwoordigt Logius de rol van publieke gebruikers van clouddiensten binnen het project.

KPN is grootschalig dienstaanbieder voor de zakelijke markt. Ze hebben eigen clouddiensten, maar ze hebben ook diensten van grote cloudpartijen zoals Microsoft Office 365 in hun portfolio. In MASCOT vertegenwoordigt KPN het perspectief van een commerciële aanbieder van clouddiensten.

NLnet Labs, tot slot, is een stichting zonder winstoogmerk die zich bezighoudt met het ontwikkelen van opensourcesoftware voor de kerndiensten van het internet (zoals DNS en routering), en die toegepast onderzoek doet naar deze kerndiensten. Veel van de opensourceprojecten van NLnet Labs worden intensief gebruikt door grote cloudaanbieders zoals Amazon, Akamai en Cloudflare. Binnen het MASCOT-project brengt NLnet Labs het perspectief van de ontwikkelaar van basisinfrastructuur voor de cloud.

Toekomst voor het inzet van clouddiensten

Op basis van de diepgaande inzichten over het huidige gebruik en de daaraan verbonden risico's van de cloud, wordt in MASCOT gewerkt aan een nieuwe aanpak voor het inzetten van clouddiensten. Omdat het onderzoek zowel vanuit technische hoek als bedrijfskundige hoek wordt ingestoken, en omdat wordt samengewerkt met partnerbedrijven in het veld, zullen de uitkomsten van het onderzoek snel hun weg kunnen vinden naar toepassing in de praktijk. Met de uitkomsten van dit onderzoek kunnen grote en kleine bedrijven, overheden en anderen straks nog veiliger, betrouwbaarder en stabieler gebruikmaken van de cloud.