Toon posts:

Hoe veilig is data in de (Amerikaanse) cloud?

Pagina: 1
Acties:

  • Simon Weel
  • Registratie: April 2005
  • Laatst online: 25-02 17:50
Alle cloud aanbieders, waaronder Microsoft, claimen natuurlijk dat je data bij hun in goede handen is. Volgens bijv. Microsoft: For data at rest, all data written to the Azure storage platform is encrypted through 256-bit AES encryption and is FIPS 140-2 compliant. Proper key management is essential. By default, Microsoft-managed keys protect your data, and Azure Key Vault helps ensure that encryption keys are properly secured.
Maar Amerikaanse overheidsdiensten hebben het recht om te grasduinen in alle data van Amerikaanse bedrijven. Dat impliceert in mijn ogen dat, alle versleuteling ten spijt, er toch een achterdeur moet zijn. Kan iemand daar iets over vertellen?

  • Shivs
  • Registratie: Januari 2010
  • Niet online
Ik denk dat je eerst moet definiëren wat jij veilig noemt. Mag er niemand iets van kunnen zien? Of is meta data geen probleem? Is de Amerikaanse overheid een probleem? Of is de Nederlandse dat ook? Vertrouw je Microsoft als bedrijf? etc.

Microsoft geeft aan dat ze een zich aan een aantal standaarden houden, daar kan je wel vanuit gaan want het is ook eigen belang dat ze vertrouwd kunnen worden door de klant. Wat ze niet vertellen is misschien voor jou ook relevant, zoals dat de Amerikaanse overheid zou kunnen meekijken in sommige gevallen, maar daar kan je eigenlijk alleen zelf antwoord op geven.

[Voor 8% gewijzigd door Shivs op 20-10-2022 10:49]


  • Sadieka
  • Registratie: Oktober 2006
  • Laatst online: 31-03 12:41
Het is mogelijk om je eigen keys te gebruiken voor encryptie bij Microsoft. Die keys moet je dan natuurlijk niet in je Azure keyvault opslaan maar ergens anders. Het gebruik van customer managed keys is mogelijk op vrijwel alle vlakken van de Azure en Microsoft 365 dienstverlening.

https://learn.microsoft.c...mentals/double-encryption

[Voor 9% gewijzigd door Sadieka op 20-10-2022 11:25]


  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 22:09

jurroen

Security en privacy geek

Ik heb een sticker op mijn laptop zitten die het antwoord op deze vraag geeft: "There is no cloud, it's just someone else's computer". Vertrouw je een Europese cloudaanbieder wel? En zo ja, waar is dat vertrouwen op gebaseerd?

  • SVMartin
  • Registratie: November 2005
  • Niet online
Ja, die cloud is veilig, als je hem op de juiste manier inzet voor de eisen die jij stelt aan de beveiliging van je data.

Om wat voor data gaat het in jouw geval?

  • Toonen1988
  • Registratie: Oktober 2013
  • Laatst online: 19:15
jurroen schreef op vrijdag 28 oktober 2022 @ 07:48:
"There is no cloud, it's just someone else's computer".
Inderdaad, dat is een nare gedachte dat iemand jouw data beheert. Net als een bank jouw geld beheert, ook een nare gedachte.

Zolang iemand anders het beheert, is het nooit 100% betrouwbaar. Ook wanneer een bedrijf failliet zou gaan (onwaarschijnlijk voor Microsoft), of wanneer de servers niet meer toegankelijk zijn. Dan kom je ook niet meer bij je gegevens.

Bedrijven gaan in de toekomst ook meer druk en macht uitoefenen op onze hededaagse leven door dit soort praktijken.

Is het allemaal betrouwbaar? Niemand kan het zeggen. Dat zien we pas in de toekomst. Het is niet alleen bedrijven en overheden, maar ook medewerkers kunnen hier misbruik van maken of zelfs hackers.

Encrypted of niet, alles op internet en sowieso op iemand anders computer is nooit veilig. Hoe dit allemaal gaat uitpakken, zien we pas echt in de toekomst.

Komen we er onderuit? Neen. Straks gaat alles via cloud.

Maar van de ander kant, kan je eigenlijk helemaal niks vertrouwen op deze manier. En soms moet je dingen loslaten, anders wordt je leven er niet beter op.

We moeten het accepteren, ongeacht of het veilig of betrouwbaar is.

[Voor 47% gewijzigd door Toonen1988 op 28-10-2022 08:24]


  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 27-03 13:42

kodak

FP ProMod
SVMartin schreef op vrijdag 28 oktober 2022 @ 07:55:
Ja, die cloud is veilig, als je hem op de juiste manier inzet voor de eisen die jij stelt aan de beveiliging van je data.
De cloud is onveilig, tenzij je het op de juiste manier inzet voor de eisen die je zelf stelt en er wettelijk zijn en je voldoende risico wil nemen dat die eisen en wetgeving waarschijnlijk niet compleet genoeg zijn.

  • fopjurist
  • Registratie: Mei 2021
  • Niet online

fopjurist

mr.drs. fopjurist

Simon Weel schreef op donderdag 20 oktober 2022 @ 10:27:
Alle cloud aanbieders, waaronder Microsoft, claimen natuurlijk dat je data bij hun in goede handen is. Volgens bijv. Microsoft: For data at rest, all data written to the Azure storage platform is encrypted through 256-bit AES encryption and is FIPS 140-2 compliant. Proper key management is essential. By default, Microsoft-managed keys protect your data, and Azure Key Vault helps ensure that encryption keys are properly secured.
Maar Amerikaanse overheidsdiensten hebben het recht om te grasduinen in alle data van Amerikaanse bedrijven. Dat impliceert in mijn ogen dat, alle versleuteling ten spijt, er toch een achterdeur moet zijn. Kan iemand daar iets over vertellen?
Microsoft-managed keys wil zoveel zeggen dat MS de sleutel beheert. Er is dus geen enkele technische beperking voor MS om je data in te zien. Ze kunnen gewoon door de voordeur. Wat je praktisch aan de versleuteling hebt is dat wanneer MS een harddisk weggooit of kwijtraakt, dat niemand je data kan inzien.
Sadieka schreef op donderdag 20 oktober 2022 @ 11:22:
Het is mogelijk om je eigen keys te gebruiken voor encryptie bij Microsoft. Die keys moet je dan natuurlijk niet in je Azure keyvault opslaan maar ergens anders. Het gebruik van customer managed keys is mogelijk op vrijwel alle vlakken van de Azure en Microsoft 365 dienstverlening.

https://learn.microsoft.c...mentals/double-encryption
Het gebruik van customer-managed keys lost weinig op maar maakt het gebruik van de cloud wel ingewikkelder. Er zijn twee sleutels: sleutel A voor de data zelf en sleutel B om sleutel A te versleutelen. De cloudprovider heeft altijd de beschikking over sleutel A (al dan niet versleuteld) maar sleutel B kun je niet in eigen zak houden: bij Azure moet je hem in een Azure Key Vault stoppen zodat MS er altijd bij kan, bij Amazon ook, bij Google Cloud kun je hem bij een ondersteunde derde partij onderbrengen. In een normale situatie heeft de cloudprovider alleen de beschikking over een versleutelde sleutel A en wordt die pas ontsleuteld wanneer dat nodig is, dus als je data van/naar je Azure Blob kopieert of je een server opstart. De ontsleutelde kopie van sleutel A wordt verwijderd zodra het kopiëren van data is voltooid of de server wordt afgesloten. Is dat veilig? Niet echt, op verzoek van de overheid kan de Amazon Key Vault of de derde partij worden geraadpleegd om sleutel A te ontsleutelen, of kan de stap van het verwijderen van de ontsleutelde kopie na gebruik achterwege blijven. Je data kan dus eenvoudig worden ingezien zonder dat je het merkt.

Hier zijn nog wat pagina's die het uitleggen:
https://b-vieira.medium.c...your-own-key-b7bde9149107
https://www.linkedin.com/...ntold-story-anand-prahlad
Toonen1988 schreef op vrijdag 28 oktober 2022 @ 08:06:
[...]

Komen we er onderuit? Neen. Straks gaat alles via cloud.

(...)

We moeten het accepteren, ongeacht of het veilig of betrouwbaar is.
Dit is echt onzin. Je hoeft niets te accepteren en kunt gewoon on-prem blijven werken.

beschermheer van het consumentenrecht


  • Toonen1988
  • Registratie: Oktober 2013
  • Laatst online: 19:15
[b]fopjurist schreef op vrijdag 28 oktober 2022 @ 19:50
Dit is echt onzin. Je hoeft niets te accepteren en kunt gewoon on-prem blijven werken.
Maar is dit ook in de toekomst?

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 22:09

jurroen

Security en privacy geek

Toonen1988 schreef op zaterdag 29 oktober 2022 @ 17:06:
[...]


Maar is dit ook in de toekomst?
Ja natuurlijk! Wellicht wat naïef, maar ik heb het vertrouwen dat het beter gaat gaat worden. Maar zelfs als dat niet zou zijn, on-prem zal nooit verdwijnen. Hooguit meer niché worden.

  • Simon Weel
  • Registratie: April 2005
  • Laatst online: 25-02 17:50
Alle berichten lezende ben ik weer wat wijzer geworden. Het ging mij niet zozeer om Microsoft; meer in het algemeen. Ik kwam op de vraag vanwege een bericht een tijdje geleden dat een aantal lagere Duitse overheden geen zaken meer met Microsoft wilde doen omdat die niet kan / wil garanderen dat hun gegevens niet voor de Amerikaanse overheid inzichtelijk zijn. Gezien het feit dat de diverse providers de encryptie-sleutel beheren is dat niet heel onlogisch. Dat van die sleutels had ik gemist en verklaart veel.

De discussie of het erg is dat overheden in je gegevens kunnen grasduinen is een ingewikkelde. 99,99% van alle gegevens zijn het beschermen niet waard. Van die 0,01% die overblijft wil je wel dat ze goed beschermt zijn. Met wat ik nu weet is mijn idee dat men daarop maar moet vertrouwen. Vervelende is alleen dat overheden per definitie niet te vertrouwen zijn; anders hadden we geen parlement nodig om ze te controleren. Maargoed, dat is een andere discussie.

Dank allen!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 22:09

jurroen

Security en privacy geek

Ik snap je punt en vind het een erg interessante discussie. Je vat het denk ik vrij goed samen: het is en blijft een kwestie van vertrouwen. Onder de wetgeving die de Amerikaanse overheid in staat stelt om te 'grasduinen' genieten Amerikaanse burgers nog enige bescherming, voor andere landen en continenten gaat dat niet op.

Zelf ben ik vrij fundamentalistisch; ik host zoveel mogelijk zelf. Dat vergt wel wat expertise en effort, om het ook echt veilig te doen. Helaas is het daarmee niet heel erg gangbaar. En hoe hard ik mijn best ook doe, al mijn data volledig on-prem houden is onmogelijk. Om een voorbeeld te geven: soms vragen partijen om data te uploaden naar hun omgeving. Daarmee heb ik er geen controle meer over. Of als ze wel een Nextcloud link accepteren, moet ik maar hopen dat ze het niet opslaan in een ander systeem.

Overigens denk ik niet dat je schattingen juist zijn; dat (veel) meer dan 0,01% van de data het waard is om te beschermen.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 23:03
Voor mij is het vertrekpunt altijd een risico en/of dreigingsanalyse. En die is altijd van toepassing op een specifiek persoon, een bedrijf of een situatie.

Ben jij een kleine MKB'er, dan is de cloud veel veiliger dan dat je het zelf ooit zou kunnen doen (mits je de adviezen volgt).
Moet je staatsgeheimen opslaan, dan is de cloud een no-go. Simpelweg omdat je geen volledige controle hebt, en dat met het werken met staatsgeheimen wel een eis is.

En daar tussenin heb je nog wel wat opties.

Zoals altijd "it depends".

  • Dido
  • Registratie: Maart 2002
  • Laatst online: 31-03 12:14

Dido

heforshe

oak3 schreef op dinsdag 1 november 2022 @ 09:27:
Voor mij is het vertrekpunt altijd een risico en/of dreigingsanalyse. En die is altijd van toepassing op een specifiek persoon, een bedrijf of een situatie.
Maar situaties veranderen, en kunnen heel snel veranderen. Zonder het bekende voorbeeld van de gevaren van door de staat registreren van religie er weer bij te halen, maar een paar jaar terug was er nogal wat ophef over het (moeten) delen van social media-gegevens bij aanvraag van een visum voor de VS.

Wat als er een regering komt die besluit dat ze bij een visumaanvraag even willen controleren of jij op je persoonlijke cloud geen vakantiekiekjes uit Iran hebt staan, politiek onwelgevallige memes in je chathistorie, of een pro-abortus forumprofiel?

Hoe snel/eenvoudig is het om eventueel "riskante" gegevens te verwijderen op het moment dat dat opeens nodig zou zijn?

Met uiteraard de afweging van de kans dat dat nodig is versus de impact[ als het fout gaat. Maar je kunt op dit moment denken "ik hoef helemaal niet zo nodig naar de VS op vakantie" en over een paar jaar zit Trump weer in het zadel en werk jij ondertussen voor een bedrijf dat verwacht dat je voor je werk naar de VS kunt reizen...

Doemscenario's, beren op de weg, maar ik kan me voorstellen dat er mensen zijn die met dit soort vragen in hun maag zitten.

Wat betekent mijn avatar?


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dat geldt voor alles wat niet on prem is, door alleen jezelf wordt beheerd (dus geen externe beheerdersclub). En dan nog, in een doemscenario heeft de NSA of MvS vorig jaar al wat backdoors laten meedraaien. Het is allemaal grijstinten, wat mij betreft.

Social media foto's en pro-choice forumposts en andere zaken die niet de eigen diensten betreft: dat staat hier wat los van m.i., laten we dat even in een ander topic doen.

-
Beveiliging omvat betrouwbaarheid (weet je zeker dat je er altijd bij kunt, ook als het fout gaat), integriteit (is alle data juist, onveranderd) en vertrouwelijkheid (alleen de mensen die mogen, kunnen meekijken).

Het is erg afhankelijk van de eigen technische en organisatorische kennis, kunde en tijd of een cloudprovider dat beter kan dan dat je het zelf kunt.

Ik vertrouw de security mensen in het algemeen (!) betere maatregelen te kunnen nemen tegen %h4x0r% dan dat de meeste mensen en zelfs organisaties dat kunnen.

Alternatief voor zelf doen is natuurlijk ook een NL 'cloud' partij. Vooralsnog duurder, trager en/of minder functionaliteit maar je investeert wel in een betere Europese positie hierin.
jurroen schreef op vrijdag 28 oktober 2022 @ 07:48:
Ik heb een sticker op mijn laptop zitten die het antwoord op deze vraag geeft: "There is no cloud, it's just someone else's computer". Vertrouw je een Europese cloudaanbieder wel? En zo ja, waar is dat vertrouwen op gebaseerd?
Datzelfde geldt overigens ook voor je prive-NAS en ook -PC. Alle beveiliging is relatief, en afhankelijk van anderen. De NL overheid kan jouw NAS komen halen (en dan hoop je dat je nergens de key hebt opgeslagen - en dat er geen gaten in de versleuteling zitten).

-

Inderdaad kan je de data versleutelen met een eigen sleutel - die je ook alleen zelf bewaart. Plus ergens off site een backup natuurlijk. Beperkt je wel wat in gebruiksgemak. Maar dan dus, zie fopjurist, de cloud puur als domme opslag gebruiken a la Dropbox.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • djiedjee
  • Registratie: December 2003
  • Laatst online: 21:59
@Simon Weel
Misschien interessant om eens te luisteren naar de laatste podcast van de technoloog.
Michiel Steltman o.a. over dit onderwerp.
https://www.bnr.nl/podcas...ijd-onderwerp-van-gesprek

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 22:09

jurroen

Security en privacy geek

F_J_K schreef op dinsdag 1 november 2022 @ 09:54:
Datzelfde geldt overigens ook voor je prive-NAS en ook -PC. Alle beveiliging is relatief, en afhankelijk van anderen. De NL overheid kan jouw NAS komen halen (en dan hoop je dat je nergens de key hebt opgeslagen - en dat er geen gaten in de versleuteling zitten).

-

Inderdaad kan je de data versleutelen met een eigen sleutel - die je ook alleen zelf bewaart. Plus ergens off site een backup natuurlijk. Beperkt je wel wat in gebruiksgemak. Maar dan dus, zie fopjurist, de cloud puur als domme opslag gebruiken a la Dropbox.
Exact. Er is geen 'one size fits all' beveiliging die alles dicht timmert tegen welke dreiging dan ook. Er is overigens wel één voordeel van zelf je data hosten; dat is de decentralisatie. Grote cloud vendors zijn een veel groter doelwit, omdat daar simpelweg veel meer te halen valt. Als je zelf je data op een NAS/PC/whatever hebt staan, is dat een ander verhaal.

Maar dat gezegd hebbende, die hebben dan ook veel personeel die de klok rond op de beveiliging zitten. Google heeft daar zelfs een TV serie over (acht delen meen ik). Bijster interessant en zeker een kijktip.

Ik weet zeker dat ik mijn data veiliger heb staan dan op zo'n off-the-shelve NAS het geval is. Echter - laat daar geen misverstanden over bestaan - ik kan nóóit het niveau van Google evenaren.

En last but not least, over je laatste opmerking: als de overheid mijn apparatuur komt halen, eventueel met mij erbij, heb ik wél de keuze of ik mee wil werken of niet (en in dat geval, of de consequenties van die keuze acceptabel genoeg zijn). Met een cloud - of althans, zonder versleuteling die je zelf beheerd, is die keuze er niet.

  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 06:21
Data veilig stellen (cybersecurity) en het feit dat de Amerikaanse overheid mag rondpluizen in de data (legal), zijn twee aparte onderwerpen.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee