Bij het maken van een veilige applicatie is het cruciaal dat security en compliance in een vroeg stadium onderdeel zijn van het ontwikkelproces. Gemeenten zijn hierop geen uitzondering. De denkwijze sluit naadloos aan bij een van de centrale architectuurprincipes van Common Ground, een initiatief dat gemeenten helpt bij het gezamenlijk aanpakken van overeenkomende uitdagingen.
Eerder lieten we je al kennismaken met Common Ground. In dit blog zoomen we in op de rol die security en compliance speelt binnen Common Ground.
Het wiel niet telkens opnieuw uitvinden
Dankzij het Common Ground-initiatief vinden Nederlandse gemeenten het wiel niet telkens opnieuw uit. Zo lopen veel gemeenten tegen dezelfde uitdagingen en problemen aan. Common Ground is een initiatief dat gemeenten helpt bij het gezamenlijk aanpakken hiervan. Steeds meer toepassingen worden dan ook vanuit zowel gemeenten als de Vereniging van Nederlandse Gemeenten (VNG) volgens de principes van Common Ground ontwikkeld.
Lees ook: Wat is Common Ground en wat maakt dit initiatief zo interessant?
De Informatie Beveiligingsdienst (IBD) helpt de VNG hierbij. De IBD draagt namens gemeenten bij aan de Baseline Informatiebeveiliging Overheid (BIO).
Security in de private en public cloud
Bij het uitrollen van een Common Ground-applicatie loop je tegen allerlei vraagstukken aan. Kies je bijvoorbeeld voor een implementatie in de public cloud of private cloud? En welke impact heeft dit op security? Het is goed mogelijk dat jouw organisatie niet de benodigde kennis en expertise in huis heeft voor het zelfstandig ontwikkelen en uitrollen van een Common Ground-applicatie.
Public cloud
Een public cloud wordt aangeboden door een externe provider. Het gaat hierbij met name om grotere partijen als Microsoft, Amazon en Google. Een bekend kernmerk van de public cloud is dat de onderliggende hardware wordt gedeeld met derde partijen. Hoewel klanten hiervan in de praktijk niets merken, is dit voor veel bedrijven een zorgenpunt. Het delen van de onderliggende infrastructuur klinkt wellicht niet ideaal met het oog op security, brengt in de praktijk lang niet altijd implicaties met zich mee. Zo hebben veel gevestigde providers door de jaren heen maatregelen uitgerold die het beveiligingsniveau van hun public cloud-omgeving naar een hoger niveau tillen.
Bezoek ook eens: Public Cloud: Uitstekende prestaties voor missiekritische applicatie
Kenmerkend voor compliancy met regelgeving bij het gebruik van de public cloud is het model van gedeelde verantwoordelijkheden. Want hoewel je als organisatie kiest voor het onderbrengen van workloads bij een externe partij, blijf je (deels) verantwoordelijk voor de beveiliging hiervan. Zo neemt de provider het onderhoud en de security op zich van zowel de hardware als de software die als besturingssysteem fungeert. Jij hebt hiernaar dan ook geen omkijken meer. Je blijft echter wel verantwoordelijk voor het beveiligen van workloads, up-to-date houden van software en adequaat beschermen van gegevens.
Zoals eerder al benoemd maken veel public cloud-provider gebruik van een netwerk van datacenters, die verspreid over de wereld zijn gevestigd. Veel providers bieden je de mogelijkheid tot het selecteren van specifieke regio’s waarvan jouw omgeving gebruik mag maken. Zo kan je als gemeente bijvoorbeeld bewust kiezen voor regio’s die binnen de Europese Unie (EU) vallen, waardoor Europese wetgeving zoals de Algemene verordening gegevensbescherming (AVG) van toepassing is. Belangrijk voor onder meer de opslag van bijzondere persoonsgegevens, waarmee gemeenten veel werken.
Private cloud
Een private cloud is een cloudomgeving die volledig is gereserveerd voor een specifieke organisatie. De omgeving en onderliggende hardware worden niet gedeeld met andere partijen. Onder meer met het oog op compliance kan dit vereist of gewenst zijn.
De private cloud biedt enkele voordelen op het gebied van security en compliance. Zo kunnen bedrijven meer aanpassingen maken aan een private cloud-omgeving en deze omgeving meer afstemmen op hun specifieke eisen. Denk hierbij aan aanvullende authentificatievereisten of het gebruik van een bepaald soort encryptie.
Een private cloud kan op verschillende manieren worden uitgerold, wat impact heeft op beveiliging. Zo kan je een dergelijke omgeving in een on-premise datacenter uitrollen, wat om veel kennis en expertise vraagt. In dat geval ben je zelf verantwoordelijk voor alles op het gebied van security. Een aantrekkelijk alternatief kan daarom het onderbrengen van een private cloud-omgeving bij een managed provider zijn. Deze provider neemt alle hardwarematige en infrastructurele taken van je over, waardoor jij hiernaar geen omkijken hebt. Ook hierbij geldt echter dat je verantwoordelijk blijft voor onder meer het beveiligen van workloads en up-to-date houden van software.
Het gebruik van de private cloud geeft meer zekerheid over de locatie waar gegevens zijn opgeslagen. Zo kan je een private cloud-omgeving in een on-premise datacenter hosten. Je behoudt dan zelf de volledige controle over data. Kies je voor een managed provider? Dan geeft deze je over het algemeen uitgebreid inzicht in de locatie waar gegevens zijn opgeslagen. Prettig met het oog op compliance. Een managed provider kan uiteraard ook met je meedenken op dit vlak en je ondersteunen bij het bewaken van compliance.
Bezoek ook eens: Alles over Private Cloud
Wat zijn de voordelen van een managed provider?
Het onderbrengen van een private cloud bij een managed provider biedt echter meer voordelen. Zo zijn de resources geoptimaliseerd voor de vereisten van jouw specifieke Common Ground-applicatie. Je hebt zelf dus geen omkijken naar het afstemmen van de resources op de applicatie. Dit is bij een public cloud provider wel het geval. Ook neemt een managed provider in veel gevallen het beheer van alle middleware uit handen, zoals het besturingssysteem, databasesoftware en gebruikte frameworks.
Een andere groot voordeel is dat data bij een managed provider over het algemeen gegarandeerd in Europa zijn opgeslagen. Bij een public cloud provider heb je deze zekerheid niet altijd. Zo maken veel public clouds met het oog op redundantie gebruik van een netwerk van datacenters. Deze faciliteiten zijn soms buiten de Europese Unie gevestigd. Je moet dan ook goed opletten welke regio’s je met het oog op compliance wel of juist niet gebruikt.
Tot slot beschikt een managed provider in veel gevallen over een toegewijd beveiligingsteam. Dit team monitort continu het netwerk en zoekt naar opvallendheden die wijze op securitydreigingen, zoals een DDoS-aanval. Het team levert hiermee een belangrijke bijdrage aan het op peil houden van de beschikbaarheid van een private cloud. Een public cloud provider reikt doorgaans wel tools aan die vergelijkbare mogelijkheden bieden. Je bent echter zelf verantwoordelijk voor het monitoren van de eigen omgeving.
Containertechnologie
Common Ground is gericht op het gezamenlijk oplossen van overeenkomende uitdagingen en problemen waar Nederlandse gemeenten tegenaanlopen. De Haven-standaard zorgt dat gemeenten gebruik kunnen maken van de oplossingen zonder het maken van al te grote aanpassingen aan hun bestaande infrastructuur. Containertechnologie sluit naadloos aan bij deze denkwijze en zorgt voor flexibiliteit en portabiliteit.
Een voorbeeld van populaire containertechnologie is Azure Kubernetes Service (AKS) van Microsoft. AKS biedt zeer uitgebreide mogelijkheden op het gebied van beveiliging. We zoomen in op een tweetal opties: het beveiligen van verkeer tussen pods en netwerkbeveiliging. Een overzicht van alle mogelijkheden is hier beschikbaar.
Verkeer tussen pods beveiligen
Indien je applicaties als microservice draait in een Kubernetes-omgeving is de communicatie tussen deze microservices van groot belang. Zo wil je zeker stellen dat de juiste microservices met elkaar kunnen communiceren, terwijl overige communicatie met het oog op security wordt geblokkeerd. Pods kunnen in een AKS-cluster echter standaard onbeperkt verkeer verzenden en ontvangen. Met behulp van een network policy engine en regels beheer je de verkeersstromen tussen microservices in AKS nauwkeurig. Je kunt via de network policy engine regels definiëren die de verkeerstromen bepalen.
Netwerkbeveiliging
Met AKS kan je een cluster toevoegen aan de subnet van een bestaand virtueel Azure netwerk. Deze virtuele netwerken kunnen vervolgens met behulp van Azure Site-to-Site VPN of Express Route worden gekoppeld aan jouw eigen on-premise netwerk. Met behulp van Kubernetes ingress controllers beperk je de toegang tot de AKS-omgeving. Zo kan je interne IP-adressen opgeven die toegang hebben tot de omgeving en toegang vanaf ieder andere IP-adres blokkeren. Hierbij wordt gebruik gemaakt van groepsregels, die onder meer de toegestane IP-adressen, bruikbare poorten en toegelaten protocollen definiëren.
Security bij True
Als je kiest voor een managed provider wil je zeker weten dat deze provider het juiste beveiligingsniveau biedt. Verschillende certificeringen helpen je hierbij. Zo beschikt True over de certificeringen ISO 27001, ISO 9001 en NEN 7510. De certificeringen schrijven voor dat we ons regelmatig laten toetsen op informatiebeveiliging. Voor het behoud van deze certificeringen worden wij dan ook met regelmaat getoetst aan de eisen. Dit geeft zekerheid over het beveiligingsniveau dat wij bieden.
Ook beschikken we over ISAE 3402 type 2 rapportages. ISAE 3402 is een audit standaard voor uitbestede processen. Compliance met deze standaard kan met twee rapporten worden aangetoond: een type 1 en type 2 rapport. Beide rapporten zijn inhoudelijk gelijk. Waar een type 1 rapport echter is gebaseerd op een meetmoment, geeft een type 2 rapport een beeld van een periode van zes maanden. De audit voor een type 2 rapport is dan ook aanzienlijk uitgebreider. Meer informatie over onze ISAE 3402 type 2 rapportages is hier beschikbaar.
True biedt ook aanvullende securitydiensten aan in de vorm van ons Advanced Security Platform. Dit platform omvat onder meer anti-DDoS, een Web Application Firewall en stopt veelvoorkomende cyberaanvallen. Onze experts interpreteren en beoordelingen dreigingen. In combinatie met onze slimme technologie tilt deze expertise het beveiligingsniveau van de private cloud naar een hoger niveau.