Jaap Wesselius over data in de Cloud

1. Mijn data in de cloud
Wat betekent dit, en hoe secure is dit?
Ngi-NGN meeting
29 oktober 2015
Jaap Wesselius

2. Agenda
• Introductie
• Cloud Project
• Security & Privacy Officers

3. Introductie

4. Introductie
• Jaap Wesselius
• Onafhankelijk Exchange Consultant
• Ben zoekende….. Wat doet de markt, wat moet ik?
• Sinds december 2014 betrokken bij een groot Cloud project
• Doelstelling:
• Samenwerken, adresboek delen, kosten verminderen
• Klant idee:
• Cloud oplossing

5. Cloud Kenmerken
• NIST (National Institute of Standards Technology)
• Essential Characteristics:
• On-demand self service
• Broad network access
• Resource pooling
• Rapic elasticity or expansion
• Measured service
• Service Models:
• SAAS, PAAS en IAAS
• Deployment Models
• Private Cloud, Public Cloud, Community Cloud, Hybrid Cloud

6. Cloud oplossingen
• Public Cloud - Office 365
• Shared Platform
• Exchange Online
• SharePoint Online
• Alles wordt beheerd door Microsoft
• Altijd up-to-date, maar ook ‘wet van remmende voorsprong’
• Extreme mate van integratie
• Community Cloud
• Hosted Exchange, eigen hardware in datacenter (bijvoorbeeld Sara)
• Beheer door nader te selecteren partij
• Zelf bouwen, zelf ontwikkelen, zelf invloed op mate van ontwikkeling

7. Cloud Project

8. Project requirements
• Data versleuteling ‘in transit’
• Gebruikers authenticatie tegen DC on-premises
• Geen username/password in de cloud
• Mogelijkheid tot off-boarding
• Jaarlijkse audit
• Certificering (ISO) van datacenter en personeel
• Toegang tot log files
• Secure mail voor externe recipients

9. Federated Infrastructuur
• Account beheer on-premises
• Geen username/password in de
cloud
• Authenticatie tegen lokale Domain
Controllers
• Single Sign-On
• DirSync infrastructuur nodig
• Federation infrastructuur (ADFS)
nodig
• Combineren met Exchange hybride
(combine on-premise en online)

10. Wat staat waar bij Federated Exchange?
• User accounts staan on-premises
• Federated accounts in Office 365 (maar geen wachtwoord)
• Mail data staat in Exchange Online of Exchange on-premises
• Keuze is aan de klant

11. Security & Privacy Officers

12. Security & Privacy Officers
• Hebben hun eigen (terechte) requirements
• SSL, TLS, anti-spam, anti-virus
• Vind hosting plaats op Nederlands grondgebied, of binnen Europese
Economische Ruimte (EER)
• Wordt een federated infrastructuur gebruikt
• Aantoonbaar gecertificeerd volgens ISO27001
• Wordt encrypted email gebruikt, in transit en in rest
• Zijn de (security) processen adequaat ingeregeld
• Leveranciers dient zich te houden aan het wettelijk kader voor delen van
privacy gevoelige data

13. En dan loopt het gierend uit de hand…
• Niet iedereen is even reëel als het gaat om privacy en security….
• “Wettelijk gezien mogen we onze data niet opslaan bij een
Amerikaans bedrijf”
• “ja, het staat wel in Europa, maar dat maakt voor de NSA niet uit”
• “Zelfs al staat het bij een Nederlands bedrijf, als ze een Amerikaanse
werknemer hebben kan de NSA alsnog alles opvragen”
• “Ik wil niet dat Microsoft onze mail leest”
• Deze heb ik zelfs gehoord bij anti-spam oplossingen in de cloud!
• “De NSA kan overal en altijd zomaar bij zonder dat wij het weten”
• “Als we er eenmaal inzitten komen we er nooit meer uit”

14. Ik kan nog wel even doorgaan….
• Safe Harbor…. Schrems….. FaceBook…. Edward Snowden….. Patriot
Act….. Achterdeurtjes…. Allemaal onderbuik gevoelens?
• Een privacy officer stelde zich op met “over my dead body”
• Hier houdt het voor mij als techneut op. Ik kan zaken technisch
onderbouwen (of onderuit halen), maar met onderbuik gevoelens kan
ik proberen ze weg te halen, en juridisch moet ik het overlaten aan
anderen (en dat volg ik dan weer graag)
• Joost Gerritsen, advocaat bij De Gier | Stam & Advocaten