"Er zijn drie cruciale vragen die iedere IT-manager zichzelf dient te stellen als diensten om bestanden te delen overwogen worden", zegt Adam Gordon, CSO/CTO van het New Horizons Computer Learning Center in Florida. "Dit zijn: Waar slaat de dienst bestanden op? Wie hebben toegang tot de bestanden? En wat voor typen bestanden laat de dienst toe?" Als de serviceprovider op deze vragen geen bevredigend antwoord kan geven, zou er naar andere opties gekeken moeten worden.
Wij besloten deze vragen op Box en Dropbox los te laten. Voldoen de diensten aan eisen die enterprise security stelt aan cloudgebaseerde bestandsuitwisseling?
Diensten voor opslag in en delen via de cloud plaatst data buiten het bereik van IT. Organisaties hebben geen invloed op de uptime van de service, de beschikbaarheid van bestanden of misschien wel het complete verdwijnen van de dienst.
Deze laatste omstandigheid zorgde er bij de dienst Megaupload voor dat gebruikers al hun data kwijt waren, ongeacht of ze de dienst nu wel of niet voor illegale doeleinden inzetten. Als zoiets gebeurt, is de grote vraag wie nog wel toegang tot de bestanden heeft en of ze überhaupt verwijderd worden.
Beschikbaarheid en locatie
Box belooft zakelijke klanten in zijn SLA een uptime van 99 procent, legt uit hoe het op verschillende manieren ervoor zorgt dat die uptime gehaald kan worden en biedt de klant korting als het een storing heeft. "We hebben een infrastructuur die al onze klanten op alle betaalniveaus bedient. We maken gebruik van de hoogste kwaliteit networking en services, waarmee we organisaties optimaal kunnen beschermen", zegt marketingmanager Grant Shirk van Box.
De fysieke infrastructuur bevindt zich op vier locaties in de wereld. "We selecteren colocaties met de hoogste serviceniveaus bandbreedte", geeft hij aan. Naast drie primaire datacenters zorgt een vierde faciliteit voor noodbackups zodat bij een crash in één van de datacenters bestanden teruggezet kunnen worden.
Ook Dropbox kan uptime garanderen, maar deelt die informatie niet publiek. "We bieden SLA-garanties in specifieke klantcontracten", zegt securitydirecteur Cory Louie van Dropbox. De dienst bewaart gegevens in de Amazon S3 cloud en mirrort deze versleuteld in verschillende colocaties. De S3-servers staan in de Verenigde Staten.
Toegang
Box stelt bedrijven in staat gebruikers hun gratis account over te zetten naar een beter beschermd betaald account. Hiermee wordt toegang verkregen tot aanvullende functionaliteit. In het verleden kwam het nog weleens voor dat gebruikers per ongeluk werden toegevoegd aan een zakelijk account of dat beheerders van zakelijke accounts dachten een medewerker verwijderd te hebben, maar dat deze persoon nog gewoon toegang tot de gegevens van het bedrijf had.
Box heeft inmiddels maatregelen getroffen om zulke incidenten te voorkomen. "We hebben ervoor gezorgd dat niemand meer bij een zakelijk account terecht komt zonder dat beide partijen daar vooraf toestemming voor geven", zegt Shirk.
Dropbox gaat ongewenste toegang tot accounts tegen door twee-factor authenticatie toe te passen en organisaties hun eigen access management tools te laten gebruiken. Dropbox kan deze in zijn applicatie integreren. "We hebben integraties met leidende providers als Okta, Ping Identity, OneLogin en Centrify. We werken met bekende standaarden, dus we integreren met iedere IAM-tool", zegt vice-president Enterprise Strategy Ross Piper van Dropbox.
Security
Box verzendt bestanden via SSL-encryptie en slaat bestanden at-rest op met 256-bit AES-encryptie. Box is ISO 27001 gecertificeerd en biedt SSAE 16 SOC 2 Type II als vervanger voor SAS 70 om te voldoen aan de hoogste enterprise security en compliance-standaarden. Box werkt daarnaast samen met PCI en HIPAA en helpt bedrijven via zijn dienst zelf aan HIPAA te voldoen.
Dropbox ondersteunt TLS 1.0 tot 1.2 en SSL v3 voor data die verstuurd wordt. "Dit creëert een veilige tunnel die tot 256-bit bescherming biedt", zegt Louie. Het encryptieniveau hangt af van de afspraak met de klant. Ook Dropbox gebruikt 256-bit AES voor data in ruste. Daarnaast splitst Dropbox bestanden. "We anonimiseren onderdelen van bestanden met een hashwaarde. Daarna versleutelen we die hashed bestandsblokken nog een keer apart en slaan de encryptiesleutels op een andere locatie op dan de versleutelde bestandsblokken", zegt Louie.
"We voldoen op verzoek van klanten aan SOC 2/Type II", zegt hij. "Dat blijft ook gewoon zo en wordt minimaal jaarlijks gecontroleerd via een audit." In de nabije toekomst wil ook Dropbox ISO 27001 gecertificeerd zijn.
Als een zakelijke klant Dropbox wil gebruiken onder regelgeving van HIPAA en FIRPA, bieden third-party ontwikkelaars applicaties die met Dropbox samenwerken en zo alsnog aan deze vereisten kunnen voldoen, stelt Piper.
Toegestane bestanden
Als hackers onverhoopt toegang verkrijgen tot een Box of Dropbox, dan kunnen ze malware in deze systemen opslaan en laten delen. "Omdat deze systemen vaak zonder de controle en kennis van IT functioneren, vallen ze niet onder de compliance van de enterprise. Omdat vaak wordt gekozen voor flexibiliteit en gebruiksgemak lopen bedrijven gevaar", zegt Gordon.
Volgens Box vallen de risico's wel mee. Hackers zouden geen bestanden binnen het systeem kunnen uitvoeren. "Hoewel Box geen beperkingen stelt aan het type bestanden dat gebruikers kunnen uploaden, is Box geen live runtime omgeving. Scripts en executables kunnen binnen het platform niet uitgevoerd worden", zegt Shirk. Daarnaast stelt Box klanten in staat antivirus scans op Box content uit te voeren. "Daarnaast beperken we bestandsconversie en interpretatie enkel tot vertrouwde bestandstypes als .doc, .txt en .xls", zegt Shirk.
Dropbox treft minder maatregelen. Via Dropbox kunnen alle typen bestanden uitvoeren en alleen als gebruikers misbruik maken van de dienstverlening, treedt het bedrijf op. "We kijken meldingen van misbruik na en ondernemen gepaste acties als dat nodig is", zegt Louie.
@Fulda
Precies om die reden ben ik een uitrol van Owncloud aan het doen.
Wanneer gebruiken medewerkers om te kunnen samenwerken een tool als Dropbox? Als hun IT-afdeling andere (veilige) mogelijkheden verbiedt. Dan ontstaat deze schaduw-IT waartoe ook het mailen naar privé adressen hoort of het gebruik van USB-sticks. Risico's op het gebied van onder meer privacy liggen op de loer. Het is dus vooral zaak vanuit de IT-afdeling het samenwerken tussen medewerkers te bevorderen. Lees er meer over op [Link]
Beetje Off-Topic. Ik heb wat gestoeid met OwnCloud. Werkt prima, zelfs de Android App werkt.
Leuk artikel, maar het gaat voorbij aan het scenario dat Megaupload trof: ze werden uit de lucht gehaald en dan is uiteraard elke uptime garantie niets meer waard. De vraag aan Box en Dropbox had dus moeten zijn of zij op enige wijze rekening (kunnen) houden met het scheiden van bokken en schapen onder hun klanten als een autoriteit hen uit de lucht zou halen en vooral wat zij daar preventief aan kunnen doen.
Reageer
Preview