Vlaams onderzoeksproject verbetert veiligheid clouddiensten

Tijdens het ‘Seaquoia’-project werkten onderzoekers van imec - KU Leuven en UGent samen met partners ESAS, UP-nxt en Verizon om de veiligheid en privacy van clouddiensten te verbeteren.

Trefwoorden: #beveiliging, #cloud, #clouddiensten, #ICT, #imec, #KU Leuven, #onderzoeksproject, #Seaquoia, #UGent

Lees verder

Nieuws

( Foto: imec )

ENGINEERINGNET.BE - Steeds meer bedrijven doen een beroep op cloudsoftware om hun activiteiten te organiseren en te stroomlijnen.

Denk bijvoorbeeld aan telecombedrijven: om de enorme aantallen facturen van hun klanten te creeren, te bekijken en te beheren, kunnen zij vandaag gebruik maken van Software-as-a-Service SaaS-toepassingen die door derden worden aangeboden. Met andere woorden: ze creeren en beheren hun facturen via een interface-applicatie en een database die door een SaaS-provider worden aangeleverd.

De meeste van deze SaaS-diensten bieden inherent echter niet de mogelijkheid om gegevens te beheren op basis van klantspecifieke beveiligings- of privacy-eisen. Zo kan het gebeuren dat een accountmanager binnen dat telecombedrijf na een zoekopdracht alle facturen te zien krijgt - ongeacht zijn functie, of de aan hem toegewezen klanten of regio.

SaaS-providers lossen dit probleem meestal op door de beveiligingslogica van het bedrijf in kwestie aan hun SaaS-applicatie toe te voegen. Maar bijna even vaak is een dergelijke oplossing foutgevoelig, niet efficient en duur om te beheren en te wijzigen.

Bovendien is het voor de SaaS-provider op deze manier vrijwel onmogelijk om multi-tenant databases te hanteren databases die door een aantal klanten worden gedeeld. Dat zou immers betekenen dat de provider de beveiligingslogica van diverse klanten in een applicatie moet programmeren en beheren - wat audits en wijzigingen exponentieel moeilijker maakt.

Om toch een minimaal veiligheids- en privacy-niveau te garanderen, zien SaaS-providers zich vandaag dan ook verplicht om aparte installaties per klant op te zetten, hoezeer dit ook indruist tegen hun bedrijfsmodel...

Een tweejarig onderzoeksproject om de veiligheid en privacy van clouddiensten te verbeteren
Om dat probleem aan te pakken, sloegen onderzoekers van imec - KU Leuven en imec - UGent de handen in elkaar met drie industriele partners die elk een aparte SaaS-case vertegenwoordigen: ESAS, UP-nxt en Verizon.

Tijdens het tweejarige Seaquoia project Safe Query Operations for Cloud-Based SaaS Applications onderzochten de partners de ontwikkeling van een generische beveiligingsoplossing voor SaaS-providers; een oplossing die hen in staat moet stellen om een multi-tenant database op te zetten voor meerdere klanten - met veiligheids- en privacy-garanties.

Op die manier kan het telecombedrijf uit ons voorbeeld zelf bepalen en wijzigen wie facturen mag zien en aanpassen - op basis van regio, functie of bevoegdheden, of het klantenbestand van individuele accountmanagers.

Daarnaast werd tijdens het project ook bekeken hoe zoekopdrachten in een SaaS-omgeving op een meer efficiente - en snellere - manier kunnen worden afgehandeld. Vandaag immers resulteert een zoekopdracht, bijvoorbeeld om bepaalde openstaande facturen te zien, in een algemene database-query die alle openstaande facturen oplevert.

Vervolgens gaan de SaaS-applicatie en de voorgeprogrammeerde beveiligingslogica die resultaten filteren en alleen die facturen laten zien waarvoor een specifieke accountmanager bevoegd is. Concreet betekent dit echter dat de responstijd afhankelijk is van de omvang van de database.

Complexe autorisatieregels op maat - met gewaarborgde veiligheid, correctheid en prestaties
Seaquoia resulteerde in een benadering die complexe autorisatieregels op maat oplegt aan zoekopdrachten - met gewaarborgde veiligheid, correctheid en prestaties.

Een van de karakteristieken van Seaquoia is dat de zoekopdracht op maat geformatteerd wordt vσσr die wordt uitgevoerd, zodat alleen naar de juiste facturen wordt gezocht. De oplossing ontvangt een zoekopdracht, zoekt de relevante beveiligingsregels op, vertaalt deze in beperkingen die in de zoekopdracht worden geinjecteerd en maakt die compacter vσσr ze naar de database wordt verstuurd. Dat is veel efficienter en veiliger.

Het herschrijven en compacter maken van de zoekopdracht gebeurt met een add-on module op het niveau van de data access middleware, dus volledig gescheiden van de database of klantapplicaties. Elke SaaS-klant kan zijn eigen regels voor het herschrijven van queries aanleveren - in een taal die gemakkelijk te begrijpen en te auditeren is.

Dit betekent dat de regels van elke klant apart kunnen worden beheerd en verwerkt, ongeacht hoeveel klanten dezelfde applicatie en database gebruiken.
In lijn met de verwachting van de industriele projectpartners kan Seaquoia aan beproefde, hoogwaardige data access middleware worden toegevoegd.

Van het labo naar een live omgeving
De Seaquoia-benadering werd nog tijdens het project gevalideerd in talrijke opslag- en query-architecturen, voor interactieve en background-querying, zowel met SQL-gestructureerde querys als met NoSQL ongestructureerde querying. Er werd een proof-of-concept uitgevoerd in geavanceerde data access middleware, en Seaquoia werd meteen ook gevalideerd in de toepassingsdomeinen van ESAS, UP-nxt en Verizon - bovenop MySQL, MS SQL en ElasticSearch.

Dankzij de ervaring die ESAS, UP-nxt en Verizon met dit project hebben opgedaan, beschikken zij nu over alle expertise en software om hun SaaS-aanbod een extra meerwaarde te geven - zonder nieuwe databases of middleware te installeren en zonder applicaties te herprogrammeren.

Elke klant kan bovendien zijn eigen regels toevoegen en beheren en dat maakt een enorm verschil in beveiliging en auditeerbaarheid. ESAS, UP-nxt en Verizon werken nu aan de validatie van de SEQUOIA-middleware in hun live omgevingen.


Over het imec.icon Seaquoia-project
Het Seaquoia-projectconsortium bestond uit twee imec onderzoeksgroepen imec - DistriNet - KU Leuven en imec - IDLab - UGent en drie industriele partners. UP-nxt beheert voor klanten administratieve data zoals facturen - met toegangsregels tot op het niveau van individuele accountmanagers of regios.

Verizon gebruikt multi-tenant databases met logs van beheerde IT-infrastructuur - met uiterst gevoelige en beperkte toegang. En ESAS wil een field service managementsysteem opzetten waarbij service-ingenieurs op het terrein toegang hebben tot hun taken, berichten en status.

Seaquoia werd gecofinancierd door imec en kreeg projectondersteuning van het Agentschap Innoveren en Ondernemen.