In een tijd waarin steeds meer bedrijven overstappen naar de cloud is de behoefte aan effectieve procedures op het gebied van beveiliging en compliance groter dan ooit. Om bedrijven te helpen met het naleven van de wet- en regelgeving tijdens hun gebruik van de cloud en het beschermen van hun netwerk, toepassingen en gegevens, heb ik een lijst van best practices en tips samengesteld.
Alles staat of valt met de beveiliging van de cloud-infrastructuur
• Fysieke beveiliging. De faciliteiten moeten worden beveiligd met systemen voor klimaatbeheersing, brandpreventie en -onderdrukking en uninterruptable power supply's. Er moet 24 uur per dag beveiligingspersoneel op locatie aanwezig zijn. Kies voor een leverancier die gebruikmaakt van biometrische functionaliteit voor het toegangsbeheer, zoals het scannen van vingerafdrukken of gezichtsherkenning. Camerabewaking binnen de faciliteiten is onontbeerlijk.
• Netwerkbeveiliging en logische scheiding. Binnen cloud-omgevingen moet gebruik worden gemaakt van gevirtualiseerde versies van firewalls en systemen voor indringerpreventie. Alle gedeeltes van de cloud waarin bedrijfskritische systemen en gevoelige gegevens worden ondergebracht, moeten worden geïsoleerd. Er moeten regelmatig audits worden uitgevoerd op basis van door de branche erkende methoden en standaarden zoals SAS 70 Type II, de Payment Card Industry Data Security Standard, ISO 27001/27002 en Cloud Security Alliance Cloud Controls Matrix.
• Inspectie. Bij de gateways moet gebruik worden gemaakt van antivirus- en antimalwaretoepassingen en contentfiltering. Overweeg het gebruik van toepassingen voor de preventie van gegevensverlies als je gevoelige informatie zoals financiële en persoonlijke gegevens en intellectueel eigendom opslaat.
• Beheer. Besteed speciale aandacht aan de hypervisors in de cloud (de servers waarop meerdere besturingssystemen draaien). Hypervisors bieden namelijk de mogelijkheid om een volledige cloud-omgeving te beheren. Voor de beveiliging en naleving van de wet- en regelgeving is vaak een extra niveau van beveiliging en een scheiding van taken van de netwerk- en cloud-beheerders vereist. De toegang tot beheerinterfaces voor virtuele omgevingen moet waar mogelijk worden beperkt. Application programming interfaces (api's) moeten worden vergrendeld of gedeactiveerd.
• Uitgebreide bewaking en het bijhouden van logbestanden. Bijna alle beveiligingsstandaarden vereisen bewaking en beheer van de toegang tot netwerken, systemen, toepassingen en gegevens. Elke cloud-omgeving moet deze mogelijkheden bieden, of het nu gaat om een intern datacenter of de cloud van een externe dienstverlener.
Beveiligen van cloud-toepassingen is een must
• Systeembeveiliging. Virtuele machines (vm's) moeten worden beveiligd met firewalls, systemen voor indringerpreventie en antivirustoepassingen die speciaal voor de cloud zijn ontwikkeld. Daarnaast moet er sprake zijn van consistent en programmatisch patchbeheer.
• Beveiliging van toepassingen en gegevens. Waar mogelijk moeten toepassingen gebruikmaken van toegewijde databases. De toegang van toepassingen tot databases moet bovendien tot een minimum worden beperkt. Veel beveiligings- en compliance-normen vereisen dat er logbestanden worden bijgehouden en dat de toepassingen en databases waarvan zij gebruikmaken worden bewaakt.
• Authenticatie en machtigingen. Voor de bescherming van gebruikersnamen en wachtwoorden moet gebruik worden gemaakt van two-factor-authenticatie zoals digitale authenticatie. Hetzelfde geldt voor toegang op afstand en andere speciale toegangsrechten. De rollen van gebruikers moeten duidelijk worden afgebakend, en hun rechten moeten worden beperkt tot de machtigingen die zij nodig hebben om hun werk uit te kunnen voeren. Een sterke mate van aanpassing van zaken als de authenticatie, machtigingen en boekhoudsoftware is uit den boze, omdat de beveiliging meestal wordt verzwakt.
• Beheer van kwetsbaarheden. Er moet op worden toegezien dat de gebruikte toepassingen niet vatbaar zijn voor veel voorkomende exploits (misbruik van kwetsbaarheden), zoals de exploits die beschreven zijn in de Open Web Application Security Project (OWASP) Top 10. Toepassingen in de cloud vragen om regelmatige patching, scans op kwetsbaarheden, beveiligingstests door onafhankelijke partijen en voortdurende bewaking.
• Gegevensopslag. Bedrijven moeten weten welke soorten gegevens er in een cloud-omgeving worden opgeslagen en deze gegevenstypen zoveel mogelijk scheiden. De fysieke en logische locatie van gegevens moeten bekend zijn vanwege mogelijke gevolgen voor de beveiliging en privacy.
• Wijzigingsbeheer. Het wordt met kracht aangeraden om beleidsregels op het gebied van wijzigingsbeheer op heldere wijze te documenteren voor de beheerders van netwerken, systemen, toepassingen en gegevens. Door een goed begrip van deze regels kunnen onverwachte problemen en gegevensverlies worden voorkomen.
• Encryptie. De encryptie van gegevens kan binnen een cloud-omgeving complexer uitpakken en vergt daarom speciale aandacht. Veel richtlijnen stellen speciale eisen aan zowel de overdracht als de opslag van gegevens. Zo moeten financiële gegevens en informatie over de gezondheid van mensen altijd worden versleuteld.
Wat je over publieke, private en hybride clouds moet weten
• Gedeelde gevirtualiseerde omgevingen. Publieke clouds, die vaak een gedeelde gevirtualiseerde omgeving omvatten, bieden standaard beveiligingsfuncties. Een juiste segmentatie en scheiding van ict-bronnen is daarom van groot belang. Om te kunnen voldoen aan de richtlijnen op het gebied van de beveiliging en compliance is het belangrijk dat men bij de keuze voor een cloud-omgeving niet over één nacht ijs gaat.
• Aanbieders van publieke clouds. Hoewel cloud computing voor aantrekkelijke kostenbesparingen kan zorgen, bieden sommige aanbieders van publieke clouds mogelijk onvoldoende ondersteuning voor de controlemechanismen waarom de beveiliging- en compliance-richtlijnen vragen. Wees niet bang om een leverancier het hemd van zijn lijf te vragen.
• Nauwgezette beveiligingsmaatregelen. Ongeacht het type cloud moet er gebruik worden gemaakt van segmentatie, firewalls, systemen voor indringerpreventie, bewaking, logbestanden, toegangscontrole en gegevensencryptie.
• Bij private clouds snijdt het mes aan twee kanten. Private clouds kunnen op locatie worden gehost of binnen de faciliteit van een dienstverlener. Net zoals bij traditionele ict-omgevingen spelen het beveiligingsontwerp en de beveiligingsmechanismen een doorslaggevende rol. Wanneer je op zoek gaat naar een dienstverlener, is het belangrijk om voor het type cloud te kiezen dat op de behoeften aansluit. Een private cloud is niet per definitie inherent veilig.
• Hybride clouds. Hybride clouds bieden bedrijven het beste van beide werelden en stellen hen in staat om een breed scala aan zakelijke en ict-doelstellingen te realiseren. Ze bieden daarnaast de mogelijkheid om bedrijfstoepassingen onder te brengen binnen de omgeving die daarvoor het meest geschikt is. Met een hybride cloud kun je profiteren van de voordelen en mogelijkheden van publieke en private clouds en je gegevens en toepassingen tussen deze twee omgevingen verplaatsen.