De opkomst van cloud computing heeft geleid tot een nieuwe security-aanpak voor zowel systemen binnen als buiten de cloud. Door de complexe en gedistribueerde aard van cloud- platformen, lijken beveiligingssystemen op basis van identiteit het meest geschikt. Dat is een fundamentele verschuiving in hoe we denken over security in het bijzonder en technologie in het algemeen.
Over deze blogger
David Linthicum, CTO en CEO van Cloud Technology Partners, is een internationaal erkend expert en thought leader. Hij schreef onder meer de bestseller ‘Enterprise Application Integration’, is keynote-spreker op technologieconferenties over cloud computing, SOA, Enterprise Application Integration, en enterprise architectuur en was als computerexpert te gast in diverse radio- en tv-programma’s. Davids nieuwste boek heet ‘Cloud Computing and SOA Convergence in Your Enterprise, a Step-by-Step Approach.’
Voor ontwikkelaars is het duidelijk dat ze meer aandacht geven aan beveiliging, mede ingegeven door de opkomst van cloud computing en de adoptie van DevOps. In de cloud is security een centraal onderdeel van het platform, evenals van de toepassing zelf. Ontwikkelaars moeten zich daarom richten op de best practices en technologieën die de beste beveiliging in de cloud garanderen. Oplossingen voor Identity en Access Management (IAM) worden daardoor steeds populairder.
Identiteit en veiligheid
De transitie naar op identiteit gebaseerde oplossingen is helaas niet zo eenvoudig als veel leveranciers van deze technologie ons doen geloven. Voor een goede implementatie moeten ontwikkelaars vaak nog veel leren, en meestal moet er infrastructureel ook nog het nodige veranderen. Het is op zichzelf vrij eenvoudig om een andere beveiligingstechniek in een nieuwe cloud-toepassing te integreren. Het lastige van IAM is echter om dit security-model uit te breiden naar een traditionele onderneming. Veiligheid moet consistent en systematisch opgezet worden, wat helaas niet opgaat voor de meeste traditionele enterprise-applicaties. Dit beveiligingsprobleem moet daarom eerst door ontwikkelaars opgelost worden, voordat ze kunnen overwegen naar de cloud te verhuizen.
Veiliger in de cloud
Tijdens onze wereldwijde de transitie naar gedistribueerde en heterogene systemen, wat cloud-gebaseerde platformen in feite zijn, zijn we ons steeds meer op IAM gaan richten. Nu beveiliging- en compliance-vraagstukken de hoogste prioriteit hebben gekregen, worden investering in IAM zowel binnen de onderneming gedaan, als bij het inkopen van publieke en private cloud-gebaseerde systemen. Zoals te zien in figuur 1, in een onderzoek van GigaOM, wordt veiligheid vaak aangehaald als de nummer één reden waarom bedrijven niet naar de cloud verhuizen. Technologie is hier niet altijd het antwoord op, maar IAM kan wel helpen om bedrijven over te halen die twijfelen over het gebruik van de public cloud. Gegevens zijn in veel gevallen zelfs veiliger in de cloud als de juiste security-modellen gebruikt worden. Sterker nog, Alert Logic’s State of Cloud Security Report, toont aan dat de variaties in security-bedreigingen niet zo belangrijk zijn als de locatie van de infrastructuur. Het rapport constateert verder dat aanvallen op webapplicaties zowel gericht zijn op omgevingen van service providers (53 procent van de organisaties) als on-premises omgevingen (44 procent van de organisaties). In on-premises omgevingen ervaren gebruikers of klanten echter gemiddeld meer incidenten dan in omgevingen van service providers. Gebruikers in on-premises omgevingen zagen gemiddeld 61,4 aanvallen, terwijl klanten van service providers gemiddeld 27,8 aanvallen zagen. Gebruikers in on-premises omgevingen hadden in vergelijking ook aanzienlijk meer last van brute force-aanvallen.
Veiligheid en functionaliteit
Wat uniek is aan IAM is dat het naast een beveiligingstechnologie ook een belangrijke business-driver is. Degenen die IAM implementeren, waaronder ontwikkelaars, moeten zich richten op de kernprocessen van de organisatie, evenals andere details rond beveiliging. Dit is heel anders dan de eerder geldende denkwijze, toen beveiliging vooral werd gezien als een ‘geeky’ bijzaak en de zakelijke impact nog amper werd overwogen. De focus om van security een applicatie te maken, in tegenstelling tot een vraagstuk op platformniveau, is bovendien ook aantrekkelijk voor ontwikkelaars.
Ontwikkelaars die volwassen IAM-mogelijkheden in hun systemen bouwen, kunnen hierdoor hun kosten voor identiteitsmanagement verlagen. En nog belangrijker: het maakt ze veel flexibeler bij het ondersteunen van nieuwe zakelijke initiatieven. Als beveiliging wordt ingebouwd in de ontwikkelprocessen, en niet als bijzaak wordt gezien, dan worden de resulterende applicaties een stuk veiliger en kunnen ze meer functionaliteit bieden. Bovendien krijgen ontwikkelaars hierdoor het gevoel dat ze zelf de security-maatregelen kunnen nemen die nodig zijn, zonder dat ze daarvoor een beroep hoeven doen op een externe beveiligingsorganisatie.
Het lijkt aannemelijk dat IAM onderdeel zal worden van meer dan 50 procent van de bestaande toepassingen die naar public cloud migreren. Maar misschien een stuk verrassender is het feit dat dit voor bijna 90 procent van de nieuwe toepassingen geldt die in de cloud gebouwd zijn. Is jouw organisatie daar al op voorbereid?