Geen enkele organisatie gaat graag failliet door een datalek. Ondertussen neemt de complexiteit toe: een cloud voor hr-processen, een cloud met klantgegevens, een cloud voor de werkplekken en een cloud voor app-ontwikkeling. Voor je het weet, staan de data in je organisatie verspreid over allerlei cloudomgevingen en liggen chaos en cyberincidenten op de loer. Deze acht best practices dragen bij aan een veilige multicloudomgeving.
1. Kies de juiste cloudvorm voor de juiste taken
Het is goed om van tevoren na te denken over welk cloudplatform en -diensten in gebruik zijn voor welke typen data. Niet ieder bedrijfsproces en niet iedere dataset is even gevoelig voor cyberdreigingen. Deel processen en taken in in drie risicocategorieën: laag, middel en hoog.
Laag risico
Data met een laag risico zijn bijvoorbeeld de data in (statische) webpagina’s, e-mailnieuwsbrieven, socialmediaberichten of niet-geclassificeerde onderzoeksrapporten. Dataomgevingen met een laag risico zijn uitermate geschikt voor de publieke cloud, tot aan SaaS-diensten toe.
Middelmatig risico
Dit zijn bijvoorbeeld ontwikkel- en samenwerkingsomgevingen. IaaS- of Paas-omgevingen uit de publieke cloud zijn hiervoor geschikt, mits de provider voldoet aan strenge veiligheidseisen en zowel landelijke als Europese privacywetgeving.
Ook een cloudinfrastructuur die gecertificeerd is door bijvoorbeeld de Cloud Security Alliance draagt doorgaans bij aan een hogere securitystandaard. Voor wie toch meer controle wenst, biedt een private cloud een middenweg tussen de controle van on-premise en de flexibiliteit van een publieke cloud.
Hoog risico
Hieronder scharen we omgevingen waarin bijvoorbeeld zeer privacygevoelige persoons- of betalingsgegevens worden verwerkt. De publieke cloud is voor dergelijke verwerkingen vaak geen optie, al was het enkel uit complianceoverwegingen. Voor specifieke datatypen is on-premise dan ook een harde eis.
2. Hanteer strikte securitymaatregelen op dataniveau
In de multicloud bewegen data in en uit verschillende cloudomgevingen. Dat vraagt om beveiligingsmaatregelen op dataniveau, zoals een sterke encryptie. Mochten in een van de clouds de data op straat belanden, dan is er geen sprake van een datalek. De gegevens zijn dan immers niet bruikbaar voor derden of te herleiden naar natuurlijke personen.
3. Integreer security by design in ontwikkeltrajecten
Multicloudomgevingen bevatten vaak in-house ontwikkelde applicaties die niet afkomstig zijn van de grote softwarevendoren. De veiligheid van de data die door deze omgevingen passeren, is voor een belangrijk deel afhankelijk van de veiligheid van deze maatwerksoftware. Waar lekken in software van de grote vendoren regelmatig ontdekt en gedicht worden via patches, is dat bij maatwerk niet vanzelfsprekend.
Het is daarom uiterst belangrijk dat tijdens de ontwikkeling van maatwerkapplicaties security meer dan voldoende aandacht krijgt. Ontwikkelaars moeten vertrouwd zijn met ‘security by design’-principes. De Algemene Verordening Gegevensbescherming, de pan-Europese securitywetgeving die 2018 actief wordt, stelt dit zelfs als harde eis. Software die van meet af aan is ontwikkeld met veiligheid in het achterhoofd kan veel downtime en schade voorkomen. Ook wanneer niet iedere twee weken een veiligheidsupdate verschijnt.
4. Houd compliancevereisten scherp in het oog
In een wirwar van verschillende cloudomgevingen kan de naleving van zowel landelijke wettelijke normen als interne vereisten gemakkelijk in het geding komen. De bij punt twee genoemde risicoinventarisatie en het kiezen van de juiste cloudomgeving kan al veel compliance-issues voorkomen. Toch is het daarnaast cruciaal om over voldoende controlemechanismen te beschikken die de compliance bewaken. Laat daarnaast regelmatig een audit uitvoeren, zeker in omgevingen met hogere privacy- en securityrisico’s.
5. Gebruik een orchestratielaag over de verschillende clouds
Een cloudorchestratielaag kan helpen cyberincidenten te voorkomen. Een dergelijke ‘tussenlaag’ kan bijvoorbeeld het gebruik van endpointsecuritysoftware en regelmatige updates afdwingen voordat toegang tot clouddiensten mogelijk is.
6. Zorg voor een gecentraliseerd identity access management
Met data verspreid in allerlei clouds is een strak toegangsbeheer belangrijk. Zonder dergelijke voorzieningen verzandt de multicloud al snel in een moeras van verschillende accounts en bijbehorende rechten. Bij grote hoeveelheden clouds bestaat het gevaar dat bijvoorbeeld vertrokken personeel nog toegang heeft tot (flarden) informatie. Een gecentraliseerde, policygebaseerde aanpak voorkomt chaos. Eventueel kun je daarbij gebruikmaken van een single sign-on (sso)-voorziening, zodat gebruikers niet verward raken door de vele accounts en bijbehorende wachtwoorden.
7. Faciliteer veilige connectiviteit met de clouds
Dataverkeer van en naar de verschillende cloudomgevingen loopt een risico. Onbeveiligde verbindingen kunnen resulteren in een datalek. Zorg voor bijvoorbeeld vpn-voorzieningen voor veilige connectiviteit.
8. Garandeer voldoende kennisniveau en bewustwording
Natuurlijk geldt dit punt niet alleen voor multicloudomgevingen, maar zeker voor de multicloud zijn goede securityhygiëne en bewustwording onmisbaar.
Goede gewoontes, voldoende kennisniveau en (oplettend) gedrag vormen dan ook een eerste verdedigingslinie tegen ongewenste incidenten. Wijs gebruikers bijvoorbeeld op de gevaren van het gebruik van clouddiensten via openbare hotspots. Schakel eventueel een specialist in voor gedegen awarenesstrainingen.
Een georganiseerde multicloud vereist een uitgedachte securitystrategie en concrete maatregelen. Gooi waardevolle data en de continuïteit van de organisatie niet te grabbel en start vandaag nog met het naleven van de best practices.
