Met spraakmakende beveiligingsincidenten in 2017 en nieuwe regelgeving in 2018 is het nu tijd om je cloud beter te beveiligen.
On demand zelfservice, schaalbare dienstverlening en algehele netwerktoegang hebben er allemaal toe geleid dat steeds meer organisaties gebruikmaken van cloud computing. Zodoende is de cloud voor velen een onmisbaar bedrijfsonderdeel geworden. Je moet je wel bewust zijn dat de cloud niet los staat van andere delen van de it. De flexibele, dynamische mogelijkheden om de cloud te gebruiken creëren een evenredig dynamisch en veranderend landschap dat vraagt om goede bescherming.
Herken je de vormen in de cloud? Zij bepalen jouw security-uitdaging.
In eerste instantie is het belangrijk om te begrijpen dat cloudbeveiliging een gedeelde verantwoordelijkheid is. Hierbij zijn de clouddienstverlener en de onderneming in meer of mindere mate eigenaar van het netwerk, het platform, de applicatie en de gegevensbescherming. Op basis daarvan kun je inventariseren op welke manieren je cloudgebruik kwetsbaar zou kunnen zijn, zoals:
- Interface-risico – de beschreven interface wijkt af van de realiteit
- Insider risico dienstverlener- een kwaadwillende insider bij de clouddienstverlener
- Insider risico eigen bedrijf – een kwaadwillende insider binnen je bedrijf
- Gebrekkige controle – leidt tot blootstelling doordat veiligheidscontroles niet correct worden toegepast
Beveiligingsteams binnen bedrijven hebben te maken met de snelle ontwikkelingen van de cloud en dalende kosten voor complexe implementaties. Het is lastig om dit soort opwindende, betaalbare nieuwe it-ontwikkelingen af te remmen tot de juiste beveiligingscontroles zijn vastgesteld en getest. Veel security-teams raken hun plaats in de implementatieketen kwijt doordat afdelingen snel nieuwe SaaS-tools zoeken en medewerkers automatisch nieuwe cloudapplicaties in gebruik nemen.
Staat beveiliging innovatie in de weg?
De beste beveiliging vereist inderdaad bewustwording en proactief denken. Dit houdt echter niet in dat je de innovatie pret hoeft te bederven. Veel voordelen van cloud computing zijn ook gunstig voor de implementatie van beveiliging. Dankzij cloudmigraties en -toepassingen kan bijvoorbeeld de beveiligingsstrategie worden herzien en de bedrijfsinventaris worden geperfectioneerd. De cloud maakt ook microsegmentatie mogelijk. Deze beveiligingstechniek wijst gedetailleerde beleidsregels toe aan datacentertoepassingen, tot op het niveau van de werklast. Met microsegmentatie kunnen beveiligingsmodellen diep in een datacenter worden ingezet met behulp van een virtuele, softwarematige aanpak. Het verkleint ook het risicogebied binnen je netwerk, waardoor aanvallers in hun mogelijkheden worden beperkt. Tot slot kan de cloud ervoor zorgen dat beveiliging veel meer wordt geautomatiseerd. Compliance, detectie en configuratie kunnen zo, net zoals de detectie van inbreuken en forensics, allemaal systematischer en betrouwbarder worden geregeld.
Vijf aanbevelingen voor effectieve cloudbeveiliging
- Ken het doel en start een risicogebaseerde benadering: perfecte beveiliging is onmogelijk, maar dat betekent niet dat bedrijven hun kop in het zand moeten steken of verlamd moeten raken door angst. Evalueer en documenteer eerst het acceptabele risiconiveau voor de onderdelen in de cloud (data, applicaties, het platform en het netwerk). Bepaal vervolgens welke onderdelen het belangrijkst zijn om eerst aan te pakken. Anticipeer op de gevolgen van een mislukte veiligheidscontrole. Doe regelmatig oefeningen waarbij teams tegen elkaar moeten strijden om het systeem binnen te komen en ontdek zo zwakke punten en kwetsbaarheden. Geef responsplannen een hogere prioriteit bij de beveiligingsstrategie. Neem niet teveel hooi op je vork, maar onthoud dat je risico’s wel optimistisch en praktisch kunt benaderen.
- Benut de security-diensten van de provider: cloud-dienstverleners bieden eigen security-diensten die speciaal zijn afgestemd op hun aanbod en in processen en standaarden kunnen worden vastgelegd. Je hebt volop keuze en kan beslissen welke diensten het beste voldoen aan de behoeften van je organisatie.
- Breng identiteitsbeheer op orde: identiteitsbeheer in de cloud werkt het beste wanneer het op elk niveau wordt geïntegreerd en toegepast – op gebruikers, groepen en rollen, systeem-, service-accounts en ssh-sleutelbeheer. In de cloud kan identiteitsbeheer een veelzijdige en betrouwbare beveiligingscontrole zijn. Bij een goede uitvoering leidt identiteitsbeheer tot een win-winsituatie voor zowel gebruikers als beveiliging.
- Beheer je configuraties vanaf een cloud-beheerplatform: aangezien organisaties kiezen voor infrastructuur as a service (IaaS) en de werklast naar de cloud migreren, is het voor effectieve beveiliging essentieel om vanaf het begin te zorgen voor correcte configuratiedetails. Het cloud-beheerplatform is dé plek om je veiligheid op orde te houden. Naast het afdwingen en controleren van beleid kun je vanaf hier ook tools inzetten om problemen te analyseren en op te lossen. Als jouw organisatie gebruikmaakt van Amazon web services (aws), biedt het Center for internet security (cis) benchmark-programma je een aantal best practices. Dit zijn duidelijke, objectieve en alom geaccepteerde werkmethoden om organisaties te helpen hun beveiliging te evalueren en te verbeteren.
- Denk en handel als een team van ontwikkelaars: als je beveiliging binnen je hele cloud computing-omgeving wilt integreren, moet je beveiligingsteam denken en handelen als een team van ontwikkelaars. In de cloud kunnen ontwikkelaars snel applicaties bouwen, implementeren en beheren. Jouw beveiligingsteam moet proberen gebruik te maken van bestaande werkprocessen om niet achterop te raken. Stimuleer bovendien het beveiligingsteam om standaard-images te gebruiken. Het delen van virtual machine- (vm) images is een van de pijlers van cloud computing. Het kan de implementatie van veilige nieuwe virtuele machines makkelijker maken en tegelijkertijd de configuratie- en beheerkosten verlagen.
Maak het veilige pad het makkelijke pad
Ongeacht welk cloud computing scenario je toepast, elke beslissing over gebruikers en gegevens is terug te leiden naar beveiliging – ten minste dat zou wel zo moeten zijn. Door met een risicogebaseerde aanpak te beginnen, kun je beoordelen waar jouw cloud-gebruik kwetsbaar is. SaaS, PaaS en IaaS hebben allemaal verschillende manieren om deze risico’s aan te pakken. Het maakt niet uit welk model je ook toepast: identiteitsbeheer op orde hebben, veiligheid regelen vanaf het cloud-beheerplatform en een ontwikkelingsgerichte mentaliteit voor je beveiligingsteam houden je onderneming in 2018 op het veilige pad.
