De trend die digitale transformatie heet – en waarmee it-diensten op innovatieve, agile en effectieve wijze worden ingezet binnen de organisatie, relaties en werknemers en de producten en/of diensten – is tegenwoordig een voorwaarde om te ondernemen. Organisaties verplaatsen hierbij diensten en interne data in goed vertrouwen naar het domein van publieke en private cloud service providers (csp). Is dat vertrouwen wel terecht?
In veel gevallen gaat het bedrijf dit traject in zich volledig te realiseren welke risico’s dit met zich meebrengt, zoals op het gebied van techniek, wet- en regelgeving en compliance.
Het gebrek aan expertise brengt de misconceptie met zich mee dat wanneer de organisatie een transitie naar de cloud maakt, alle applicaties en data volledig worden beveiligd door de csp. Echter, om een realistisch en juist inzicht te krijgen in hoe veilig en beschermd de organisatie nu daadwerkelijk is, in een wereld waar elke dag nieuwe cyberdreigingen ontstaan, is de organisatie nog steeds zelf verantwoordelijk voor het vaststellen dat dit ook zo is.
Negatief in het nieuws
Providers als Amazon, Azure en Google verzekeren dat de security van de diensten die zij leveren op orde is, en in de basis klopt dat ook. Naast de significante slagkracht, investeringen en resources die deze csp’s inzetten om een goed product af te leveren, kunnen deze wereldwijde it-leveranciers het zich ook niet permitteren om negatief in het nieuws te komen door een hack of security-lek. Desalniettemin maken ook deze leveranciers onder meer gebruik van dezelfde soft- en hardware als alle andere bedrijven en hierin treden ook fouten en kwetsbaarheden op.
Voorbeelden zijn de mogelijkheid om deuren te openen bij Google, containerproblemen bij AWS en de mogelijkheid om beveiliging te omzeilen bij Azure. In iaas- en paas-infrastructuren worden de verantwoordelijkheden van risico’s veroorzaakt door software kwetsbaarheden gedeeld door zowel de csp als de klant.
De meeste functies en beveiligingslagen geleverd door de csp hebben betrekking op de onderliggende infrastructuur. Deze beveiliging richt zich op gebieden als access-management, uptime, en ddos-beveiliging om de kwaliteit van de infrastructuur te borgen.
Model
Microsoft bijvoorbeeld, een van de grootste cloudleveranciers, heeft een ‘shared responsibility model’ uitgebracht waarin staat beschreven hoe de verantwoordelijkheden op gebied van security zich verhouden tussen de klant en de cloudprovider, vanuit haar perspectief (zie figuur 1). Dit model is te gebruiken om te illustreren dat in het algemeen de csp verantwoordelijk is voor de security ván de cloud, terwijl de klant verantwoordelijk is voor de security ín de cloud.
Cloudproviders als Amazon, Azure en Google monitoren de infrastructuur proactief op onregelmatigheden, en implementeren/hanteren sterke beveiligingsfundamenten voor elk servicemodel. Echter, zoals getoond in het model, is het de verantwoordelijkheid van de klant om extra beveiligingsmaatregelen toe te passen en het controleren van haar cloud, bovenop de beveiliging die wordt geleverd door de csp.
Datalekken als de ‘Accenture data leakage’ (een van de grootste corporate consulting firma’s) laten zien hoe belangrijk is om deze beveiliging te implementeren en te controleren. In dit voorbeeld werd meer dan 137 GB aan data gelekt, inclusief veertigduizend onversleutelde wachtwoorden. In het geval dat de organisatie de beveiliging haar infrastructuur en data bij Amazon Web Services (AWS) had gecontroleerd, was het mogelijk geweest dit datalek te voorkomen.
Overigens wordt de eigen verantwoordelijkheid ook door de csp’s zelf ingezien. Zo benadrukte de cto van AWS, Werner Vogels, op een van de jaarlijkse conferenties dat gebruikers ook data binnen de eigen cloud-omgeving zelf moeten versleutelen.
Afwijkingen
Webapplicaties die in cloud-omgevingen worden gehost zijn vatbaar voor dezelfde dreigingen als webapplicaties gehost in traditionele datacenters. De onderliggende infrastructuur draait op software die kwetsbaarheden of mis-configuraties kan bevatten. Die afwijkingen zijn door aanvallers te identificeren en te misbruiken. Het is daarom van belang dat mogelijke aanvallen op de omgeving en applicaties zijn te detecteren, valideren en migreren en in het vervolg te voorkomen.
De waarde van deze testen en ‘secure code validation’ is dat het bijdraagt aan het verhogen van het veiligheidsniveau van de organisatie. Door security-, ontwikkelings- en infrastructuurteams op de hoogte te brengen én te houden van de laatste dreigingen, zijn zij sneller in staat om dreigingen te begrijpen, identificeren en te voorkomen wanneer deze zich voordoen. Bovendien helpt de evaluatie van security bij het voldoen aan richtlijnen van wet- en regelgeving en compliancy frameworks als PCI, GDPR, NOREA, NIST en de EU Cybersecurity Act.
Beheersen van risico’s
Cybersecurity en privacy zijn belangrijke onderwerpen wanneer komt tot gebruik van clouddiensten. Er zijn diverse zorgen die spelen wanneer het aankomt op het opslaan en beveiligen van persoonsgegevens in de cloud. Afhankelijk van het cloudservicemodel dat wordt gebruikt, verschillen de rollen en verantwoordelijken met betrekking tot security en privacy gerelateerde informatie. De servicemodellen delen de verantwoordelijkheid voor het beheersen van risico’s en de mogelijkheid om deze te mitigeren op compleet verschillende wijze. De verantwoordelijkheid voor het voorkomen van risico’s met betrekking tot data kan bij zowel de klant als cloudproviders liggen.
Het beveiligen van informatie op robuuste en praktische wijze is essentieel voor organisaties, ongeacht lokaal of extern opgeslagen data. Hierom dient er in de adoptie van digitale transformatie en transitie naar de cloud een beoordeling plaats te vinden waarin de dataomvang, data-flows, ondersteuning van de cloud-organisatie, desbetreffende diensten en kennisniveau van de supportafdeling te worden meegenomen. Bovendien is het van belang dat er begrip is van wat en welke informatie er naar de cloud wordt gestuurd, om de interne organisatie te helpen zich te conformeren aan specifieke vereisten uit privacywetgeving. Wanneer organisaties de transitie naar de cloud maken, is het van belang dat zij ervoor zorgen dat niet alleen de capaciteit op orde is, maar ook de security en compliance van de cloud omgeving.