Cloud providers zijn verantwoordelijk voor de infrastructuur; gebruikers voor de beveiliging van data, applicaties, besturingssystemen en ondersteunende infrastructuur die in de cloud draaien. Beheerders gebruiken cloud management consoles om cloudomgevingen op te zetten, cloudactiviteiten te monitoren en operationele en beveiligingsinstellingen te configureren. Hoe ga je daar het beste mee om? Vijf tips.
Privileged accounts, gekoppeld aan gebruikers, applicaties en machines, zijn dankzij die hoge rechten een interessant doelwit in de cloud. Deze accounts beschermen is dus van belang. Sterker nog, meer dan de helft van de cloud computing-bedreigingen kun je tegengaan door sterk privileged access management (pam) en identity access management (iam).
Aangezien cloud management consoles en portals de toegang vormen tot de volledige cloudomgeving van een bedrijf, vormen ze een belangrijk doelwit. Alle toegang tot deze systemen moet dus streng worden gemonitord en beveiligd. Zeker als het gaat om identiteiten met privileges, ofwel meer toegangsrechten, zoals AWS root user accounts, Azure global admin role en het Google Cloud Platform super user account.
Vijf tips
Vijf tips om dit effectiever aan te pakken.
1. Behandel alle cloud management console-toegang als privileged access
Bepaal welke rechten een gebruiker, applicatie of machine nodig heeft om een taak uit te voeren. Voor al deze gebruiksdoelen of persona’s moeten rollen worden aangemaakt, en toegangsrechten worden toebedeeld op basis van het least privilege principe. Voer extra controlemiddelen toe, zoals sessie-isolatie, monitoring en rotatie van inloggegevens, om risico’s nog verder te verkleinen.
2. Voer ‘just-in-time’ door om de attack surface te verkleinen
Met behulp van ‘just-in-time’ toegang tot de cloud management console in plaats van doorlopende toegang, worden rechten alleen verleend tijdens een sessie. Dit vergroot de kans dat alleen de juiste gebruikers op het juiste moment toegang hebben, voor een bepaalde periode.
3. Beveilig alle menselijke toegang met single sign-on en multifactor-authenticatie
Of er nu doorlopend of tijdelijke toegang tot de console nodig is, menselijke toegang moet beschermd worden door single sign-on (sso) en multifactor-authenticatie (mfa). Sso maakt het makkelijker voor gebruikers om niet onnodig onderbroken te worden in hun werkzaamheden en zonder meerdere wachtwoorden te moeten onthouden. Sso via saml (security assertion markup language) naar de cloud console stelt gebruikers zelfs in staat een rol bij de cloud provider aan te nemen. Een rol is een iam identity met specifieke rechten en toestemmingen en kan iedereen krijgen die het nodig heeft. Het doel is om tijdelijke toegang mogelijk te maken. Mfa helpt hierbij om te verifiëren of het de juiste persoon is.
4. Beveilig API en geautomatiseerde toegang tot de cloud management console
Cloud management consoles en portals kunnen worden benaderd door geautomatiseerde scripts via API access keys. Deze API keys hebben veel privileges en zijn dus tot veel toe in staat, zoals via een script of gebruiker een virtuele server stoppen of opstarten, een database kopiëren of zelfs hele workloads verwijderen. Handig, maar in de verkeerde handen uiterst risicovol. Het beschermen van workloads door API keys te beveiligen en least privilege door te voeren is dus cruciaal.
5. Consistent toegangsbeleid voor beheerders in multi-cloud, on-premise en hybride omgevingen
Er is slechts één gecompromitteerde beheerder nodig om een volledige cloudomgeving van configuratie te veranderen. Privileged access-overzicht is nodig voor beveiliging en audits. Beheerdersactiviteit moet worden opgenomen en actieve sessies worden gemonitord. Hierbij worden risicoscores toebedeeld aan sessies, gebaseerd op vooraf vastgesteld risicovol gedrag en activiteit, zoals toegang tot de console buiten kantooruren of vanaf ongebruikelijke locaties. Hiermee is misbruik snel te identificeren en zijn sessie af te sluiten bij mogelijk gevaar.
Aanvallers kunnen toegangsrechten vinden en misbruiken om hun eigen privileges op te schalen. Bovendien kunnen ze hierdoor onder de radar blijven. Het is dus belangrijk om de hele omgeving te scannen op geprivilegieerde gebruikers, groepen en rollen en shadow cloud admins te achterhalen.
Een veilige cloud is een bedrijfsvoordeel
Om de agility te vergroten, ontwikkelen bedrijven DevOps pipelines om cloudinitiatieven te ontplooien. Of ze stappen over op on-demand computing en storage om kosten te drukken. Hoe dan ook, veilige privileges access en beleid rond identiteiten moet je consistent doorvoeren om data te beschermen. Zo’n 93 procent van de bedrijven werkt aan een multi-cloud-strategie en saas blijft groeien, waardoor bedrijven innovatief en flexibel blijven. De voordelen zijn dan ook helder; de gevaren echter ook.
Renske heeft de klok horen luiden maar weet nog niet waar klepel hangt want eerste en één na laatste zin zijn nogal in strijd met elkaar als we kijken naar verschillen tussen een IaaS cloud model waarin een provider alleen de infrastructuur levert en een SaaS model waarin veel meer van het beheer uitbesteed wordt naar een provider. En DevOps pijplijnen met cloud initiatieven (Iaas/Paas?) zijn prachtig maar discipline cloud financials kan geen steekhoudende businesscase aangaande de kosten maken waardoor de voordelen helemaal nog niet zo helder zijn. Heb ooit eens iets geschreven over de beheerbaarheid van een systeem en de beheer$baarheid van kosten want tussen de doeltreffendheid en de doelmatigheid van de cloud zit nogal een verschil.
Filojack kan vast Hofstadter aanhalen en een mooi betoog opzetten waarom strijdigheid onvermijdelijk is bij complexe geesten.
En sinds innovatie doel op zich is geworden, is businesscase ook geen probleem meer.